/
Автор: Сапожников Вл.В. Сапожников В.В. Гавзов Д.В. Христов Х.А.
Теги: рельсовый транспорт железнодорожное движение микроэлектроника электроника автоматика железнодорожный транспорт
ISBN: 5-277-01690-2
Год: 1995
Текст
МЕТОДЫ ПОСТРОЕНИЯ.
БЕЗОПАСНЫХ
МИКРОЭЛЕКТРОННЫХ
СИСТЕМ
ЖЕЛЕЗНОДОРОЖНОЙ
АВТОМАТИКИ
“ТРАНСПОРТ"! 995
МЕТОДЫ
ПОСТРОЕНИЯ
БЕЗОПАСНЫХ
МИКРО-
ЭЛЕКТРОННЫХ
СИСТЕМ
ЖЕЛЕЗНО-
ДОРОЖНОЙ
АВТОМАТИКИ
Под. редакцией
д-ра техн, наук
вл. В. Сапожникова
МОСКВА «ТРАНСПОРТ» 1995
УДК 656.256
Метода построения безопвашя мвмроэлектронных систем жмезиодорож-
вой авгоммнкв / В. В. Сапожников, Вл. В. Сапожников, X. А, Христов, Д. В. Гав-
зов; Подрод Вл В. Сапожникова. - М.• Транспорт. 1995. - 272 с.
Рассмотрена проблеме построения безопасных систем жовезнодорожной
автоматики я телемеханики (СЖАТ) на базе микроапектронной и микропроцес-
сорной техники, особенности СЖАТ в задачи их синтеза. Иэложева теория построе-
ния безопасных дискретных систем. Описаны безопасные логика и интерфейс.
Проанализированы структуры безошеных СЖАТ в приводятся методы оценки без-
яжсяостм, Рассмотрены проблема создания надежных программ для реализация
управляющих алгоритмов н проблема передачи ответственной информации в мик-
роэлектронных системах.
Предназначена для специалистов - разработчиков, проектировщиков и
эксплуатационников, занимающихся системами железнодорожной автоматики и
телемеханики, а также полезна студяпам н аспирантам железнодорожных вузов.
Ил. 170, табл. 51, бнблисгр. 146наэв.
Книгу написала: В. В. Сапожников - главу 2, по. 3.7, 5.3, 5.4;
Вл В. Сапожников - введение, главы 1 (кромеп. 1.5) и4,*п. 7 5; X. А. Хрис-
тов - пп. 3.1 - 3.6, 6Л, 7.1-7.4, 7.7; Д. В. Гавзов - ня. 1.5, 5.1, 5.2, 6.1, 6.2,
7.6, главу 8.
i
Рецензент канд. тахн. Е. Н. Розенберг
Заведующий редакцией Н.П. Немцова
Рецактор М. В. Псномаренко
3202040000-107
М----------------16-95
О49(О1)-95
ISBN 5-277-01690-2
© KoaMMW4mp<w. 199S
© Оформодж*, иллюстрации
’Транспорт", |99!
ВВЕДЕНИЕ
В работе железных дорог важные функции выполняют системы желез
нодорожной автоматики и телемеханики (СЖАТ). Они решают две основ
ныв задачи: управление движением поездов на станциях-и перегонах 1
обеспечение безопасности поездных и маневровых передвижений. С разви-
тием транспорта эти задачи постоянно усложняются, что связано с ростов
интенсивности и скоростей движения поездов, а также с повышением тре
боваяий к оперативному и информационному обеспечению технологиче
ских процессов. Поэтому постоянно возрастают и требования к системам
управления и контроля, что вызывает необходимость их совершеяствова
ния и использования более прогрессивной элементной базы.
Современный этап развития СЖАТ характеразуется широким использо-
ванием для их построения микроэлектронной и микропроцессорной тех-
ники. По сравнению с релейной данная элементная база позволяет сущест-
венно расширить функцнонапьвые возможности систем. Но при разработ-
ке и обслуживании микроэлектронных устройств от инженера требуется
более высокая квалификация, поскольку методы анализа и синтеза таких
устройств не очевидны и достаточно сложны. Прежде всего возникают
проблемы обеспечения безотказности, безопасности и контролепригод-
ности.
В современной литературе достаточно полно отражены вопросы по-
строения безотказных и контролепригодных дискретных систем. Без-
отказность доспкается благодаря поэлементному ивн блочному резерви-
рованию.
Теоретические вопросы оценки такого резервирования хорошо раз-
работаны. Глубоко исследованы вопросы применения идей помехоустой-
чивого кодирования при реализации безотказных систем. В этом случае при
кодировании основных состояний дискретных систем обеспечивается
заданное кодовое расстояние, а при реализации логических схем приме-
няют мажоритарные и пороговые элементы.
Широко используются дискретные системы с контролем в процессе
функционирования. Такие системы снабжаются встроенными схемами
3
м
контроля, которые вырабатывают сигнал ошибки при возникновении
неисправностей во внутренней структуре системы. Полезными свойствами
облапают самопроверяемые устройства, в которых обеспечивается обнару-
жение отказов не только в основном, но и в контрольном оборудовании.
Хорошо отражены в литературе вопросы проверки дискретных систем
благодаря специально организованным тестовым воздействиям в процессе
испытаний к нормального функционирования.
При построении СЖАТ в первую очередь решается задача обеспечения
безопасности. Безопасной является система, которая при возникновении
неисправностей элементов внутренней структуры не оказывает опасного
воздействия на объекты управления. В современных СЖАТ целесооб-
разно сочетать свойства безопасности, безотказности и контролепригод-
ности.
В данной книге вперяые в отечественной литературе дается система-
тическое изложение методов решения основных задач построения мик-
роэлектронных и микропроцессорных СЖАТ на безе обобщения опыта
специалистов Россия и Болгария, а также опыта специалистов других
стран. Материал книги во многом основан на разультатах, полученных
авторами.
Глава 1
ОСОБЕННОСТИ СИСТЕМ ЖЕЛЕЗНОДОРОЖНОЙ
АВТОМАТИКИ И ТЕЛЕМЕХАНИКИ И ЗАДАЧИ
ИХ ПОСТРОЕНИЯ
1.1. Этапы н тенденции развития СЖАТ
Этапы развития СЖАТ связаны с изменением их элементной базы,
свойства которой определяли способы построения систем, а также ме-
тоды обеспечения безотказности и безопасности. Можно выделить сле-
дующие этапы развития СЖАТ: 1 (1870—1930 гг.) - механические си-
стемы; 11 (1930-1960 гг.) - релейные системы; 111 (1960-
1980 гг.) — полупроводниковые системы; .IV (с 1980 г.) — микро-
электронные, микропроцессорные и компьютерные системы.
Первые железные дороги в России были введены в эксплуатацию
в 1837 г. (С.-Петербург - Павловск) и в 1851 г. (С.-Петербург - Моск-
ва) . Пря этом сразу же возникла проблема регулирования движения
поездов и обеспечения безопасности.
Сначала на линии С.-Петербург — Павловск постоянной сигнализа-
ции не существовало. Для передачи сообщений использовали "оптиче-
ский телегреф”, в котором сигналы передавались с помощью черных
шаров и кресиых фонарей [1]. В 60-х годах появились первые посто-
янные сигналы - поверстные диски и семафсры. Это привело к по-
явлению первых систем сигнализации, централизации и блокиров-
ки (СЦБ). В 70-х годах на линии С.-Петербург - Москва ввели в дей-
ствие устройства механической центразизации стрелок и сигналов;
начался 1 этап развития СЖАТ - этап механических систем. В этих
системах упревление стрелками, сигналами и другие функциональные
действия осуществлялись вручную или автоматически с использованием
механических приводов (проволочные тяги, механические замки и
т. п.). Использовались также некоторые электрические (электромагни-
ты, педали) и гидравлические устройства. Широкое распространение
получили в этот период системы с ключевой зависимостью В. С. Ме-
лентьева, отечественные механические централизации с гибкими и жест-
кими тягами, полуавтоматическая путевая блокировка фирмы "Си-
менс-Гальске”, электрожеэловые системы фирмы "Вебб—Томсон и
Смис’’ и системы с электрожеэловыми аппаратами Д. С. Трегера [1].
В указанных системах необходимые логические зависимости и усло-
вия безопасности обеспечивались благодаря механическому взаимодей-
ствию между стрелочными и сигнальными рукоятками, рычагами и
линейками. Основными недостатками механических систем являлись
низкое быстродействие, невысокий уровень автоматизации технологиче-
5
Л.
if
ских процессов, .ограниченные функциональные возможности. Напри-
мер, в механических централизациях невозможно было реализовать
принцип посекционного размыкания маршрутов, который резко повы-
шает пропускную способность станционных горловин. Поэтому законо-
мерным «вился переход на II этапе развития СЖАТ к использованию
релейной техники и электрическому управлению объектами.
Еще в 1909 г. на станции Витебск Риго-Орловской дороги и в 1914 г.
на станции С.-Петербург Витебского направления были построены пер-
вые электрические централизации. В них для управления стрелками ис-
пользовались электроприводы постоянного тока, а для управления сема-
форами - соленоидные электропривода, но зависимости между стрел-
ками и сигналами обеспечивались механически в ящиках замыканий.
Первая чисто релейная система централизации была внедрена на станции
Гудермес II в 1934 г. Позже была разработана и введена в эксплуата-
цию (1936 г.) на участке Люберцы - Куровская первая отечественная
релейная система диспетчерской централизации временного кода (ДВК).
Широкое распространение получили в этот период релейные системы -
блочная маршрутно-релейная централизация, кодовая автоблокировка,
полярно-частотная диспетчерская централизация, горочная автоматиче-
ская централизация и др. Постоянно совершенствовалась репейная база
н были созданы четыре поколения отечественных реле: HP, HUI,
НМШ, РЭЛ
Применение реле по сравнению с механическими устройствами по-
зволило ПйвЫситъ качество систем управления, автоматизировать боль-
шинство трудоемких процессов, обеспечить повышение скоростей дви-
жения поездов и необходимый уровень пропускной способности. Релей-
ные системы и в современных условиях удовлетворяют болыпенство
требований, предъявляемых к СЖАТ, и остаются наиболее распростра-
ненными в эксплуатация системами. В 80-е года были разработаны Не-
которые новые релейные системы, принятые к типовому проектирэва-
нию (электрическая цеятранизация с индустриальной системой монта-
жа, унифицированная система автоблокировки и др.).
Однако релейной технике присуши недостатки, которые ограничи-
вают ее применение в ряде систем. Область этих ограничений расширяет-
ся и будет расширяться со временем. К недостаткам относятся: невы-
сокое быстродействие, большие размеры, болышя материалоемкость
и значительный расход дефицитных металлов, невысокая надежность.
В результате для ралейных устройств оказывается практически неразре-
шимой проблема введения информационной я структурной избыточно-
сти, что необходимо для создания необслуживаемых систем.
Решение данной проблемы возможно в бесконтактных системах.
В 60-х годах начались первые работы по применению в СЖАТ полупро-
водниковой техники. Была разработана система днсиетчерскон центра-
лизации (ЧДЦ) с применением транзисторов [2} и'внедрена на Севе-
ро-Кавказской дороге (1961 г.). С 1967 г. началось внедрение систе-
мы диспетчерской централизации ”Нева”. Первой отечественной бес-
контактной станционной системой автоматики явилась система бескон-
тактного маршрутного набора (БМН) на транзисторных логических
элементах [3], введенная в эксплуатацию на станциях Резекне Прибал-
тийской дороги (1967 г.) и Обухове Октябрьской дороги (1968 г.).
В этот период бесконтактная техника использовалась в ооювном для
решения задач, не связанных непосредственно с обеспечением безопас-
ности движения Поездов. Нащди применение такие системы, как стан-
ционная кодовая централизация, система автоматического регулирова-
нии скорости отцепов на сортировочных горках, горочное программно-
задающее устройство, система автоматического контроля состояния
букс и др.
В области СЖАТ продолжается процесс перехода (там, где это це-
лесообразно) от релейно-контактиой техники к бесконтактной. Новый
импульс этому процессу придает развитие интегральной схемотехники,
появление в 70-х годах микропроцессорных БИС и широкое примене-
ние персональных компьютеров. В основном микроэлектронная, микро-
процессоразя и компьютерная техника определяет на ближайшее буду-
щее развитие средств автоматики и телемеханики. Целесообразность и
необходимость использовании этой техники связаны прежде всего
с тенденциями развития СЖАТ. Основное значение имеют следующие
тенденции [4]:
1) существенное повышение требованвй к функциям вновь разра-
батываемых систем, что во многом определяется возможностями, ко-
торые предоставляют разработчикам микроэлектроника и компьюте-
ры. У традиционных СЖАТ появляются новые функции, улучшаются
их эксплуатационные и информационные характеристики. Микропро-
цессорная и компьютерная техника позволяет снабжать новые системы
развитым диагностическим обеспечением, обширными банками данных,
удобными для оперативного Персонала автоматизированными рабочими
местами, а в ряде случаев — автоматическими устройствами регистрации
действии операторов. Указанные новые задачи сяожнее, чем те, которые
решались ранее, и уже во многом имеют скорее вычиспитеньныл харак-
тер, чем чисто логический. Такие задачи удобнее репвть с использова-
нием микроэлектронной и компьютерной техники;
2) структурное усложнение СЖАТ вследствие увеличения числа ре-
шаемых функций. Возрастает чисяо элементов и блоков, из которых
состоят системы. Причем эго возрастание существенно (в десятки и
более раз). Поэтому новые СЖАТ разрабатывают преимущественно
с использованием интегральных схем средней, большой и сверхбольшой
степенями интеграции и персональных компьютеров;
3) повышение требований к безотказности и отказоустойчивости
систем, поскольку передача все большего чисиа функций от человека
к устройствам автоматики увеличивает экономические затраты в связи
с отказом. Основной путь повышении надежности — это введение избы-
точности. Избыточность современных надежных дискретных систем
часто состоит в удвоении и даже утроении объема аппаратного или
программного обеспечения;
4) повышение требований к контролепригодности СЖАТ благодаря
введению избыточности. Применение интегральной элементной базы
и усложнение систем приводят к значительным трудностям при их об-.
спужнвании и ремонте. В связи с этим на этапе разработки новой систе-
мы следует принимать меры, определяющие упрощение процессов об-
служивания, поиска отказов и ремонта, т. е. девать системы контроле-
пригодными. Актуальной становится задача создания необслуживае-
мых СЖАТ, т- е. высоконадежных перемонтируемых систем, работаю-
щих до первого отказа.
Перечисленные тенденции обусловливают целесообразность и необ-
ходимость использования микроэлектроники, микропроцессорной и
компьютерной техники дяя построения СЖАТ, что и Происходит с кача-
на 80-х годов. Разработаны и разрабатываютси новые системы микро-
процессорных и компьютерных централизаций стрелок и сигналов,
многозначной автоматической локомотивной сигнализации, микропро-
цессорных и компьютерных диспетчерских централизаций и др. Прин-
ципиальным отличием данного этапа развития СЖАТ является то, что в
новых системах широко используютси программные способы реализа-
ции алгоритмов управления и контроля.
Как видим, этапы развития СЖАТ связаны со сменой элементной
базы. Это влияло на решение важнейшей проблемы — обеспечение без-
опасности. Одновременно проблема и упрощалась, и усложнялась. Упро-
щалась она потому, что новая элементная база обладана более богатыми
функциональными возможностями и лучшими надежностными характе-
ристиками. Так, безопасность релейных систем оказалась выше безопас-
ности механических систем, поскольку механические устройства не мог-
ли обеспечить необходимые функциональные зависимости и быстродей-
ствие в условиях возрастании скоростей и интенси вности движения поез-
дов. По этим же причинам и безопасность микроэлектронных и комнью-
теряых систем оказывается выше безопасности релейных систем.
Проблема усложнялась в связи с вопросом наглядности. В механи-
ческих системах безопасность обеспечивалась благодаря механическим
замыканиям между стрелочными и маршрутными рукоятками и рыча-
гамил использованию механических замков и т. п. Это было просто и
понятно для человека, обслуживающего эти устройства.
Рис. 1.1- Схема механического за-
мыкания между стрелочной и марш-
рутной рукоятками
Рассмотрим данный принцип обеспечения безопасности на примера
взаимодействия стрелочной и маршрутной рукояток в ящике зависимо-
стей механической централизации (рис. 1.1). Маршрутная сигнальная
рукоятка МСР связана замычкой 2 с маршрутной линейкой МЛ, ко-
торая перемещается вправо или влево при повороте МСР и установке
маршрута 1М или 2М. На ряс. 1.1 показано, как при перемеще-
нии МЛ вправо осуществляется механическое запирание стрелочной
рукоятки 3стр. Последняя имеет на своей оси замычку 1, которая
заходит в вырез замычки +3. Этим исключается поворот рукоят-
ки Зстр при установленном маршруте и, следовательно, возможность
перевода стрелки 3, которая замыкается в маршруте в ’’плюсовом1’
положении.
В релейных системах потребовалось использование специальных ме-
тодов построения безопасных логических схем. Однако наглядность
решения Проблемы во многом сохраняется, поскольку безоласяоегь
основывается на фундаментальных свойствах реле I класса надежно-
сти — отпускании якоря под действием силы тяжести и исключении сва-
ривания фронтового контакта. Поэтому главным очевидным принци-
пом построения безопасных схем является применение в ответственных
цепях только фронтовых контактов реле. Например, в схеме включе-
ния лампы входного светофора в релейной централизации малых стан-
ций (рлс. 1.2). Наиболее ответственная цень включения лампы зеленого
огня проходит через фронтовые контакты сигнального реле С и реле
контроля свободное™ второго участка удаления 2УУ. Менее ответ-
ственная цепь желтой лампы содержит тыловой контакт 2УУ. В случае
сваривания этого контакта или отказа реле 2УУ желтая лампа может
гореть вместо зеленой, что не является опасным событием. Цепь вклю-
чения красной лампы, ложное включение которой неопасно, Проходит
через тыловые контакты реле С.
Одной из причин сравнительно медленного внедрения бесконтакт-
ной техники в устройствах СЖАТ является то, что проблема обеспече-
ния безопасности при ее использовании теряет свою наглядность и ста-
новится не очевидной. В 60-х годах, на 111 этапе развития СЖАТ, воз-
никли вопросы: что такое опасный отказ? Как его определить матема-
тически? Каковы общие методы синтеза безопасных схем? Ответы
на эти вопросы были даны в конце 60-х — начале 70-х годов "S работах
специалистов Ленинградского института инженеров железнодорожного
9-
транспорта. В связи с применением микропроцессорной и компьютерной
техники на IV этапе развития СЖАТ круг проблем теории построения
безопасных систем существенно расширился (например, возникла но-
вая задача построения безопасных программ).
Перед разработчиком новой современной СЖАТ встают две основ-
ные задачи. Первая (задача синтеза) заключается в выборе метода
построения конкретной безопасной системы, который зависит от требо-
ваний к этой системе и от свойств элементной базы. Второй задачей
(задачей анализа) являются определение уровня безопасности, достиг-
нутого при разработке, и количественная оценка этого уровня. Послед-
няя задача является новой при создании СЖАТ (она не ставилась для
релейных систем) и связана с современными требованиями по серти-
фикации новой аппаратуры. Способы решения указанных двух задач
и составляют основное содержание данной книги.
U. Требования к СЖАТ
Основными особенностями СЖАТ, которые определяют требова-
ния к ним, являются [4]: непрерывный характер работы во времени;
длительный срок службы; изготовление (серийное производство) си-
стем в больших количествах; широкое распространение систем по всей .
стране; сложные климатические, динамические и электромагнитные
условия работы; обеспечение безопасности июлей и грузов.
Поскольку движение поездов - процеоснепрерывный, то устройства
железнодорожной автоматики работают непрерывно круглый год. Этим
обусловливаются высокие требования к надежности СЖАТ и прежде
всего к коэффициенту готовности и функциональной отказоустойчи-
вости. Это означает, что в любой момент времени с высокой вероят-
ностью система должна быть готова выполнять свои функции, пусть да-
же с меньшей эффективностью, есии в ней есть отказ какого-либо внут-
реннего элемента. В противном случае происходят задержка поезда и
сбой графика движения, что приводит к негативным последствиям.
Обычно СЖАТ имеют длительный срок службы. Опыт использова-
ния механических и релейных систем показал, что многие из них экс-
плуатировались по 20—30 лет. Поэтому предьявияются высокие требо-
вания по долговечности (ресурсу) систем, т. е. они должны работать
длительное время до физического старения. Это же требование предь-
яиляется и к микроэлектронным системам, хотя можно прогнозиро-
вать, что срок их службы не будет большим. Последнее сияэано с тенден-
цией ускорения научно-технического прогресса. С течением времени
этапы развития СЖАТ становятся менее деятельными и быстрее насту-
пает морельное старение аппаратуры.
Вероятно, наиболее оптимальным сроком службы микроэлектрон-
ных СЖАТ в ближайшем будущем будет период в 10-15 лет, если си-
10
стемы необслуживаемые, высоконадежные, в конце этого срока (неза-
висимо от их состояния) их заменяют новыми, построенными по более
совершенным принципам и технологиям. Однако в эксплуатации мораль-
но устаревшая аппаратура СЖАТ еще долго используется. Так, немало
механических устройств эксплуатировалось во П и даже Ш периодах
развития СЖАТ. Это связано с широким распространением систем по
всей стране. Поэтому замена старых систем новыми — процесс сложный
и длительный, требующий больших материальных и трудовых затрат. Это
обстоятельство также необходимо учитывать, устанавливая срок служ-
бы новой СЖАТ.
Тиражирование и распространение систем определяют требования
к ним относительно простоты обслуживания и ремонта. Широкое рас-
пространение систем по всем регионам страны обостряет проблему на-
личия на местах обслуживающего персонала высокой квалификации.
Это обстоятельство не имело существенного значения на первых двух
этапах развития СЖАТ, поскольку механические и релейные системы
достаточно просты в обслуживании, принципы их работы наглядны для
человека. Обслуживание же микроэлектронных и компьютерных систем
требует от инженера высокой квалификации. Поэтому вновь разраба-
тываемые системы должны обладать хорошей ремонтопригодностью
(блочное исполнение с индикацией отказов каждого блока) или быть
необслуживаемыми и работать до первого отказа.
Проблему синтеза СЖАТ затрудняют'также сложные климатические,
динамические и электромагнитные условия их работы. Аппаратура под-
вергается воздействию температуры и влажности окружающей среды,
динамическим воздействиям со стороны движущихся поездов, электро-
магнитным влиянием тягового тока и грузовых разрядов. Особое зна-
чение для микроэлектронных Устройств имеет их помехозащищенность
от электромагнитных влияний. *'
1.3. Качественные и количественные показатели работы СЖАТ
Перечисленные основные требования к СЖАТ совместно с требова-
нием отсутствия опасных отказов делают задачу построения микроэлек-
тронных систем сложной научно-технической проблемой. Необходимы
не очевидные, а специальные методы решения. При этом разработчики
должны обеспечить следующие качественные и количественные пока-
затели.
Надежность СЖАТ — это свойство устройств автоматики сохранять
во времени в установленных пределах значения всех параметров, харак-
теризующих способность выполнять требуемые функции в заданных ре-
жимах и условиях применения, технического обслуживания, хранения и
транспортирования [5].
Функция, выполняемая СЖАТ, состоит в обеспечении бесперебой-
ного и безопасного управления движением поездов. Надежность СЖАТ -
Рис 1.3. Схема состояний СЖ?
комплексное свойство, состоящее из
безотказности, безопасности, долго.
$ вечности, рлмонтопригодности и со-
$ храняемости. Чтобы их определить,
| рассмотрим состояния, в которых
| может находиться СЖАТ с точки зрп-
НИЯ исправности (рис. 1,3). В ио
,| правном состоянии система удовлет-
воряег всем требованиям норматив-
5 но-технической или конструктор-
ской документации. Событие, в ре-
зультате котпрого нарушается ис-
правность, называется дефектом.
Под действием дефектов система
переходит в одно.из четырех неис-
правных состояний.
Различают два вада дефектов:
повреждение и отказ. В результате возникновения поврежде-
ния 1 система переходит в неисправное, но работоспособное состоя-
ние. В нем все основные параметры, определяющие способность выпол-
нять заданные функции, соответствуют трябо ваняям документации.
Отказом называется событие, нарушающее работоспособность
системы, когда хотя бы один из параметров, определяющих способ-
ность выполнять заданные функции, не соответствует требованиям до-
кументации. Различают три вида неработоспособного состояния СЖАТ;
защитное, опасное и предельное [6, 7].
Защитное состояние — неработоспособное состояние системы, при
котором значения всех параметров, характеризующих ее способность
выполнять заданные функции по обеспечению безопасности движения
поездов, соответствуют требовелиям нормативно-технической и (или)
конструкторской документации.
Опасное состояние — неработоспособное состояние системы, при
котором значения хотя бы одного параметра, характеризующего ее спо-
собность выловиять заданные функции во обеспечению безопасности
движения поездов, не соответствуют требованиям нормативно-техниче-
ской и (или) конструкторской документации.
В соответствии с заданными определениями различают также за-
щитные и опасные отказы. Защитный отказ 2 — событие, заключаю-
щееся в нарушения работоспособного состояния системы при сохра-
нении защитного состояния. Опасный отказ 3 — событие, заключающее-
ся в нарушении работоспособного и защитного состояний системы. Вос-
стеловление исправности или работоспособности системы происходит
в рлЗулыате ремонта 5.
Опасный отказ СЖАТ может привести к возникновению аварии
(крушению поезда), но не обязательно. Возникновение аварии связа-
но также с существующей в данный момент поездной ситуацией и с дей-
12
ствиями человека - оператора (машинист, дежурный по станций, поезд-
ной диспетчер и др.). Вероятность возникновения аварии
Р = р р р , 0-1)
3 ОП ПС до’
где ?оп - вероятность опасного отказа СЖАТ; ?пс - вероятность существования
аварийной поездной ситуации; Рдо - вероятность ошибочных действий оператора,
не предотвратившего аварию.
В результате отказов СЖАТ может также перейти в предельное
состояние 4 из-за неустранимых нарушений требований безопасности,
снижения эффективности эксплуатации, морального старения и других
факторов. Дальнейшая эксплуатация системыв этом случае недопусти-
ма или нецелесообразна. Система подлежит капитальному ремонту 6
или списанию 7.
Рассмотрим теперь составляющие надежности и их показатели.
Безотказность СЖАТ - это свойство системы непрерывно сохра-
нять работоспособное состояние в течение некоторого времени или на-
работки.
Показатели безотказности делятся на две групиы. Первая группа
оценивает надежность системы до первого отказа следующимн-парамет-
рами: P(t) — вероятность безотказной работы; X — интенсивность
отказов; Т — средняя наработка до отказа. ВтореЛ группа оценивает
надежность системы с учетом ее восстановления (ремонта) следующими
параметрами: Т - средняя наработка на отказ; к, - коэффициент
готовности [5[.с г
Безопасность СЖАТ - это свойство системы непрерывно сохра-
нять исправное, работоспособное или защитное состояние в течение не-
которого времени иви наработки.
Защитный отказ нарушает безотказность СЖАТ, но не нарушает
безопасность. Опаспыв отказ нарушает и безотказность, и безопасность.
Множество состояний S разбивается на подмножества исправных S ,
работоспособных S неработоспособных защитных 51 и неработо-
способных опасных ₽ S состояний. 3
Безотказность характеризуется множеством состояний
S, Я, U Г, (1-2)
а безопасность — множеством состояний
5, - S, USp u5j. (1.3)
Из сравнения множеств и S следует, что в общем случае
имеет место неравенство "безопасность больше безотказности”.
13
В частном случае если любой отказ в системе является опасным, то
"безопасность равна безотказности”.
Показатели безопасности аналогичны показателям безотказности.
Приведенная интерпретация понития "безопасность СЖАТ” опреде-
ляет свойство системы, связанное с ее поведением пря отказах. В об-
щем случае безопасность системы управления состоит из двух состав-
ляющих: инешний и внутренней. Внешняя безопасность связана с со-
хранностью системы управления как объекта и может нарушаться из-за
внешних причин (влияния окружающей среды и действий человека).
В этом случае сам объект не является причиной нарушения безопасности
(пассивен в отношении безопасности).
Внутренняя безопасность — свойство объекта не быть источником
опасности для человека или окружающей среды из-за нарушения рабо-
тоспособности (по причине внутренних отказов). При этом объект акти-
вен в отношении безопасности. В данной книге рассматривается внут-
ренняя безопасность СЖАТ.
Конструктивность указанного выше определения безопасно-
сти СЖАТ состоит в том, что оно определяет безопасность через понятия
состояний системы. Это позволяет решить основной вопрос, который
возникает при анализе и синтезе безопасных систем: какой отказ в
свстеме является опасным? Подобным же образом определяют безопас-
ность СЖАТ многие авторы^ В проектах стандартов Международной
электротехнической комиссии (МЭК) "функциональная безопасность
программируемых электронных систем: Общие аспекты” (1989 г.) и
"Программное обеспечение АСУ ТП, критичных к вопросам безопасно-
сти” (1989 г.) даны следующие определении безопасности управляю-
щих систем. Безопасное состояние (Safe State) - состояние определен-
ной системы, в ко тором пря определенных допущениях и заданных усло-
виях отсутствует угроза для жнэли людей, экономики и окружающей
среды. Безопасность (Safety) - свойство системы, выражающееся в
ожидании того, что она при определенных условиях не перейдет в состоя-
ние, в котором угрозе подвергаютсячеловеческалжизнь, экономика и
окружающая среда.
Таким образом, внутренняя безопасность системы рассматривается,
как составная часть надежности относительно опасных отказов. Что ка-
сается внешней безопасности, то она в общем случае не входит в поня-
тие надежности, поскольку не связана с отказами внутренних элементов.
Хотя безопасность не входит в общее понятие надежности, однако при
определенных условиях эти понятия тесно связалы, напряыер если'от-
казы приводят к условиям, вредным для людей и окружающей сре-
да (5). Внутренняя безопасность и есть такой случай.
Ремонтопригодность СЖАТ — это свойство аппаратуры, обеспечн-
веющее упрощение процессов технического обслуживания, поиска неис-
правностей и ремонта.
После возникновения отказа у обслуживаемой системы начинается
процесс восстановления ее исправности или работоспособности. Пря
14
этом различают два вида восстановления: ремонт 5 (см. рис. 1.3) и ка-
питальный ремонт 6, который применяется п{ж восстановлении из пре-
дельного состояния, когда необходимо заменить все основные узлы и
элементы системы. Альтернативой в этом случае является списание си-
стемы 7.
Ремонтопригодность учитывается при разработке аппаратуры и тре-
бует определенного объема избыточности. Существующие релейные
СЖАТ обладают достаточно высокой степенью ’’естественной” (без при-
менения специальных мер) ремонтопригодности, так как размеры реле
позволяют легко контролировать его работу. Системы, построенные на
интегральных микросхемах, не обладают таким свойством и их эффек-
тивное обслуживание без обеспечения контролепригодности практиче-
ски невозможно. Поэтому микроэлектронные СЖАТ должны иметь
диагностическое обеспечение, которое может содержать схемы встроен-
кого и внешнего контроля, средства тестового и программного диаг-
ноза, средства самоконтроля, индикацию отказов и др.
Показателями ремонтопригодности являются [5]: Рв - вероят-
ность восстановления; у. — интенсивность воссталовлення; ТЛ — сред-
нее время восстановления; глубина диагностирования (точность обна-
руживания отказов микросхемы, платы или функционального блока);
кратность обнаруживаемых отказов.
Долговечность СЖАТ — это свойство системы сохранять в течение
определенного времени показатели безотказности и безопасности до на-
ступления предельного состояния в заданных режимах и условиях при-
менения, технического обслуживания и ремонта. Существенным показа-
телем долговечности является срок службы (ресурс).
Для повышения показателей безотказности и безопасности в микро-
электронных СЖАТ используют мероприятия по обеспечению отказо-
и помехоустойчивости аппаретуры.
Отказоустойчивость СЖАТ - это свойство системы сохранять рабо-
тоспособность в случае отказа ее элементов благодаря резервным воз-
можностям.
Отказоустойчивость базируется иа раэервировании. Остальные
средства (циагиостврование, восстановление и реконфигурация) только
повышают ее Эффективность. Отказоустойчивость в зависимости ог ви-
да используемого резерва может быть функциональной, структурной
[аппаратная и (или) программная], временибй и информационной.
Особое значение имеет функциональная отказоустойчивость — свой-
ство системы сохранять работоспособность в случае отказа ее элементов
при снижении эффективности функционирования и Уровня автоматиза-
ции управления. Это свойство важно потому, что СЖАТ работают не-
прерывно в течение длительного времени в условиях интенсивного
движения поездов. Поэтому времени на оперативный ремонт пря отказе
системы обычно недостаточно. В этих условиях целесообразно перейти
на режим работы с меньшим уровнем автоматизации (в крайнем слу-
1S
чае на ручной режим управления), что позволяет свести к минимуму по-
тери от задержки поездов.
Проблема функциональной отказоустойчивости актуальна и для об-
служиваемых микроэлектронных СЖАТ. Например, при разработке
микропроцессорной централизации стрелок и сигналов следует пре-
дусматривать возможность установки маршрутов при индивидуальном
переводе стрелок и возможность приема поезда по пригласительному
сигналу (как зто сделано в действующих релейных системах)
Отказоустойчивые системы нечувствительны к определенному чис-
лу отказов. Их еще называют d-безотказными: система работает пра-
вильно при наличии в ней d или менее отказов. Число d является по-
казателем отказоустойчивости.'Это качество систем резко повышает их
безотказность и безопасность, но требует введения большой избыточно-
сти в аппаратные и программные средства. Объем аппаратуры возрастает
в 3 раза и более. Поэтому неудивительно, что отказоустойчивые релей-
ные СЖАТ не разрабатывались. Применение больших интегральных
схем (БИС) и сверхбольших интегральных cxeti (СБИС) делает задачу
создания таких СЖАТ вполне реальной, тем более, что отказоустойчи-
вость становится одним из магистральных направлений развития микро-
электроники.
В реальных микроэлектронных СЖАТ, как правило, используют
комплекс мер по обеспечению отказоустойчивости, прячем в различ-
ных элементах и узлах системы можно использовать разные виды резер-
вирования, отличающиеся степенью избыточности (кратность резервиро-
вания). Используют различные методы и средства контроля, восста-
новления и реконфигурации.
Поэтому наиболее обпг показателем отказоустойчивости являет-
ся коэффициент отказоустойчивости
* ~ /Т ,
оу би ' оу’
где - наработка между отказами безызбыточной системы; 7"о - наработка
между отказами отказоустойчивой системы.
В качестве дополнительных показателей отказоустойчивости (в со-
ответствии с используемыми средствами) можно пряменять полноту
резервирования элементов и узлов системы, полноту и достоверность
контроля, вероятность восстановления резерва и т. п.
Помехоустойчивость СЖАТ - зто свойство аппаратуры, обеслечи-
ваюшее защищенность ее от воздействия внешних электромагнитных
влияний.
Существующие релейные СЖАТ обладают достаточно высокой сте-
пенью ’’естественной” помехоустойчивости, так как реле имеет низкую
чувствительность и слабо реагирует на внешние помехи. Для микро-
электровных СЖАТ решение этой проблемы существенно сложнее, тем
более,что аппаратура работает в сложной электромагнитной обстановке.
16
Детерминированными показателями помехоустойчивости являются:
восприимчивость элементной базы к электромагнитным помехам, ко-
торая выражается в статических параметрах (например, (7П - по-
роговое напряжение срабатывания) и динамических параметрах (напря-
мер, 7"по — пороговая длительность помех). Вероятностными показа-
телями помехоустойчивости являются вероятность н интенсивность
сбоев, наработка на сбой, наработка между сбоями.
1.4. Показатели безопасности СЖАТ
При разработке новых СЖАТ с применением микроэлектронной и
микропроцессорной техники необходимо определить ословные показа-
тели безопасности. -Для разработчиков СЖАТ зга задача является новой,
поскольку пря создания релейных систем обычно зти показатели не рас-
считывали. Рассмотрим основные показатели безопасности [6, 7], ко-
торые зависят от характера работы системы, ее структурных свойств и
от того, является лн система восстанавливаемой или невосстанавпи-
ваемой.
Наработка до опасного отказа — Наработка невосстанавливаемой
системы от начала ее эксплуатации др возникновения первого опасного
отказа.
Наработка между опасными отказами - наработка восстанавливае-
мой системы от окончания восстановления ее работоспособного состоя-
ния нз опасного состояния до возникновения следующего опасного от-
каза.
Вероятность безопасной работы — вероя тьсть того, что в пределах
заданной наработки опасный отказ системьЛе наступит. Пря этом
предполагается, что в начальный момент времени система находилась
в исправном или работоспособном, ио не в защитном состояния. Это
Предположение естественно, поскольку иет смысла оценивать безопас-
ность первоначально неработоспособной системы. Данный показатель
определяетси по формуле
W ' О-4)
где ^оп(О - функция распределения наработки до опасного отказа.
Вероятность опасного отказа — вероятность того, что в пределах
заданной наработки опасный отказ наступит хотя бы I раз:
Goe(0 =Fe«(O = <15>
Величины Р6(г) и С0П(Г) оценивают безопасность невосстанавля-
Ваемой системы до возникновения первого опасного отказа. При этом
считается, что защитных отказов не было, поскольку при воэинкнове-
17
di
Рис. 1.4. Вероятностное и статистическое
представление Хоп(О
е)
at
**V
нии защитного отказа система больше не используется по назначению.
Поскольку опасные отказы редки, то показатели P6(t) и Соп(г)
удобно использовать и для оценки безопасности восстанавливаемых си-
стем. В этом случае величины (t) и Соп(0 — соответственно
нижняя и верхняя оценки для соответствующих показателей восстанав-
ливаемых систем. Это объясняется тем, что при возникновении защит-
ных отказов и последующем восстановлении системы надежность ее
(а следовательно, и безопасность) в идеальном случае полностью вос-
станавливается.
Например, если в системе электрической централизации произошел
защитный отказ реле (обгорание контакта, обрыв обмотки и т. п.), то
это реле заменяют новым или исправным, ресурс которого считается
равным ресурсу нового реле.
Интенсивность опасных отказов — условная плотность вероятно-
сти возникновения опасного отказа невосстанавливаемой системы,
определяемая для рассматриваемого момента времени при условии,
что до этого момента отказ не возник.
Рассмотрим вероятностный смысл интенсивности опасных отказов
Хоп(г) (рис. 1.4, л). Пусть система проработала безотказно в течение
времени t, т. е. не имела опасных и защитных отказов.
Тогда
XO.W = dz(f)!dt,
где Л (г) - условная вероятность опасного отказа системы за время dt, найден-
ная в предположении, что система безотказно проработала залериод времени (О, Г),
Если известны функция распределения F (г) и ее плотность рас-
пределения /оп(0.Т0
(16)
= /„«)/?.«)• <17)
Интенсивность опасных отказов — основная характеристика безопас-
ности, с помощью которой рассчитывают остальные показатели. Статис-
тически величину Xon(f) определяют в результате испытаний по фор-
муле (рис. 1.4, 6):
X (r).
on N At
(1.8)
18
где л(Д') - число образцов системы, имевших опасный отказ за интервал време-
ни Д'; N - среднее число работоспособных образцов системы, ие имевших
опасных отказов в интервале Д' (при условии, что образцы системы, которые
имели защитный отказ, немедленно земениинсь новыми).
Значение N = (Nl+i+Nj)l2, где АГ(+t — число работоспособ-
ных образцов системы, йе имевших опасных отказов к моменту време-
ни t + Д'/2; N. — число работоспособных образцов системы в момент
времени t— At/2.
Поскольку опасные отказы редки, то статистические эксперименты
для определения величины Хоп(0 необходимо проводить длительно,
что практически невозможно. Реально в формуле (1.8) используют
результаты наблюдений в процессе длительной эксплуатации системы.
Поэтому условием для вычислений по формуле (1.8) является то, что
образцы системы, которые имели защитный отказ в интервале време-
ни Д t, заменялись новыми, что и происходит прв эксплуатации. Это
условие в экспериментах, не связанных с эксплуатацией, можно было бы
не ставить. Поэтому формула (1.8) дает верхнюю оценку величины
Безопасность . восстанавливаемых систем характеризует параметр
потока опасных отказов <*>оп (г) — отношение математического ожида-
ния числа опасных отказов восстанавливаемой системы за произвольно
малую ее наработку к значению этой наработки. Статистически этот по-
казатель определяют по результатам испытаний или эксплуатации по
формуле (рис. 1.5)
«<д'>
<л> n(f) = ------
(1.9)
где п(Дг) - число образцов системы, имевших опасный отказ в интервале Д'
при условии, что образцы системы, которые имели опаосый или защитный отказ,
немедленно заменялись новыми (таким образом, в течение всего аггервала Д' ра-
ботает Nq образцов системы); No - число образцов системы, поставленных на
испытание в момант времени t- At 12.
При экспоненциальном законе распределения времени безопасной
работы п (г) =Хоп (Г) = const.
Наработка безопасной системы определяется средней наработкой
до опасного отказа Гоп (математическое ожидание наработки си-
стемы до ее опасного отказа) и средней наработкой на опасный от-
каз Т6 (отношение наработки воссталавш/ваемой системы к матема-
Рис. 1.5. Схема расчета <*>оп(')
Отказы и замена обращав
. 111111 .
,i£
19
Open*
eoccmanot
Нарайатна.
апаекыни
отказами.
Рис. 1.6. Вероятностное представле-
кне *.
пгческому ожиданию числа ее опасных отказов в течение этой нара-
ботки) .
При экспоненциальном законе распределения времени безопас-
ной работы:
Л>я = ^ОИ’ Гб ср = ^"оп-
Коэффициент безопасности - вероятность того, что система ока-
жется в работоспособном или защитном состоянии в произвольный мо-
мент времени.
Коэффициент безопасности к^ является комплексным ноказате-
лем безопасности системы, который учитывает ее безотказность, без-
опасность и ремонтопригодность.
Время работы безопасной восстанавливаемой системы складывает-
ся из отрезков времени восстановления 3 после Защитных ] и опас-
ных 2 отказов (рис. 1.6). На рис. 1.6 заштрихованные o&iacnt соот-
ветствуют времени, когда система не имеет опасных отказов.
Величина — вероятность того, что произвольно выбранный мо-
мент времени t находится в заштрихованной области;
ь = -г цт у т (1-Ю)
б *б ср '’*б ср В ср'’
где Твср - среднее время восстановления.
Приведенные показатели безопасности являются основными. Для
реальных СЖАТ можно применять и другие дополнительные показатели,
характеризующие структуру системы и ее конкретное назначение.
15. Концепции и стратеган обеспечения
безопасности
Под концепцией безопасности понимается совокупность положе-
ний, в соответствии с которыми осуществляется построение безопасной
системы. Такая концепция имеет фундаментальное значение, поскольку
определяй! основные принципы обеспечения безопасного функциониро-
вания СЖАТ с учетом свойств используемой элементной базы, средств
контроля, структуры и алгоритма работы. На основе концепции без-
осискзсти усганавливакпся критерии опасных отказов.
20
Для реализации концепций безопасности используют три основные
стратегии: безотказность (reliability), отказоустойчивость (ОУ) (fault-
tolerance) и безопасное поведение при отказах (fail-safe) [6, 7, 9, 50]
Первые две стратегии подразумевают, что система, которая правильно
выполняет свой алгоритм функционирования, безопасна. Третья страте-
гия используется специально для безопасных систем и заключается в пе-
реводе системы в защитное необратимое состояние при появлении от-
каза. Обратный переход в работоспособное состояние исключается
(маловероятен) и возможен лишь обычно с участием человека.
Стратегия находятся во взаимодействии между собой при построе-
нии безопасных систем (рис. 1.7). Безопасность технических средств
в значительной степени определяется влиянием человеческого фактора
ив всех стадиях "жизненного” цикла системы (разработка, изготовле-
ние и эксплуатация). Поэтому Для создания безопасных технических
средств дополнительно используют стратегию безошибочности.
В основе концепции безопасности релейных систем железнодорож-
ной автоматики и телемеханики лежит принцип использования безопас-
ного элемеМ^ Таким элементом является специальное железнодорож-
ное -реле, ияИощее несимметричную характеристику отказов, т. е. при
неиспревносги наиболее вероятными являются искажения типа ( -♦ О,
а искажен^ 0 -* 1 маловероятны. Система строится в предположении,
что эти отказы отсутствуют, а другие (не обязательно одиночные) долж-
ны переводить ее в защитное состояние, т. е. иснользуется стратегия без-
опасного поведения.
При построении микрознектронных СЖАТ стратегия безопасного
поведения применяется совместно со стратегией отказоустойчивости.
Если при возникновении отказов система исчерпала резервные возмож-
ности и в результате деградации и реконфигурации перестала быть от-
казоустойчивой, то при появлении еще одного отказа она должна необ-
ратимо перейти в защитное (отключенное от объектов управления) со-
стояние. Концепция безопасности в этом случае такова: одиночные де-
фекты аппаратных и программных средств не должны приводить
к опасным отказам и должны обнаруживаться с заданной вероят-
ностью при рабочих и тестовых воздействиях не позднее, чем в си-
стеме возникнет второй дефект [16] •
Рис. 1.7. Схема взаимодействий страте-
гий построения СЖАТ
безотка
безопасное
noieienue
при ршкчзах
безвшивон-
ность
ОУ
21
Повысить безопасность СЖАТ можно следующими средствами:
безотказность - применением минимизации логических схем и сниже-
нием интенсивности потока отказов элементов; отказоустойчивость —
резервированием, диагностированием, реконфигурацией, восстанов-
лением; безопасное поведение при отказах - самонроверяемыми схе-
мами и элементной безой с несимметричными отказами.
1.6. Задачи построения СЖАТ
Требования к СЖАТ определяют основные задачи их построения.
Существуют два способа решения проблемы ностроения безопас-
ных микроэлектронных систем [9]. Первый состоит в создании и при-
менении специализированных безопасных логических элементов, БИС,
микропроцессоров и компьютеров. Тогда элементы, на которых строит-
ся система, имеют несимметричные отказы. Это означает, что вероят-
ность возникновения определенного вида отказов у них настолько мала,
что ею можно пренебречь.
Второй способ состоит в использовании коммерческих БИС, микро-
процессоров и компьютеров, т. е. устройств, не преднаэлаченных спе-
циально для решения задач безопасности. Тогда элементы, на которых
строится система, имеют симметричные отказы и вероятностью их воз-
никновения пренебречь нельзя.
Большинство разработчиков микроэлектронных СЖАТ предпочита-
ют второй способ. При этом безопасность обеспечивается особенностями
архитектуры системы, программным обеспечением л внешними конт-
рольными схемами. Используется также сочетание обоих способов,
когда функциональный блок выполняется с симметричными отказами,
а контрольные и интерфейсные схемы — с несимметричными.
Микроэлектронная система в общем случае — единство аппаратных
и программных средств. Если применить защищенные от отказов аппа-
ратные средства и защищенные от ошибок программные средства, то
такая двойная защищенность может обеспечить высокую безопас-
ность СЖАТ.
Безопасные микроэлектронные системы содержат защищенные
логику, память и информацию, программы, архитектуру, интерфейс.
Под защищенной логикой подразумеваются цифровые схемы, на
которых строятся микроэлектронные и микропроцессорные системы
(логические схемы, триггеры, счетчики, регистры, мультиплексоры, де-
шифраторы и др.), обладающие свойством защищенности от отказов,
Это могут быть схемы с несимметричными отказами, отказоустойчи-
вые схемы и самопроверяемые схемы. Последние при возникновении
в них неисправностей могут формировать на рабочих или специальных
контрольных выходах сигнал ошибки. Особое значение имеет создание
защищенных контрольных схем, схем сравнения и мажоритарных схем
22
pjia связи БИС между собой и организации общей защищенной схемы
контроля микро электронной системы.
Трудно переоценить роль защиты от ошибок информации, храня*
шейся в Памяти н передаваемой по каналам связи и шинам микроэлек-
тронных систем, в деле обеспечения безопасности. Основным методом
защиты является применение корректирующих кодов для записи и пе-
редачи информации. Наиболее часто используются коды с контролем
на четность, равновесные, с повторением, с суммированием, арифмети-
ческие, коды Хэмминга и др. Возникают проблемы надежной дешифра-
ции и надежного контроля кодов.
Серьезной проблемой при разработке безопасных систем является
создание защищенного программного обеспечения. Как известно, на-
дежность программ существенно отличается от надежности аппарату-
ры [10]. По ряду причин проблема повышения безотказности и без-
опасности для программ более трудна и менее изучена, чем для аппара-
туры. К этим причинам относятся прежде всего сложность программных
продуктов и большое разнообразие видов дефектов и их влияние на
процесс вычислений.
Центральное место в процессе синтеза безопасной системы занима-
ют выбор защищенной архитектуры и применение защищенного интер-
фейса с исполнительными обьектьми. Важность этих задач снедует из
иерархии уровней структуры микроэлектронной системы с точки зрения
защиты от отказов. Существует пять уровней (от низших к высшим):
аппаратный, информационный, программньш, уровень архитектуры
и уровень интерфейса. На каждом из этих уровней можно осуществлять
мероприятия по защите от отказов, позволяющие ’’защищаться” от от-
казов, возникающих на более низких уровнях. Таким образом, на уров-
не интерфейса и архитектуры можно обеспечить защиту от отказов,
возникающих в аппаратуре, информации и программах.
Заключительной задачей при разработке микроэлектронной системы
является анализ уровня ее безопасности, который состоит в определении
показателей надежности и безопасности конкретной СЖАТ. В згом сну-
чае применяют аналитические и логические методы.
ТЕОРИЯ СИНТЕЗА БЕЗОПАСНЫХ СИСТЕМ
2.1- Постановка задачи синтеза безопасных автоматов
Центральная проблема построения микроэлектронных СЖАТ - обес-
печение безопасности. Определение опасного отказа, данное в п. 1.3, не ука
эывает способа синтеза безопасных систем. Что такое опасное искаженна
алгоритма функплоккроваяня? Как задавать искажения алгоритмов?
Как перечислять эти искажения? Как определять, является лн опасным
данное искажение? Как синтезировать систему без опасных искажений
алгоритма? Необходимость решения этих вопросов возникла в 60-х
годах в слязи с использованием бесконтактных элементов в устройствах
СЖАТ. Впервые математическое определение понятия "опасный отказ"
я общее решение задачи синтеза безопасной схемы были даны в рабо-
тах [14,15] в рамках теории формальных языков.
Математической моденью дискретных устройств СЖАТ является
абстрактный конечный автомат М, который определяется шестью мно-
жествами [16]:
И = [Л, S, V. S (4 1), х(ч. Й1. <211
гае А — .....аД - множество входных состояний (букв) .соответст-
вующих векторам значений входных переменных х , *2, • • *л: 5 ~
<2.... sm3 ~ множество состояний автомата, соответствующих векторам значе-
ний внутренних переменных У^......У/,\ И = р в г........р } - множест-
во выходных состояний, соотиетствуюшкх векторам значений выходных перемен-
Рис. 2.1. Структурная схемаабстрактаото конечного автомата
24
них гр г2..... *1 ~ нащльиоесостояние (»^S); 8 - функция пере-
ходов, отображающая множество А х S в множество 5Г; X ~ Функция выхо-
дов, отображающая множество А х S в множество V.
Множества A, S и У называют соответственно входным, внутрен-
ним и выходным авфавнтами. Конечный автомат (КА) (рис. 2.1) со-
стоит из логического преобразовагеня ЛП, блока памяти БП и выход-
ного преобразователя ВП. Логический и выходной преобразователи осу-
ществляют соответственно вычисление функций включения элементов
памятв (ЭП) у у2, , Ук и выходных функддй я,, zjr . . z .
Элемент памяти задерживает внутренние сигнавы у на один такт работы
автомата. Под тактом понимается отрезок времени, в течение которого
не изменяются значения ниешиих и внутренних сигналов. Таким обра-
зом, данная модель предполагает синхронизацию работы автомата и по-
этому его называют синхронным. Временные зависимости между сит-
налами автомата Мили [16] определяются уравнениями:
s(T)= 6[д(г), s(r-l)]; v(r)= х[«(0> ^(r-1)]- t2'2^
Частным случаем автомата Мили является автомат Мура, у которого
состояние выходов определяется только внутренним состоянием в дан-
ный момент времени:
Если автомат Мура имеет один выход z, принимающий два значения О
и 1, то состояния s, которым соответствуют значения z = 1, называ.
ются отмеченными. Такие автоматы определяются следующими мно-
жества мн:
МИ.З, Sj. 8(Л, «),/],
(2.4)
Где F - множество отмеченных состояний (FCS)
Если автомат Мура имеет несколько выходов zp ?2, . . ., z?, то
задаются q множеств отмеченных состояний F v F2,..., F .
В качестве примера автомата
Мура рассмотрим реверсивный счет-
чик осей для контроля свободное™
блок-участка женезной дороги
(рис. 2.2), который ограничен спе-
циальными датчиками Д1 я Д2,
формирующими сигналы х e 1
при прохождении одной оси вагон»
железнодорожного состава. По
д1 Блок-участок д%
| Счетчан |
входу х в счетчик поступает и
записывается информация о
Рис. 2.2. Схема реверсивного счетчика
2S
Таблица 2.1 числе осей поезда, вступающего на блок-учас-
------------------- ток, а на входе х2 осуществляется считыва-
.Xj *2 а ине числа осей.
----------------------- В табл. 2.1 приведены обозначения букв
О 0 в входного авфавкта А. Счетчик имеет один
-------------------выход г, причем z = 1, если блок-участок
1 о i свободен, и z = 0 в противном случае.
-------------------Предположим, что на блок-участок мо-
О 1 с ГУТ вступить только три колесные нары. Тог-
—-—-----------—-— да счетчик должен ’’сосчитать” до трех. На
графе переходов автомата (рис. 2.3) состоя-
ние 1 - начальное состояние счетчика. Оно соответствует свободному
состоянию блок-участка и является отмеченным (z = 1). Состояние 2
соответствует наличию на блок-участке одной оси, состояние 3 - двух
осей и состояние 4 — трех осей.
Если счетчик находится в состоянии I, то на его входне поступает
входной набор, обозначенный буквой с, а если он находится в состоя-
нии 4, то на его вкод не поступает входной набор, обозначенный бук-
вой Ь. Поэтому работа счетчика в состояниях 1 н 4 под воздействием
входных наборов, обозначенных буквами с и Ь, может быть определе-
на произвольно (в данном случае счетчик не изменяет своего состоя-
ния) .
Таким образом, для данного автомата согласно выражению (2.4)
имеем:
A — {a,b,c}; S = {1,2, 3,4]; V = J; s, =1; 8(0, 1) = 1;
8(b,l)»2;8(c,l)~l; 8 (о, 2) =2; 8(Ь,2)=3;
8(с,2)~1; 8(а,3)=3; 8(Ь,3) = 4; 8(с,3)=2;
8(а,4)~4; 8(8.4) =4; 8(с,4) = 3; F = р/.
Для записи алгоритма работы абстрактного КА исиользуют не-
сколько формальных языков - языки регулярных выражений, граф-
схем алгоритмов, логических схем авгоритмов и др.
В постановке задачи синтеза безопасного КА воспользуемся язы-
ком регулярных выражений, разработанным С. К. Клини [17] И
В. М. Глушковым [18]. Автомат рассмотрим как преобразователь
входных слов (последовательностей букв) в выходные. Например,
счетчик осей преобразует входное слово ababacac (на &ток-участок
вступили и вышли две оси) в выходное слово 10000001. Время при
этом считается дмскратвым и делится на такты г; смена букв происхо-
дит со сменой тактов.
Считается, что входное слово представлено в КА, если после его по-
ступления на выходе появляется сигнал логической Г. Такие слова назы-
26
вают разрешенными [16]. Навример, слово ababacac является разре-
шенным, а слово abab (на блок-участок вступили две оси) - запре-
щенным. Событием Е называется любое множество входных снов. Со-
бытие Е представлено в автомате, если все его слова являются разре-
шенными. Например, событие Е = (abca, ababacac} представлено
в КА, а событие Ег = (ab, abca) нет, поскольку содержит заврещен-
ное сново ab. ,
Для того чтобы записать авгорнтм работы КА, надо навтн событие,
содержащее все разрешенные слова. Для этого используют три операции
над событиями. Дизъюнкция двух событий Et V Е. образуется объеди-
нением множеств их слов: Е^ V Е2 = (abca, ababacacab). Произведе-
ние двух со бытий образуется приписыванием справа к каждому
слову из события Ег каждого слова из со&ггил Е, : Е{ Ег = (abcaab.
abcaabca, ababacacab, ababacacabca). Итерация (E) события E вычис-
ляется по формуле (е} = eV EV EEV EEEV ..., где e- ’’пустая"
буква, соответствующая случаю, когда на вход автомата не подается
ни одно входное слово.
Например, {ЕЛ — {ab V abca}= е V ab V abca v (ab V abca)x
x(ab v abca) v (ab V abca) (ab V abca) (ab V abca) у .. .-Итера-
ция служит Для записи бесконечных событий. Это необходимо, по-
скольку работа КА во времени не ограничена.
Событие Е называется регулярным, если его можно записать, ис-
пользуя операции дизъюнкции, произведения и итерации. Доказано,
что любой КА представляет собой регулярное событие и,наоборот,любое
регулярное событие может быть представлено в КА [17,18].
Реверсивный счетчик осей реализует событие ’’блок-участок сво-
боден”. Оно представлено в автомате (см. рис. 2.3) состоянием 1 иоии-
сывается следующим выражением:
Е = la V с V b [а V b fa V b (а V ь\с$с]сУ
(25)
Выражение (2.S) содержит все разрешенные слова, у которых
одна, две или три буквы b всегда предшествуют анавогичному числу
букв с. Выражение (2.5) - запись алгоритма работы счетчика. В чем же
состоит опасное искажение этого алгоритма? Конечный автомат факти-
чески осуществляет отображение множества всех входных слов в мно-
жество {0, 1} , т. е. классифицирует входные снова как разрешенные
или запрещенные. Искажение авгоритма заключается в нарушении этой
классификации. В результате отказа в работе автомата некоторые разре-
шенные слова будут классифицированы как запрещенные (что неопасно),
Рис. 2.3. Граф переходов счетчика
осей
27
а некоторые запрещенные слова — как разрешенные (что может оказаться
опасным). Будем считать запрещенное слово опасным, если классифика-
ция его в качестве разрешенного может привести к опасному (аварий-
ному) воздействию на управляемый объект. Так, в результате отказа
в работе реверсивного счетчика может произойти занись или считывание
лишних осей (пересчет или недосчет). С точки зрения безопасности дви-
жения поездов недопустимым является недосчет осей, так как это приво-
дит к ложной свободности блок-участка. Поэтому опасное искажение
ангоритма работы счетчика состоит в реализация опасного со бытия-"лож-
ная свободное™ блок-участка*’, рагуляриое выражение которого име-
ет вид
£,оп= Eb (aVb(a V b [a Vb}(eVc)J (eVc)}. (2-6>
В выражение (2.6) входит все слова, в которых после буквы Ь не
встречается ни одной буквы с; все слова, заканчивающиеся последова-
тельностью с одной буквой с, если ей предшествует последователь-
ность с двумя или более буквами Ь\ все слова, заканчивающиеся после-
довательностью с двумя буквами с, если ей предшествует последова-
тельность с тремя или болае буквами Ь.
Имея занись событии £’оп, к безопасному автомату раверсивлого
счетчика необходимо предъявить требование отсутствии реализации
слов из этого события (опасных слов).
Сформулируем в общем виде проблему синтеза безопасных автома-
тов [14]. Конечный автомат М задается с помощью двух систем ре-
гулярных событий: £., Ег, . . ., Еп, которые должны быть представ-
лены автоматом, и.£^я1, Е v . . ., Еоп п • (опасные события), кото-
рые не должны быть представлены автоматом с требуемой степенмо
вероятности. Событиями £'оп к 2, . . ., nJ) описываются все
опасные искажения в алгоритме реботы автомата М. Надежность авто-
мата рассматривается в некотором ’’событийном” смысле на уровле
абстрактного синтеза. В этом случае будем считать, что автомат М на-
дежен относительно системы событий Е„ ,, Е ..........Е _ нназы-
ОП1 опт опл
вать его безопасным.
Определение 2.1. Безопасным автоматом называется автомат,
у которого исключается реализации опасных событий при всех отказах
его логической сети, вероятность которых надо учитывать.
Определение 2.2. Отказ логической сети конечного автомата назы-
вается опасным, если при его возникновения хотя бы для одного
к (ке (1,2.......»J) выполняется условие
Ei * О, <2'7)
где Ек — регулярное событие, предсмвлавное в иавспраияом автомате.
28
Условие (2.7) указывает на то, что множество разрешенных слов
неисправного автомата и множество опасных слов перасекаютсл, т. е.
имеют хотя бы одно общее слово.
Для неопасных отказов выполняется условие
Е1^Еопк = 'Э.
(2.8)
2.2. Анализ безопасности конечного автомата
Задача анализа безопасности конкретной логической схемы состо-
ит в том, чтобы решить вопрос: есть ли в ней опасные отказы? Рас-
смотрим общее решение этой задачи для некоторого отказа. При этом
используем условие (2.7).
Алгоритм 2.1 (анализ безопасности). Алгоритм решении задачи
следующий.
1. Для данного отказа строят греф переходов неисправного авто-
мата М', который реализует событие Е'.
2. Строят автомат прямого произведения C = 3f’3foo [2,6]. Усло-
вие (2.7) выполняется, и даннмй отказ является опасным, если хо-
тя бы одно из состояний автомата С представляет одновременно собы-
тия Е' и Еоп.
Схема реверсивного счетчика (рис. 2.4), построенного в соответ-
ствии с грефом переходов счетчика осей (см. рис. 2.3) и кодированной
таблицей переходов (табл. 2.2), описывается уравнениями:
Y, =?1(r2 Vx2) V х,у,-, r2^xt(y,VT2)V
Vxtxiy,Vx2yty-2-x=ytyr
Применим алгоритм 2.1 для того, чтобы определить,является ли
опасным отказ элемента А. Рассмотрим его отказы типа ложной фик-
29
Рис. 2.4. Схема реверсивного счетчика
сации на выходе сигналов ’’консгалта 0” к ’’константа 1 ”. Метод реали-
зации п. 1 алгоритма описан в работе [16] •
Данные отказы искажают функцию соответственно:
г; = *,у2 и у; = yt v х, у2.
В результате получаем графы переходов неисправных схем
(рис- 2.5). На рис. 2.6 приведен граф переходов автомата Afon, по-
строенного по регулярному выражению (2.6) Е методом разметки
мест [16, 18] .
Рис. 2.5. Графы переходов неисправных автоматов
Рис. 2.6. Граф переходов автомата,
реализующего опасное событие
30
, a
Рас. 2.7. Графы автоматов прямого произведения
Проанализируем автоматы прямого произведения, полученные по
п. 2 алгоритма. Отказ типа ’’константа 0” (см. рис. 2.5, в) является
опасным, так как автомат С (рис. 2.7, а) имеет состояния (7, 2) и
(2, 3), представляющие одновременно события Е1 и fon. Например,
это означает, что опасные слова bababac и bababacac в неисправном
автомате становятся разрешенными. Отказ типа ’’константа 1” (см.
рис. 25, б) является неопасным, так как автомат С (рис. 2.7, б)
не имеет состояний, представляющих одновременно события Е' и
Е Это означает, что ни одно из опасных слов не превращается в раз-
решенное слово в неисправном автомате.
Таким образом, используя алгоритм 2.1, можно форьельно опре-
делить, является ли данный автомат безопасным.
31
Л
2.3. Моделирование отказов в безоивсных
автоматах
Решение задачи синтеза безопасного автомата начинается уже на
этале абстрактного синтеза. Но на этом этапе схема автомата еще не син-
тезирована, поэтому не существует и реавьных неисправностей. В связи
с этим при анализе работы ненспразного абстрактного автомата мы рас-
смотрим вместо неисяразностей искажения функции переходов 3,
которые ими порождаются. Удобной моделью для этого является лож-
ный пераход з{ -» з, •
Ложный переход з( sf возникает тогда, когда в каком-то такте
работы автомат должен пераити в состояние но в результате возник-
шей в этом такте совокупности неисправностей его элементов (сбои и
катастрофические отказы) автомат Переходят в состояние з~
Напрямер, пусть на вход счетчика осей поступило входное слово
babab и в этот момент произошел отказ типа ’’константа 0” элемен-
та Л (см. рис. 2.4). Исправный автомат долженшерейти в состояние 4
(см. рис. 2.3), а неисправный автомат переходит в состояние 2 (см.
рис. 2.5, а). В результате возникает ложный переход 4-* 2.
Очевидно, что любая совокупность неисправностей (исключая не-
исправности элементов выходного преобраэоватеня) в любом такте ра-
боты автомата всегда приводят к возникновению какого-либо ложного
Перехода, за исключением того случая, когда она никак не влияет на ра-
боту автомата в данном такте. Можно считать, что и в этом случае про-
исходят ложный переход s{ * Jp
На этапе абстрактного синтеза не учитывается возможность расшире-
ния в результате отказов множества внутренних состояний автомата,
что следует учитывать на этапе структурного синтеза. Защита от влияний
Неисправностей выходных цепей, которые не приводят к искажению
функции переходов, должна осуществляться на этане структурного
синтеза.
Будем считать, что из всех видов отказов существуют только сбои.
При этом катастрофический отказ интерпретируется как последователь-
ность сбоев во всех тактах работы автомата подряд.
Если автомат М имеет т состояний, то существует т1 ложных
Переходов (с учетом Переходов типа з( * ^). Ложный переход з{ -* з?
можно рассматривать как тип отказа, под действием которого авто-
Рве-2.8. Граф перекалов абстрактного
автомата
32
Таблица 2.3
Ложный переход Е1
1 -* 2 =Е1Вга> = ЫМ V
1 -* 3
2 * 1 < "£1г1<1> ’И ‘ ЮМ ‘ М ь <•v
2 -* 3 £1'=£2г3(1> =М • I" v
3 * I =[b) a {«J b(a V {a j b f aV
3 * 2 4' взEid> =W«(«}‘ l-v 4М v ‘f
мат М превращается в а ан справный автомат м\ представляющий не-
которые события £,'........ Е£. Если происходит переход s; -* з},
то м = М‘.
Событие Е^ (к ^11, 2.... и}) определяется по формуле (для
ктиоатиога автомата. Мур*)
Е'к - Efijw ,
(2.9)
События Ef и Ef... мйдп быт» выражены, используя алгоритм
расширения комплексов*[16, 18]. Событие Е{ можно выразить, рас-
ширяя начальный комплекс, если ц множество отмеченных состояний
включить только состояние зг Множество £у можно выразить, рас-
ширяя начальный комплекс, если ЛтМч4льное/состояние автомата при-
мять состояние у.' > •’Л
В табл. 23 приведены выражения события Е (к = 1) для лож-
ных переходов автомата (рис. 2,8). Автомат представляет собы-
тие Et = (И) a(a}b(evb).
2 Зе«. М3
33
Множество автоматов Л?, соответствующих всем ложным перехо-
дам sf -* Sp задает возможные искажения алгоритма работы автома-
та М при сбоях, возникающих в его работе только в одном такте.
Мощность этого множества т(т~ J).
Обобщением понятия ложного перехода является понятие ряда
ложных переходов r-го порядка, которые служит моделью дяя описа-
ния искажения в работе КА В г тактах. Рядом ложных переходов
r-го порядка будем называть любые г ложных переходов:
si \ * Vi” ’’ % * 7/
которые произошли в данной последовательности (г = 1,2,.. .).
Между двумя соседними ложными переходами может быть любое число
тактов пренильной (без сбоев) работы автомата. Ложный переход рас-
сматривается как ряд первого порядка. Возможны [m(m-l)]r ря-
дов ложных переходов r-го порядка, которым соответствуют ошибоч-
ные автоматы т . События Е^, реализуемые этими автоматами, опре-
деляются по формуле
Ч = Е1, Ег, -<2 <»> v \ Ef, - <, Е/г - <‘>
(2,!°)
Выражение множества £у __ { находят в результате4 расшире-
ны начвльного комплекса, сс$н заТга^даное состояние автомата при-
н»тв состояние Sy и в множество отмеченных состояний включить толь-
ко состоя»» s{ ° . Выражение множества £у _ * ^у находит-
ся в результате р^ш^рения начального комплекс^, еа& з4 начальное со-
стояние принять состоявив »у , А в множество отмеченных состояний
включить только те отмеченньй состояния автомата, которые достижи-
мы из состояния «у и из которых Можно перейти в состояние з{
Найдем выраЖ&ие события дня ряда ложных переходо%+в\оро-
34
Го норядаа (2 -* Д возникающего в работе автомата (см.
рис. 2.8). Согласно формуле (2.10) получим
v *2 «3->*!<>
Так как Е3 - fa) a fa], Е3_3 = Е3-3(ц = fa v и‘
fio) = To
E^ « (H a (ej{e V b] (e V £,). (2-И)
Множество автоматов M\ соответствующих всем рядам лажных пе-
реходов r-го порядка, задает все всеможные искажения алгоритма рабо-
ты автомата М при сбоях, возникающих в его работе только в г так-
тах. Множество же рядов ложных переходов конечнсго автомата бес-
конечно.
Для конкретного абстрактного автомата возможен не всякий ряд
ложных переходов. Невозможен такой ряд -* з^
si sf у которого хотя бы одно состояние (а€^1,2..........г})
недостижимо яв состояния tf при. безотказной работе. Тах, у авто-
мата (см. рис. 2.8) существуют 24 ряда ложных переходов второго по-
рядка из 36. Невозможными являются ряды: 1 -* 2, 2 -* 2? 2 -* Л
2 -+3\ 3 + 2, 1 + 3 и др.
Итак, любое искажение в работе конечного автомата в результате
сбоев может быть промоделировано при вомоши соответствующего
ряда ложных переходов.
ОпреЖЖеое 2.3. Ложный переход -* з? называется неопасным,
если для всех кчвывонияется условие
При возникновении неопасного ложного перехода онасяое событие
пе реализуется, :Ддя данного автомата можно построить ориентирован-
нъй граф Иррпасных ложных переходов G(S, Р), множество вер-
шин S которого совпадает с множеством состояний автомата, а ото-
бражение Р задается следующим образом е Pf ’ тогда и только
тогда, когда ложный переход -* Sf является неонадош. '
v
3$
Если для автомата (см. рис. 2.8) определить Еоа = а | ej, то на
основании табл. 2.3 можно утверждать, что условие (2.12) Не выпол-
няется для переходов 1 +. 3, 2 -* 3, и онн являются опасными. Граф
неопасных ложных переходов Представлен на рис. 2.9, а. Алгоритм
определения опасности ложного перехода совпадает с алгоритмом 2.1.
На рис. 2.9, б приведен граф неопасных ложных переходов реверсив-
ного счетчика осей (см. рис. 2.3).
Неопасный ряд ложных переходов определяется аналогично в соот-
ветствии с условием (2.12). Например, ряд 2 -* 3, 3 -* 1 у автомата
(см. рис. 2.8) является опасным (см. выражение (2.11)].
2.4. Необходимее и достато<вое условие отсутствия
онасных отказов
Из приведенных выше определений следует, что если произойдет
неопасный ряд ложных переходов, то в этом случае не будет реализации
опасных событий СледоватеЛьно, для того чтобы в работе конечного
автоывта отсутствовали оняогые отказы, необходимо и достаточно
для всех ложных переходов выполнение условия .
(v*)^ (2!3)
При структурном синтезе КА надо исключить с требуемой степенью
вероятности все опасные риды ложных переходов. Очевидно, дяя этого
необходимо исключить все опасные
b Ь A ГУ'Тх ( (Jfj Рве. 2.10. Гр^ф переходов1 36 ложные переходы. Однако этого в общем случае недостаточно, так как ряд ложных переходов, состоя- щий только из неопасных ложных переходов, может оказаться ото- ^^Рассмотрим автомат, заданный • следующими регулярными выра- -жениямн: 1;» ' Е^ = аа v {bj a fb }; = аал
£2-«(4)«; £„п! “ «««[«) V Ь la V »J.
Рассмотрим рад второго порядка 2 -* 4; 6 -* 1 (рис. 2.10), со-
стоящий из неопасных ложных переходов. По формуле (2.10) опре-
делим:
^К1>= a[^Jv а &]а v
V l»J а {Ь J )
£1(2> = a {b)a V afb'loe^tQ.a.
Поскольку слово аааа входит в события Е^, Е t и Е ,
го условие (2.13) не выполняется, и ряд 2 -* 4, 6 -*7 является
опасным. t
Поскольку множество всех возможных рядов ложных переходов,
бесконечно, го условие (2.13) не может быть проверено простым рас-
смотрением этих рядов; возникает вопросе принципиальной возмож-
ности этой проверки. 1
Чтобы решить этот вопрос, введем в рассмотрите специальную и©,
дель конечного автомата, ненадежного относительно сбоев — граф обоб;
щенных переходов (14]. При этом будем использовать снепуитар
понятия. ' •
Определение 24. Ложный переход -* sg называется f-npeeMP
ником ложного перехода st -* Sf, если под действием любого словЙ
,р € Е автомат из состояния переходит в состояние з^, а из состоя,
ния Sj ~ в состояние
Определение 2-5. Ложный переход з{
следователем ряда ложных переходов s.-*
-» Sf , s- -* Sf , есни автомат под действием любого слова рЕЕ,
перехоЛин/начал£ного состояния в состояние J. и Е С Е. Ef _ . .
? Ч' 71 Ч
. . . Ef _ { . Слово р будем называть в этом снучае образующим
слоеол[ относительно данного ридапожнив£переходов, а регулярное вы;
~ ................~ °бРазУюи*им 9Ы^Л'
Определение 2.6. Ложный переход -* sg называется К-проем*
ником ряда ложных переходов s{ sf > s, "* sf • • > st "* sf>
если под действием любого слова 1р4ШЕ ^вгоьтг из начального состоя-
ния переходит в состояние sA,a нод действием снова рЕ Е^ из состоя-
ния Sf в состояние sg и если Е = ЕрЕ^к Е^С Ef Ef _ ( • . •
называется £-по- '
37
Преемники и последователи ряда ложных переходов могут быть
найдены с помощью последовательностей:
(2.14)
з0. 3/ .,Р2. "*7/
(2.15)
Запись (2.14) последовательности означает, что после поступления
на вход автомата слова ррКотороепереводитего из начального состоя-
нпл s0 в состояние з^ ; происходит сбои, вызывающий ложный пере-
ход з(- -* Зу . Затем *На вход поступает слово которое переводит
автома^г нз состояния Зу в состояние , после чего происходит вто-
рой сбой, вызывающий второй ложный переход з; —♦ Зу , и т. д.
Последовательность (2.15) соответствует Зеэошйоочной работе
автомата при поступлении на вход тех же слов Ру Ру -”>РГ момен-
та прихода автомата в состояние з*, когда, происходит ложный пере-
ход s* -* зу , который и является последователем ряда ложных пере-
ходов/ влодятЬих в последовательность (2.14).
Ориентированный граф обобщенных переходов строится по сле-
дующим правилам:
1) граф содержит 8-вершины и овершины. Число веривн каждо-
го типа не более т2, т. е. не более максимального числа лояяых пере-
лодов. Каждая вершина соответствует одному из ложных переходов:
н
2) вершины разных типов соединяются между собой;
3) вершина б, _*у соединяется дугой с вершиной еспи
ложный переход зА —* sg является f-преемником ложного перехода
st -* Sy. Дугу типа б -♦ о обозначают буквой е, соответствующей ре-
гулярному выражению Е;
4) вершина о(- _>у соединяется со всеми вершинами ? (? =
•1,2,.,., т), исключая вершину б, ^.у. Дугу типа ₽ "* S между
вершинами_>у и 8^^ обозначают буквой соответствующей
ложному перехода- jy -+ з^;
5) если возникновение ложного перехода з, -» >у в работе автомата
невозможно, то соответствующие ему дуги типа о 6 в Грефе обоб-
щенных переходов отсутствуют;
за
Рис. 2.11. Граф обобщенных переходов
б) если ложный переход -* s не является ^преемником нн од-
ного ложного перехода s, -* зу, то верфииа ah в графе обобщенных
переходов отсутствует.
Граф обобщенных перелодов (рис. 2.11) моделирует ошибочную
реботу автомата (см. рис. 2.8> для всех возможных рядов ложных пере-
ходов.
ЗЯ
ШИ
Например, рассмотрим ряд ложных переходов третьего порядка
2 -* 1, 1 3, 3 -* 2 с образующим словом babbaba-, он моделирует-
ся грифом (см. рис. 2.11). Составим последовательности:.
1, Ьа, 2-* 1, bb, 1 •+ 3, aba, 3 2-, (2.16)
1, ba, 2, bb, 3+ 3, aba, 3 2; (2.17)
1, ba, 2, bb, 3, aba,- 3 -* 2. (2.18)
Последовательность (2.16) соответствует данному ряду. Последова-
тельности (2.16) и (2.17) составлены в предположении, что отсутство-
вали соответственно первый переход 2 -* 1 и первые два перехода
2 1, 1 3. Вершина 52 _ t (сы. рис. 2.Ц) соответствует перхому
переходу ряда 2 -* 1. Из этой вершины начинается путь в графе, кото-
рый моделирует последоватавьиосгб
$2-»/’ b °з -» /• 1 з' v b}(av Ь),
Oj_Jf 3-> 2,S^2.
Из сравнения ее с последовательностями (2.16) - (2.18) следует,
что его вершины о в 5 соответственно определяют преемников и по-
следователей всех начальных отрезков рассматриваемого ряда. Верши-
на определяет toto-преемник 3-+1 ряда первого порядка 2-» 1,
а вершина а, 3 авдеяяиих babbaba - преемник 3 ~>3 ряда второго
порядка 2-*i, 3-*1. Аналогично вершина 5 j определяет babb -
последователь 33 ряда второго порядка 2-* 1, 3-*1, а верши-
на Ь3„2 ояредеяяет АоШп&йгоследователъ 3 -*2 ряда третьего по-
рядка 2 -* I, 1 -♦ 3, 3 -*2. Начальная вершина пути &2-*1 сопутству-
ет одновременно и первому переходу 2 -* 7 и to-последователю ряда
первого порядка 2 -* 1, поскольку последователем ложного перехода
всегда является еам этот переход по определению.
Введем втвоапелыю графа обобшешвос переходов понятия, анало-
гичные понятиям, известным из работы [18] относительно графа пере-
ходов конечного автомата. Путями I рода типов 6р -* 5ч и ор -*
т-плгипа-н-я всякие конечные последовательности чередующихся букв
40
v -j. JhhSMiki
соединяется дугой с вершиной су ,
ршнной Бг дугой, которая обозначена
при условии, что вершина 5Г
а вершина О/ соединяется с ве]
ejraoa ....л)
Аналогично определяют простые, замкнутые пути, нуги типа Б [?/]
и az [Л], комплексы К(Бр -*’«), К(ар -* <т ), К(БГ [Л]),
K(ef ГМ) и операцию расширения комплексов,
Назовем системой рядов ложных переходов R автомата М лю-
бое множество рядов лояяых переходов. Если рассматривать ложные
переходы s, -* sf как буквы некоторого алфавита, мощность которо-
го для автомата с'т состояниями равна пг, то ряд ложных перехо-
дов можно интерпретировать как слово в этом алфавите, а систему R—
как событие. Поэтому по отношению к системам рядов ложных перехо-
дов применимы понятия елгебры событий [16, 18] и, в частности, по-
нятие регулярной системы,
Депи автомат М имеет т состояний, то граф обобщенных перехо-
дов содержит не более 2 т1 вершин. Тогда (2/?Л + 1)-кратное примене-
ние операции расширения к любому регулярному выражению над алфа-
витом, содержащим буквы и к символы всех возможных комплексов,
приводит к получению регулярного выражения, не содержащего симво-
лы комплексов. Заменив буквы v соответствующими им ложными
переходами 3t -* з? получим регулярную систему рядов ложных пере-
ходов.
Обозначим символом Rh _ . _ систему, а также выражение,
описывающее згу систему всех рядов ложных переходов конечного авто-
мата М, которые начинаются с ложйого перехода 3h~* зн для кото-
рых ложный переход т -♦ з является последователем, а символом
R* - систему^и соответствующее выражение рядов ложных
переходов, полученную в результате (2я? + 1) -кратного расширения
комплекса К(Б^ ~*^р- ч)-
Теорама 2.1. Система регулприа, а выражение
_ g ,р _ ч быть получено из выражения R*_* ,/р _ ? в резуль-
тате принисывания к нему слева ложного перехода з. * j -Доказатель-
ство этой теоремы приведено в работе [20]. я
Например, Для автомата (см. рис. 2.8) по графу обобщенных перехо-
дов (см. рис. 2.11) получим
X J-*3.
Как следствие из теоремы , вытекает регулярность. множест-
ва 'Rp _ 4 системы всех рядов ложных переходов КА, для которых
4 ....
снсте-
переход зр-* sq является последователем, я множества Rt
мы всех возможных рядов ложных переходов КА, поскольку
Rp-4/ ~ v Л*-</₽-»’ Rf v
повеем повеем
h И g Р " Я
Теорема 2.1 и ее следствия позволяют сформулировать следующее
утверждение.
Теорема ,2.2. Любое искажение в алгоритме функционирования ко*
нечного автомата, которое может возникнуть в результате сбоев пни
катастрофических отказов элементов его логической сети, описывается
регуляркой системой рядов ложных переходов.
Иэ тепремы 2.2 вытекает важный для теории построения безопасных
автоматов вывод: несмотря на то что множество всех рядов ложных
переходов несчетно, множество всех возможных искажений алгоритма
функционирования КА счетно. Отсюда следует принципиальная возмож-
ность анализа поведения КА для любого множества сбоев относительно
любой системы опасных событий Еоа1, ЕОп2.---> ^0„л-
Введем теперь в рассмотрение пути II рода типов 5р -* 6q и °p~*°q:
\ 'а, °) 5, %. е« °, 6, V Ч
0 1 '1 Д 2 Я- 1 ; Л-1 Л —1 т» Jn rn
при условии, что вершина 5Г соединяется.с вершиной а.- дугой,
обозначенной буквой ед * а вершина о? соединяетаАфгЬй с вер-
шиной 6Г (fc G {1, 2, .*. ., и}). Понит1& о комплексах П рода
-*5?)/С(пр * Q(6r [fl]), Q(p. [N]) и об их расшире-
нии аналогичны вышепрниеденным понятиям.
Обозначим через _» q, Ерq> Ег множества соответ-
ственно образующих слов относительно рядов ложных переходов си-
стем Л/, g/p _ q, Rp_ q, Rf. Из регулярности последних следует
и регулярность этих множеств.
Теорема 23. Множество слов g/p _ q регулярно и может
быть получено приписыванием регулярного выражения £А слева
к регулярному выражению, полученному в результате (2т2 + ^-крат-
ного расширения комплекса Q(6fc _ /5р р •
Множества Ер_, q и Eg находятся по формулам:
Е — V Е Е » v Е
р^я ' * v ар^ч' (2.19)
по веем по всем '
hug Р « Я
42
Способ проверки условия (2.13) основан на следующей основной
теореме, которая слодит задачу доказательства неопасное™ всех воз-
можных рядов ложных переходов к рассмотрению только Ложных
переходов, т. е. рядов первого порядка, число которых конечно.
Теорема 24 [14]. < Опасные отказы в работе конечного автомата
отсутствуют тогда и только тогда, когда для всех ложных переходов и
для всех к выполняется условие
Е, Е.л. ПЕ t -9. С2-20)
l~* J J]K) оп»
Доказательство. Сначала рассмотрим условие достаточности. Дока-
жем, что все возможные ряды ложных переходов неопасны. У всякого
ряда ложных переходов первого порядка з. -* з- очевидно, имеется
единственный р • последователь (pG Е{) — сам переход з( -* з _ Тогда
из условия теоремы следует, что ЕЕ./к. П Еоа к= ф, т. е. все ложные
переходы являются неопасными. Проведем доказательство условия
достаточности индукцией по г. Пусть все возможные ряда ложных пе-
реходов (г + 1)-го порядка неопасны. Рассмотрим произвольный воз-
можный ряд ложных переходов (г + 1)-го порядка
з( -*jy , з* -*Jy.......з{ -* з?, з( sf (2-21)
и соотметствующую ему последовательность
з0, рр ₽j’ si2 ~^sf2...pr * p si +( i' (2’22^
Рассмотрим также последовательность
Pp «г- <2-23)
В обоих случаях [см. выражения (2.22) и (2,23)] на вход автомата по-
ступает одно И то же слово ра . . . р, * и автомат оказывается в
одном и тоь»же состоянии s? . Следовательно, пря дальнейшем
функционировании автомата о0а*сл^чая равноценны. Поскольку лож-
ный переход з* Зу, является Pj Р2 • • • +1 •- последовате-
лем ряда (2.^2)Г^о’йэ ус/о+вАя теоремы следует
Efrtlm n£..r <2-24’
Поскольку слова р. ра .. .р ± { взяты произвольно из соответст-
вующих множеств Ef , Ёу. _ у. ......Ёу. __ ( , то
43
4
Ei Ef i - I Ef (kt П Еоп*вф- C ' '
‘i Л ~ '2 4-,r+» n*
Так как ряд аго порядка 3/ -» з^ , з. -» з?.з{ -» s? неопа-
сен, то i i 1 г г т
v Vv А-.,-', V’1 ’•(2“)
Объединяя равенства (2.23) и (2.24) и учитывая, что Е? _ ; (£) С
C£^tj, получаем г г*
1Е,1 £Л - <2 »> V V Е'1 Efi-1, " E!'~ ',»,<*> V
v \ Ef.-‘, -- VrA.^1 n E"‘ °®- <2-27)
Из'выражения (2.25) следует, что ряд (2.19) является неопасным.
Теперь рассмотрим условие необходимости. Пусть для ложного пере-
хода з* -* Sj , который является последователем ряда (2.19),
не выполняется раЬ£нство (2.24), т. е. условие теоремы. Тогда не вы-
полняются равенства (2,25) и (2.26), т. е. ряд (2.21) является опасным.
Теорема доказана.
Множество слов находится по формуле (2.19). Причем
условие (2.20) выполняется для неопасных ложных переходов з{ з^>
пк как по определеплю Е{ _ С Е( и £( Ef(k) п Еопк= 0ГКУ®а
следует выражение (2.20). Поэтому условие теоремы необходимо про-
верять только для онасимх ложных переходов.
Из теоремы 2.4 следуют выводы:
1) ДЛЯ того чтобы установить факт отсутствия опасных отказов,
Не требуется рассматривать все множество слов, которое реализуется
ненадежным КА, достаточно рассмотреть некоторое его подмножество,
определяемое условием (2,20) •
2) опасные отказы исключаются запрещением с требуемой степенью
вероятности всех опасных ложных переходов и некоторого множества
неопасных ложных переходов, возникновение которых приводит к нару-
шению услопля (2.20).
Ири синтезе беэонаскых КА в общем случае сначала, исяользуя алго-
ритм 2Д, находят опасные ложные переходы. Эти переходы при струк-
турном'синтезе исключают. Затем строят граф обобщенных переходов,
44
_ 'ивЛай1|.- ££s6^i. •
в котором отсутствуют дуги тип» в -* 5, соответствующие опасным
ложным переходам, л проверяется условие (2.20). Если оно не выпол-
няется, Из графа обобщенных переходов исключают дополнительное
множество дуг типа 9-6. При структурном синтезе неопасные ложные
переходы, соответствующие этим дугам, также должны быть исклю-
чены.
Результатом абстрактного синтеза безопасного КА наляютсл гра-
фы переходов и неопасных искажений G(S, F), где S - множество вер-
шин графа, совпадающее с множеством состояний КА; F - отображе-
ние S в 5, Это отображение задается следующим образом; еслилож-
содержать возможно большее число дуг.
23. Методы абстрактного синтеза безопасных
автоматов
Рассмотрим общий метод построения графа G(S, F). Этот граф -
суграф графа неопасных ложных переходов G (5, Р), т. е. он может быть
получен из последнего в результате удаления некоторого множест-
ва U дут.
Метод нахождения минимального множества U состоит в следую-
щем [15]. Пусть автомат М- (A.S.s., 6,F) реализует событие Ек,
а автомат Моп в *(А, ' V, X, Т) - событие Eonli. Используя извест-
ный алгоритм 2.1, строят граф G(S,P). Опасные ложные переходы
включают в множество U. Затем строят спениального вида обобщенный
ошибочный автомат (ООА) М* — (4*, 5 S* ^)- Входной алфа-
вит А* Образуется расширением алфавита А в результате приплсыва-.
ния каждой входной букве аСА индексов tf (e'lfS А*), соответствую-
щих индясеам состояний, составляющих неопасные ложные перехо-
ды f* Кроме того, АСА* и бСб*. Функция переходов 6*(а^,
s.) s Sf, «ли 3(а, s.) = s,. Каждый Путь в Грефе переходов ООА со-
ответствует безотказной работе автомата М или одлому из возможных
рядов неопасных ложных переходов.
Для того ЛхобЬ! получить множество - V, построим алтомат прямого
произведенияЛ^М* х М • Каждое состояние автомата В соответ-
ствует паре состояний (s, v) автоматов М* и (предположим,
что пустое состояние Ф входите множества S и И). При осуществле-
нии операции Йрймого произведения алфавит А автомата В расширяет-
ся до алфавитов * а функция его' переходов расширяется так: если
паре состояний 1(€S, v С V (sf образует состояние
автомата S и X ц vд)~ v то X(e,p v ) * v ' если существует
состояние s/C S такое, что о* (а^, sjy = s’. В этом случав автомат В,
г
находящийся в состоянии v при поступлении на его вход вход-
ного набора a(f переходит в состояние (j^ v ).
С помощью автомата В можно найти множество слов Е £Еоп к,
которые реализуются в результате ошибочной работы автомата М при
условии исключения всех опасных ложных переходов. Для этого нахо-
дится множество слов Е* в алфавите А* которые пераводит авто-
мат В из начального состояния = ($(> у() в состояния (а, у) та-
кие, что » G F и у G Т. Если в выражении Е* не учитывать индек-
сы if у букв aifGA*, то получается множество слов Е . Так как
E^C.^El _ fEf[k/ (где Дизъюнкция берется по всем парам индек-
сов if, причем г *tf), то для того, чтобы выпоинялось условие (2.20)
.теоремы 2.4, необходимо, исключая дополнительное Множество неопас-
ных ложных переходов, обеспечить равенство Е - Ф. Множеству
слов Е соответствует регулярная система R рядов ложных перехо-
дов, возникновение которых приводит к реализации события Еопк.
Регулярное выражение Я может быть получепо в результате пре-
образования выражения Е*'- структура регулярного выражения сохра-
няется; вместо букв a-f Записывают соответствующие им ложные пе-
реходы s. Зр буквь/без индексов а£ЛС Л* исключают из выраже-
ния (заменяют''’’пустой” буквой е).
Чтобы обеспечить равенство Е = необходимо исключить все ря-
ды ложных переходов из множества R Это достигается исключением
минимального множества неопасных ложных переходов. Для определе-
ния этого множества находят простые пути из начального состояния ав-'
томата В в такие состояния (а, у), что s£F и у G Т. Каждому тако-
му пути соответствует ряд ложных переходов, который назовем про-
стым.
В любой возможный ряд ложных переходов из множества R вхо-
дит составной частью хотя бы один из простых рядов ложных перехо-
дов. Поэтому дая исключения всех рядов из R. достаточно исключить
простые ряды. По результатам вычислений составляют таблицу покры-
тия, строки которой соответствуют неопасным ложным переходам,
а столбцы — простым рядам ложных переходов. На пересечении опреде-
ленных строки и столбца ставят метку, если данный ложный переход
Рис. 2.12. Графы переходов
46
Рис. 2.13. Граф переходов автомата В
входят в ряд ложных переходов, соответствующий данному столбцу.
Обработка таблицы покрытия известными методами позволяет найти
минимальное множество ложных переходов, исключение которых при-
водит к исключению всех рядов ложных переходов из множества R и
которые должны быть включены в множество U 4
Построим граф неопасных искажений для автомата М, заданного
следующими регулярными событиями: Е = (а V Ь fa} b fa} b};
Еол ~1а V b i b ь 1а I-
Графы переходов автоматов М и Мфп и граф G(S,F) приведены
соответственно на рис. 2.12, а, б, в. Определим мвряМство А*=[а, а ,
в23' а 11’ ^11' ^23' ^113 • Граф лерехоДСЛ ООА представлен на
рис. 2,1'2, е, а граф переходов автомата В - ИЯ рис. 2.13, Последний
имеет только одно состояние (б), соответстауиЛюе каре ("/, 2) отмечен-
ных состояний автоматов М* и М .В табл. 2Д приведены девять про-
стых путей из состояния 1 в состояние б ','(fcx рассмотрение достаточ-
но для решения задачи). Каждый из этихпутеЙсоответствуетодаому из
возможных девяти рядов ложных переходов .второго порядка.
Таким образом» все ряды второго порядка, состоящие из неопасных
ложных переход», опасны. На основании данных табл. 2.4 можно сде-
лать вывод, что , Исключение всех рядов второго порядка достигается
лишь запрещением всех трех (7 -» 2,'^2-*3, 3-* 1) неопасных ложных
переходов. Следовательно, граф неопасных искажений рассматриваемо-
го автомата пуст. В данном случае для синтеза безопасного КА надо ис-
ключить все ложные переходы (ваихудший случай из возможных).
Все описанные выше общие методы реализуются с помощью дЛта-
47
/
Таблица 2-4
Простой пут» Входное слово Ряд лоащых переходов
J-2-б ‘ И 431 1-*2, 3-41
1-4-6 Ь23 в31 2^3, 3^2
1-2-5-в <и'и‘ 1^-2. 2-^3
J-3-9-S-6 »3. 3->Ч. 2-^-3
1-3-8-2-6 »Э| м31 3-*-], 3^1
1-4-8-5-6 "гз изз 4 2-^3, 2-*3
I-4-9-S-6 *23 Ь!2 ЬЬ 2-*3, 1 ->-2
1 -2~4~9-3-6 •и №,3 44 /-> 2. 1->-2
1-3-S-9-5-6 »з,'п“ • 3-1. 1-2
точно простых операций Нед графами переходов автоматов М и .
Вычислительные трудности возникают при большом числе состоянии
автоматов и носят коничественный характер. Однако во многих случа-
ях задачу построения графа неопасных искажений можно рашить более
простыми методами, .если исшзльзоватъ некоторые достаточные усло-
вия отсутствия опасных отказов.
Чарто встречаются автоматы, которые обладают следующим свой-
ством: щобой ряд ложных переходов, состоящий из неонасных ложных
переходов, является неопасным. Автомат относятся к описанному клас-
су, если ддд любых трех его ложных переходов $ -> s s. + $ и
при выполнении равенств 3 3
»Emr'E^’<,,i (228>
EtEw niU- Ч> <?»>
справедливо также равенство
(23а>
48
1 %:-.'-
Для исключения опасных отказов при структурном синтезе автома-
тов яз овисанного класса достаточно исключить опасные ложные перехо-
ды. Иначе говоря, такой автомат ’’идеален” с точки зрения синтеза без-
опасных автоматов, так как допускает максимальное число ложных пе-
реходов (все неонасные ложные переходы). При этом граф неопасных
искажений совпадает с графом неопасных ложных переходов.
Особенностью таких автоматов является транзитивность графа не-
опасных ножных переходов. Граф называется транзитивным [21],
если при наличии в нем ребер (а, Ь) я (Ь.с) всегда существует и реб-
ра (а, с). Если ложные переходы -» s, и s^. -» являются неопас-
ными, то равенство (2,28) принимает вид7
«да (231)
Из равенств (2.30) и (2.31) следует, что Е( Еь/к) П &оак = ®,те-
ложный переход з, -» также является неопасным. В сляэи с указан-
ным свойством безопасные автоматы из описанного класса будем назы-
вать транзитивными.
Транзитивные автоматы встречаются очень часто: логика работы
управляющих устройств обычно такова, что несколько происшедших
последовательно неопасных в отдельности воздействий на управляемый
объект в совокупности также являются неопасными. Если даже это и
не так, то алгоритм работы автомата, как правило, близок к въщолне-
нию условий транзитивности. Данные условия выявляет следующий ме-
тод, основанный на понятии «/-перехода [22].
Определение 2.7. Ложный переход s{ -» $. называется d-перехо-
дом, если он не опасен и все его преемники - неопасные ложные пере-
ходы.
В табл. 2.5 приведены все преемники ложного перехода 1 •* 2 для
автомата (см. рис. 23). Они неопасны (см. рис. 2.9, б)', поэтому пере-
ход 1 -> 2 является d-переходом. Такал таблица содержит конечное
число строк. Очелидно, что все преемники «/-перехода также являются
«/-переходами. В данном случае (см. табл. 2.5) это переходы 2 -* 3 и
3 * 4.
Теорема 2-5- Опасные отказы в работе конечного автомата отсут-
ствуют, если выполняются условия: граф» неопасных ложных перехо-
дов транзнтивен; все неопасные ложные переходы есть «/-переходы;
все опасные ложные переходы исключены.
Доказательство. Докажем, что все вовМожные ряды ложных пере-
ходов неопасны. Все возможные ряды ложных переходов первого по-
рядка з. -* т, 'неопасны, так как м? опасные ложные переходы исклю-
чены. При доказательстве используем метод индукции по г Пусть
все возможные ряды ложных переходов r-го порядка неопасны. Дока-
жем, что в этом случае все возможные ряды (г + 1)-го порядка также
неонаоды.
49
Таблица 2.5
Входное слово Праоммнкн перехода Входное Преемники переход»
f 2 1 2
a 1 3 ba 2 3
b 2 3 bb 3 4
c I 1 be t 2
aa 1 2 bba 3 4
ab 2 3 bbb 4 4
ac 1 1 bbc 2 3
Рассмотрим произвольный возможный» ряд ложных переходов
(г + 1)-го порядка:
(2.32)
и соответствующую ему последовательность:
V Р,-*'/,• ">• \ *%.- ч _ ," %
-» s/r, Р, »~ sfrt'(233)
в которой
efiiL- p2^Eft - P'L /
рт - 1 ’ рг +1 - i
I, 30 Г” '
l'
M.V ' N Жч
Требуется доказать, что
£1, £}1 - !г <*> V Ell Ef, - 1г ЕГ, - >, «> V ' '' V
v. \ £Л"'," £/,v
v £'1 £Л > - 'r Er,~ !.<*> v £'i £Л - '2
’ (234)
Рассмотрим последовательность
s0. pv six ** ,/1» pv sia "* sft.pr - г sir , ** sf >
pr’s!'pr ♦!’ **’/ (2>25)
и соответствующий ей ряд r-го порядка
Последовательность (235) отличается от последовательности (2.33)
тем, что в ней исключен ложнйй ререход -* «у. Из сравне-
ния последовательностей (2.33) н (2.35) следует, чтог ложный пе-
реходу* -* J, есть рг +1-преемник <#-перезгода -* Jy и по-
этому 'он является d-переходом, Поскольку ложные перехо-
ды j* -*и s, -* iy являются d-переходамц, то
ложным переходr+ s* r^*sy тйсже явадегся «/-переходом (первое
условие). СкеЙЙВательно,1 ряд ($.$6) естьвозможныйряд z-roпорядка,
состоящий ю^яеопасных ложных переходов, и по условию он не опасен.
Поэтому
Е/1 v E‘i £/2~/э<*> v v
51
г
v E'i Eh - ‘1 " £/,-_ » - 1 ^-1 - <„,(*> V
VE.,E/,--2•А-2--,.Л-1-<„Л,.1<*>п
n£ a.
on* *•
Поскольку ряд ложных переходов
‘‘V” V1 - sfr~t’' Sir"sfr
CTBO
(2.37)
r-го порядка s. —sf , s, -*
*1 Л *2
неопасен, то справедливо равен-
\ Ef> - >2<*) V \ Eft - ‘2 Ef2 - (3(*> v v
E,1 - >2 Ef2 - '3 ' E4 - 2 - f,_ , E/,_ , - ',<*> V
V \ Eri-',- Ef,-, ' ПЕ--‘ ~4‘- <238)
Учитывав, «по £y _ ( (fc) c Ef (*) H Ef ( - ir E? C
С Д’ _ { , из равенств (2.37) и (2.38) следует равенство r(l J3).
Теорема доказала.
Автомат реверсивного счетчика осей (см. рис. 2.3) удовлетворяет
условиям рассмотренной теоремы 2.5. Это нетрудно проверить с по-
мотав» простых вычислений. Большинство безопасных устройств желез-
нодорожной автоматики относится к описанному классу транзитивных
автоматов и поэтому при их структурном синтазе возникает проблеме
исключения с требуемой степенью вероятности опасных ложных пере-
ходов.
.2.6. Синтез безопасных комбинационных схем
Опасные отказы в работе структурного конечного автомата исклю-
чаются иснользованием специального (безопасного) кодирования его
состояний и специального построения логического и выхо’Дного преоб-
разователей. При этом удобно внести определение онасйвго отказа для
комбинационных автоматов, которое является частным случаем опреде-
ления опасного отказа для автоматов с намятые.
Пустъавтомат М, реализующий некоторую функцию алгебры логи-
хи (ФАЛ) /(Х|. хг, . . -,xj, включает (рис. 2.14) управляемый объ-
52
ЙИ»»/. Ум
1
Рис. 2.14. Комбинационная схема
Рис. 2.15. Схема включении лампы
ект (УО). Появление на выходе автомата М сигнала логической 1 па
разрешенных наборах (16) функции приводит к включению УО, а по-
явление на выходе сигнала 0 на запрещенных наборах - к его выклю-
чению. Если ОУ выполняет ответственную функцию, то неслоевремен-
ное включение или отключение его, возникающее в результате отказа в
работе схемы автомата М, может оказаться опасным. Будем считать,
что опасным является ложное включение объекта. Условия возникнове-
ния опасных ситуации задаются формально с иснользованием функции
опасного отказа.
Определение 24. Функцией опасного отказа f называется
функция, равная 1 па тех запрещенных наборах, на которых ложное
включение объекта управления является опасным.
Рассмотрим, например, схему включения лампы f (рис. 2.1S),
реализующей функцию f = (xj v х2 v х9) Xj х.. Пусть опасным
является ложное включение ла^<пы при условии *( а 1 и х2 “ 1. Тог-
да f а — Xj х2. При возникновении отказа какого-либо элемента
(2-5) веиспревная схема реализует вместо функции f ошибочную
функцию /.
Определение 2.9. Отказ в комбинационной схеме называется онас-
ным, если
* о. <239;
Условие1 (2.39) является аналогом условия (2.7) и позволяет фор-
мально анализировать безопасность комбинационной схемы. Пусть, на-
примеров схем» (см. рис. 2.15) произошел отказ на выходе элемента 2
типа ’’констан!» 1". Тогда, f' = (xt v.xa v »a) и //on =
= (x. V х2 Ул*&)*^*1*2 =x1x*x3x. *О.Следрвательно,лампа/
ложно включается па входном наборе 1110, и данный отказ является
опасным.
Методы синтез* комбинационных схем с исключением опасных
отказов определяются прежде всего надежностью логических элемен-
та
SA ..Jlf .£
то в (ЛЭ), из которых они состоят. С этой точки зрения элементы де- j
лятся на следующие типы: элементы с несимметричными и симметрии 1
ними отказами. У ЛЭ с несимметричными отказами невозможны (име-
ют малую вероятность возникновения, которой можно пренебречь) j
отказы одного из двух противоположных видов 0 -* 1 или 1 -* 0. |
У ЛЭ с симметричными отказами оба вида отказов имеют сравнимую '
друг с другом вероятность возникновения, которой нельзя пренебречь. I
Наиболее экономично можно выполнить безопасные схемы па эле-
ментах с несимметричными отказами, которые созданы специально для >
этого. Несимметричность отказов достигается сиециаиьными мерами.
Предположим, имеется система А логических элементов, вполне I
надежных относительно отказов типа 0 •* 1. Такие элементы будем на-
зывать h -надежными. Рассмотрим возможность выполнения из Л ^на-
дежных элементов h .-надежной схемы, т. е. схемы, не допускающей
на выходе отказов типа 0 -* 1. Входы схемы считаются вполне надеж-
ными. Приведенные далее результаты можно обобщить в случае приме-
нения ЛЭ, вполне надежных относительно отказов типа 1 -* 0 и выпол-
нения h 0-надежных схем.
Рассмотрим произвольную схему 5 (рис. 2.16), содержащую эле-
менты 31, 32, . . 3,, каждый из которых реализует некоторую
ФАЛ f f, Прислоим каждому элемевгу определенный ранг.
Первый ранг имеют элементы, соединенные со входами схемы. Ранг г
имеют элементы, входы которых соединены с выходами элементов,
имеющих ранг не выше, чем г — 1. В схеме первый ранг имеют элемен-
ты 31 и 32, второй - 33, третий — 34, четвертый - 35 и т. д.
Теорема 2.6. Неизбыточнал логическая схема S, построенная
из h t-надежных элементов, является h .-надежной тогда и только тог-
да, когда все ее элементы ранга к > 2 реализуют монотонные
ФАЛ [24].
Доказательство- Сначала докажем условие достаточности. Предполо-
жим, что выполняются условия теоремы. Тогда на выходах элементов
54
первого ранга не Может произойти*ложного перехода сигнала типах О -Н
в результате неисправности схемы, поскольку входы схемы являют-
ся h (-надежными. На выходах элементов второго ранга также не может
произойти ложного перехода сигнана типа 0 -* 1: сами элементы второго
ранга Л [-надежны, слеДовательво, на их выхода* переход вида 0-* 1
может произойти только вследствие отказов элементов первого ранга.
Пусть произошел отказ, элемента первого ранга Э , соединенного с эле-
ментом второго ранга Э . Это зпачит, что на вьл/оде элемента 3 про-
изошел ложный переход сигнала вида 1 -* 0. Предположим, что эле-
мент 3 реализует некоторую монотонную ФАЛ /(Х[..........xt...
а его вход, связанный с выходом элемента Э, соответствует перемен-
ной х. функЦйи. Тогда при отказе элемента 3 па входы элемента
3^ подается набор a = (вр а2,.. в, _ р <?, а( + ,....... aj', где
а = 0 или а = 1. • Поскольку фикция /(х,, . . х<5 . . „ хя) являет-
ся монотонной, то /(0) >/(а) [23],гдер‘= (а1, 1,а.+ ,,
. . ап). Поэтому ложный переход 0-*1 на выходе элемента 3'невоз-
можен. Рассуждая аналогично, можно доказать, что на вьрсоде элемента
рангов . 3 - г и выходного элемента схемы 3, не может произой-
ти ложно го перехода сигнана типа 0 -* 1.
Докажем теперь условие необходимости. Пусть схема *У являет-
ся h [-надежной. Докажем, что в этом случае элементы ранга к > 2
реализуют монотонные ФАЛ.
Рассмотрим выходной элемент схемы 3, и предположим, что он
реализует немонотонную ФАЛ /(х.,х2.......xf.......хп). Тогда имеет-
ся, по крайней мере, один вход t элемента 3f и, по крайней мере, два
набора а = (av аг.......af _ 0, a. t р t^) = (в,, а2......
ai~ i > i » • • •> аг) пкие’1110 f(a) “ 1 я °' Донусгам произо-
шел отказ вида 1 -* 0 элемента схемы, выход которого соединен с вхо-
дом г элемента Эх- Поскольку схема й.-надежна, то данный отказ не
может привести к ложному переходу сигнала вида 0 1 на выходе эле-
мента 3, (на выходе схемы). Это возможно в следующих случаях:
]) наше предположение наверно, я элемент реализует моно-
тонную ФАЛ;
2) поступление набора /Гна входы дИементи Э3 невозможно но ло-
гике работы <йемы- В последнем cnjgtee элемент 3f можно заменить
элементом ЭД 'реализующим функций /*(«,. х2.......х,....х^-та-
кую, что Фуикпия f* явдяется монотонной. Таким образом,
выходной элемент h -надежной схемы всегда реализует монотонную
ФАЛ (возможноire полностью определенную).
Докажем необходимость условия теоремы по индукции. Пусть все
элементы ранга г i 1 и более в h [-надежной схеме реализуют монотон-
ные ФАЛ.
59
-4.
Рассмотрим некоторый элемент 3^ ранга г, реализующий функ-
цию f(x- ,х2, . . „х,..хи). Предположим, что функция f является
немонотонной, т. е. существуют указанные выше наборы а и 0 такие,
что /(ej - 1 и f(p) =0. Донустнм, произошел .отказ вида 1-*0 эле-
мента, выход которого соединен с входом i элемента 3. Этот отказ
может привести к следующим переходам логических сигналов на выходе
схемы: 0-* 1, 1-♦ 1 н I + 0, Переход 0-И исключается,поскольку
Схема h -надежна. Рассмотрим некоторый двоичный набор 7 на вхо-
дах схемы, который обеспечивает набор (Г на входах элемента 3q.
При наличии набора 7 на входах схемы в результате указанной неис-
правности на выходе элемента 3^ возникает переход сигнала типа
0 -* 1. При этом возможны следующие результаты:
.1) На выходе схемы возникает переход 0 -* 0 или 1 *1,т. е. ре-
ботыненсправнонняспрвлпой схем на наборе Г со ина дают. Следова-
тельно, если элемент 3^ заменить элементом Э*, реализующим моно-
тонную функцию f* такую, что = 1, то работа исправной схемы
на наборе 7 не изменится;
2) на выхода схемы возникает переход I -* 0. Поскольку измене-
ние входного сигнала типа 0 -* 1 не может привести в схеме, реализую-
щей монотонную ФАЛ, к изменению выходного сигнала типа 0 -* I (вы-
ход элемента Э? является входом такойсхемы), то на выборе 7 про-
исходит комнелсация перехода сигнала 0 -* 1 на выходе 3q. Зто
возможно при наличии точки разветвления на входе i элемента 3 .
Следовательжьв схеме S существует хотя бы одни другой путь рас-
пространения нелспранности, связанный с переходом сигнала типа 0 -* 1.
Теперь рассмотрим подсхему схемы 5, образованную элементами
ранга г + ] в более. Ола реализует монотонную ФАЛ и имеет, по край-
ней мере, да а входа, на которых при наличии набора 7 на входах схе-
мы S искажаются логические сигналы. Это вход х , связанный с вы-
ходом на котором имеется искажение 0 -* ?, н хотя бы один
вход хр, связанный с выходом некоторого элемента Эр ранга г инн
мелее, на котором имеется искажение 1 -* 0. В исправной схеме на
наборе 7 xq ~ хр = Ь F = 1 (F ~ выход схемы S). Изменим
значение сигнала xq на единичное. Поскольку изменение сигнала
Q -* 1 на вход» рассматриваемой подсхемы не может привести к искаже-
нию на ее выход* типа i -*0, то и в этом случае F = 1. Следовательно,
элемент 3 может бЫ*ь тавясе заменен на элемент Э*. который реали-
зует монотонную ФАЛ. , 1
Теорема доказана. ’
Теорама 2.6 накладывает тАлЛкяЧ' ограничения на способы по-
строения h (-надежных схем. ЕдйвсЙМЙнымн формами представле-
ния ФАЛ, у которых немонотонная операция (инаерсия) применяется
только к переменным функция, являются дизъюнктивная н конъюнк-
тивная нормальные формы (ДНФ я КНФ), а также скобочные формы,
полученные из них в результате преобразований на основе сочетательно-
го, переместительного и распределительного законов алгебры логики
(такие формы обозначим СДНФ и СКНФ).
Из этого факта и теоремы 2.6 сяедует другая теорема.
Теорема 2.7. Схемная реализация ФАЛ из й «надежных элемен-
тов является й -надежной тогда и только тогда, когда она осуществле-
на по одной из четырех форм представления функции. ДНФ, КНФ,
СДНФ или СКНф.
Пусть имеется система функций'^ .= , g?......gЛ, содержащая
возможно константы 0и1. Функами реализуются элемента-
ми' й j-иадежно. Константы 0 и.1 реализуются соединением входов
элементов с полюсами источника шляния или благодаря размыканию
входов. Поэтому надежность реализации констант определяется надеж-
ностью монтажных соединений. Это же относится к надежности реализа-
ции функции х (повторения), которая осуществляется благодаря
отождествлению входов элементов в результате, Монтажного соедине-
ния их между собой.
Назовем систему А й t-полной, если, используя элементы, реали-
зующие й [-надежно функции из системы Л, можно реализовать й (-
иадсжно любую ФАЛ. Систему элементов обозначим А*.
Теорема 2.8. При наличии вполне надетых констант к надежного
отождествления входов система А является, й.-полной тогда и только
тогда, Когда выполняются следующие условия: система А содержит
хотя бы одну немонотонную функцию*, Система А содержит-, а) функ-
цию, принадлежащую Киассу М4 и не принадлежащую классам Sj и
[25], или б) функцию, принадлежащую киассу St, и функцию,
принадлежащую классу , которые веЛвшяцтя функциями одной
переменной.
Доказательство. Необходимость первого условия следует из того,
что любая функционально полная систем#содержит хотя бы одну немо-
нотонную фуйкцию [16] . ' ‘-‘р-
Докажем необходимость второго уОмвия. Иэ теоремы 2.7 следует,
что для й j -Надежной реалнзаипи люД^фАЛ ее необходимо прадсга-
вить в виде ДЙФ, КНФ, СДНФ иля ClQMb'B соответствующих им схе-
мах элементы, реализующие немонотоиЧгю функцию (инверсию), явля-
ются элементами первого ранга, а злмммты ранга г > 2 реализуют
монотонные фх&аин дизъюнкция конъюнкции. Следовательно, Для
й [-надежной рйппзппии любой ФАЛ ^истюльзовалием элементов из си-
стемы А* н^бНодлмо, чтобы функции дизъюнкции и конъюнкции
могли быть представлены суиеросЗЯЦией монотонных функций из си-
стемы А. Но если система А не содержит функций, определенных вто-
рым условием, то в соответс»ии со структурой замкнутых классов
51
Поста [25], эта система не содержит монотонных функций, кроме кон-
стант 0 н 1 и возможно функций х и х. Но суперпозиция этих четырех
функций не дает конъюнкции и дизъюнкции, что обусловливает необхо-
димость второго условия.
Для доказательства достаточности надо доказать, во-первых, что ин-
версия представляется как суперпозиция функций из системы А и, во-
вторых, что дизъюнкция и конъюнкция представляются как суперпо-
зиция монотонных функций из системы А. Первое следует т того, что
подстановкой констайт 0 и 1 и переменной х в любую немонотонную
функцию можно получить функцию х (лемма 5 и ее следствие в рабо-
те [25]).
Для доказательства второго положения допуствм, что система А
содержит функцию, принадлежащую классу М4 и ие принадлежащую
классам и Рх. Класс М4 содержит все монотонные функции,кро-
ме констант. Класс функций, определяемый условием 2а), ие содержит
функций вида Xj х2 . . .хп(п > 1), которые составляют класс ? ,и
функций вида х, V х2 V . . . V хя (л > 1), которые составляют
класс Sj. Согласно лемме 7 в работе [25] из любой монотон-
ной функции, не совпадающей с функциями видов х(х2...х н
Xj V х2 V ... v х н отличной от констант, при подстановке перемен-
ных х, у и констант 0 и 1 можно получить функции ху и х V у. Следо-
вательно, если система А содержит функцию g(g^M4.g% Sx,g$P^,
то дизъюнкция и конъюнкция могут быть представлены как суперпо-
зиции монотонных функций £ g, х, 0, 1 j . Достаточность условия 26)
очевидна. Теорема доказана. __
Пусть задана система А {0, 1, gx.g2, g3) , где gx = a, g2 = ab.
g3 ** a v be. Реализация констант 0 и 1 и операции отождествления
входов являются вполне надежными. Функции g2 и реализуются
Ь -надежно с помощью элементов, представленных на рис. 2.17, а и б
соответственно. Составим Л,-надежную схему, реализующую функ-
цию f-(xx V х2 V х3)х1х4.
Система А удовлетворяет условиям 1 и 2а) теоремы 2.8, посколь-
ку функция g. не является монотонной,, а функция g3 является мо-
нотонной (g3 С М4), но не принадлежит классам S, и Рх. Из функ-
ции g2 подстановкой д = 1 можно получить инверсию 5" (рис. 2.17,в),
а из функции g3 подстановкой с = 0 иди о = 0 можно получить соот-
ветственно функцию а V Ь (рис. 2.17, г) jum Ъс (рис. 2.17, д).
Рис. 2.11. Л j-нацежиые злемекти
58
Рис. 2.18. Реализация h ^надежной
схемы
Для реализации заданной функции &,-надежно представимее со-
гласно теореме 2.7 в виде СДНФ: / = (XjV х2 v *3) Х1 *4 =
= (Xj Г2 v x3)'xl Г4 = (x,v х3)х,х4. По этой формуле строят A,-Ha-
дежную схему (рис. 2.18).
Теорема 2.9. При отсутствии вполне надежных констант и надежно-
го отождествления вхопов система А является Л ,-полной тогда и толь-
ко тогда, когда она содержит функции х, ху и х V у.
Теорема 2.9 следует из теоремы 2.8. Из доказанных в п. 2.6 теорем
вытекает ряд важных следствий, определяющих способы построения
h -надежных схем:
1) «и один неизбыточный функционально-полный набор элементар-
ных ФАЯ не является h , -полным;
2) при наличии вполне надежных констант Л t -полной является си-
стема элементарных функций, содержащая конъюнкцию, дизъюнкцию
и любую немонотонную ФАЛ;
3) при наличии надежной константы 0 h j-полными системами
ФАЛ являются следующие системы: {дизъюнкция (V), конъюнкция
(Л), инверсии}; {V, Л, импликация}; {v,A, равпозиачностьJ;
(Л, V, функция Вебба};
4) при наличии надежной константы 1 Л , -полными системами эле-
ментарных функций являются следующие системы: |'V. Л, инвер-
сия}; {V, Л, неравнозначность}; JV, Л, эаиратJ; Vv, Л, штрих
2.7. Структурный синтез безопасных автоматов
Исходными данными для структурного синтеза безопасных автома-
тов являетсл граф переходов автомата М(Л, S. У, а,, -б, х) и граф не-
опасных искажений G(S. F). Автомат необходимо построить так,что-
бы исключить с требуемой степенью вероятности ложные переходы
st -* s? такле, что Ff.
При структурном синтезе каждое состояние автомата обозначают не-
которым кодовым вектором = (у[, )£,..), гае ~ 0 или
59
..................*>1108, m[, m- мощность множества S.1
Если 2k > m, то образуется множество SR неосновных состояний
(мощность такого множества 2* — М)> дая которых функция перехо-
дов 5(а, з) не определена н ее требуется определить при синтезе.
Обозначим »0 - кодовый вектор, все разряды которого 0; sf < sf<
если (V о) уга) Л fl »)Оо' < yf). В данном случае обозначе-
ния состояния и приписанного ему кодового вектора совпадают.
Рассмотрим процедуру синтеза безопасного синхронного КА при
использовании Л ,-надежных элементов. В качестве элементов памяти
применяют элементы без фиксации воздействия, которые также явля-
ются Л .-надежными [16]. Это означает, что любая неисправность во
внутренней структуре элемента памяти не может ложно перевести его во
включенное состояние (состояние 1).
Теорема 2-10. Опасные отказы в работе синхронного КА отсут-
ствуют, если его логическая сеть реализована на Л ^надежных элемен-
тах и выполняются следующие условия:
1) t(V,f
2) (i«)(>*«0Asess)
3) (V«)(Vs£S^)(S(a,)=,,);
4) функции включения элементов памяти и- выходные функции
построены Л j -надежно.
Доказательство. Надо доказать, что для всех возможных ложных
переходов s. * Sy выполняется включение Sf£Ft или осуществляет-
ся переход схемы в здодтчюе состояние s0. Пусть! каком-то такте ре-
боты автомата возникла неисправность некоторого числа элементов,
в результате чего произошел ложный переход з. * Jy-
Поскольку возможны отказы элементов памяти только типа 1 -* О
я все логические схемы реализованы h .-надежно (по этой причине не
может произойтв ложного включения элементов памяти), то
, Clyfa)b{<y‘). (2-40)
Ид условия 1) теоремы следует, ч1то
(V(, (2'41)
60
1
Таблица 2.7
Таблица 2.6
л в
<» b c «1 в2 tt3
11 11 I 0 I 1 2 2 3 2
1 0 1 0 0 1 1 1 2 3 3 4
01 01 00 1 0 3 4 4 1
00 00 00 01 4 1 2 1
Если s € S, то Из выражений (2.40) и (2.41) следует, что j,€ Ff .
Если з.$ £ и, следовательно, iG. SR, то происходит защитный отказ,
поскольку в следующем такте работы автомат переходит в защитное
состояние з0 (условие 3) теоремы).Автомат остается в защитном со-
стоянии, так как j0 € £R [условие 2) теоремы]. Теорема доказана.
Кодирование состояний автомата, удовлетворяющее условию 1)
теоремы 2.10, будем называть безопасным кодированием. В табл. 2.6
приведено кодирование состояний переходов реверсивного счетчика
(см. рис. 23) в соответствии с теоремой 2.10.
В данном случае SR * 9, поэтому условия 2) и 3) не имеют
применения. При безопасном кодировании граф возможных ложных
переходов (рис. 2.19), т. е. переходов,которые физически возможны
в реальной -схеме, является суграфом графа неопасных искаженно
(см.рвс.19, б)<- Согласно условию 4) теоремы 2.10 и теореме 2.7 функ-
ции yt и у8, описывающие логическую сеть счетчика осей, должны
быть реализованы по ДНФ, КНФ. Например, из табл. 2.6:
у, = ду,- vc0'i v у}у2); .
у2 = ^^_ Ьуху2 у с(у1 у уа).
Осущеслпай’ синтез безопасного Синхронного автомата КА, задан-
ного. таблицейсядаеходов (табл. 2;7) и.графом неопасных искажений
(рце. 2.20, а). 'ЬйЬица 2.8 построена с,использованиемкодирования со-
стояний в соответствии с условиями теоремы 2.10.
В данном случае для вмиопиения условия I) при кодировании со-
стояний добавиеи Дополнительный (третий) элемент памяти. Граф
возможных ложных переходов приведен,из рис. 2.20, б.
♦1
Рис. 2.19. Граф возможных ложных
переходов реверсивного счетчика
Рис. 2.20. Графы ложных переходов
синхронного автомата
В автомате возможны только два ложных перехода 2 -* 1 и 3 -* 1,
а также переход в защитное состояние, кодированное вектором ООО.
При синтезе асинхронного КА (АКА) задача исключения-опасных
отказов усложняется, поскольку, кроме отказов "внутренних элементов,
необходимо учитывать также ’’состязания” между Ними, которые не мо-
гут быть учтены при анализе КА на уровне абстрактного сивтеза.
Введем несколько понятий, связанных с таблицей переходов без-
опасного АКА [26]. Полное состояние АКА будем называть потен-
циально доступным, если оно недоступно (не может быть достигнуто
Таблица 2.8
• УЛ у2 уз в
в. а2- в3
1 1 0 0 101 по 101
2 1 1 по по 011
3 1 1 0 он 011 100
4 0 1 1 100 101 100
- 0 0 0 ООО 000 000
- 0 0 1 ООО 000 000
- 0 1 0 000 000 000
1 1 1 000 000 000
Таблица 2.9
Состояния i
ео 01 10 п
f Основ-/ ные j 000 [Mil (000) (000) [001]
001 (001) 000 [011) (001)
010 [НО] (010) 000 ЛЮ)
011 010 010 (011) 001
Неияовг/ ные 4 100 (100) 000 000 (110)
101 001 [111] 011 [111]
110 (110) 010 (ПО) (ПО)
ш 101 (111) 011 (Ш)
«2
из какого-либо основного состояния) при нормальной работе и благо-
даря ’’состязаниям” внутренних элементов, но может быть достигнуто
в результате отказов. В противном случае зто состояние абсолютно недо-
ступно.
Полное состояние будем называть потенциально устойчивым,
если оно неустойчиво при нормальной работе, ио может оказаться устой-
чивым в результате отказа. В противном случае опо абсолютно неустой-
чиво. Неустойчивое полное состояние fy, $у), которое должно перейти
по таблице переходов в состояние (ajt зс ), является потенциально
устойчивым, если возможен ложный переход зс -* з?
В табл. 2.9 обозначения устойчивых состоянии заключены в круг-
лые скобки, а обозначения потенциально устойчивых состояний - в
квадретные скобки (предполагается, что отказы типа 0 -+ 1 невоз-
можны).
Цикл в работе АКА назовем потенциально возможным, если при
нормальной работе он невозможен,, а возникает в результате отказа.
Статическим будем называть АКА, в котором: отсутствуют до-
ступные циклы; входные состояния изменяются после прихода автома-
та в устойчивое иви потенциально устойчивое полное состояиве; до-
ступным и вотенциально доступным состояниям' из одного и того же
Х-класса, образованного устойчивым состоянием й стремящимися к не-
му неустойчивыми, соответствует одно и то же выходное состояние [16] •
В статическом КА недоступное полное состояние (ait з^ является
потенциально доступным в следующих случаях:
1) если в столбце а{ ТП возможен ложный переход в данное со-
стояние хотя бы из одного доступного инн потенциально доступного
состояивя; ’
2) если в столбце д’- задан переход в данное состояние хотя бы из
одного доступного или потенциально достунного состояния;
3) если в строке $- хотя бы в одном столбце), ar (г i) располо-
жено устойчивое или потенциально устойчивое одновременно доступ-
ное состояние.
В автомате, заданном табл. 2.9, доступными являются основные
состояивя и состояния, расположенные в cTpoife llO. Потенциально до-
ступные состояния ресположены в строке а абсолютно недоступ-
ные - в строка* 101 и 111.
Признак 2) статического автомат^ требует, чтобы абсолютно не-
устойчивые состояния не входили в пб^енйиальио возможные циклы.
В противном случае не исключаются изменения входного состояния
при нахождении автомата в абсолют^Ж^устойчнвом состоянии. Чтобы
проверить зто условие, необходимо ДВ» каждого абсолютно неустойчи-
вого состояния нййш множество поЯтйи состояний, в которые можно
перейти из него в пределах значений данного столбца в результате рабо-
чих переходов, состязаний или отказов. Абсолютно неустойчивое состоя-
ние не входит ин в шин из поТентиально возможных циклов, если оно
63
недостижимо из всех состояний этого множества (оно не входит в это
множество)
Рассмотрим, например, полные состояния столбца а = 00 в
табл. 2.9 и найдем для них множества достижимых состояний:
(00,000) - 001,000; (00,100) -000,001;
(00,001)—000,001; (00,101)-000,100,001;
(00ДЮ)-000,110,001,100,010; (00,110)-000,100,010,001,110;
(00,011)-000,001,010,110,100; (00,111)-000,100,010,001,011,110,
101.
Полные состояния (00,011), (00,100), (00,101) и (00,111) не вхо-
дят в потенинаяьно возможные циклы. Среди них находятся абсолют-
ные неустойчивые состояния данного столбца.
Теорема 2.11. В статическом автомате опасные отказы отсутст-
вуют тогда и только тогда, когда выполняется следующее условие:
। если из любого доступного или потенциально доступного состояния
какого угодно класса X с устойчивым полным состоянием (<zf $с)
возможен ложный переход в результате отказа в некоторое состояние
(ef sj, то последнее принадлежит такому классу X с устойчивым
состоянием (в/, sg) и потенциально устойчивыми состояниями (a? Sj ),
(ffp Sj ), . . ., (ар 3.), достижимыми из состояния (ef что лож-
ные переходы зс -* sg, зс -* , sc + jy ..sc "* вх°®|т в грвф
неопасных искажений.
Доказательство. Пусть при изменении входного состояния на <з^КА,
который до этого работая безотказно, переходит в полное состояние,
принадлежащее классу X. с устойчивым полным состоянием (а? зс ).
Если в этот момент произойдет отказ какого-либо элемента, то автомат
может остаться в этом же классе X, в одном из потенциально устойчи-
вых состояний (ае з, ) или перейти в другой класс Х2 с устойчивым
состоянием (а? зс J.1 В последнем случае КА может йерейтн в устой-
чивое состояние (с?р зс ); в потенциально устойчивое состояние (а,,
); в абсолютно неустойчивое состояние (а{, зп ) класса Х2, из ко-
торого в результате нового отказа КА (не переходя в устойчивое или в
потенциально > устойчивое состояния класса Xj ) перейти в другой
класс Xj.
Таким обрезом* могут произойти следующие ложные переходы:
sc * s; sc * ’ sc ** %* ,с1 "* S*2 ТРИ ложных пере-
хода входят в Греф неопасных искажений на основании условия теоремы
и, следовательно, являютсд неопасными. Переход $с -* зп являет-
ся фактически переходом sc + (по выходу), так как состояние
s неустойчиво. До изменения вхоАгого состояния может произойти
п2
второй отказ. Если первый ложный переход был переходом sc sj ,
то, поскольку полным состояниям (а/г sc ) -и (ар ) соответствует
одно и то же выходное состояние' можно 'считать, что Ьервото ложного
перехода не было. В этом случае можно рассматривать аналогичные че-
тыре ложных перехода из состояния sc , которые также войдут в Греф
неопасных искажений. *
Если первый переход был переходом зс -+ $с , то надо рассматри-
вать четыре ложных перехода из состояния1 sc Если первый переход
был переходом -+ s, ‘ или s„ -* з„ , ?о можно считать, что он
1 '2 1 2
был переходом s„ -* s„ (по выходу), и рассматривать те же четыре
ci с2
ложных перехода из состояния sc . В этих случаях ложные переходы на
основании условия теоремы войдут в граф неопасных искажений.
Таким образом, любой ложный переход, который возможен в ра-
боте автомата, при выполнении условия теоремы входит в граф неопас-
ных искажений, а следовательно, не приводит к опасным искажениям в
алгоритме работы конечного автомата.
Необходимость условия теоремы очевидна, поскольку всегда может
произойти ложный переход автомата иэ устойчивого состояния некото-
рого класса X в потенциально устойчивое состояние этого же класса
или в устойчивое и потенинально устойчивое состояние другого клас-
са X. Теорема доказана.
Теорема 2.11 накладывает достаточно жесткие требовании на коди-
рование состояний АКА. Это объясняется тем, что условия исключения
критических состояний могут вступать в противоречие с условиями ис-
ключении опасных отказов. Поэтому не всякий метод, обеспечивающий
устойчивость к "состязаниям”, может быть использован для синтеза
безопасных автоматов. Используем для этого метод кодирования
состояний по столбцам таблицы переходов [16}. Он позволяет решить
задачу исключения "состязаний” без вивера вариантов и строить струк-
туру автомата, работу которого прй оо^эах элементов легко проанали-
зировать.
Этот метод не накладывает жестких ограничений на выбор кодовых
слов для каждого состояния, позвОЙЯя to изменять в некоторых преде-
лах. Такне свойства метода позволим одновременно решить задачи ис-
ключения критических состязаний ирДЦсных отказов. ,
Рассмотрим алгоритм синтеза ’ВеЭовасяого АКА на .h -надежных
элементах [27}. Автомат задан таблицей переходов и графом неопас-
ных искажений G(S, F). В качеств» элементов памяти используются
элементы без фиксации воздействия.
Алгоритм 2.2 (синтез безопасного АКА) [27}. 1) Для первого
столбпа таблицы переходов ар имеющего t устойчивых состояний
в строках з, , з. ,...,з. ,построим граф G. (Г.Р ) такой, что
12» \
’ (2.42)
2) Каждой вершине графа Gj ( , Рг) присваивается кодовый век-
тор. Причем двум любым вершинам з. s. € присваиваются век-
т°Ры7’ - " '/’</,?, •4. > V> '">]logir[)
такие, что
>Я>- <2-43)
3) Вычисления по пп. 1) и 2) выполняют для каждого столбца
таблицы переходов.
4) Каждой строке таблицы переходов присваивается составной ко-
довый вектор по методу кодирования состоянии.
5) Функции включения элементов памяти й выходные функции
реализуются Л t-надежно по формулам: '
yf = v e/(V yt У, - • • ); (2.44)
/ей *ejyi 2 p
(2-45)
Докажем, что описанный алгоритм обеспечиваетотсутствиеопасных
отказов. Обозначим полноесостояиле (а^ з^) через Wai. Формула (2.44)
и..л
66
определяет следующий способ доопределения состоянии Wa{ таких, что
s. £S’- если в коде строки st состояние системы разделяющих перемен-
ных по столбцу аа не совпадает ни с одним из состояний, использован-
ных при кодировании классов X столбца аа, то в клетке (д_, запи-
сывается код $0> состоящий из одних нулей. Под классом \ае пони-
мается множество полных состояний столбца аа, в соответствую-
щих клетках таблицы переходов которых записан код состояния зс,
причем возможно
Пусть в момент нахождения КА в некотором доступном или
потенциально доступном состоянии принадлежащем классу
Хае(И'в-€Хас), происходят отказ (вершина Она рис. 2.21), и КА оказы-
вается в состоянии И' f. При этом возможны два событии (верши-
ны 1 и 2, см. рис. 2.21): %<еХпс и В^Хд*. В соответствии с тео-
ремой 2.11 требуется доказать, что для любого ложного перехода sp ~*sq>
который может произойти в результате данного отказа, имеет место
включение € Ff . Если среди отказавших разрядов (под отказом
разряда понимается отказ элемента памяти или логического элемента
в схеме его включения) нет разрядов,' являющихся разделяющими по
столбцу аа, то И/в^еХвс. В противном случае Wap Х^.
Предположим ^ау6Хас. Состояние является устойчивым
(тогда И'д. = И^) или потенциально устойчивым. Состояниям ц
Wac соответствует одно и то же выходное состояние (условие 3) стати-
ческого КА, поэтому отказ не проявляется на выходе. Далее до измене-
нии входного состояния на а& происходят новый отказ среда неразде-
Рис. 2.21. .Схема доказательствабтсутствня опасных отказов
ляющих разрядов (вершина 3), среди разделавших разрядов (верши-
на 4) или не происходит новых отказов (вершина 5). Очевидно, что
события 3 и 4 сводятся соответственно к событиям 1 и 2.
Рассмотрим событие 5. При смене входного состояния на во в
результате безотказной работы КА должен перейти из состояния wge
в некоторое устойчивое состояние . Одиако-врезультате отказа
переход осуществляется из состоянии р wg. в некоторое состояние
В этом случае возможны два события (вернины б и 7): Wo/, е Хдg
(вершина 6) и И'-А £ X» (вершина 7). Пусть е Xgg, тоГда
состояние И'лд может быть устойчивым (вершина 8) (т. е. =
= потенциально устойчивым (вершина 9) и абсолютно неустой-
чивым (вершина Iff). Если Waj! = го отказ не повлиял на вы-
ходной сигнал КА,и,следовягедздо, процесс ’’возвращается” к первому
пункту доказательства (вершина 4). В случае события 9 отказ также
не проявляется на выходе (возврат к первому пункту доказательства).
Событие 10 возможно тогда, мила при смене входного состоянии
на аа происходит новый отказ среди разрядов, которые являются
разделяющими по столбцу а». При этом КА из состояния , не при-
ходя в устойчивое или потенциально устойчивое состояние класса Хд*,
переходит в некоторое состояние нр^адлежащее другому
классу X. Таким образом, данное событий аналогично событию 7.
Рассмотрим это событие, Пусть , что возможно, если
произошел отказ среди разделяющих разрядов по столбцу а«. В этом
случае имеют место три события, когда совюяпе Wa л может быть
устойчивым (вершина 11), потенциально усто&швым (вершина 12)
и абсолютно неустойчивым (вершина Л?). Собаке 11 соответствует
случаю, когда в работе КА происходит ложный переход sg -* Необ-
ходимо доказать, что €Ff .
Предположим:
и разряды yr yr + j . . . уг + . являЙЙя разделяющие ио столбцу в-.
Тогда (при переходе Wa -* W~ разДеЬяющие по а„ переменные не из-
меняют своего состояния):
Так как 8 КА отсутствуют многотактные переходы, то в клетках
таблицы переходов и Wac (принадлежат одному классу ХдС)
записан один и тот же код ^/Поскольку возможны отказы 1 -*0, то
(Vt) О' > у')\ (-Ц)О' > у'). (2.47)
Из выражений (2.43) и (2.44) следует
(Vt) <у‘ > у* )Л н*) (у‘ > у*). с248)
Если €5, то из выражений (2.48), (2.42) и (2.43) следует, что
sh € F . Если sfc С S (что может быть только при = s0), то проис-
ходит Финитный отказ. Если нн одна из строк заданной таблицы перехо-
дов не закодирована кодом sQ, то состояние (а# $^) устойчиво, по-
скольку при кодировании классов X по столбцу аа не использовалось
кодовое слово, состоящее из одних нулей.
Состоянию (ха, $0) в этом случае соответствует выходное состояние
защитного отказа- Таким образом, вершина 11 является конечной.
Рассмотрим событие 12. Пусть состояние является
потенциально устойчивым. При этом сначала происходит ложный пере-
ход s -+sd (по выходу КА). В данном случае, также как при собы-
тии 11, sa . Этот отказ может проявиться при повой смене входно-
го состояния иАи при новом отказе, т. е. происходит возврат к периому
пункту схемы доказательства. Событие 13 соответствует случаю, когда
сначала происходит ложный переход £ ~*"sa> а затем КА переходит из
абсолютно неустойчивого состояния в некоторое состояние другого
класса X, т. е. имеет место возврат к событлю 7.
Рассмотрим теперь событие 2. В этом случае состояние Wa^ может
быть устойчивым (вершина 74), потенциально устойчивым (верши-
на 15) и абсолютно неустойчивым (вершина /б). Если имеет место со-
бытие 14, го происходит ложный переход Из выражений (234),
(239) и (2.40) следует, что s/,€Fj.Если s0£S, то происходит
защитный отказ. События 15 и 16 сводятся к рассмотрению соответст-
венно событий 1 и 2.
Докажем, что построенный КА является статическим, т. е. абсолют-
но неустойвгаые и одновременно потенциально доступные состояния
не входит в потенциально возможные циклы. Пусть КА в данный момент
времени находился в абсолютно неустойчивом состоянии (аа, sf), при-
чем 8(^,5,) =1у и
si = < у! УгУ‘+ 1*' ‘ y^i ---ym>’
sf ~ < Уу У г •••Уг У,+1 • • • Уг +г• •' Ут
69
Табица 2.10
в в
а. а2 а3 а 1 а2 а3
*1 ор *2 *6 •б *10 S- <•«>
*2 *10 *6 (*7> *8 •9
*3 «1 <*3> *6 *8 *$ <»> *9
*4 <•„> »3 »6 S9 *4 *2 <*9>
«5> *3 г9 *10 <«10> *3 *в
Надо доказать, что возврат КА в состояние (a# s.) невозможен без из-
менения входов. Если переменные, yr, уг+1.Уг + , являются раз-
деляющими по столбцу а# то для векторов и s. имеют место соотно-
шения:
НЧО,' ....г - I, г
Через некоторое время КА переходит В состояние (a# sg). Если сре-
дн отказавших разрядов есть разделяющие, то
('.'+1.....'+']• (25О)
Из формул (2.46) и (2.47) следует
(U) (У„‘ > >11. t 6 (г. rt 1,.. .,г +»]. <2-5|>
Поскольку разделяющие .разряда», дао столбцу л не изменяются и
отказы 0-* 1 невозможны, а также на основании формулы (2.51) мож-
но утверждать, что возврат КА в состояние {aQ, невозможен. Если
среди отказавших разрядов нет разделяющих, то состояния (аа , $t) и
(аа, О принадлежат одному классу Ха у . Очевидно, что в пределах
одного класса X возврат в абсолютно неустойчивое состояние невоз-
можен, *
Применим приведенный алгоритм для синтеза КА, заданного в
табл. 2.10.
70
Рис. 2.22. Варианты кодирования состояний
Граф неопасных искажений задается с помощью следующих ото-
бражений:
Графы Qty р) для каждого из столбцов ТП и соответствующие
им варианты кодирования приведены на рис. 2.22, В табл. 2,11 приведен
полученный вариант кодирования строк, которому соответствует сле-
дующая система функций включения (ФВ) элементов памяти:
= а,У, v и2 5 v W' ?2 v V»-
Уз 'i’sv «зб'.З'з v >’4?s'>v “з-
У, “ «1 УзУ-.Уз v V> v ‘i’l;
у, - at<y2y2y3 V yj,?,) V «ays V
= v агУv e3^e’
Глава 3
БЕЗОПАСНЫЕ ЛОГИЧЕСКИЕ ЭЛЕМЕНТЫ
3.1. Концепция безопасности
Любое дискретное устройство может быть построано, если имеется
функционально полный набор' (ФПН) элементов. Необходимое и доста-
точное условие функциональной полноты - наличие ФПН логических
элементов и как минимум одного элементарного автомата с памятью
(ЭП) с полной и детерминированной системой переходов и выходов.
Логические элементы реализируют одну из элементарных функций
алгебры логики: инверсия (НЕ), повторение,конъюнкция (И),дизъюнк-
ция (ИЛИ), равнозначность, неравнозначность (сумма по модулю два),
импликация, функции Вебба, функция' Шеффера. Минимальным бази-
сом ФПЙ, как известно, является ЛЭ типа И-НЕ (ИЛИ—НЕ) '
У каждого ЛЭ одни выход. ЛЭ элементарных ФАЛ имеют два входа,
но они могут иметь и больше двух, реаПизуя более сложные логические
функции.
На входы поступают логические сигналы - множество зкачежй ло-
гических переменных, образующих входной набор (хр х2........х ),
Упорядоченное множество входных наборов, поступающих на входы ЛЭ
последовательно,- называют входной последовательностью. Для функ-
ционального поведения ЛЭ решающим является входной набоф,
а для ЭП - входная последовательность,
ЛЭ имеют два состояния выходного сигнала: у - 0 и у = 1,часто
идентифицированных с состоянием самого элемента по алгоритму функ-
ционирования и в зависимости от входных данных исправный элемент
осуществляет функциональные переходы 0-»1и 1-^0. Переход может
быть и нефункциональным — ложный переход. Ложньяи называют пере-
ход элемента из одного состояния в прутов в результате отказа.
Определение 3.1. Если один из двух нефункциональных переходов
выходного сигйа|а (0 -»1 или 1 -*0) невозможен при любой допустимой
неисправности Во внутренней структуре элемента, то ЛЭ обладает абсо-
лютной несимметричностью отказов.
Абсолютная ^симметричность труднр достижима. Поэтому пред- .
ставляют интерес^лементы, один из ложй^х переходов которых мало-
вероятен, а интенсивность отказов, вызывающая другой переход, выше
маловероятного mi порядок и более. Их называют элементами с несим-
метричными отказами.,
73
Опредеиенне 3.2. Элемент с несимметричными отказами, у кото-
рого интенсивность возникновения менее вероятного вида отказов не бо-
лее предельного значения при заданном уровне безопасности, называют
безопасным элементом [7],
В СЖАТ логическая 1 соответствует состоянию высокой ответст-
венности за безопасность. В этом состоянии разрешается движение поез-
да или маневрового состава, подаются управляющие воздействие при
наличии условий безопасности.
Сигналы логической 1 всегда активные (натянутость пружины, боль-
шое напряжение, наличие тока, динамическое изменение наблюдаемого
параметра).
Логический 0 соответствует состоянию, в котором движение запре-
щается. В общем случае запрещено исполнение недопустимых по безопас-
ности действия чевовека или воздействий техники. Сигналы логическо-
го 0 всегда пассивны: низкий (нулевой) потенциал, отсутствие тока, от-
сутствие изменений наблюдаемого параметра и г. д.
Определение 3.3. Логический элемент с. несимметричными отказа-
ми качественно безопасен, если допустимые неисправности в его внут-
ренней структуре не могут заменить функциональный выходной сигнал,
принятый за логический 0, ложным сигналом, принятым за логическую 1.
Логический элемент количественно безопасен, если интенсивность воз-
никновения отказов, вызывающих ложные переходы О 1, меньше зна-
чения, определяемого заданной безопасностью.
Входной набор, при наличии которого появляется ложный пере-
ход 0 -»1 на выходе неисправного элемента, называется опасным вход-
ным набором относительно данной неисправности. При различных неис-
правностях или их совокупности опасными могут быть разные входные
наборы. Например, для константной логической I на первом из входов
двухвходового элемента И опасен входной набор (01). При подобной
неисправности на втором входе опасен набор (10), а на выходе элемен-
та- (00,10,01).
Функция опасного отказа (элемента) Fo — это ФАЛ, равная 1 на
опасных входных наборах.
Доказано, что для качественно и коничествеино безопасных ЛЭ ми-
нимальный функционально полный набор ЛЭ состоит из элементов И,
ИЛИ и НЕ (см. гл. 2). Следовательно, задача построения безопас-
ных ЛЭ состоят в поиске эффективных схем этих элементов.
Требования к безопасности ЛЭ- Их можно формализовать в соот-
ветствии с определением 3.3. ФАЛ потенциально опасных отказов F :
для ЛЭ И °
Л. л} ' =
(3-1)
74
Множества£ЛГя , 1 Мп 21 , . . Дсостоят из наборов
соответственно с одной - п ‘логическими переменными х =0:
дляЛЭ ИЛИ '
Ро (0,0...0,.. .,0) = О, (3.2)
т. е. опасен может быть лишь набор 0,0,..0;
дляЛЭ НЕ
Fo<O=O. (3.3)
Определение 3.4- Логический элемент является качественно без-
опасным, если функция опасного отказа Fo = 0 при любом наборе неис-
правностей.
Определение 3.5. Недопустимыми являются неисправности, воз-
никновение которых исключено природными законами, свойствами ис-
пользованных материалов, конструкцией и технологией изготовления
компонсятов и изделий [31].
Более корректно было бы их назвать ’’невозможные неисправности”.
К недопустимым относятся неисправности, противоречащие здраво-
му смыслу и природным законам (реле не может не отпустить якорь под
действием гравитации, серебряно-угольный контакт не сваривается
благодаря свойству материалов), а также возможные неисправности,
для устранения которых применяют специальные конструкции и техно-
логии изготовления (короткое замыкание первичной и вторичной обмо-
ток трансформатора исключается при двухкамерном каркасе катушки,
изменение частоты резонансного контура исключается при обрыве кон-
денсатора, если применен конденсатор специальной конструкции с че-
тырьмя выводами)
В каталогах [29] и отраслевых стандартах [7] нормированы все
недопустимые неисправности резисторов, конденсаторов, транзисторов,
диодов, дросселей, трансформаторов, оптоэлектронных приборов, пе-
чатных плат, кабелей, штепсельных разъемов и т. д. Принято, например,
что повышение емкости конденсаторов опредененных типов, изменение
продольной индуктивности проводящих проводников печатных плат,
короткое замыкание углеродослойных резисторов и др. являются недо-
пустимыми неисправностями. Неизменность изоляционного сопротивле-
ния штепсельного разъема, недопустимость короткого замыкания меж-
ду обмотками трансформатора, исчезновение сигнала на выходе резо-
нансного контура и др. достижимы лишь при использовании специаль-
ных схемных, конструктивных и технологических мер.
В СЖАТ применяют электромеханические элементы и традиционные
для СЦБ компоненты, некоторме из которых, как показал многолетний
опыт, маловероятны. При построения устройств и анализе безопасности
75
схем их не учитывают. Эти системы работают уже много десятилетий.
Общепринято считать их безопасными. Яри переходе на электронцю
элементную базу в СЖАТ нового поколения необходимо количественно
оценивать безопасность; требуется обработка результатов наблюдение.
Первые публикации по предену допустимости отказов появились
в 70-х годах [32]. Согласно этим публикациям интенсивность отказов,
вызванных недопустимыми неисправностями одного логического эле-
мента, не превышает А = 1 • 1(Г131/ч. Несмотря на то что количествен-
ная- оценка порога допустимости пока еще не нормирована в отраслевом
или государственном стандарте, можно считать
1/* (3.4)
Неисправности, интенсивность возникновения которых ниже этого
прздена, при разработке ЛЭ и анализе безопасности можно не учитывать.
При экспоненциальном распределении наработки на отказ предел
допустимой вероятности изменяется со временем;
' (3.5)
Если ЛЭ восстанавливается с интенсивностью д, то предельная ве-
роятность пребывания элемента в опасном состоянии
*одоп + (3.6)
Таким образом, слишком строгое требование к качественно безопас-
ным ЛЭ согласно опреденению 3.4 сводится к менее строгому количест-
венному требованию к безопасным элементам:
Йо < Йдоп' (3.7)
Проблема безопасности безопасного ЛЭ (ЛЭБ) является кардиналь-
ной, поскольку без специфических требований по безопасности теряет
смысл предмет исследования. Она связывается непосредственно с до-
пустимыми и недопустимыми неисправностями.
Существуют качественная (логическая) и количественная (вероят-
ностная) оценки безопасности.
Цень качественной оценки - определить опасные входные наборы.
Если при допустимых неиспревностях таких нет, то ЛЭ качественно без-
опасен.
Цень количественной оценки - определить вероятность истинности
функции опасного отказа. Иными словами, определить, какова вероят-
ность опасного отказа с учетом вероятности появления входных набо-
ров. Если задана норма безопасности и вероятность опасного отказа
О < 0 . то ЛЭ количественно безопасен.
76
Безопасность электронных элементов. В электромеханических
элементах СЖАТ требования уравнаний (3.4) - (3.7) удовлетворяются
в результате использования специальных конструкций и технологий,
рассчитанньос на недопустимые неисправпости. У активных, и пассивных
компонентов (транзисторы, диоды, интегральные микросхемы, конден-
саторы, резисторы и др.), применяемых в традиционных областях элек-
троники, как правило, нет недопустимых неисправностей. Они являются
симметричными компонентами. Вероятности неисправностей типа ’’ко-
роткого замыкания” и ’’обрыва” имеют одинаковый порядок на 5-7 по-
рядков выше нормы Адоп-
Для СЦБ выпускают малые серии компонентов и приборов специ-
ального назначения. Но это дорого и неэффективно. Да и не всегда удает-
ся достичь нормы при любых технологиях и конструкциях. Очевидно,
необходимо строить ЛЭ и безопасные схемы на традиционной электрон-
ной элементной базе. Этим объясняются оаяэвные трудности по созда-
нию безопасных электронных ЛЭ.
Еще труднее решается проблема безопасности ЭП.
Безопасным следует считать ЭП, отказы элементов схемы которого
трансформируют его в другое логическое устройство с другой функци-
ей с вероятностью, меньшей некоторого нормативного значения [28].
Это определение ие учитывает требований несимметричности поведения
после отказа триггера- Схема может быть трансформирована, ио триггер
сохраняется безопасным. Все зависит от того, ”в какую сторону” произо-
шла трансформация. Если на выходах нового логического устройства
в результате отказа отсутствует логическая 1, то оно безопасно.
Определение 3.6. Безопасным является триггер (ЭП), у которого
любые совокупности допустимых неисправностей его внутренней струк-
туры проявляются как невозможность заменить функциональный вы-
ходной сигнал у = 0 ложным сигналом, принятым за логическую 1.
Входная последрватеньность, при поступлении которой существующие
отказы на выходах ЛЭ опасно искажают его алгоритм функционирова-
ния, называют опасной последовательностью (опасное слово, см.
гл. 2).
Принимая постоянную логическую I и постоянный логический О
за возможные неисправности на входах ЭП, легко убедиться, что на тра-
диционных схемах безопасный симметричный триггер принципиально не-
возможно построить.
Несимметричный триггер безопасен лишь при предпосылке, что не-
исправность типа ’’поСгряиная 1 ” на его входах недопустима. Иначе при
переключении триггера В состояние 0 логический сигнал высокого уров-
ня с выхода не снимается.
Проблема безопасности ЭП еще больше усложняется, если учитывать
опасные входные последовательности. Пусть иа Входы RS-триггера по-
ступают последовательно наборы: 10, 00,01,00, 10.....Причем на вы-
ходе получаются сигналы 1,1,0,0,1,.:.. Предположим, что в нем произо-
77
шел отказ, в результате которого триггер стал работать как транзистор-
ный ключ. Последовательность на выходе 1,0,0,0,1,.... На втором такте
сигнал логической 1 заменяется на,сигнал логического 0, что неопасно.
Опасной будет входная последовательность 10, 00,10, 00, 10. На вы-
ходе исправного триггера получится последовательность 1,0,0,0,0, а при
наличии отказа - 1,0,1,0,1. Опасность появилась потому, что при третьем
(10) наборе входной последовательности произошел недопустимый лож-
ный переход 0 -* 1 (см. определение 3.6). Если ЭП применяется в ка-
честве декодера парафазного импульсного сигнала, то такая ситуация
опасна, поскольку сигнал второй фазы не поступает, а триггер переклю-
чается от импульсного такта первой фазы.
Задача построения ЛЭБ сводится к созданию такой схемы, которая
удовлетворяла бы вышеустановленным требованиям безопасности.
В процессе решения этой задачи можно использовать прочностный метод
достижения высокой надежности [28]; добиться высокой отказоустой-
чивости схемы ЛЭ (ЭП) при нормальной безотказности ее компонентов;
обеспечить безопасное после отказа поведение ЛЭ (ЭП).
Если заданная норма безопасности ЛЭ не так высока, она достигает-
ся прочностью и отказоустойчивостью. Но когда безопасность должна от-
вечать жестким критериям традиционных систем СЦБ, то перечисленные
варианты решения задачи не достигают нормы или достигают, но слиш-
ком большой и экономически невыгодной избыточностью.
Если ЛЭ (ЭП) после активизации неисправности переходит к защит-
ному состоянию по принятому критерию, то ЛЭ (ЭП) называется эле-
ментом с безопасным при отказе поведением (fail safe-элемеит).
У fail safe-элемента допустимый ложный переход (1 -*0) назван защит-
ным отказом, недопустимый (0 * 1), названный опасным отказом,
отсутствует.. <
Защитные отказы fail safe -элементов могут происходить с большой
интенсивностью (Х3 = 1 • 10-3 - 1 * 1£Гб). Независимо от этого они от-
вечают требованиям безопасности, поскольку их опасные отказы возни-
кают с интенсивностью ниже заданной нормы (например, X. = 1Ч0-11).
Несимметричность отказов отличается на 5-7 порядков. Поэтому fail
safe-элементы являются подмножеством множества безопасных ЛЭ.
Принципы безопасного последействия отказа- Рассмотрим понятие
самоконтроля и контроля логических элементов.
Различают схемы ЛЭБ с самоконтролем (принцип настоящей без-
опасности, fail safe) и с внешним контролем (с контрольными элемен-
тами, принцип квазИбезопасносги, quasi fail safe [33]).
Определение 3-7. Если ЛЭ построен так, что защитный переход на
его выходе происходит немедленно после активизации неисправности и
без использования контрольных средств, то ЛЭ называется безопасным
логическим элементом (fail safe ЛЭ). В схеме ЛЭибт структурной избы-
точности.
Логический элемент построен на принципе квазибезопасности
(quasi fail safe ЛЭ), если отказы в его внутренней структуре обнаружи-
те
Рис. 3.1. Структурные схемы безопасных логических элементов
ваются по значению выходного сигнала элемента с использованием из-
быточных контрольных средств, реализующих принятый критерий ис-
правности и переключающих ЛЭ в защитное состояние немедленно после
обнаруживания отказа.
Очевидно, в quasi fail safe ЛЭ обнаруживается только определен-
ный класс отказов. Накопление неисправностей может привести к вза-
имной компенсации их воздействий на выходные сигналы и к потере спо-
собности различать неработоспособное от исправного состояния. Неко-
торые неисправности останутся вообще неконтролируемыми.
Контрольный элемент КЗ реагирует и посредством выключателя 5
3.1, а) исключает выходное воздействие независимо от вида лож-
ного перехода, тем самым трансформируя обнаруженные отказы в за-
щитные. Его реакция зависит лишь от того, появилось ли различие от
функционального (по критерию) сигнала.
Основные проблемы квазибезопасности сводятся к двум:
1) поиску таких признаков отказов, которые обнаруживали бы как
можно более широкий (лучше все) класс неисправностей (проблема
критерия исправности);
2) построение КЗ с самоконтролем, т. е. ответственность за безопас-
ность ’’переносится’’ t самого ЛЭ на контрольный элемент.
Эффективность квазибезопасной структуры тем выше, чем слож-
нее ФАЛ, реализуемая ЛЭ, и чем проще КЭ. Простота КЭ зависят от эф-
фективности критериев контроля, измеряемой мощностью множества
обнаруженных отказов. Но простоев и мощность — взаимно противоречи-
вые требования- Решение часто ищут в избыточных дуальных структу-
рах (рис. 3.1, б). Информационные каналы fffC обрабатывают входные
наборы, а результаты обработки сравнивают контрольным каналом КК.
Выключатель В срабатывает, если обнаружено несоответствие,
Рассмотрим сигналы логических переменных.
В традиционных дискретных устройствах положительной логики
логический 0 представляется низким (нулевым), а логическая I - вы-
соким устойчивым потенциалом. Характерным свойством сигналов ло-
гических переменных (ЛП) является устойчивость во времени. Они из-
меняются лишь в зависимости от информационного потока. Назовем
такое представление ЛП прямым или некодированным. Преимуществ
79
Рис. 3.2. Схемы резисторно-транзистор-
ных элементов
ва такого представления ЯП - четкость физических процессов, естест-
венность работы схемы, простота алгоритма обработки информации и
экономичность технических решений.
Для того чтобы отличить нормальное функционирование устройст-
ва от его работы в момент отказа и зафиксировать отказ, необходимо
ввести признак отказа. Для этого можно, например, принять, что нуле-
вое значение ЛП несет ненулевой сигнал (например, логический 0 обо-
значить - V, а логическую 1 - + Д а отказ фиксирует нулевой сигнал
на выходе). Таким образом, сигналы при отказе качественно отличают-
ся от сигналов функциональных логических 1 и 0 [34]. Обнаруженные
неисправности выявляются другим нерабочим параметром выходного
сигнала.
Чаще используют другой способ введения признака отказа. Отказы,
как известно, бывают временные (переходные, перемежающие, транзи-
тивные) и постоянные. Имманентным свойством постоянных неисправ-
ностей является устойчивость во враменн- При обнаружении неисправ-
ностей функционирование ЛЭ не меняется. Нет признака послеотказо-
вого поведения, поскольку устойчивость неисправностей - их объектив-
ное свойство. Но устойчивость сигнала необязательна.
Искомый признак отказа вводится в схему искусственно, если оба
значения ЛП соответствуют не традиционно принятым низкому и высо-
кому потенциалам, а другим видам сигнала. Таким образом необходи-
мо создать .другое информационное соответствие между логическими
переменными и электрическими сигналами, несущими Их значении. Как
известно, условность информационного соответствия выражается ко-
дом, поэтому вводят копирование ЛП и кодированную обработку ин-
формации.
Рассмотрим резисторно-транзисторный (RTL) ЛЭ, который включа-
ет лампу зеленого света (рис. 3.2, а). На его входы поступают некоди-
рованные сигналы -V, и х2. Лампа загорается при наличии условий от-
крытия ЛЭ: xt = 1 и х2 - 1. Но лампа горитипридопустимой^еис-
правности — пробой "эмиттер-коллектор* транзистора, что соответ-
ствует необнаруженному опасному отказу.
Предположим, что сигналы 1 кодированы импульсами постоянного
тока, а лампа включается через трансформатор (рис. 3.2, б) и горит при
наличии импульсного сигнала логической 1. Устойчивый сигнал (логи-
ческий 0) на входе ЛЭ приводит к закрытию или открытию транзистора.
Ток в первичной-обмотке трансформатора остается неизменным, лампа
80
гаснет. Лампа гаснет также при обрыве и коротком замыкании цепи
"эмиттер—коллектор" транзистора, поскольку протекающий постоян-
ный ток не трансформируется. Отказ преобразуется из опасного в защит-
ный благодаря кодированию ЛП.
Самое простое однофазное временное кодирование широко при-
меняют в СЖАТ. Любой устойчивый сигнал постоянного или переменно-
го тока с неизменной амплитудой соответствует логическому 0, а логи-
ческая 1 отображается импульсной последовательностью.
Кодирование сигналов ЛП является ,предлочпггельным средством
достижения безопасного fail safe поведения устройств, Но при рассмот-
ренном однофазном кодировании устойчивость сигнала логического О
сохраняется и, следовательно, неисправность типа "постоянный ноль”
остается необнаруженной. Если ЛЭ длительно находится в состоянии О,
то вероятность накопления новых неисправностей возрастает. Такое на-
копление может привести к совокупному опасному отказу, Хотя каж-
дая неисправность по отдельности может вызывать защитный отказ.
Обрыв эмиттерной целл (см. рис. 3.2, б) транзистора — допустимая
неисправность, которая приводит к защитному отказу. Лампа при этом
гаснет. Пробой цепи ’’база-коллектор” транзистора также вызывает за-
щитный отказ. Но накопление обеих неисправностей (двукратная неис-
правность) уже некоитролируется. По первичной обмотке протекает им-
пульсный ток. Если базовая цепь низкоомная, то лампа загорается.
Поэтому целесообразно перейти к парафазному кодированию, при' ко-
тором для представления значения логической переменнонвыделяют'ся
две фазы (пространственная и временная). Сигнал логической 1 пред-,
ставляется в этом случае как 10, а сигнал логического 0 — как 01. Такое
кодирование позволяет обнаруживать все устойчивые отказы входных
цепей ЛЭ.
Обнаруживающие способности ЛЭ можно усилить, применив более
сложную организацию временного импульсло-фазового кодирования
[45] . При этом для представления ЛП выделяют период, состоящий из
четырех временных тактов (фаз). В первом информационном полу-
периоде ЛП принимает необходимое для обработки информации логи-
ческое значение. Во втором тестовом полуперподе поступают тестопые
входные последовательности, различные для логических переменных
каждого входа ЛЭ. Эти .последовательности для элементов И дли ИЛИ
приведены в табл. 3.1. Быстродействие ЛЭ в этом случае опекается,
но предоставляется возможность контролировать любые отказы интег-
ральных схем. . . -
I------ ГТ I — I I
х I---чУд «--------------*---1?
„ , , „ л n I ВЛ \Т , Г к] But П I А
Рис. 3.3. Структурная схема кодиро-
ванной обработки сигналов I1 -< 1 I I -. I
81
Таблица 3.1
лэ Неисправность "Постоянный О’ Неисправность ” Постоянней Г • лэ Неисправность Неисправность "Постоянная 1"
и 111 ... И (011 ... 11 1101...п 2110...п 1111 ... 01 ^111 ... 10 или Г1оо... оо") 1 010... 00 / 2 оо1...оо > 1 000... 10 («Ю... 01 J 000 ... 00
На входы поступают не закодированные данные. На выходах схемы
и после обработки эти данные остаются неизменными. Обрабатываются,
одиако, кодированные сигналы ЛП. Для этого имеются входной преоб-
разователь В77 (кодер), обрабатывающее устройство для кодированных
носителей ОУК (рис. 3.3), выходной преобразователь ВыхП (декодер,
дешифратор), а также генератор тактов ГТ, синхронизирующий обра-
ботку сигналов. Импульсная последовательность подводится к шинам
электропитания.
Рассмотренный принцип обнаруживаемости отказов подобен извест-
ному принципу, положенному в основу организации многоканальной
связи, согласно которому информационный сигнал низкой частоты мо-
дулирует несущий сигнал высокой частоты. Тем самым становится воз-
можной передача сигнала на большие расстояния. Здесь информацион-
ный поток низкой частоты модулируется сигналами высокой частоты,
которыми кодированы логические переменные. Тем самым при обработ-
ке становится возможным быстрое обнаруживание отказов.
3-2- Классификация схем безопасных логических
элементов
Выделяются восемь классов безопасных элементов и систем
(рис. 3.4). К первому классу относятся элементы с несимметричными
отказами без кодирования логических переменных. Примерами таких
элементов являются реле СЦБ I класса надежности, ЛЭ, работающие по
принципу пареметрического резонанса [35, 37], автогенераториые эле-
менты [36], элементы на управляемых генераторах [34] и элементы
с внешним тестовым контролем [42,43].
Схемы с несимметричными отказами и кодированием переменных
(П класс) строятся на магнитных элементах с прямоугольной пет-
лей гистерезиса и на феррит-транзнсториых модулях [31,38,39], а так-
же на опто электронных приборах [42].
Логжеские элементы Ш класса (квазибезопасяые с некодиро-
ванными переменными) получают применением внешнего тестового
автоконтроня [40] или циклического ражимв работы [43]. Безопас-
82
ность на элементном уровне, основанная на принципе квазнбезопасности
при кодированных пераменных (IV класс), впервые достигнута в случае
применения контролируемой резистивно-транзисторной логики (URTL-
Logik) [118]. Безопасность этого вида достигается также в результате
обработки информации с использованием интегральных микросхем на
принципе двухканальностн [15].
Безопасность схемных и системных решений на элементах с симмет-
ричными отказами (V — VUI классы) достигается на уровне элементов
нни систем (макроуровень). Схемы V класса обычно небольшие,
составляются эвристически с анализом отсутствия опасных отказов.
Подобные простые схемы ограниченного применения выполняют с
использованием реле II киасса надежности или на дискретных элек-
тронных компонентах [50]. Схемы VI класса с кодированными
переменными строятся в соответствии со структурой (см. рис. 3.3) с тем
отличием от элементов II класса, что пераход схемы в защитное со-
стояние обеспечивается работой выходного преобразователя [50].
Принцип квазибезопасности без кодврования информации (VII
класс) применяется в СЖАТ на микропроцессорах. Контроль отка-
зов осуществляется ив макроуровне. Этот принцип является одним из
основных направлений развития микроэлектронных СЖАТ. На принци-
пе квазибезопасности с кодированием перамеияых (VIII класс) строят
схемы (см. рис. 3.3). При этом срадства контроля предусматриваются не
для каждого ЛЗ, а для всего дискретного устройства в целом. Например,
схемы двоичных шифраторе® и шифраторов этого киасса рассмотрены в
работах [46,47].
Схемы существенно различаются в зависпыости от принципа их по-
строения (безопасные или квазибезопасные) (рис. 3.5).
Рассмотрим безопасные ЛЭ. В зависимости от того, как и где обра-
зуется выходной сигнал, схемы ЛЭ бывают автогенерагорными
и с внешним импульсным (тактовым) сигналом.
Автогенераторные схемы, иногда называемые схемами с внутренним
автоконтролем (рис. 3.6, а), пыеют следующие особенности: выходной
Используются зле-
. Г '- Hem j 1 ричныни ейнчпани? И спель зуютсл избыточные
Нет\ Да 1 [ Нет 1 1 1 1 контрольные |дя среостЛа ? 1 Используется
1 1 1 1 ] \Нет Да> \Ист Да} f 2 3 * 1 1 1 । 1Нет Да| 1Нет з е 7 1 копирование Д«1 логических * нерешенных f
Рис. 34. Структурная схема классификации принципов построения безопасных
систем
83
сигнал гармонической, прямоугольной или другой формы зарождается
в самой схеме; работают с некодиров энными (устойчивыми) сигнала-
ми логических переменных ж,, х2.......х ; входные сигналы не обра-
батываются электрически, они создают лишь условия для генерации
Выходным преобразователем ВП (декодер ЛП) кодированный сиг-
нал у* преобразуется в устойчивый (постоянный) выходной сигнал
ЛП у. За ВП следует другой каскад логической обработки сигнала.
Схемы ЛЭ с внешним импульсным сигналом Т (рис. 3.6, б), назы-
ваемые схемами с внешним автоконтролем [23], имеют следующие
особенности: сигнал на выходе генерируется не в схеме самого ЛЭ,
а поступает йа его входы извне и затем преобразуется выходным преоб-
разователем ВП в устойчивый сиги ел или трелслируется, сохраняя свою
импульсную форму. В последнем случае схема является транслирующим
элементом.
Импульсный сигнал вырабатывается общим для всей СЖАТ генера-
тором тактов (см. рис. 3.3) и поступает к узлам и элементам по шинам,
аналогичным шинам электропитания. Когда обработка происходит коди-
рование, сигнал транслируется через каскады ЛЭ до того, как появится
необходимость его декодировать.
Логические элементы могут быть пассивными, если энергия для
решения ФАЛ доставляется сигналами ЛП, т. е. отсутствует необходи-
мость электропитания П (см. рис. 3.6), или активными, если такое
электропитание необходимо. Для непрерывности передачи сигнала в
пассивных схемах после каждого логического элемента включают усили-
тель с электропитанием П2. Активные ЛЭ более чувствительны к деста-
билизирующим факторам, поскольку порог их срабатывания (условия
генерации, занирания или открытия трелзистора, переключения триггера
Шмидта) зависит от нестабильности питающего напряжения.
| безопасные ЛЭ
I НЬазибезопасные ЛЭ
[Автогенерацил
входного
сигнала
Трансляция
импульсного
сигнала.
J Накодиро данные ЛП
iHettodupoiai
ЛП
Кодированные I г Кодироданные |
ЛП| [ЛП|
I Пассивные
Рис. 3.5. Структурная схема классификации безопасных ЛЭ
84
Рис. 3.6. Структурные схемы безопасных ЛЭ
Рассмотрим к в а з и б е э опасны е ЛЭ. Известные схемы ЛЭ,
построенные на принципе квазибезопасности, используют д>чльную
структуру (см. рис. 3.1, б). Иногда сигнал выводится из обоих каналов.
Квазибезопасные ЛЭ с некодпрованными ЛП применяют ограничен*
но и преимущественно в системах с циклическим режимом работы. Схе-
мы с кодированными ЛП обычно используют парафазную или числовую
форму.
3.3. Декодеры сигнелов логических переменных
В схемах ЛЭ с некоднрованиымн ЛП, а также в конце каскада об-
работки схем с кодированными ЛП применяют выходной преобразо-
ватель (декодер).
Однофаэпый декодер преобразует импульсный такт или гармониче-
ский сигнал в постоянное напряжение U, а устойчивый сигнал - в нуле-
вой потенциал, т. е. ЛП выхода:
fy = 1, если ук = Т (импульсный такт);
(3.8)
у = О, если ук = С (постоянная).
Парафазпый декодер преобразует прямую фазу в постоянное напря-
жение U, а обратную - в нулевой потенциал, т. е. ЛП выхода:
/> = 1, если ук = Т (такт, гармонический сигнал);
Ук = о, если ук = Т (протнвотакт, обратная фаза).
Декодеры являются элементами без опасных отказов. Критерий
безопасности декодера - отсутствие набора допустимых неисправностей
в структуре его схемы, в результате которого может произойти ложный
переход 0 -* 1 при наличии логического 0 на его входе.
Схемы декодеров. Для декодировании однофазного сигнала приме-
няют выпрямительные схемы с трансформаторами. Трансформатор обла-
85
дает исключительным для безопасности схем свойством — не переносить
сигнал в следующий каскад схемы, если сигнал в первичной обмотке
(независимо от его амплитуды) становится постоянным. Этим объяс-
няется безопасность схемы (см. рис. 3.2,6).
Выпрямление может быть однофазным (рис. 3.7, а) или двухфаз-
ным (рис. 3.7, 6), а также мостовым (рис. 3.8). Пульсации выходного
сигнала у должны быть минимальны, в противном случае они могут
быть восприняты как импульсный такт. Поэтому на выходе для сглажи-
вания выпрямленного напряжения включают четырехвыводный конден-
сатор- Его обрывы исключают формирование выходного сигнала.
Схемы, представленные на рис. 3.7, декодируют однофазно кодиро-
ванный сигнал, а схемы на рис. 3.8, а — парафазные сигналы.
Рассмотрим парафазные декодеры на примере схемы с триггером
(см. рис. 3.8, о). На вход 8 RS-трштера постоянно подается опорная
тактовая последовательность импульсов Топ. На вход R поступает сиг-
нал логической переменной у- При у — 1 импульсный сигнал на вход R
подается в противофазе с сигналом Гоп, и триггер переключается с час-
тотой опорной тактовой последовательности. При этом поочередно от-
крываются транзисторы VT3 и VT4, и импульсы тока протекают через
первичные полуобмотки выходного трансформатора. В нагрузке Лн
протекает выпрямденный ток I. При у = 0 фаза импульсного сигнала
на входе R меняется на противоположную, триггер перестает переклю-
чаться и ток в нагрузке отсутствует. Это же происходит, если импульсы
на входе R отсутствуют.
Отказы, приводящие к устойчивому положению триггера, яиляют-
ся защитными. Однако отказы, трансформирующие триггер в самостоя-
тельные транзисторные ключи, не прерывают поступление импульсов,
через первичные полуобмотки трансформатора, что опасно (см. п. 3.1).
Для непосредственного декодирования парафазных сигналов приме-
няют мостовую схему выпрямления (рис. 3.8,6). Если эти сигналы
представлены в виде прямоугольных импульсов разной полярности,
имеет место идеальное выпрямление без необходимости сглаживающего
конденсатора. Схема экономична, но любой отказ, прерывающий им-
пульсную серию по любому из логических вводов, может оказаться
опасным. На выходе появятся прямоугольные импульсы оставшейся
части сигнала.
Недостатком с технологических позиций всех схем, рассмотренных
выше, является наличие трансформатора в декодере. Индуктивные
компоненты непригодны в современной микроэлектронике. Техноло-
гически трудно я экономически невыгодно применять трансформатор
в микросхеме с высокой степенью интеграции. Поэтому предпочитают
конденсаторные декодеры (рис. 3.9).
При закрытом транзисторе (рис. 3.9, а) конденсатор CI заря-
жается через диод VD1, а во время t импульса, когда транзистор
открыт, разряжается через нагрузку ки. В течение паузы гп конден-
86
Рис. 3.7. Схемы декодирования однофазных сигналов
Рис 3.S- Схемы декодирования парафаэных сигналов
Рис. 3.9. Схемы конденсаторных декодеров
87
Рис. 3.10. График изменения выходного напряжения
Рис. 3.11. Зависимость выходного напряжения от скважности
Рис. 3.12. Схема безопасного декодера на оптронах н диаграмма его работы
88
сатор С2, включенный параллельно нагрузке, поддерживает напряжение
на выходе. Оно возрастает во время импульсов и убывает по экспонен-
те во время паузы (рис. 3.10). При оптимальных значениях параметров
схемы напряжение на выходе близко к постоянному.
С повышением скважности К = tK/t уровень сигнала на выходе
ощутимо уменьшается. Экспериментально снятые данные показывают,
что это уменьшение уровня сигнала имеет место на высоких частотах
(рис. 3.11).
Анализ работы схемы выявил единственный опасный набор неис-
правностей - пробой С1 и VD2 и обрыв VD2. Тогда на выходе появ-
ляется высокий потенциал, что противоречит критерию безопасности.
Если схема восстанавливается с интенсявностью д, то ее вероятность
работать опасно [50]
\ci \ коз
+ + ^ + \>б VDI*
(З.Ю)
где Хоб VD] , Хи yD2 , Xj^j - интенсивности отказов на пробой диодов VD1.
VD2 и конденсатора С1.
Подставляя вероятные значения параметров надежности, получим
Ко < 1 • 10“15- Декодер качественно небезопасен, но количественно без-
опасен, поскольку опасно декодер работает с вероятностью менее до-
пустимой.
При положительной логике на выходе схемы имеется минусовый
потенциал (см. рис. 3.9, а), а при отрицательной - плюсовый (см.
рис. 3.9, б). Инверсия напряжения в этих схемах является характерным
свойством, позволяющим отыскать опасный отказ. При совокупном
опасном отказе потенциал имеет обратную ожидаемой поиярностъ, в ре-
зультате чего неисправности обнаруживаются. Но для этого необходима
чувствительная к полярности нагрузка - поляризованное реле, транзис-
торный квюч и т. п.
В схеме безопасного декодера (рис. 3.12) нагрузкой является ней-
тральное реле Р. Схема лишена недостатков конденсаторного декодера.
Реле питается переменным напряжением (например, от промышленной
сети). Во время одного полупериода опторезистор 02 пропускает им-
пульсные сигналы с тактом Т к светодиоду опторезистора 01. Сопро-
тивление его фотоприемника уменьшается, н через реле протекает боль-
шой ток. Во время другого полупериода опторезистор 01 закрыт. Че-
рез реле протекает асимметричный слабый ток. От его постоянной со-
ставляющей реле срабатывает. Исследование схемы после отказа пока-
зало, что декодер качественно безопасен при всех наборах неисправно-
стей.
89
3.4. Авгогенерэторные логические элементы
Магнитный тетраметрический элемент. Бесконтактные пороговые
элементы, построенные по принципу параметрического резонанса, из-
вестны из публикаций 60-х годов. По этому же принципу построены ста-
тические электромагнитные делители частоты ПЧ 50/25 для питания
рельсовых цепей. Ограниченное применение нашли и параметржеские
реле.
Магнитно-параметрический ЛЭ (МПЛЭ) построен на одном Ш-образ-
ном или на двух одинаковых ферритовых тороидальных сердечниках
(рис. 3.13). На каждом из них есть обмотка накачки W и управляю-
щая обмотка V . Имеется также общая для обоих сердечников контур-
ная обмотка W*, образующая с конденсатором С* резонансный кон-
тур РК. Обмотки одного вида имеют одинаковое число витков и вклю-
чены встречно. “Таким образом, переменный ток накачки f не транс-
формируется в контурную обмотку-
Схема питается переменным напряжением накачки U с постоянной
амплитудой н частотой /к- На входы ЛЭ поступают накопированные ЛП
х и хэ с устойчивыми низким и высоким потенциалами. Йа выхо-
де МПЛЭ при отсутствии сигналов высоких потенциалов нет сигнала.
По управляющей цепи протекает подмагничивающий ток iy . При
его увеличении достигается ток порога срабатывания элемента.
По принципу параметрического резонанса в контуре возникает повый
сигнал на частоте fH/2. С дальнейшим увелженнем тока iy, несущест-
венно изменяясь, сигнал сохраняется до тока верхнего порога отпуска-
ния (рис. 3.14, а). Колебания’’срываются” и при дальнейшем повы-
шении тока элемент больше не возбуждается- Если ток убывает, при то-
ке верхнего порога /02 МПЛЭ снова срабатывает, а при токе нижнего
порога ^2 сигнал’’срывается”. Таким образом, релейная характеристи-
ка МПЛЭ в отличие от традиционного реле, имеет две пары порогов сра-
батывания.
Рис. 3-13. Схема магнитного параметрического элемента
90
Flic- 3.14. Характеристик магнитного элемента
На рис. 3.14, б показаны экспериментально снятые характеристики
элемента с Ш-образным магнитным сердечником Ш12хЮ из магнитного
материала 80 НХС со следующим числом витков обыЬток: w = 2x300,
wr 1=1 2x70, w* = 500. Характеристики приведены для следующих значе-
ний параметров схемы: Ся = 7пФ, R = 1 Ом (кривая ;), С = 4 пФ,
R* - 70 Ом (кривая 2),Си = 7пФ,7?в"= 122 Ом (кривая ?). *
Резкие ’’срывы” сигнала особенно заметны при наличии конденсато-
ра С* в дели накачки, что наряду с имеющимися порогами существенно
дня Выполнения логических задач.
Если ЛЭ должен выполнять ФАЛ ’’конъюнкция” (рис. 3.15,а), то
сопротивления входных резисторов рассчитывают так, чтобы управляю-
щий ток достигал порога Iq, лишь после того, как на все входы подан
сигнал с высоким уровнем (рис. 3.15, 6). В элементе ИЛИ сопротивле-
ния должны быть меньше и ток через опдо из них достаточен для воз-
буждения контура (рис. 3.15, в). При сигналах на всех входах схема
должна оставаться возбужденной.
Если на третий вход подать сигнал с выхода, то ЛЭ работает как не-
симметричная элементарная память - триггер (см. рис. 3.15, а). На
вход х2 поступает сигнал высокого потенциала, но он недостаточен для
возбуждения элемента. При наличии импульса на х. схема срабатывает,
сигнал с выхода появляется на третьем входе (обратная связь), но ЛЭ
остается возбужденным. Он сохраняет свое состояние и цри отсутствии
сигнала на одном ид других входов, ’’запоминая” появление импульса
на Xj. Сброс цесимметричйого триггера произойдет лишь при снятии
сигналов с логических входов.
Если у схемы два входа, то элемент может выполнять элементарные
ФАЛ, в том числе логическую неравноэначиость - сумму дю модулю 2.
Для этого нужно рассчитать его верхние пороги так, чтобы при подаче
сигналов на оба входа происходил ’’срыв” колебаний (рис. 3.15, г).
От значения порогов зависит и возможность выполнять функцию ма-
жоритирования у = х, х2 v Xj х3 v х2 хэ,
Если релейная характеристика узкая и на один из входов подан по-
стоянно сигнал. МПЛЭ выполняет функцию НЕ. Достаточно при этом на
91
другой, рабочий, вход подать значение ЛП выше верхнего порога и сиг-
нал с выхода снимается.
Безопасность рассматриваемых схем опирается на особые качества
элементов. Работа схем возможна только ори определенных значениях
пирамЬтров — напряжений, частоты, индуктивностей, емкостей и т. д.
Эти параметры могут изменяться в небольшом диапазоне. Выход за пре-
делы даапазона, что происходит при неисправностях, снимает выходной
сигнал. Проведенные исследования привели к выводу, что опасны только
неисправности, ведущие к асимметрии магнитной системы. Тогда воз-
можно прямое трансформирование сигналов, отчего получается сигнал
с.частотой /н. Зашита от опасного отказа достигается самоконтролируе-
мы!й резонансным контуром на частоте /н/2 (см. рис. 3.13), конденса-
тор Которого имеет четыре вывода.
Недостатки МПЛЭ - неэффективней технология изготовления, раа-
лизаДцв'ФАЛ посредством накопления входных сигнанов, что является
не качесЦкяной, а количестееннойхарактеристикой-
МПЛЭ; - активный злемент, пороги его срабатывания зависят от
злектротаЙДОя накачки. При неблагоприятном сочетдаки параметров
МПЛЭ может сработать при наличии сигнала иа двух (вместо трех) вхо-
дах, что недопустимо. Схема НЕ опасна даже оря первом размыкания
92
подмагничивающей обмотки. Применение МПЛЭ ограничено с учетом
этих недостатков.
Логическая система Logisafe. В основу этой логической систе-
мы поставлен автогенератор с обратной трансформаторной связью
(рис. 3.16), коллекторная и базовая цепи которого питаются логически-
ми переменными. Сигнал образуется в схеме. Ее параметры определяют
частоту и форму выходного сигнала. Схему рассчитывают так, чтобы
условия генерации выполняюсь для напряжений коллекторной н базо-
вой цепей выше порогов логической!.
Схема генератора благодаря разделению по базовой и коллектор-
ной цепям приобретает свойство качественно оценивать присутствие
логических переменных. Генератор яе возбудится, каким бы большим
ни было напряжение коллекторной цепи, если нет сигнена выше неко-
торого порога ио базовой цепи, и наоборот. Кроме того, ЛП поступают
некодированиыми, а постоянный ток не трансформируется, благодаря
чему га выход они не переносятся при любом наборе неисправностей,
за исключением прямого короткого замыкания ”вход-выход’’. Меж-
ду сигналами га входе и выходе имеется лишь логическая связь.
Каждая логическая операция сопровождается преобразованием гар-
монического сигнала автогенератора в постоянное1 напряжение. Этот
сигнал является условием генерации Новых колебаний в следующем
каскаде, что реализуется по четырем последовательно связанным звень-
ям (трансформаторный вход для повышения напряжения и гальвани-
ческого разделения каскадов, двухполупериодный выпрямитель с
сглаживающим кондвсатором, генеретор, транзисторный усилитель)
(рис. 3.17.) ,
Рис. 3.17. Схемы логического элемента I
93
Схема выполняет логическую операцию И- Если необходима раали-
операции ИЛИ, оба ввухпояуперподных выпрямителя, на кото-
рые поступают ЛП х( их2, подключаются’параллепьно.
В схеме логического элемента НЕ коллекторная цень питается непо-
средственно от постоянного источника, а в цепь обратной трансформа-
торной связи подключается выпрямленный дигнал базовой цепи, куда
поступает единственная ЛП. Если ЛП имеет значение логической 1, то
условия генерации нарушаются. Такая схема не допускает любую нжс-
правяостъ, снимающую сигнал ЛП в базовой цепи.
Благодаря транзисторному усилителю Г можно подключать боль-
шое число иходов следующих каскадов. Если с одного из них в ЛЭ И
выпрямленньй сигнал .вернется, в коллекторную цель (рис. 3.18), го
получится несимметричный ^3-триггер.
Систему Logisafe выпускает фпрма Telefunken, Все модули си-
стемы оформлены в виде гибридных интегральных схем размерами'
44x11x18 и 44x21x18 мьс В каждом конструктивном знемекте со-
держится до трех одинаковое независимых модулей. Рабочая частота
14—24 МГц, напряжение питавия 15 и 24 В, мощность 0,3 Вт, быстро-
действие 25 мкс.
j Безопасность системы исследована на вычислительной машине [33).
। Эта безопасность отвечает высокдм треболанням.
Опасдпй является двукратная неисправность, обрыв в цепи кон-
деисатора' С/ и пробой цепи "зынттер-коляектор” Т1, когда пульса-
ции питакеяего напряжения коллекторной цепи в результате прямой
\ трансформвййи пояиляются на выходе. Избежать таков неисправности
' i можно введенйвм четырехвыводного конденсатора во входную цепь.
т
•„> л)'
3.S. Импульсные схемы безопасных ЛЭ с внешним
тактированием
ЛЭ с декодированными логическими переменными. В таких зне-
мектах обнаружение неисправностей я автоматический переход в защит-
ное состояние достигаются благодаря непрерывной импульсной работе
схемы, несмотря на неизменное значение потенциалов на ее входах. Схе-
ма переключается непрерывно от импульсного сигнала с тактом Г, по-
ступающего на специальный вход (рис. 3.19, а). Выходной сигнал полу-
чается закодированным, но для последующей обработки этот сигнал
декодируется.
Логическая схема элементарной конъюнкции на двух транзисторах
и выходном трансформаторе (он. рис. 3.19, а) питается постоянным
напряжением Е и от поступления импульсного сигнала тактом Г [37].
Переменный ток в первичной обмотке возможен только при исправной
схеме и наличии высоких потенциалов на логических входах х} и х}
(рис. 3.19, б). Недостаток схемы - необходимость нового модуля для
каждой новой ЛП при реализации конъюнкции. Наличие трансформато-
ра, как и во всех ЛЭ, нежелательно.
Таких недостатков лишена схема (рис. 3.20, а) с двухраэрядным
двухвходовым последовательным регистром, в одном из триггеров
которого '’записана” 1, а в другом - 0 [41 [. Схема управляется че-
тырьмя двухиходовыми знемеятами И, на тактовые входы которых
поступают тактпруйщие импульсы со сдвигом на одну четверть периода
(рис. 3.20, б). Рассмотренный ЛЭ - элемент равнозначности:
v xexj.
При наличии высоких потенциалов (хв = 1, хь = 1) импульсы опре-
деленной частоты сдвигают 1 в регистре поочередно с одного входд вле-
во, ас другого —вправо. Контрольный сигнал ук получается на выходе
одного из триггеров в виде импульсного сигнала той же частоты. Подоб-
ным образом, по со сдвигом выходного сигнала на полупериод, схема
Рис. 3.19. Схема в двагреммы работы импульсного безопасного анемента
95
работает при нулевых значениях ЛП- Если появилось несоответствие ЛП
(10 или 01), то регистр получает последовательно сдвигающие импульсу
только с одной стороны. Единица оказывается сдвинутой влево или
вправо- На выходе нет импульсного сигнала.
Схема предназначена для контроля логических сигналов на экви-
валентность. Незквивпентцыми они могут быть только в случае отказа.
Тогда для запуска схемы после восстановления в регистре вновь запи-
сывается 1. Безопасность схемы высока. Логический элемент достаточно
просто реализовать на базе микроэлектроники.
Простотой отличается схема многовходового ЛЭБ (рис.'3.21),
названная в работе [50] схемой коллекторно-базовой логики. Логи-
ческие переменные х3.........хн поступают в вице устойчивых потен-
циалов на коллекторные цени транзисторных ключей, связанных после-
доватеньво в каскадной схеме. Импульсы Т подаются на базовый вход
первого ключа. При наличии на всех логических входах высоких потен-
цианов на выходе в зависимости от числа каскадов получается импульс-
ный слгиал той же (при четном) иви обратной фазы (при нечетном чис-
ле). Реализуется ФАЛ И у =х^ х}
Анализ безопасности показывает низкие вероятности опасного от-
каза. Согласно уравнению (3.1) входные наборы могут быть опасными,
Рис. 3.20. С?ема с двухразряфтым двухвходовым последователь-
ным регистром И диагреммы его работы
Ряс, 3.21. Схемы многовхздового ЛЭБ
1
если хотя бы одна из ЛП в наборе равняется нулю. Исследования пока-
зали, что любая одиночная неисправность контролируется. Из даукрат-
пых заслуживает внимания одновременное повреждение коллекторного
резистора и эмиттерной цепи одного и того же транзистора. Если такая
совокупная ненсправвость (обозначим ее zf) произойдет на том же вхо-
де, где ЛП равняется нулю (х J5), то импульсы с тактового входа прой-
дут через каскад без нормального инвертирования фазы. На выходе по-
лучается кодированный, но с обратной фазой, импульсный сигнал.
Если в качестве выходного преобразователя используют схему кон-
денсаторного декодера (см. рис. 3.9) я скважность очень низка (при-
мерно К - 0,1), то с поворотом фая>1 выходной сигнал резко умень-
шается (см. рис. 3.11). Этим выявляется совокупная неисправность.
Любая трех- и более кратная нечетная неисправность выявляется пере-
рывом импульсов тактового входа в том каскада, где произошла первая
неисправность. Четырехкратная неисправность (вторая совокупная)
является опасной, поскольку произойдет двухразовая инверсия сигнала,
и (если передай* недостаточно затухает по каскадам) можи оказаться
необнаруженной Вторая совокушая неисправность опасно комбинирует-
ся с уже возняррей независимо от значения ЛП на соответствующем
входе. '
Опреденим жроятиость опасного набора.
Пусть на пйраом входе есть нулевой сигнал х® . ФДЛ опасного от-
каза
v 2> V ...V (3.11)
4 3м. «3
91
Логическая функция учитывает возможные опасные сочетания со-
вокутшой неисправности первого каскада с подобными неисправностями
остальных каскадов.
Функция (3.11) бесповторная. Для того чтобы перейти к вероят-
постной функции, необходимо преобразовать ее по правилу де Мор-
гана:
(ЗЛ1>
Тогда вероятность опасного отказа по первому входу
е«,- р\0с,и-рс2рс3 ...р„>, 0.13)
где Qc и Рс - вероятности наличия и отсутствия совокупной неисправности.
Если считать все каскады одинаковыми, а вероятности р появления
логического 0 на всех входах схемы равными, то
е0*рес[1-(1-ес)"-'1. (зл4)
В случае экспоненциального распределения наработки до отказа
невосстанавливаемого ЛЭ при условии независимости отказов типа
"обрмв эмиттера” (с интенсивностью Хэ) и ’’обрыв коллектора” (с ин-
тенсивностью хА)
e0=P[l-exp(-\r)] [1-ехр(-ХАГ)1 х
х(1- 11- [1-ехр(- Хэг)] ll -exp( Atr)]})'’- 1. (3.15)
Если после выявления очередного отказа ЛЭ восстанавливается с интен-
снаностью д, то
л =р--------------------- [1 - (1 -----“-и—)"~*1
0 (X * W(Xt* д) (X *д)(ХА + д)
< <3.16)
Коллекторно-базовая логика позволяет решать и другие логические
функции: ИЛИ, неравнозначность, несимметричная память.
Используя идею базово-коллекторной логики, Н. 1. ЬоЬтая пред-
ложил включить в вертикальную диагональ Грет-схемы транзисторный
98
ключ и составлять контрольный канал из последовательно включен-
ных ЛЭ, решающих ФАЛ "сумма по модулю 2’’. Этим каналом контро-
лируют инверсное значение разрядов двоичных векторов при компьютер
нон обработке информации. Такой ЛЭБ качественно безопасен, что
нетрудно доказать.
Качественно безопасными могут быть ЛЭ, если вместо транзисто-
ров для каскадной связи применить оптроны. Схема (рис. 3.22) реали-
зует несколько функций:
1) И, если по входам х2 и хэ постулат иекодированные ЛП
(рис. 3.22, л), а на х - импульсы тактового вход*- Во врамя t* им-
пульса транзисторы открываются, и конденсаторы заряжаются высо-
ким потенциалом ЛП. Во врамя паузы f п они разряжаются чераз свето-
диоды. выходной ситная появляется только пря аолаостью исправной
схеме;
2) НЕ, если реализовать обратное включение приборов (рис, 3.22,6).
Конденсатор заряжается обратным потевцмлом и разряжается через
светодиод следующего оптрона только при пулевом потенциале на вхо-
де х, • Причем коггролируется обръш входаой деин;
3) беэопас&ио декодере парафазно кодированных ЛП и фазочувст-
вительного злемМта ЛП.
Считая невозможным пробой между свегоисточником и фотоприем-
ником оптрона, легко доказать качественную безопасность схемы [30].
На основе базово-коллекторной логики и оптоэлектронной техники
созданы гибридные интегральные схемы под названием ЕЛЕС [42]. Тех-
нология ивготовлвиия и конструкция соответствуют всем требованиям
99
безопасности. В корпусах размерами 20x20x5 мм встроены три модуля,
с помощью которых можно решать любые логические задачи.
ЛЭ с кодированными ЛП. Входы и выходы ЛЭ в рассмотренных
выше схемах не защищены по отношению к неисправностям типа ’’по-
стоянная 1” и ’’постоянный 0”. Это возможно только при кодирован-
ных ЛП.
Кодированные переменные имеют место в схемах на магнитных эле-
ментах с прямоугольной петлей гистерезиса, а также в феррит-транзис-
торных и феррит-диодных ячейках. Этн решения хорошо известны, но
плохо применимы в микроэлектронике. Поэтому отметим только воз-
можности рассмотренной выше оптоэлектронной схемы (см. рис. 3.22),
которая может работать и с кодированными логическими перемен-
ными.
ЛП поступают в кодированной форме на входы и х?. Нормаль-
но они имеют одинаковые фазы. Во время импульса транзистор открыт,
и конденсатор заряжается. Во время паузы транзистор закрыт, и конден-
сатор разряжается чераз светодиод. Нулевой потенциал на входе х2 не
мешает работе: диод VD1 направляет разряд только через оптрон.
Если сигналы обоих ЛП противофазны, то конденсатор не заряжается.
Обе его пластинки изменяют потенциалы, но одновременно. На выходе
нет сигнала. Если требуется сигнал при наличии сигналов, поступающих
в противофазе, то иснольэуют схему (см. рис. 3.22, б).
Логический элемент с кодированными ЛП не нуждается в декодерах.
Декодирование происходит на выходе системы после обработки инфор-
мации. Таким образом можно построить и безопасные элементы памяти,
которые ”не боятся” постоянных логических неисправностей па иходах
и выходах.
3.6. Квазнбеэопасные логические элементы
Поскольку класс квазибезопасных ЛЭ с декодированными ЛП не на-
шел широкого применения, рассмотрим один из представителей этого
класса - элемент резистивно-транзисторной логики (RTL-логика).
Принцип работы такого элемента состоит в двухканальной обработке
ЛП, кодированных парафазными импульсными сигналами, и в после-
дующем сравнении результатов с помощью элемента (см. рис. 3.21).
Последами выполняет функцию контрольного элемента. Трехвходо-
вая RTL-схема (рис. 3.23, а) выполняет мажоритарную функцию
У=х\х1 Vx\ 7 Х2 т-
На иход Т подается импульсный тактовый сигнал (рис. 3.23, в).
ЛЭ состоит из двух симметричных схем Ml и М2 (рис. 3.23,6). Каж-
дая из них является каналом обработки информации. В каждом полу-
периоде импульсного тактового сигнала Т обе RTL-схемы альтернатив- ’
но меняются местами: когда на входе М есть ситная 1, схема (см.
100
4) ч.(
“Ч
ПППП
Декодер ЛП
Кодер ЛП
Рис. 3,23. Схимы в диаграммы работы квазибезопаснсго элемента
Чп|
%tuj|
*ЕИ
i»>f_____
рис. 3.23, а) работает как элемент ИЛИ; когда на этом входе сигнал 0,-
то как элемент И. Выходы у. и у, подключены к схеме К,
Рассмотрим работу кодера Jul. Импульсный генератор высокой
частоты (см. рнс. 3.23, б) синхронизирует работу всей схемы. Логиче-
ские переменные в «скопированном влде представлены условно двумя
триггерами: А и В. Комбинированная схема кодера формирует ЛП
так, что в верхнюю схему подаются прямые инверсные значении х^х^.
В некоторый момент времени верхнийканаярешаетпогическуюзада-
чу ух = Xj У хг,аиижний канал - инверсную задачу у2 * Xj х~2 ~У~.-
В следующем полупериоде (момент времени г2) каналы меняются ро-
лями, но инверсное» выходных сигналов у^ и у2 сохраняется. При
исправной работе контрольный элемент К остается открытым; К ®
= у + уг » 1. Если хотя бы в одном полупериоде инверсяость сигна-
101
лов нарушается, контрольный сгаиая К становятся равным 0, что мо-
жет привести к остановке импульсного генератора ИГ.
В качестве декодера ЛП применяется схема, приведенная на
рис. 3.9, б. В обоих каналах декодированные устойчивые сигналы NI и
N2 также инверсны (см. рнс. 3.23, в). Изменяя связи между ИГ и эле-
ментами М1 и М2, данная схема может быть трансформирована в схе-
му ИЛИ. На этой же основе созданы и кваэибезопасяые триггеры.
В первой половине 70-х годов рассмотренная концепция фирмы
Siemens определяла перспективное направление развития СЖАТ. В
дальнейшем она переросла в концепцию ответственной микрокомпь-
ютерной обработки информации.
3.7. Самопроверяемые элементы
Самопроверяемые элементы обладают способностью обнаружения
отказов в процессе нормального функционирования по значениям вы-
ходных сигналов без дополнительной подачи на входы элемента спеди-
альных проверочных тестов инн без других способов его испытания.
С использованием самопроверяемых элементов строят сложные само-
проверяемые схемы. Функционирование элемента определяется на мно-
жествах входных выходных % и внутренних & состояний, на кото-
рых выделяются подмножества основных (рабочих) состояний X,
Z. S инекоторые подмножества защитных (ошибочных) состояний XR,
ZR, таких,что X(JXR С X,ZOZR Q_Z, SuSRC S, XHXR = Ф,
Z C\ZR=Z>,S OSR =0.
Элемент называется защищенным от неисправностей, если при
возникновении любой неисправности па заданного класса на любой ра-
бочей входной последовательности выходные состояния вычисляются
правильно в соответствии с функциями нереходов к выходов, описыва-
ющих работу элемента, или принадлежат множеству защитных состоя-
ний ZR.
Элемент называется защищенным от искажений на входе, если при
поступлении на вход состояния, принадлежащего множеству ошибочных
Рнс. Э.24. Схемы сврафазных логических элементов
102
Таблица 3.4
Таблица 3.2
X. *2 /
4’? Г /°
0 1 1 0 1 0 1
0 ' 1 1 0 0 1
1 -0 0 :1 0 1
1° 1 1° 1 0
состояний XR > на выходе элемента в том же такте работы формируется
состояние, принадлежащее множеству защитных состояний .
Элемент называется сам от ветируемым, если для каждой неисправ-
ности из заданного класса существует хотя бы одна рабочая входиав по-
следовательность, на которой появляется хотя бы одно выходное состоя-
ние, принадлежащее множеству защитных состояний ZR.
Элемент называется полностью самопроверяемым (ПСП-элемент),
если он защищен от неисправностей и искажений на входе и является
самотестируемым.
ПСП-элементы позволяют строят* 'легкоконтролируемые схемы,
котпрые обладают следующим свойством: любая неисправность рас-
пространяется от точки своего возшОЯ^янкя по возможным направле-
ниям к выходам схемы.
Рассмотрим ПСП-элементы, рабсйедМШе в парафазной логике. Для
представления двоичной переменной .'к выделяют две фазы сигнала
(две линии): единичную х* и нулевую х°. Значение логической 1
кодируется как х1 х° = 10, а эначсЩМлогического 0 - какх1 х° = 01.
Коды 10 и 01 соответствуют рабочим {Состояниям, а коды 00 н 11 —
защитным. Таблицы 3.2 - 3.4 )0ляются таблицами истинности
соответственно для функций И, ИЛЭЙНЕ в пврафазной логике. Им
соответствуют элементы, прниедашыв'» рис. 3.24. Функция НЕ реали-
зуется в результате перекоммутации фЙДО использовании дополнитеяь-
ной аппаратуры, г,1'.1
В табл. 35 приведены ненсдряаиости линий схемы элемента И,
из которой следует, что элемент яшямтся самотестируемым и защищен-,
ным от неисправностей.
Для каждой одиночной неисправноств выходной сигнав элемента
может быть правильным, иии принимает защитное жачение при одном
из наборов проверяющего теста £0110, 1001, 1010у. Аналогично функ-
103
Таблица 3.5
*1 / .г 1=0 X =1 х®=0 4- х*»0 'Г1 4-о ?-0 ?=1 Ao.Ai
01 01 01 0! 01 01 01 01 01 01 01 01 и 01 01
01 10 01 01 и 00 01 01 01 01 01 01 11 00 01
10 01 01 01 01 01 01 01 11 00 01 01 11 00 01
10 10 10 00 10 10 г 00 1Ь 10 11 00 10 00 11
ционирует элемент при нарушении парафазности на его входах. Таки-
миже свойствами обладают элементы ИЛИ и НЕ.
Любая комбинационная схема в результате замены элементов И,
ИЛИ, НЕ их парафазными реализациями преобразуется в ПСП схему,
обладающую следующими свойствами:
1) любая комбинация однонаправленных неисправностей приводит
к нарушению парафазности на выходе хотя бы при одном наборе про-
веряющего теста;
2) нарушение парафазности хотя бы на одном из входов схемы при-
водит к нарушению парафазности на выходе хотя бы при одном наборе
проверяющего теста.
В качестве элементов памяти в ПСП схемах используют самопрове*
ряемые парафазные триггеры [61]. Парафазный Т-триггер (рис. 3.25)
реализован в виде самопроверяемого асинхронного автомата и имеет
один парафазный вход Г1 парафазный выход Q1 0° и работает
в соответствии с таблицей переходов (табн. 3.6).
Таблица 3.6 Таблица 3.7
Т4 1° г1 т°
01 J 1J 2}3J4 10 01 10
1 (1), 01 2 ОНО (ОНО), 01 1010
2 3 (2), 10 1010 1001 (1010).10
3 (3), 10 4 1001 (1001), к 0101
4 1 (4), 01 0101 оно (0101), 01
104
Рис. 3.25. Условное обозна-
чение я схема парафааиого
Т-тритера
УстатИка! ТстапоЙка О
Используя кодированную табиицу переходов (табн. 3.7), получены
функции, описывающие схему парафазного Г-тригтера:
Л = Т°у2У Т'у3; у2- Т°у2ч Т'у*, О.'~У2.
У1 = Т1,У2 V Т'у3; ya =T°y2v Т’у4; е° =у2.
ПСП схема Г-триггера обладает свойством блокировки в защитном
состоянии при возникновении одиночных отказов и при нарушении пара-
фазноств входного сигнала. В указанных случаях схема переходит в одно
из защитных состояний (0000 или 1 111), при которых на выходе Ql Q0
устанавливаете* защитное выходное состояние 00 кии 11. Вывод тригге-
ра из защитном» состояния возможен только по цени установки. Оди-
ночные отказы обнаруживаются прн входной последовательности. 01, 10,
01, 10. Указанные свойства схемы достигнуты благодаря кодированию
ее состояний кодом ”2 из 4”.
Парафазный Т-триггер в ПСП схемотехнике используется в качест-
ве элементарной ячейки памяти (по аналогии с бистабильной ячейкой
105
в обычной схемотехнике), на основе которой может быть реализован
триггер любого типа.
Схема асинхронного D-тригтера (рис. 3.26) включает в себя Г-триг-
гер, схему установки и схему управления, которая описывается функ-
циями:
Тг = D1 Q° v &Q1-, Т° — (D1 v 0°) (0° V 01).
Парафаэные ПСП триггеры других типов имеют аналогичную струк-
туру. В табл. 3.8 приведены функции, описывающие схемы управления
асинхронных и синхронных триггеров основных типов.
Рис. 3.27. Условное обозначение и схема свнхровного IK-трип-ера
106
Таблица 3.8.
Функция Асинхронные триггеры Синхронные триггеры
D г1 =d1 Q°v D°Qt\ Г° = (О1 V <A«?°V Ql) Г1 =d‘ C1 Q° V I? С1 С1; 7° = 6Р° V С° V с1) to1 V С® V е°)
RS Г* =S* Q°VRl Q1-, r° = (S°V o°); Т1 “S1 С1 С° V R1 С* С1; r° = (S°v c°vCI)(«°vcov С*);
JK r1, “x’yjy” V y’> V r?v /’yj), , (7° V yjv X1 rj); T’=«°y;y,v y;>v V 70yJ<x' V yf); x (7‘v у} v ?y;> Г1=;(1у1„«у У»)С' V V/’y^^V у;>с‘; r? = <x°v y’v i‘y',v С°)х х y°v yjv к' y°v Л: Г'=Х°у£ (7*V У[>с‘ v V 7° Г°2 (X1 V У?) C‘: 7J° = <X,V У«У 7» У° V C°> x x(7'v yjv X°r; V Л
Синхронные триггеры имеют парафазный синхронный вход С1 С°.
Для реализации синхронного ПСП УК-триггера требуется два ПТ•
триггере (рис. 3.27).
Рассмотренные ПСП логические элементы и триггеры образуют
функционально полный набор элементов для реализации самопроверяе-
мых схем без применения избыточного кодирования состоянии кодом
с обнаружением ошибок. В этом случае процедура синтеза схемы такова.
Состояния дискретного устройства кодируются неизбыточным кодом
и вычленяются функции включения внутренних элементов памяти и вы-
ходные функций.
Логический К выходной преобразователи строятся в виде ПСП пара-
фазных схем. В качестве элементов памяти применяются пнрефазные
триггеры. Устанавливают схемы контроля, фиксирующие парафаэность
выходных сигналов устройства.
При помощи ПСП триггеров строит различные типовые ПСП циф-
ровые схемы, например схему двухступенчатого УК-триггера (рис.328).
107
Рис. 3.28. Схема двухступенчатого
ЗК-тригтера
Если С* С° = 01 , то триггер закрыт для приема информации. С поступ-
лением тактового импульса, когда С1 С° = 10, триггер первой ступени
воспринимает информацию на входах JlJ° и К1 К°. В это время
О-трнггер, входящий вр вторую ступень, не реагирует на изменения,
сигналов на входах I/ и 0е, поскольку на его входах С1 С° присутству-'
ют сигналы 01. После изменения тактового импульса, когда б1 с = 01,
информация переносится из первой во вторую ступень и иа выходах
Д-трнгтера Q1 и 0° появляются новые значения сигналов. Свойство
самопроверяемости данной схемы определяется самопроверяемостью
Рис. 3.29. Схема и временнеп
диаграмма работы двоичного
счетчика
108
Рис. 3.30. Схема L.---------,J‘-cnT |
распределителя контрольна
обоих триггеров. Блокировка в защитном состоянии /К-трштера приво-
дит к немедленной блокировке и D-тритгера, поскольку нарушается
парафазность на входах* D и D.
Схема асинхронного двоичного счетчика (рис. 3.29, а) построена
с использованием парафазных Т-триггеров. Триггеры соединяются по-
следовательно, причем прямой выход предыдущего триггера соединяет-
ся с прямым входом следующего, а инвероуяй выход предыдущего -
с инверсным входом следующего. Врамениая диаграмма работы счет-
чика представлена на рис. 3.29, б.
Исправность схемы контролируется на парафазных выходах послед-
него триггера- Если возникает неисправность в каком-нибудь из триг-
геров, он блокируется в защитном состоянии, и в том же такте работы
счетчика происходит блокировка триггеров, включенных после неис-
правного. На выходах Q и Q этих триггеров и на контрольных выходах
устанавливаются одинаковые сигналы, что воспринимается последую-
щими схемами как отказ счетчика.
На базе двоичного счетчика может быть построена ПСП схема рас-
пределителя, осуществляющего лараллельно-посяедовательное распре-
деление сигналов (рис. 3.30). Она состоит из счетчика и дешифратора,
реализующего рыходные конъюнкции г , ?3, • ., vg- В каждый мо-
мент времени только на одном выходе распределителя присутствует
сигнал логический 1. Это контролируется специальной самопроверяе-
мой схемой 1/8$рТ с парафазный выходом. При возникновении не-
исправностей a /JteMe счетчика и блокировке одного нии нескольких
парафазных триггеров в эапщтиом состоянии на всех выходах распреде-
лителя устанавливаются сигналы 0, или появляются два или более сигна-
лов!. Эго приводиткнарушениюпарафазностинавыходе схемы 118-СПТ
То же самое происходит и при возникновении отказов схем И дешифра-
тора.
109
Глава 4
НАДЕЖНЫЕ ПРОГРАММНЫЕ РЕАЛИЗАЦИИ
УПРАВЛЯЮЩИХ АЛГОРИТМОВ
4-1- Понятие о программной реализации
алгоритмов
Особенностью современного этапа развития СЖАТ, как отмечалось
в гл. 1, является использование для их построения микропроцессор-
ной и компьютерной техники. При этом качественное отличие таких
СЖАТ от используемых ранее состоит в том, что в них алгоритм функ-
ционирования выполняется программным способом. Ках известно (10],
любой процесс, который может быть реализован аппаратными средства-
ми, также можно реализовать и программными средствами. Поэтому
у разработчика новых СЖАТ существует альтернатива - каким способом
осуществить тот или иной алгоритм.
Рассмотрим эту альтернативу на примере вычисления- функции
алгебры логики
f-ab\ cd (рис.4.1,а).
Для программной реализации этой функции необходимо иметь
некоторую вычислительную систему, состоящую из трех основных
блоков (рис. 4.2): блока управления БУ, который осуществляет управ-
ление процессом вычисления, арифметически-логнческого устройст-
ва АЛУ, выполняющего некоторое множество арифметических и логи-
ческих операций по команде из БУ, и запоминающего устройства ЗУ,
предназначенного для хранения программы и данных, с которыми вы-
полняются операции. Запоминающее устройство состоит из ячеек памя-
ти, которые имеют порядковые Номера и представляют собой двоичные
регистры. Число разрядов регистра определяет разрядность микропро-
iKCCOpe. Применяют 8, 16 и З&резрядиые микропроцессоры.
Пусть переменные а, Ь, с' и d находятся в ячейках Памяти б, 7,
8 и 9 (см. рис. 4.2). Запишем п^рограмму вычислении функияи (4.1).
Она содержит пять команд, которые хранятся в ячейках памяти 1-5
(программа 1): 1) перемножить содержимое ячеек 6 и 7; 2) резуль-
тат переапяп л ячейку 10- 3) трааюжип содержимое ячеек 8 и 9;
4) результат переслать в ячейку 11', 5) сложить содержимое ячеек
10 и 11.
Сравним аппаратную и программную реализации алгоритмов.
Аппаратная реализация алгоритмов имеет максимальное быстродей-
ствие. Время вычислений определяется задержками операционных эле-
ПО
-'Л & 1''
ментов (микросекунды, наносекунды) - При этом осуществляется мак-
симальное число параллельных во времени вычислений. Так,в схеме
(см. рис. 4-1, а) паралленъно выполняются операции ab и cd.
При программной реализации быстродействие существенно умень-
шается, поскольку, все вычисления выполняются последовательно во
времени. Весь провес разбивается на ряд операций (команд), которые
в свою очередь также разбиваются на ряд последовательных микроопе-
раций. Однако слеДует сказать, что в большинстве случаев этот недо-
статок не является решающим, поскольку быстродействие выполнения
самих микроопераций весьма высокое. Для практических задач это
быстродействие вполне достаточно даже для систем, работающих в реаль-
ном времени.
Программные системы обладают важным достоинством - универ-
сальностью. Аппаратные реализации не обладают универсальностью (си-
стемы "с жесткой логикой”)- Эго значнт, что изменение алгоритма ра-
боты системы потребует и изменения в аппаратуре. Например, чтобы вы-
числить функцию / = (а v fe) (с v d), отличную от функции (4.1),
необходимо построить другую схему (рис. 4.1, б), отличную от схемы
(см. рис. 4-1. а). В программной системе для этого достаточно написать
другую программу (программу 2) и разместить ее в другой области па-
мяти ЗУ (в ячейках 12-16, см. рис. 4.2). Программа 2 содержит
следующие команды: 1) сложить содержимое ячеек 6 и 7; 2) резунь-
тат переслать в ячейку 10; 3) сложить содержимое ячеек 8 и 4) ре-
зультат нереспать в ячейку 11; 5) перемножить содержимое ячеек
10 и 11.
Таким образом, программные реализации алгоритмов дают систе-
мы ”с гибкой логикой”, способные решать различные задачи с исполь-
зованием одних и тех же аппаратных средств. При этом БУ обращается
к той нои иной области памяти прогремм. В данном примера в пачале
вычисления функции / БУ допжея обратить» к ячейке 1 юи 12.
Ptre.4.1. Схемы ад&ратной реализации
алгоиитмов
Рис- 4,2. Схем» программной реализации
алгоритмов
Ш
Универсальность программных сред-тв, их многофункциональ-
ность и определяют широкое применение в современных устройствах
автоматики микропроцессоров и микроЭВМ.
4.2. Программные реализации функций алгебры логики
и автоматов I
Основой систем железнодорожной автоматик* являются дискрет-
ные устройства, которые подразделяются на два больших класса: комби-
национные автоматы (схемы без памяти) и последовательные автоматы
(схемы с памятью) [16], Аппаратная реализация этих устройств бьша
основным способом построения СЖАТ до начала 80-х годов. Алгоритмы
управления, которые выполняются с помощью дискретных устройств,
также можно подразделить на комбинационные и автоматные. При вх
программной реализации могут быть использованы методы, основанные
на известных способах синтеза автоматов на аппаратных средствах,
или специальные методы, удобные только для программных средств.
Комбинационные алгоритмы чаше всего задаются с помощью функ-
ций алгебры логики, которые являются математическим аппаратом для
представления комбинационных схем. Шкрокое практическое использо-
вание методов программной реализации ФАЛ стало возможным только
в микропроцессорных системах. При этом качество программ оценивает-
ся следующими показателями: числом команд в программе; объемом
памяти, необходимой для описания функции; объемом промежуточ-
ной памяти, необходимой для хране-
ния промежуточных результатов вы-
числений; временем работы про-
граммы в выбранных единицах из-
мерения (пропорционально числу
выполняемых команд).
Существуют компиляционные и
интерпретирующие методы про-
граммной реализаций дискретных
устройств 152]. При компиляци-
онном методе для каждого дискрет-
ного устройства создается своя про-
грамма. Достоинством этого метода
является то, что при выполнении
программы не требуется ввода в
ЭВМ исходных данных, кроме набо-
ра входных переменных и слова
аачальиого состоянии (для автома-
тов с памятью). К компиляционным
относятся методы непосредственного
вычисления ФАЛ и метод бинарных
Рис. 4.3. Структурная схема про-
граммы непосредственного
вычисления
112
Таблица 4.1
Комая. m Метка Мнемокод команды Операнды Комментдрнё
1 START LXI ff, BASE Адресация Ml
2 IN VARI a * A
3 МОУ M, A a + Ml
4 1NX H Адресация М2
5 IN VAR2 b * A
6 MOV M. A b М2
INX H Адресация М3
S IN VAR3 e -* A
9 MOV M, A c -* М3
10 (MA A Вычисление e
]] DCX H Адресация М2
12 ANA M Вычисление be
13 MOV B, A be ~*B
14 MOV A,M b -*A
13 CMA A b
16 mx H Адресация М3
17 ANA M be
13 ORA В be V be
19 DCX Н *}
L Адресация Ml
20 DCX "S
21 ANA M f=a(bc V be}
22 OUT RES Вывод f
23 IMP START I Переход к команде I
программ. При интерпретирующем методе строят универсальную
программу, что является его достоинством. Однако при выполнения
программы необходимо вводить в память ЭВМ данные о конкретном
дискретном устройстве. К интерпретирующим методам относятся метод
адресных прауамм, метод отображения входного набора я метод адрес-
ных перехода».
Метод нв(^>средствеиного вычисления ФАЛ рассмотрим на примере
функции у<
y=a(tcVbc)-
Структурам схема программы (рис. 4.3) вычисляет отдельные
части логической формулы в соответствии с законами алгебры логики.
Втабл.4.1 приведена программа на языке Ассемблер.
ИЗ
Цифрами внутри прямоугольников на рис. 4.3 указаны команды,
которые реализуют соответствующий блок программы. Переменные а,
Ь, с подаются в порт ввода с именами VARI, VAR2, VAR3, а результат
вычленения выводится в порт с именем RE'S. В памяти выделена об-
ласть из трех ячеек Ml, М2, М3 для хранения соответственно перемен-
ных а, b в с. Адрес ячейки Ml имеет имя BASE. Переменные пред-
ставлены значениями 0 и 1. Для каждой переменной отводится 1
байт, т. е. одна ячейка памяти, имеющая восемь раврядов (в восьмираз-
рядном микропроцессоре). Поэтому значению 0 соответствует ело-
во 00000000, а значению 1 - слово 00000001.
Метод непосредственного вычисления обладает простотой и нагляд-
ностью. Размеры программ и время их вычислений определяются слож-
ностью конкретных булевых формул.
Метод бинарных программ основан на том, что процесс вычисле-
ния ФАЛ можно свести к последовательности выполнения коменд услов-
ного перехода i: если Л, то /, иначе i + 1,где i - порядковый номер
команды; А — булева переменная, значение которой проверяется дан-
ной командой. Если А = 1, го осуществляется переход к выполнению
команды с порядковым номером /, ежи А =0 - переход к выполне-
нию команды с порядковым номером i + ].
функция (4.2) вычисляется по бинарной программе (рис. 4.4).
В табл. 4.2 приведена ее запись на изыке Ассемблер.
Первые девять команд совпадают с соответствующими командами
в табл. 4.1. Метод бинарных программ имеет наибольшее быстродел-
Рис. 4.4- CxtMa бинарной про-
граммы
Рнс. 4.5. Схема программы адрес-
ных переходов
П4
Таблица 4.2
Комвв- М Метка Мнемокод команды Операнды Комментарий
1 START LXI H, BASE Адресация Ml
10 OCX «I
11 DOX я J Адресация Ml
12 MOV A, M g A
13 ANA A Установка флажка z
14 JZ RESO Анализ значении a
15 INX H Ajsftcawui М2
16 MOV A.M b -»4
17 ANA A Установка фляжка z
18 JZ ANAL Анализ значенвн b
19 INX H Адресация М3
20 MOV A.M г А
21 ANA A Установка флажка г
22 JZ RES1 Анализ значенвн с
23 RESO MVl A. OOH Загрузка в аккумулятор константы 0
24 OUT RES Вывод значения /=0
25 JMP ,STAPT Переход к команде 1
26 ANAL INX H Адресация М3
27 MOV A.M С
28 ANA A Устансввн флажка z
29 JZ RESO Анализ Лечения с
30 RES1 MVI A. OIH Загрузке в аккумулятор коясяИы 1
31 OUT RES Вывдя зиачеивн / = 1
32 JMP START Переход к команде 1
ствие ереди мойпялядиониых методов и N9 требует оперативной памяти
для хранения промежуточных результате» в отличие от метода непосред-
ственного вьИЯслеяни. Недостатком Метода является громоздкость
программы пребольшом числе переменных.
РассмотриЙгМетод адресных переходов (рис. 4.5 к табл. 4.3), суть ко-
торого заключатся в следующем.
Предварительно вычисляются значения функции на всех возможных
входных наборах. Зти значения заносятся в таблицу значений, которая
хранится в памяти микропроцессорной системы. Каждому входному
набору однозначно соответствует одна ячейка памяти, в которой хранит-
ся значение функции на этом наборе.
115
В табл. 4.4 приведены значения функции (4.2) при всех входных
наборах. Для хренения таблицы значений в памяти микропроцессорной
системы выделяется область из восьми последовательно расположенных
ячеек. Адрес первой ячейки, где хранится значение функции на двоич-
ном наборе ООО, имеет имя TABLE. Остальные ячейки имеют относи-
тельные адреса (относитально ячейки TABLE), совпадающие с десятич-
ным эквивалентом соответствующего двоичного набора. Поэтому сложе-
ние двоичного набора, на котором кадр определить значение функции,
с числом TABLE дает адрес ячейки, где хранится искомое значение
функции.
Таблица 4.3
Коман- да Метка Мнемокод команды Оперенды Комментарий
1 START IN VARI e -» A
2 RAL A Сдвиг влево содержимого аккуму- лятора
3 RAL ^4 Сдвиг влево
4 MOV B, A Пересылка А * В
3 IN VAR2 Ь А
6 RAL Д Сдвиг влево
7 ORA . 9 Логическое сложение содержимого регистров А и В
8 MOV B.A Пересылка содержимого аккумуля- торе в регистр В
9 IN VAR3 С А
10 ORA В Формировение в аккумуляторе вход- ного набора
11 MOV C.A Пересыпка входного наборе в ре-
12 MVl B, OOH Загрузка в регистр В констенты 0
13 LHLD TABLE Загрузка в регистровую пару HL адреса TABLE первой ячейки об* лести пемяти хранении таблицы зна- чений функции
14 DAD В Сложение адреса TABLE с относи- тельным адресом входного наборе, сформированным в регистровой па- ре ВС
15 MOV A,M Пересыпка в аккумулятор значении функции f
16 OUT RES Вывод эначенвн / в порт RES
17 IMP START Переход к комяде 1
116
Таблица 4.4
Адрес ячейки памяти
О
О
О
о
о
о
о
о
о
TABLE
TABLE + 1
TABLE + 2
TABLE + 3
TABLE +4
TABLE + 5
TABLE + 6
TABLE +7
о
о
о
о
Вначале программы (команды 1—10 в табл. 4.3) компонуются
входные переменные для объединения их значений в одном байте. Прк
этом второй разряд байта отводится для значении а, первый - для зна-
чения b и нулевой - для значения с. Остальные разряды байта рев-
ны 0. Адрес ячейки памяти, где хранится значение функции на данном
входном наборе abc, получается операцией DAD — сложения с двойной
точностью содержимого регистровых пар HL и ВС. Значение искомой
функции находится в миадшем разряде слова, считываемого из памяти.
Достоинством метода адресных переходов является его наибольшее
быстродействие среди всех методов программной реализадаи ФАЛ, а не-
достатком — большой объем памяти, требуемый для хранения таблицы
значений. Метод является интерпретирующим, поскольку одна и та же
программа используется для вычисления различных функций. Если в па-
мяти системы хранятся таблицы значений нескольких функций с извест-
ными адресами первой ячейки соответствующего массива памяти, тс
программа настраивается на вычисление конкретной функции измене-
нием имени TABLE в команде 13 (см. табл. 4.3) ив соответствующее
ими первой ячейки.
Пря программной реализации дискретных устройств (ДУ) с па-
мятью используется их представление в виде таблиц переходов вли ло-
гических функций. Рассмотрим три способа программной реализации на
примере автомата определения направления движения АНД поезда
(рис. 4.6). ДЗДя определении направления Движения на пути устанавли-
вается два иуивых датчика х. и х}. С вступлением колесной пары в
зону действия Датчика формируется сищвЙ х = 1. АНД имеет два вхо-
да xt и х2 'Хри выхода. На выходах Ч и Н формируются сигналы 1
при соответствующем направлении движения. Невыходе С формирует-
ся сигнал счета npi прохождении одной оси поезда через контрольную
точку. Зоны действия датчиков перекрываются, поэтому при прохожде-
нии колеса над ними одновременно формируются сигналы х( = 1 и
Рмс. 4.6. Функциональная
схема АЛД
Рис. 4.7. Граф переходов
АНД
Вершины графа переходов АНД (рис. 4.7) соответствуют внутрен-
ним состояниям автомата, а дуги ~ переходил между ними. Каждой
дуге соответствует значение сигналов на входах, под действием кото-
рых данный переход осуществляется. Каждому состоянию соответству-
ет значение сигналов на выходах Ч, С и Я. Состояния автомата имеют
следующий смысл: 1 - "Начальное состояние, в зоне действия датчи-
ков нет колесной пары”*, 2 — "Колесная йаравступила в зону действия
датчика в четном направлении движения”; 3 —’’Колесная пара на-
ходится в эоне действия датчиков х. их,, формируется сигнал на вы-
ходе Ч"', 4 — "Колесная пара освободим эону действия датчика х, я
находится в эоне действия датчика х2>„формируется сигнал на выхо-
дах Ч и С”. Состояния 5- 7 имеют- аналогичный смысл для нечет-
ного направления движения. '
Другим способом задания алгоритма работы автомата является
составление таблицы переходов (табл. 4.5) нтаблицывыходов (табл. 4.6).
Строки таблиц соответствуют внутренним состояниям s автомата,
а столбцы - состояниям входов. В клетках таблицы переходов указы-
ваются переходы схемы из одного состояния в другое. Обозначение ~
(см. табл. 4.5) соответствует случаю, когда некоторые значения сигна-
лов на входах х, и х2 не могут поступать на вход схемы, находящей-
ся в некотором состоянии. При этом работа автомата не определена.
В клетках таблицы выходов проставляются значения сигналов на выхо-
дах Ч, Н и С, соответствующие состояниям автомата (см. табл. 4.6).
При аппаратной реализации автомата его состояния кодируются.
Составляется кодированная таблица переходов (табл. 4.7), по которой
вычисляются ФАЛ, описывающие схему автомата:
У1 v Л ’’з) v MX1V У,У. Y2~x,'' 3
уз 7 v v Г <4-3)
//• у,у3; у,у2: у2у,. J
Первый способ программной реализации заключается в непосредст-
венном представлении в виде программ таблиц переходов и выходов
(реализация абстрактного ДУ) (рис. 4.8). Между этой программой и
графом переходов АНД (см. рис. 4.7) существует следующее соответ-
ствие: прямоугольник, содержащий оператор программы, соответствует
состоянию ДУ, а ромб соответствует изменению входов. После инициа-
лизации программа переходит к обработке состояния s = 1. Пре этом
в выходной порт передаются сигналы Н ~ О, Ч в О, С = 0. Далее во
входном порту принимаются переменные xt,x2 и осуществляется их
анализ-Когда значения х. и х2 становятся равными, например 1 и 0,
программа переходит к обработке состояния e 2, и в выходной порт
передаются сигналы Н = 0, Ч ~ 0, С = 0. Анализируются новые эначе-
Тэбляца 4.7
Л-’Vi Х1 Х2 Сигнал иа выходе
00 01 10 1 ,11 L2_ с н
1 001 001 101 010 0 0 0
2 010 001 -"•w oip. ' 011 0 0 0
3 Oil 100 010 011 0 1 0
100 001 100 по 0 1 1
101 001 101 по 0 0 0
6 110 101 ш 110 0 0
7 111 001 111 он 0 1
U9
Рис. 4.8. Структурная аема программы АНД
120
Таблица 4.8
Метка Мнемокод команды Операнды Комментарий ,
CALL SI Вызов подпрограммы S1
LOOPI CALL VF Вызов подпрограммы VF
JMP LOOP] Переход к метке LOOPI
ния входных переменных и т. д. Таким образом, основная часть времени
при реализации программы затрачивается на анализ входных перемен-
ных, и только при соответствующем их изменении выходные сигналы
передаются в выходной порт.
Достоинствами данного способа программной реализации являются
его наглядность, простота составления блок-схемы программы, высокое
быстродействие. Последнее качество определяется быстротой анализа
входных переменных, что можно сделать методом бинарных программ.
Программа является компиляционной.
При использовании интерпретирующего метода (второй способ)
таблицы переходов и выходов необходимо хранить в памяти микропро-
цессорной системы. В табл. 4Л приведена основная интерпретирующая
программа реализации ДУ по кодированным таблицам (реализация
структурпото ДУ).
Предполагается использование двух типов подпрограмм: подпро-
граммы определения следующего состояния ДУ по таблице переходов
(назовем ее подпрограммой S1) и подпрограммы определения значе-
ний выходов по таблице выходов (подпрограмма EF).
Подпрограмма 3/ (рис. 4.9 и табл. 4.9) с помощью кода текущего
внутреннего состояния и кода входною набора определяет повое со-
стояние ДУ.
В табл. 4.10 представлена карта памяти констант и переменных, ис-
пользуемых в ней. Табпипа переходов (см. табл. 4.7) занесена в массив
памяти с адресами ячеек 2204-221F. Каждая ячейка соответствует
графе табл. 4.7. В ячейке записывается содержимое графы в разря-
дах D. — D2 (остальные разряды равны 0). При этом для нустых
граф также выявляются ячейки памяти, к которым при реализации не
Г»Вращаются. В ячейке 21FD. хранится код текущего состояния ДУ,
а в ячейках 21FE и 2 IFF хранится двухбайтный базовый адрес 2200
массива памяти, относительно которого рассчитываются адреса соответ-
ствующих граф таблицы переходов.
Рассмотрим работу подпрограммы 3/ (см. табл. 4.9) при поступ-
лении входною набора х, х2 - 10, который переводит ДУ из состоя-
121
Начале J
tefoS переменных x,,;itu> порта
I регистр в
\~ Начало
Чтение текущего состояния
автомата. »i
: Чтение текущего состояния
адтана/па Si
Формирования адреса,
состояния Sit/
Г --------------------
Прасдоение состоянию
Значения S-L-Si-u
--------г —
Хранение состояния Sc
[Формародание адреса выходного I
дектора
I Выдав выгодного дектора I
д порт В
возврат В асмдную
программу
Возврат i еснодную
программу
Рис. 4.16. Схемаподпрограммы VF
ч-----------------------------
Рис. 4.9. Схема подпрограммы S1
ння 1 в состояние 2 (см. табл. 4.7). Перед обращением к подпрограм-
ме S1 во время инициализации (см. табл. 4.8) в ячейку 21FD записы-
вается код начального состояния 1 (00000100). После вызова подпро-
граммы CALL Si осуществляется пересылка содержимого регистров
Таблица 4.9
Коман- де Мнемокод команды Операнды Комментарий
PUSH В ) Сохранение регистров В. С, Н, L, PSW в
1 PUSH я > стеке
3 PUSH PSW J
4 IN port A Ввод входного вектора (xt
5 MOV B.A Сохранение *2 в регистре В
6 LDA 21FD Чтение текущего состояния автомата г/
7 ORA В ,lVXiX2
MOV В, A Сохранение s( V х *2в регистре В
9 LHLD 21FE Запись базового адреса
10 MOV L.B формирование младшего байта адреса со-
сгонная
Н MOV A,M Чтение состояния а.
12 STA 21FD Присвоение состоянию сосюяння t. + .
13 POP PSW ) Восстановление регистров
14 POP H > PSW. Н. L, В, С
15 FOP г J
16 RET Возврат в основную программу
121
Таблица 4.10
нем ятя-
ОЗУ
в,
21FD
21FE
21FF
2204
2205
2206
2208
220А
220В
220D
220Е
220F
2210
2211
2213
2214
2215
2217
2219
221А
221В
221С
221Е
221F
В, С, Н, L, PSW в стек для их хранения и вводится входной набор 10.
При этом значения и х2 записываются в разрядах и в ре-
зультате чего формируется бант 00000010. Затем выполняется логи-
ческое сложение банта входного набора и байта внутреннего состояния:
00000010 V 00000100 = 00000110“ (0б)16.
В регисповой паре HL формируется адрес 2206 ячейки памяти,
откуда считывается код 00001000 нового состояния ДУ - код состоя-
ния 2. Это^ЯТД записывается в ячейку восстанавливаются ре-
гистры В, Citi, L, PSW и осуществляется возврат в основную про-
грамму. ф
Подпрограмме VF (рис. 4.10 и тМп. 4.11) по коду текущего
внутреннего состояния ДУ определяет значения всех его выходов.
В табл. 4.12 тжязана карта памяти ксвспнт, исповьзуемых в ней. Табли-
пи выходов (см.пбл.4,6)занесвнавмассивпамятисадресамиячеек 2224,
123
Таблица 4.11
Коман- да Мнемокод команды' 1 Операнды Комментарий
PUSH Сохранение содержимого регистров Н. L, PSW
2 PUSH 1 PSW j в стеке
3 LHLD 1 21FB Запись базового адреса (20 , 22 * И)
LDA 1 2JFD Чтение текущего состояния
5 ORA I L Формировянне млащнеГо байт» адреса выход-
того состояния
6 MOV I A A~*L
7 MOV 1 A. M Чтекие выходного состояния
8 OUT : port в Вывод выходного Состояния в порт В
9 POP . PSW ? Восстеновлеиие регистров
10 POP « J PSW. Н. L
11 RET ' A Возврат в основную прогремму
2228,..., 223С. Значения выходов записываются в разрядах D7 - Ds,
остальные разряды равны 0. В ячейках 21FB и 21FC хранится двух-
байтный базовый адрес 2220, относитаяьно. которого рассчитываются
адреса соответствующих граф таблицы выходов.
Рассмотрим работу подпрограммы VF после выполнения подпро-
граммы S1, когда ДУ переходит в состояние 2 ив ячейке 21FD запи-
сан байт 00001000. После вызова подпрограммы CALL VF содержи-
мое регистров И, L, PSW пересылается в стек и выполняется чтеяке со-
держимого ячейки 21FD. Затем осуществляется логическое сложение
байта внутреннего состояния и младшего байта адреса графов таблицы
выходов: 00001000 V 00100000 = 010010000 = (28) 16. В регистровой
Таблица 4.12
Адрес памяти ОЗУ Содержание разрядов
о7 я« °s «4 пз °, Do
21FB 0 0 1 ‘0 0 0 0 0
21FC 0 0 1 0 0 0 1
2224 0 0 0
2228 0 0 0
222С 0 1 0
2230 0 1
2234 0 0 0
2238 1 0 0
223С 1 0 1
124
паре № формируется адрес 2228 ячейки памяти, откуда считывает-
ся состояние выходов ДУ (байт 00000000).
Рассмотренный способ программной реализации ДУ является интер-
претирующим. Если в памяти микропроцессорной системы хранятся
таблицы переходов и выходов нескольких ДУ, то для их обработки
можно использовать одни и те же подпрограммы. Они настраиваются
на опредаяенное ДУ указанием соответствующего базового адреса. Раз-
личные ДУ можно обрабатывать последовательно во времени без внеш-
них сигналов прермиания. Недостатком данного способа является сниже-
ние быстродействия программы по сравнению со способом непосредст-
венной программной реализации ДУ по таблицам переходов и выходов.
Если.таблицы переходов и выходов имеют слишком большие разме-
ры, то проще реализовать ДУ в результате вычисления системы булевых
функций, например системы (4.3). Это вычисление можно выполнить
любым методом, описанным выше. Данный способ является компиляци-
онным. Он позволяет параллельно во времени обрабатывать несколько
одинаковых программ ДУ одним процессором, используя свойство
поразрядной обработки ФАЛ.
Рассмотренные способы программной реализации автоматов не ис-
черпывают всех вариантов построения программ. Возможно их взаим-
ное дополнение, объединение, создание новых алгоритмов. Выбор кон-
кретной программной реализации определяется требованиями к разра-
батываемой системе с точки зрения ее функциональных возможностей
и быстродействия, Например, способ реализации по графу переходов це-
лесообразно использовать, когда в микропроцессорной системе обраба-
тывается программа одного автомата с требованием максимального
быстродействия. Способ по таблицам переходов и выходов удобно ис-
пользовать, если требуется реализовать несколько автоматов в одной
системе и нет серьезных ограничений по быстродействию. Способ реапн-
запин в результате вычисления системы ФАЛ применяют при необходи-
мости параллельной во времени обработки нескольких одинаковых
автоматов.
4.3. Проблема безотказности и безопасности
программного обеспеяиния
Как ужЬ отмечалось, современная микропроцессорная система-един-
ство апиарапва и программных средств; По мере развития микропро-
цессорной твцкки, расширения ее возмомЬостая благодари улеличению
разрядности, быстродействию и объемов памяти, постоянно возрастает
чисио функций» выполняемых программными средствами. Материальные
затраты на разработку программного обеспечения (ПО) в таких систе-
мах ыогут составить до 90 % общих затрат. Поэтому возрастает важность
проблемы надеяпдоти программ.
Отказы ПО возникают в результате ошибок программиста, допу-
щенных при написании программы, и в результате отказов аппаратных
12$
ервдств вычислительной системы, проявившихся .при реализации про
граммы.
Рассмотрим примеры таких отказов в программе LIGHT — вычис-
ление условий открытия входного сигнала Й на станции (рис. 4.11, а)
при приеме поезда на путь Ш. Пусть открытие светофоре Й возможно
только при одновременном выполнения уеновий: нажата кнопка НК
светофоре; свободен стрелочный участок 1СП стрелки 2; свободе
путь приема Ш; имеется контроль плюсового положения стрелки (кон-
такт ШК) (рис. 4.11, б). Тогда программа LIGHT вычисляет функ-
цию / = х( х3 х3 х4. Уеновия х3,хэ и х4 - условия безопасности,
поэтому /оп - x,v *,v«4.
В схеме хранения и пересылки данных программы LIGHT (рис. 4.12 и
табл. 4.13) в микропроцессорной системе данные х1,х2,хэ,х4 хранят-
ся в ЗУ в ячейках с адресами Ml, М2, М3, М4. В начале программы про-
исходит загрузка этих данных в регистры общего назначения РОН,
в конце - вывод значения функции f в выходные порты.
Рассмотрим механизмы возникновения отказов в программе. При ее
записи используют три основные группы символов: предметные, функ-
циональные и предикатные. Предметные символы определяют данные,
с которыми работает программа. Обычно этим данным присваивается
свмнопическое имя. В программе LIGHT предметными являются симво-
лы входных переменных Ml—М3. Обозначим множество предметных
символов (сх'с2...........ст} • Функциональные символы F =
= f/1. .....Jny определяют арифметические и логические операции,
которые выполняет процессор (типы ANA, ORA, ADD и др.). Преди-
катные символы Р=[р.,р2..........Pjfl соответствуют командам без-
условных и условных переходе» (типы АйИР, JUMP IF) и командам пе
ресылки данных (типы MOV, OUT и др.). Предикат в отличив от функ-
ции принимает только два значения: истинное (hue) и ложное (false).
Формальной модевью отказов программы может служить искажен»
символов ее языка. Подобно тому как физические неисправности схе
мы автомата модевируются ложными переходами символов его состоя
ний Sj -* s. (см. п. 2.3), отказы программ могут моделироваться
Рис. 4.11. Сх емы, поясняющие условия открытия входного сигнала
126
I
Открытие Закрытие
сигнала Н сигнала Н
Р | g | > | g | g [ g | g | g [*<M 8
р | g | / | f | g р | g | g | gt4 8
Рис. 4.13. Искажение кода команды
Рис. 4.12. Схема хранения и пересыпки
данных
ними переходами предметных, функциональных и предикатных сим-
волов: с, * cf, f.-> fjt р. * р..
Например, в программе LIGHT программист сделан ошибку в
команде N3 и записал: MOV С, М2. Это вызывает искажение пред-
метных символов типа М3 -* М2, и в регистре С записывается значе-
ние переменной х2 вместо значения переменной х3. Тогда программа
вычисляет ошибочную функцию /’ = х2 х^ х4 х2 х4. Такое
эквивалентное искажение функции в контактной схеме (см. рис. 4.11, б)
возможно, если монтажник вместо контакта 277 установит контакт 2(77
(рис. 4.11, в). В результате при открытия сигнала Н ие проверяется
свободность пути приема, и отказ является опасным, так как выполняет-
ся уеновие (2.39):
Предположим, что в программе произошло искажение функцио-
нальных символов ANA В -* ORA В при вынолнеши команды N3
из-за сбоя в аппаратуре. Для этого достаточно искажения одного разря-
да кода команды в микропроцессоре К580 (рис. 4.13). В результате
программа вычленяет ошибочную функцию f - (х. V х2)х3 х4, что
равносильно последствиям в контактной схеме неправильному монта-
жу (рис. 4.1 Это опасно, так как
= *2>«2 Х. <*2 V *Э ’Ч) = *! *! *, *4 * °-
Прнмерем жкажения предикатных символов в программе LIGHT
может служить Трансформация команды N8JZ (переход по нулевому
реэулътжзу) в команду JHZ (переход но ненулевому результату), в ре-
зультате чего вычисляется инверсная функция /. В схеме на рис. 4.11, а
аналогичного дефекта нет.
127
Таблица 4.13
1Г коман- ды Команда Мнемокод команды
1 Переслать содержимое из ячейки Ml в ре- MOV A. Ml
негр А
2 То же из М2 в В MOV В. М2
3 То же из М3 в С MOV С, М3
4 То же из М4 в D MOV D. М4
5 Перемножить содержимое регистров А и В ANA В
б То же для регистров А и С fr, х2ж3) ANA С
7 То же для регистров А и D(f =Xj л2 *3 х4) ANA D
8 Еени содержимое А равно 0, то переход к команде 10, в противном случае - к енедующе! JZ 10
9 Вывод значения функции в выходной регистр xrtl OUT port!
10 Тоже ъ ports OUT port2
Приведенные примеры показывают, что ошибки программиста и
отказы аппаратуры вычнслительпой системы приводят к искажению
символов программы и нарушению процесса вычислений, причем эти
нарушения могут вызвать опасные последствия. Во многих случаях
выявить причину искажения выходного результата (ошибка программы
или отказ аппаратуры) достаточно сяожно. Поэтому надежность ПО
является комплексным свойством.
Для СЖАТ целесообразно рассматривать составляющие надежно-
сти ПО - корректность, устойчивость, безопасность и недоступность.
Корректность ~ слойство программы удовлетворять ее функцио-
нальным спецификациям [S3]. Написанная без ошибок (правильная)
программа является корректной. Однако поскольку сложные програм-
мные продукты практически не могут быть созданы баз ошибок, кор-
ректность является менее жеспом требованием, чем правильность.
Корректность требует вычисления правильных выходных данных в об-
ласти изменения входных детых, удовлетворяющих спецификациям,
пря условии безотказности аппаратных средств. Таким образом, кор-
ректность - статическое свойство» рассматриваемое вне временного
функционирования [54].
Множество входных данных, с которыми работает программа
D = (4.4)
где Dc, Df, D - соответственно множества входных данных, рассмотренных при
составлении спецификаций в техническом задании,' проверенных при тестирова-
ния и испытаниях и реально поступающих на в ход системы.
128
В идеальном случае для простых программ возможно D = Dc =
= DT = D Обычно эти множества не совпадают (рис. 4.14). Тогда кор-
ректность программы обесиечивается в области D — Dc Г* D . Кор-
ректность нарушается в области D. = Dc \ Df при наличии в программе
ошибки, которая проявляется в этой области.
Устойчивость ~ свойство программы быть в процессе ее выполне-
ния нечувствительной к ошибкам, отказам аппаратуры и некоррект-
ным входным данным; это динамическое слойство, рассматриваемое
во временном функционировании. Оно аналогично свойству отказо-
устойчивости аппаратуры и должно выполняться в области D. =
= D.U Dp (см. рис. 4.13).
Безопасность - слойство программы вычислять правильные или
защитные выходные данные при наличии ошибок или появления отка-
зов аппаратуры и некорректных входных данных. Это также динами-
ческое слойство, важное для систем управления ответственными объек-
тами. Под защитными выходными данными понимают неправильные
результаты при реализации программ, которые не переводит управляю-
щую систему в опасное состояние.
При возникновения опасного отказа программа вычисляет выход-
ные данные, которые переводят управляющую систему ^опасное со-
стояние. Если программа реализует алгоритмработыдаскретногоустрой-
ства, то по аналогии с определениями 2.2 и 2.9 можно дать следую-
щее определение [55].
Определение 4.1. Отказ управляющей программы называется
опасным, если при его возникновения выполняются условия (2.7) или
(«)•
Недоступность — свойство ПО исключать возможность обращения
одного пользователя к данным и программам, явнякнцвмнся собствен-
ностью другого пользователя. Недоступность достигается тщательной
изоляцией данных и программ разных пользователей друг от друга и от
операционной системы, а также применением кпю^авых кодов и др.
Это слойство некоторые авторы называют безопасностью ПО [10]. Оно
важно в ота^ственных управляющих системах, коммерческих системах
хравениядаНИЫхи др.
Рис. 4.14. Облает изменения вход-
ных данных
129
S За» 483
Надежность ПО ~ свойство сохранять корректность, устойчивость,
безопасность и недоступность в течение определенного периода времени
при заданных условиях эксплуатации и технического обслуживания.
Надежность ПО, так же как и надежность аппаратуры (см. рис. 1.4),
является комплексным свойством. Однако между этими понятиями
имеются существенные различия. В теории надежности для аппаратуры
отсутствует понятие корректности, т. е. считается, что изначально (пос-
ле окончания периода испытаний и приработки) аппаратные средства
исправны и не имеют ошибок проектирования. Для сложных програм-
мных продуктов заранее предполагается наличие ошибок, допущенных
программистами и не обнаруженных при отладке и испытаниях. Ста-
тистика показывает [56], что интенсивность ошибок в ПО лежит в диа-
пазоне от 0,25 до 10 на 1000 команд. Тогда в новой системе, содержащей
500 000 команд, следует ожидать от 125 до 5000 ошибок.
Указанное различие между надежностью ПО и надежностью аппара-
туры объясняется двумя причинами. Во-первых, программные средства
являются более сложными и мевее изученными объектами, чем аппарат-
ные средства. Обычно аппаратура строится из хорошо известных стан-
дартных модулей, а программные модули в большинстве случаев не-
стандартны и содержат большое число команд. Во-вторых, разработаны
и широко применяются эффективные методы исчерпывающей проверки
аппаратуры. Любая же отладка ПОможет только показать наличие оши-
бок, по не может доказать их отсутствие [54]. Программисты говорят:
’’Последняя, найденная в программе ошибка, является на самом дале
предпоследней”.
Последствия ошибок ПО могут быть весьма серьезными. Стал уже
классическим пример [10], когда из-за одной ошибки в операторе на
Фортране не состоялся запуск американского космического корабля
на Венеру.
Интересный расчет приведен в работе [54] : программа имеет
100 000 команд и 10 невыяиленных ошибок; предполагается равно-
мерное выполнение всех команд и вероятность прояилевия ошиб-
ки 10“4. Тогда, если ЭВМ имеет быстродействие 100 000 операций
в 1 с, неправильные команды исполнялисьбы в среднем 10 раз в 1с.
Ошибки ПО можно разделить на Программные, алгоритмические
и системные [54]. Программные ошибки вызываются неправильной
записью команд на языке программирования и ошибками при трансля-
ции. Их количество зависит от квалификации программистов, степени
автоматизации программирования, глубины и качества тестирования.
На начальных этапах разработки ПО программные ошибки составляют
одну треть всех. окдабок, но потом их удельный вес уменьшается, по-
скольку эти ошибки сравнительно легко обнаруживаются.
Алгоритмические ошибки возникают из-за неправильной постанов-
ки задачи или из-за некорректной формулировки ангоритма ее решения.
Типичные причины возникновения таких ошибок состоят в неполном
130
учете условий решения, диапазонов изменения переменных, в превыше-
нии выделенных ресурсов, в неправильной оценке времени реализации
отдельных программных модулей и т. п. Обнаружить алгоритмические
ошибки сложнее, чем программные.
Еще труднее обнаруживаются системные ошибки, которые связа-
ны с неправильным взаимодействием комплексов программ между
со бой и с внешними объектами.
. По дайным, приведенным в работе [54], исправление одной про-
граммной, алгоритмической или системной ошибки требует корректи-
ровки в среднем б, 14 и 25 команд. При этом материальные затраты на
исправление ошибки с течением времени жизненного цикла ПО возрас-
тают, а вероятность правильного исправления ошибки уменьшается.
Поэтому целесообразно осуществлять мероприятия по повышению на-
дежности ПО иа ранних этапах, учитывая то, что на тестирование и сопро-
вождение (устранение ошибок в процессе эксплуатации) приходится
до 75 % всех материальных затрат на разработку [10]. По мере исправ-
ления ошибок в процессе сопровождения (если при этом не вносятся
новые ошибки) частота отказов а ПО уменьшается (рис. 4.15), по-
скольку программы не ’’изнашиваются” и не ’’стареют” в отличие от
аппаратуры.
4-4. Методы повышения надежности программ
Можно выделить шесть этапов в ’’жизненном цикле” программного
обеепечепия [57]: анализ требований к системе; определение специ-
фикаций; проектирование; программирование; тестирование; экс-
плуатация и сопровождение.
Методы повышения надежности можно применять на всех этапах.
ПО разрабатывают на парных пяти этапах, гда и возникают ошибки.
НяпйпттътаВ число ошибок допускается при проектировании (до 60 %)
и програмыйфОВании (до 40%). Однако и при тестировании, и при сопро-'
вождения быть внесеныновые ошибки.
Надежной^ программного обеспечения СЖАТ предусматривает
следующие целй; предупреждение, обнаружение и исправление ошибок;
обеспечение усжЛчивостн, безопасности и недоступности.
Предупреждение ошибок - наибоиее эффективный путь обеспечения
надежности, так как ошибку легче предупредить, чем потом обнаружить
5*
131
Рис. 4.16. Структурное представление программ
и исправить. Предупреждение ошибок - зто'задача проектирования. Для
предупреждения ошибок используют рациональную организацию труда
разработчиков ПО, методы структурного проектирования и автомати-
зацию проектирования.
Недостатки в решении административных проблем по управлению
коллективом разработчиков ПО влияют на надежность ПО не меньше,
чем недостатки в решении технических пробоем. В результате опыта
создания сложных программных продуктов сформировались общие
принципы работы [10, 57]. Число исполнителен проекта должно быть
минимально необходимым. Это упрощает и сокращает связи между
участниками работы, способствует их взаимопониманию и уменьшает
число ошибок при согласовании н стыковке различных частей проекта.
Руководитель коллектива должен быть не только хорошим администра-
тором, но и профессионалом, чтобы грамотно оценивать принимаемые
решения и продукцию чиенов коллектива. Считается, что если програм-
мисты работают в официально оформленных бригадах, это повышает их
производительность, качестио работы и преемственность. Распростране-
ны три варианта организации бригад: бригада главного программиста,
’’хирургическая” бригада и ’’демократическая” бригада [10]. Управле-
ние разработкой должно осуществляться яа основе последовательной
реализации отдельных этапов проекта с организацией строгого контро-
ля и учета на каждом этане. Серьезное внимание следует уделять оформ-
лению документации и системных журналов. Эффективная концепция
проверки состоит в реализации правилак * 1 ’ правильность n-го этапа
проекта должна проверяться разработчиками (л - 1)-го и (п + 1)-го
этапов.
Концешия структурного программирования [58] заключается
в представлении (декомиозицки) сложной программы через более про-
стые ее компоненты (модули) в виде некоторой структуры (рис. 4.16).
Декомпозиция - это универсальный метод борьбы cq сложностью си-
стем. Модули программы А решают определенные функционально за-
конченные задачи и имеют небольшую сложность (100-500 команд).
132
Они должны быть максимально независимы друг от друга. Программа
имеет иерархическую структуру, в которой модули верхних уровная
управляют работой модулей нижних уровнен. Связи между модулями
должны быть минимальны и по возможности сводиться только к пере-
даче данных.
При проектировании иерархической модульной системы возможны
два варианта!: восходящее и нисходящее проектирование. В первом слу-
чае разработка модулей вдет снизу вверх. После того как выработаны
и спроектированы модули нижнего уровня (например, модули Л121.
А122, . . .,Л|2, ),они объединяются с помощью подсистемы более вы-
сокого уровня Л12, которая определяет порядок работы этих моду-
лей, процедуру их вызова, обмена данными и др. Затем аналогично мо-
дули A.., Ai2,.:.,Aik объединяются с помощью модуля Л j ит.д.
При нисходящем проектировании (сверху вниз) сначала задачу А
разбивают на несколько достаточно- крупных подзадач Аг. А2, • .Ап.
При написании текста модуля А используют имена модулей А.,
А2, * * •> *^n’ KOTOF4’je не написаны и являются нустыми, содержащи-
ми лишь операторы входа и выхода (такие модули называют ’’заглуш-
ками”) . В дальнейшем также поступают и с модулями* А . А2. „А .
.Процесс завершается тогда, когда вповь полученные модули оказывают-
ся настолько простыми, что могут быть записаны с использованием опе-
раторов языка программирования-
Недостатком восходящего проектирования является сложность про-
цесса объединения модулей ио той причине, что при выборе модулей
нижних уровней трудно представить возможности их объединения на
более высоких уровнях. С точки зрения процесса декомпозиции более
удобным является нисходящее проектирование, которое и используется
чаше при структурном проектировании программ. Приемы восходящего
проектирования применяют в случае необходимости возврата на более
высокие уровни для корректировки и испревления модулей.
Программу называют структурированной, если ока удовлетворяет
следующим основным требованиям: имеет модульное иерархическое
построение; модули являются функционально законченными, независи-
мыми и автономными подпрограммами и имеют один вход и один вы-
ход; текст программы и любого модуля легко читается сверху вниз;
логика всех модулей построена на базА ограниченного числа элементар-
ных программных конструкций. Последнее требование основано на
теореме о структурировании [S4], которая утверждает, что любая про-
грамма может быть построена с помощью трех управляющих структур:
THEN. IF - THEN - ELSE. DO - UNTIL (рис. 4Л 7). Структура THEN
(простая вычислительная последот/ЯЯ^иостъ) обеспечивает преобразо-
вание или перемещение исходный днииых. Структура IF - THEN -
ELSE (ЕСЛИ-ТО-ИНАЧЕ) осуществляет выбор одной из двух аль-
тернатив преобразования. данных в зависимости от истинности Г
нин Ложности F некоторого условия. Структуру DO - UNTIL
133
& Йсг,
IF-THCN- ELSE
Рнс. 4.17. Конструкция структурированных программ
(ДЕЛАТЬ—ПОКА—НЕ) применяют, если требуется выполнить одно и
то же преобразование более одного раза. Этн структуры имеют одни
вход и одни выход и могут соединяться между собой, образуя более
сложные структуры. Программы, написанные с использованием таких
структур, не имеют операторов безусловного перехода GO ТО и возвра-
та RETURN и поэтому могут быть написаны и прочитаны сверху вниз.
Принцип структурного программирования позволяет систематизи-
ровать и упростить процессы проектирования ПО и сделать реальной
задачу написания корректных программ с малым количеством ошибок.
В уже написанной программе до начала ее эксплуатации ошибки об-
наруживает, используя тестирование и верификацию.
Тестирование состоит в выполнения программы при отсутствии
реальной внешней среды дня обнаружения ошибок. Специально подби-
рают входные данные (тесты); реакция ПО для этих данных сравни-
ваатсл с эталонной. В структурированной программе выделяют четыре
уровня тестирования*, тестирование модулей, сопряжений между моду-
лями, тестирование внешних функций, комплексное тестирование [10[.
На уровне модулей проверяют логику программы Контроль сопряже-
ний обнаруживает ошибки в межмодульном интерфейсе. Тестирование
внешних функций определяет соответствие внешних спецификаций и
функций программы. Комплексное тестирование является завершаю-
щим этапом проверки системы.
Поскольку процедурм тестирования могут проводиться параллель-
но с разработкой ПО, то в соответствии с концепцией проектирования
используют восходящее* ншзсодяшее тестирование [10].
Тестирование осуществляется в три этапа: составление (гелераиия)
тестов, выполнение программы на этих тестах и оценка полученных ре-
зультатов. Выполнение программы на тестах может осуществляться
вручную (на бумаге ”в уме”) для несложных программ (статическое
тестирование) нив с исполнением,-на ЭВМ (динамическое тестирование).
Если результаты прохождения теста анализирует программист, то это
трудоемкая и рутинная, но необходимая работа. Для автоматизации
этого процесса требуется иметь эталонные результаты и хранить их в па-
мяти ЭВМ дня сравнения. Возможно также наличие эталонной програм-
134
мы, которая запускается на тех же тестах и вырабатывает эталонные вы-
ходные данные.
Тесты составляют программисты Ияи автоматические системы гене-
рации тестов. Это наиболее сложный и творческий процесс. Использу-
ются два подхода при решении поставленных задач: функциональный
и структурный. В первом случае программа рассматривается как ’’чер-
ный яшик”. Это означает, что ее внутренняя структура нвкак не учиты-
вается, и тесты составляют на основании функциональных спецификаций.
Построим, например, функциональный тест для бинарной програм-
мы (см. рис. 4.4 и табл. 4.2), вычисляющей функцию (4.2). Задача теста
состоит в проверке реализации именно денной функции (табл. 4.14).
Простейший способ — испытать программу на всех восьми вход-
ных наборах. Это дает исчерпывающее тестирование и не требует знаний
о внутренней структуре программы. Однако исчерпывающее тестирова-
ние невозможно из-за большого объема тривиального теста. Поэтому
тестирование является в значительной мере проблемой экономичес-
кой [10], поскольку требует до 50-60 % всех затрат труда на програм-
мирование.
Необходимо строить тест, обеспечивающий достаточную полноту
проверки, но такого объема, чтобы его применение было экономически
оправдано.
Для опенки полноты функционального теста используют различные
критерии (59]:
1) проверку всех классов входных данных, когда тест должен со-
держать по одному представителю из каждого класса;
2) проверку всех классов выходных данных, когда при исполнении
тестовых примеров должно быть получено по' одному представителю
из каждого класса;
3) проверку всех функций, когда каждая реализуемая программой
функция должна быть проверена хотя бы 1 раз;
4) проверку всех ограничений и правил и т. п.
Применим априме два требования дня построения теста бинарной
программы. Поскольку входные переменные принимают только два зна-
Табпии-* 4.14
f 1 tbc f
$ 0 100 0
001 0 101 1
010, 0 110 1
011 0 111 0
135
чения (Он 1), то в соответствия с первым требованием в тестовых на-
борах Каждая переменная должна иметь оба эти значения. Выходные
данные делятся на два класса: f=0 и f = 1. Поэтому тест должен со-
держать по крайней мере один разрешенный и один запрещенный на-
боры. Исходя из сказанного можно построить следующий тест: (ООО,
101,110).
Доказать полноту функционального теста (если он не тривиальный)
достаточно сложно. То же относятся и к тестам, построенным на основе
структурного подхода с использованием информации о внутренней
структуре програьвлы. При этом применяют в основном три критерия:
проверку каждой команд?! не менее 1 раза; проверку каждой ветви
программы не менее 1 раза; проверку каждого пути программы не ме-
нее 1 раза. Последний критерий наиболее "сильный”. Если программа
содержит циклы, то ограничиваются тестированием простых, ацик-
лических путей или число итерации ограничивается некоторой кон-
стантой.
Рассматриваемая бинарная программа (см. рис. 4.4) содержит пять
путей: ^=1,10; ^=1,2,4,5,10; я3 = 1,2,4,6, 9; я = 1,2,3,7, Ю;
ir$ = 1, 2,3,8,9. Эти пути тестируются соответственно наборами следую-
щего теста: (ООО, 111, ПО, 100,101). Например, при написании програм-
мы (см. табн. 4.2) программист допустил ошибку в команде 8: вместо
команды JZ (переход по нулевому результату) записана команда JNZ
(переход по единичному результату). Эта ошибка обнаруживается на-
бором входных данных 101. В правильной программе на данном наборе
реализуется путь я4= 1, 2, 3, 7, Юн выходной результат f = 0.В про-
грамме с ошибкой реализуется путь я. = 1,2,3,8,9 и выходной резуль-
тат/=1.
Даже ддя несложных программ тестирование не может доказать от-
сутствие в них ошибок, а может только обнаружить некоторую их часть.
На доказательство отсутствия ошибок ориентированы методы верифи-
кации.
ВерификаИЧя — это математическое доказательство правильности
программ. Общая методология верификации состоит в том, что для про-
граммы составляется некоторая система утверждений, истинность кото-
рых доказывается с помощью правил логического вывода. Метояк» ве-
рификации сложны, и их широкое практическое применение возможно
при решении задачи автоматизации доказательств (10,33,54).
В процессе эксплуатации надежность ПО выражается через свойства
ее устойчивости и безопасности. Эпг свойства, так же как и аналогичны*
свойства аппаратных средств, обеспечиваются введением избыточности,
которая может быть структурной, информационной и времеоной. Допол-
нительные программные средства должны обеспечивать последователь-
ное решепле задач обнаружения искажения вычислительного процесса,
ограничения последствия этого искажения в пределах некоторого участ-
ка программы (программного модуля) и восстановления правильного
134
результата вычислений. В безопасных управляющих программах вместо
восстановткния возможен перевод системы в защитное состояние.
Времеян&г избыточность состоит в выделении специальных интер-
валов времени для организации процедур контроля и восстановления-
При этом функциональные задачи не решаются, поэтому производитель-
ность вычвслительной системы уменьшается- Широко применяют пред-
стартовый функциональный контроль с использованием контролирую-
щих и диагностических тестов или решении контрольных задач. Сохран-
ность программ проверяется суммированием кодов программы и срав-
нением результата с контрольной суммой. В системах управления, ра-
ботающих в реальном масштабе времени, временим избыточность ис-
пользуется, если существуют технологические перерывы в работе си-
стем, во время которых осуществляется тестирование или повторный
счет.
Информационная избыточность заключается в резервировании ин-
формационных массивов и в применении корректирующих кодов для
представления информации. В случае разрушения основного информаци-
онного массива программа обращается к резервному, который исполь-
зуется до полного восстановления основного массива. Эффективным
способом обеспечения устойчивости является организация дополнитель-
ной информации о текущем состоянии программы в контрольных точ-
ках. Это состояние сохраняется для восстановления вычислительного
процесса с ближайшей контрольной точки от места возникновения
ошибки.
При организации структурной избыточиостн программ исполь-
зуют методы л-вариантного и самопроверяемого программирования.
Варианты одной и той же программы могут быть одинаковыми или рез-
личаться методами решения задачи или способами программной реапи-
зании одного и того же метода. Целесообразно также, чтобы разные ва-
рианты программ были написаны различными бригадами программис-
тов. При исполнении программы результат вычислений выбирают голо-
сованием. Последовательная реализация программ требует больших
затрат времени, поэтому «-вариантное программирование используют
обычно в многопроцессорных вычислительных системах. В безопасных
системах часто применяют двухвариантное программирование с контро-
лем совпадения результатов. На применение в безопасных системах
ориентированы также само проверяемые программы.
4-5. Самопроверяемые программы
Программа разбивается на блоки (модули) (рис. 4.18). Резуль-
таты вычислений каждого модуля анализируются в программных конт-
рольных точках Р-, представляющих собой операторы вида IF NOT
ASSERTION THEN ERROR
137
ASSERTION - утверждение, которому должно удовлетворять со-
стояние расчета программы в данной контрольной точке. Если оно ис-
тинно, то процесс вычислений передается в следующий модуль, а если
ложно, то осуществляется переход к подпрограмме обработки ошиб-
ки ERROR.
Достоверность контроля зависит от вероятности того, что искаже-
ние результата на выходе модуля А? обнаруживается с помсшгыл утие.р-
ждения ASSERTION. Несовершенство данного метода состоит в том,
что если некоторые операторы Р^ указывают ошибку, то система (или
программист) делает вывод о неисправности программы. Но если все
операторы Р. указывают истинность, то нельзя с уверенностью заклю-
чить, что программа правильна.
Повысить достоверность контроля можно двумя способами. Пер-
вый способ состоит в уменьшении периода контроля тк (см. рис. 4.18).
Время тк равно времени исполнения программы модуля А.. При
уменьшении размеров модуля при тк 0 улучшаются показатели на-
дежности программы, но возрастают размеры программ.
Второй способ заключается в таком выборе утверждений ASSERTION
и в таком их размещении в программе, которые исключают (при задан-
ных ограничениях) ложный вывод о правильности результата вычисле-
ний. В этом случае программа называется самопроверяемой [60,61].
Определение 4-2- Программа называется самопроверяемой, если
и только если для любого входа, удовлетворяющего входной специфи-
кации, программа выдает правильный выходной результат или выраба-
тывает предупреждающее сообщение, информирующее пользователя, что
выход может быть неправильным.
В- работе [60] предложена следующая структура самопроверяемой
программы:
PROGRAM АР
BEGIN
IF NOT Al THEN ERROR 1 ;
WHILE C DO
BEGIN |
IF NOT A2 THEN ERROR 2 J
END j
IF D THEN I
BEGIN |
IF NOT A3 THEN ERRORS 1
END fl
END 'fl
138 1
Рис. 4.18. Схема организация контроля программы
Свойство самопроверяемости обеспечивается применением опреде-
ленных индуктивных правил построения структуры утверждений
ASSERTION [60],
Для самопроверяемых управляющих программ в микропроцессор-
ных системах, записанных на языке Ассемблер, целесообразно указы-
вать класс ошибок, которые обнаруживаются, интерпретируя их через
дефекты аппаратуры. Например, в работе [61] рассматривается класс
одиночных ошибок программы, как искажение 1 <_ бита в слове ко-
да программы или в споре данных. К этому виду дефектов сводятся
и ошибки программиста (типа искажения символов программы) и отка-
зы аппаратуры (например, ошибки ЗУ, которые дают до 50-70 % всех
ошибок ЭВМ}. Таким образом, свойство самопроверяемости программ
относительно данного класса дефектов можно определить по аналогии
с подобным свойством аппаратных средств [61, 62].
Определение 4.3. Управляющая программа называется защищенной,
если при возникновении любой ошибки заданного класса на любой ра-
бочей последовательности входных данных выходные данные вычисля-
ются правильно или являются защитными.
Определение 4.4. Управляющая программа называется самотести-
руемой, если для каждой ошибки заданного класса существует хотя бы
одна рабочая последовательность входных данных, на которой вычисля-
ется хотя бы одно защитное значение выходных данных.
Определение 4.5. Управляющая программа называется самопрове-
ряемой, если она защищена от ошибок и является самотестируемой.
Защищенность от ошибок исключает неправильные воздействия со
стороны программной системы на управляемые объекты. Самотестируе-
мость исключает наличие необнаруживаемых ошибок и их накопление
с течением времени. Эти даа свойства являются основными требования-
ми к безопасным системам. Подобно тому, как самопроверяемое дис-
кретное устройство снабжается контрольной схемой, самопроверяемая
программа П имеет контрольный модуль КМ (рис. 4.19). Его задачей
является анализ выходных данных программы и решение вопроса о том,
имела ли место ошибка в процессе вычисления. Контрольный модуль
должен быть самопроверяемым, т. е. обнаруживать собственные ошибки.
139
Нет Да
3.fiovc,n ----nov с.л
I________________________
Рис. 4.20. Схема анализа необнаружи-
ваемоИ ошибки
Рис. 4.19. Структура самопроверяемой
программы
Пусть управляющая программа в микропроцессорной системе
реализует некоторый ангоригм (функцию) ф
W= ф
где 1 =(/v »2. • • •. множество рабочих значений входных данных', U =
= ^uJ, .... икУ~ множество рабочих состояний микропроцессорной системы
(под состоянием микропроцессорной системы понимается содержимое внутренних
регистров микропроцессора)
Функция Ф детерминировапио определяет выходные данные про-
граммы W в зависимости от входных данных i и состоянии микро-
процессора и в момент поступления этих входных данных.
При построении самопроверяемой программы требуется обеспечить
защиту от искажений входных данных и состояний микропроцессорной
системы. В связи с этим возникают два требования:
1) дефекты, приводящие к замене предметных символов языка про-
граммы, искажают входные данные. Это иокаженне должно переводить
входные данные в область ошибочных значений IR, а алгоритм ф дня
этих значений должен вычислять защитный результат;
2) дефекты, приводящие к замене функциональных или предикат-
ных символов, искажают функцию ф, превращая ее в ошибочную функ-
цию ф ’, или искажают внутреннее состояние микропроцессора. В пер-
вом случае функция ф' должна давать правильный или защитный ре-
зультат. Во втором случае искажение внутреннего состояния не должно
нарушать процесс вычисления или должно переводить микропроцессор
во множество ошибочных состояний UR, относительно которых алго-
ритм Даст защитный результат.
Один Из возможных вариантов построении само проверяемых управ-
ляющих программ в микропроцессорных системах представлен в рабо-
тах [61, 63 — 65 J. Суть такого варианта состоит в том, что алгоритм
управления .представляется как самопроверяемое дискретное устройст-
во, которое затем реализуется программным способом. Избыточность
140
дискретного устройства автоматически переходит в избыточность про-
граммы, что, как показали эксперименты, обеспечивает обнаружение
большого числа ошибок указанного класса.
Ниже приведены результаты испытаний программы, реализующей
функции и г2, описывающие самопроверяемый тест кода ”2 из 4” '.
z, = у xj (л3 vx4), г2 =«! х2 v хэ х4 [63, 66] :
Общее число испытаний........1392 (100%)
Число результатов:
парафазных:
правильных................46 (3,3%)
неправильных............О (0 %)
защитных............. . . .1346 (96,7%)
Число необнаруженных ошибок . .3 (1,2$ %)
Программа непосредственного вычисления функций z^ и 2} на
языке Ассемблер представлена в табл. 4.15. Переменные х1,х2,хэ,х4
хранятся в ячейках памяти Ml, М2, М3, М4 (адрес М4 имеет имя
BASE). При этом в восьмиразрядном микропроцессоре значения логи-
ческих 0 и 1 представляются в первом полубайте кодами соответ-
ственно 0101 и 1010, а во втором полубайте кодируются индексы
входных переменных х.,х,,х х. соответственно кодами 0011,0101,
1001, 1100.
Для выходных переменных z. и z2 значения логических0 и 1
представляются кодами 0000 и 1111, а индексы переменных - кода-
ми 0101 и 1001- Такое кодирование данных обеспечивает их защищен-
ность от одиночных ошибок.
Программа испытывалась на каждом из шести слов кода "2 из 4”.
При этом вносилось искажение каждого бита в каждом из 29 байтов
программы. Общее чисяо испытаний 1392. Результат вычислений анали-
зировался на наличие или отсутствие парафазноств. Правильные (непра-
вильные) парафазные результаты состояли в том, что на данном кодо-
вом слове данная ошибка не искажала значения функпий z и z 2 (ме-
няла их значения на противоположные), которые при отсутствии оши-
бок должны были быть не равим (z #= z2). Если данная ошибка не на-
рушала парефазности zt и zJt то она не обнаруживалась. К защитным
результатам относили испытания, при которых нарушалась парафазность
значений г. и z}.
Из анализа данных табл. 4.15 следует полная защищенность рас-
сматриваемой программы (все результаты правильные или защит-
ные) и почт* полная ее самопроверяемость (только трн иеобнаруживае-
мые ошибки). Ошибка в команде 3 не обнаруживается (рис. 4.20),
так как в момент ее возникновения в аккумуляторе и в ячейке памя-
ти М4 нахофпся один и тот же операнд х^. Исключить эту ошибку
можно изменением структуры программы. Например, для этого доста-
точно заменить команды 2 и 3 в табл. 4.15 на последовательность
двух Команд MOV С,М и MOV А, С.
141
Таблиц» 4.15
‘ Мнемокод Операции Комментарий
д* команды
1 LX1 H. BASE Адресация MA
2 ; mov A.M д; “* A
3 MOV C. M
4 { DCX H Адресация Ml
S ( MOV B, M x ~rB
6 1 DCX H Адресация М2
7 i MOV D.M хг-га
3 DCX Я Адресация Ml
9 ’ MOV E. M Ху~г£
10 ! -4ЛС4 В Х3*4
It MOV M, A
12 , evx H Адресация М2
13 MOV A. C хл~гА
14 ORA В
15 MOV M. A жэУх4-М2
16 MOV a: d х2-»4
17 ' ANA E *1х2
18 MOV C.A 1
19 mov A. D
20 ORA E *1V*2
21 ANA M ~г1
22 OUT port Bl Вывод 2j
23 ; mov * A C х,х2-*А
24 ' DCX H Адресация Ml
25 1 ORA M Х! *2 V х3*4 ~г2
26 ' OUT port B2 Вывод г? 1
Таким образом, в микропроцессорных системах можно добиться 1
высокой степени защищенности управляющих программ относительно 1
одиночных ошибок, используя три метода.' представление управляющего J
алгоритма в виде самопроверяемого дискретного устройства и его про* 1
граммная реализация; помехоустойчивое кодирование двоичной ннфор- |
мадии в регистрах микропроцессора; выбор оптимальной (с точки эре- J
ния зашишсиности) структуры программы и последоватепьиоста команд- а
ПЕРЕДАЧА ОТВЕТСТВЕННОЙ ИНФОРМАЦИИ
В МИКРОЭЛЕКТРОННЫХ СИСТЕМАХ
5-1. Способы передачи ответственной информации
Одним из наиболее эффективных средств сокращения расходов на
строительство систем железнодорожной автоматики и телемеханики
является применение телемеханических средств телеуправления и теле-
сигнализации (ТУ-ТС) [67-74]. Системы ТУ—ТС позволяют осу-
ществлять управление и контроль состояния большого числа удаленных
объектов, используя двух- или четыравпроводные каналы связи. Исполь-
зование систем телемеханики позволяет повысить степень концентрации
управления и соответственно улучшить показатели эффективности управ-
ления движением поездов. Отличительной особенностью СЖАТ по сравне-
нию с промышленной автоматикой является потребность в передаче
ответственной информации.
[Год ответственной информацией понимается информация, исполь-
зуемая в дискретной системе, искажение которой переводит систему в
опасное состояние (ОСТ 32.17-92). Ответственной телемеханической
командой является команда телеуправления или телесигнализации, несу-
щая ответственную информацию.
Примерами ответственных команд телеуправления является пере-
дача по телемеханическому калалу на промежуточную станцию команд
на открытие пригласительного сигнала и На аварийный перевод стрелки.
Особенностью таких комалд является то, что технологически»условия
безопасности при их выполнении уже не проверяются на контрольном
пункте, а должны полностью обеспечиваться на пункте управления.Если
а системе телемеханики передаются подобные команды, то такая систе-
ма должна быть безо паевой.
На железных дорогах РФ эксплуатируются системы ТУ-ТС, в кото-
рых вследствие недостаточно высской помехозащищенности и высокой
вероятности опасных отказов аппаратуры ответственные команды пере-
даются прямопроводным способом по индивидуальным физическим
двухпроводным цепям. В среднем на каждую стрелку района телеуправ-
ления приходится четыре жилы кабеля для ответственных команд. При
этом в системе ТУ—ТС передается 6—7 бит информации в пересчете па
однустравку [38, И 6].
В осиовпом для передачи ответственных команд используется пря-
мопроводный способ (рис. 5.1). Телемеханический способ требует обес-
печения эашищенпости от искажений передаваемых приказов в калале
143
Истоды передачи ответственных команд
Прямапроводный J | Телемеханические
|Г распределительной селекцией^
| С кодовой селекцией
[ С накоплением^
| С избыточным кодированием [
{Цикли чес-\ Асинхронно-} }дсполыовонае} I Ввмократная || Мнедкратная 1
L™±_I | ж."7«| | ||„ДЖ»СТ|
С пороговым] If мажоритарныкЛ ! С адресной. I доэ адресной}
приемником] I приемником I частью части
Рис. $. L Структурная схема методов передачи ответственных команд
связи и в аппаратуре. Вопросы построения аппаратуры, защищенной от
опасных отказов,рассмотрены в главах 2, 3 и 7, а защита от искажений
в канале связи может достигаться многократной передачей (накопле-
ния) одной и той же комалды ияи благодаря избыточному кодированию,
а также благодаря информационной кии решающей обратным связям
(ИОСилиРОС) [75, 76J.
В нашей сграле и за рубежом разрабатывании и эксплуатировались
системы телемеханики (ТМ), построенные по принципам, позволяющим
передавать ответственные комалды в системах диспетчерской и станци-
онной кодовых централизаций [38, 50, 67-71]. В большинстве этих
систем для передачи ответственных команд использовался циклический
способ передачи, поскольку в системах железнодорожной автоматики
и телемеханики необходимо постоянно контролировать состояние
объектов управления. В любой момент времени путь может быть залят
подвижной единицей, могут произойти взрез стрелки, излом рельса и
другие события, требующие немедленного переключения разрешающего
показания светофора на запрещающее. При использовании спорадическо-
го способа передачи информации это требование (в случае повреждения
телемеханического канала) трудно обеспечить. Но, как известно, систе-
мы ТМ, использующие циклический способ передачи, имеют ограничен-
ную, информационную емкость.
В общем случае устройства электрической (ЭЦ) и диспетчерской
(ДЦ) централизации могут рассматриваться как источники дискретных
сообщений, основными характеристиками которых являются: количе-
144
;тво сообщений и взаимосвязь между ними; интенсивность появления
сообщений; время существования одного сообщения; допустимое
запаздывание сообщений; статистика сообщений.
По теореме Шеннона [75, 76] количество информации в сооб-
щении
7(х) =- 2 Plog^ Pt, (5.1)
i = l
|де А- вероятность возникновения 1-го сообщения.
При этом считается, что сообщения независимы.
В условиях ДЦ и ЭЦ многие объекты находятся в определенной за-
висимости друг от друга, определяемой местными условиями станции и
характеристиками грузе- и пассажиропотоков. Учесть при расчетах кор-
реляцию между сообщениями невозможно, поэтому в дальнейших вы-
водах будем считать, что все источники ни формации независимы.
Как было показано в работах [72, 116], управляющая информа-
ция (ТУ) в системах ТМ может следовать со средним интервалом в
1 мни, ио не может происходить наложения одной команды на другую,
поскольку операции управления выполняет один дежурный агент после-
довательно во времени.
При передаче контрольной информации подобного упорядочивания
нет. Контрольная информация может быть следующей: контроль реак-
ции маршрутно-наборной части' СЖАТ на управляющее воздействие;
отображение технологического состояния объектов автоматики; отобра-
жение диагностического состояния объектов и устройств автоматики.
Часть этих сообщений возникает одновременно. Число сообщений
первых двух видов информации прямо пропорционально зависит от раз-
меров движения, а третий вид информации в более значительной степени
определяется надежностными показателями устройств СЖАТ и условии-
ми их эксплуатации.
В эксплуатируемых системах ТМ время существования- сообще-
ния ТС должно быть не менее длительности иикда (Та) работы системы
и определяется в основном периодичностью изменения состояния объек-
тов. С этой точки зрения определяющим является время изменения со-
стояния рельсовых цепей [38]. Таким образом, время цикла ТС долж-
но быть меяЬцте времени залятия самой короткой контролируемой рель-
совой цепи ’«мой короткой подвижной единицей, следующей с макси-
мально допус^мой скоростью. В системах ДЦ это время принято 5-10 с.
В связи ^Шеличением скоростей движения поездов необходимо со-
кращать Гц м3 с ияи на лииейноМ пункте (ЛП) фиксировать просле-
дование pent ссуд; целей более частым (Тов < 2") опросом их состоя-
ния и передав»)^ некоторой задержкой на центральный пост (ЦП) со-
общение о провЙдовании подвижной единицей одной кии нескольких
рельсовых цепей.;Й этом случае время цикла в системе ТМ может не за-
висеть от длины и Скорости движения подвижных единиц. Для осушеств-
145
пения.такого способа передачи сообщений на ЛП необходимо устанавли-
вать дополнительную фиксирующую аппаратуру или использовать для
этого программируемый контроллер, что является наиболее перспек-
тивным.
В настоящее время на сети железных дорог эксплуатируются систе-
мы ТУ-ТС, использующие спорадический и циклический методы переда-
чи информации. Причем большее распространение находят циклические
системы (”Нева”, ”Луч”). Но из теории извество 175], что в цикличе-
ских системах ТМ до 90 % информации является избыточной, т. е. такой,
которая не содержит в себе нового сообщения (является многократным
повторением старой информации). Циклическая многократная передача
информации позволяет повысить помехоустойчивость кодированных со-
общений, сократить врамя существования ошибки, упростить ириемно-пе-
редающую аппаратуру и постоянно контролировать исправность капала
связи, но при этом неэффективно используется канал связи и информа-
ционная емкость СТМ ограничивается допустимым временем цикла
опроса и возможной скоростью передачи информации. В железнодорож-
ных системах ТМ избыточность сообщений зависит от нитеМснииостн
движения поездов на участке, маневровой работы на станциях и опти-
мального деления контролируемых объектов на группы.
В общем виде эффективность передачи информации Можно повы-
сить, сокращая избыточность в сообщении, а также совершенствуя при-
емно-передаюшую аппаратуру.
Избыточность сообщений можно оценить в соответствии с выраже-
нием.
(5-2)
где /<х) - количество информации в сообщении по Шеанаау; /mgX = lo^N — n -
максимально возможное количество информации в jv равновероятных сообщени-
ях. которые передаются «-разрядным двоичным кодом.
Как 'известно, наибольшее количество информации (1 бит) содер-
жится в каждом из двоичных разрядов сообщения при их независимости
и при равновероятном появлении 0 и 1 [75 ].
Учитывая, что «-разрядное сообщение обычно состоит из к служеб-
ных и т информационных разрядов, выражение (5.2) можно записать
(5.3)
Имеется две возможности Повышения эффектияцости передачи
сообщений: сокращение избыточности в передаваемой информации бла-
годаря преобразованию ее (сжатие) и сокращение служебной информа-
ции. Под служебной понимается информация, предназначенная для син-
хронизации и разделения сообщений от различных источников.
j
Шеннон предложил метод сокращения избыточности благодаря ста-
тистическому Кодированию дня случая, когда в одном разряде сообще-
ния налболее вероятно появление логического 0:
t де Ру Р^ ~ соответственно вероятности передачи логических 0 в 1.
Шеннон предложил дня передачи сообщения с различными вероят-
ностями появления логических сигиалоь.0 и i использовать неравномер-
ным код. Более вероятные сообщения передаются наиболее короткими
комбинациями, а менее вероятные-более длинными.
Очевидно, что чем больше различаются вероятности Ро и Pf, тем
больше сократится время передачи. Вылгрыш во времени растет также
с ростом длины групп, На которые разбивается последовательность для
перекодирования.
Необходимо отметить, что снижение избыточности при перекодиро-
вании без разделительных знаков ухудшает помехоустойчивость приема
сообщений, поскольку одна ошибка в Перекодированной последователь-
ности может привести к неправильному приему нескольких элементар-
ных сигналов исходной кодовой комбинации.
Таким образом, использование классического статистического коди-
рования в железнодорожных системах телемеханики затруднено, так как
при декодировании кода принимаемое сообщение дополнительно задер-
живается для преобразования, кодирующие и декодирующие устройства
значительно усложняются, а помехоустойчивость понижается. Для обес-
печения высоких требований к надежности при передаче ответственных
команд необходимо предусматривать дополнительные меры по обеспе-
чению самоконтроля преобразователей кода.
Более высокими эксплуатационно-техническими показателями обла-
дают системы телемеханики, использующие статистическое кодирование
в виде адресных методов передачи информации. Их можно классифици-
ровать как системы с асикхронно-инклическнм способом передачи ин-
формация,
Разрабйывается агрегатная система диспетчерской цедтрализации
(АСДЦ), в Которой используется статистическое кодирование с адрес-
ным раздедОЙем сообщений 1Н6]. Эффективность статистического
кодирования к'ЭТом случае значительно снижается, поскольку необходи-
мо цикличесаЙфорыировать адреса всех источников сообщений, что со-
ставляет довоИИЮ большое число элементов сообщения.
При передай# ответственных команд время цикла системы TV долж-
но быть меньше времени реакции исполнительных объектов [38]. Дан-
ное требование 4 значительной степени ограничивает возможную инфор-
мационную емкОСТЬ систем ТМ, используемых для передачи ответствен-
ных команд. Поэтому целесообразно использовать для передачи енгна-
147
•» Ж.
Рис-. 5.2. Структурная схема передающего пункта с аскихрокио-вдклнческим спосо-
бом передачи
лов ТУ-ТС асинхронно-циклический способ передачи с безадресным раз-
денением сообщений.
Можно отметить, что Для сигналов ТУ, использующих распредели-
тельную селекцию, условие (5.4) соблюдается, а для сигналов Тс такое
утверждение будет верным после ХД-преобразования [75], т. е. когда
за сигнал 1 принимается изменение состоянии объектов, а за 0 — отсут-
ствие изменения.
На рис. 5.2 приведена структурная схема передающего пункта с
асинхронно-циклическим способом передачи информации. При таком
способе передачи опрос всех источников информации, разделенных на
группы, осуществляется поочередно. На первой же группе, в которой бу-
дет обнаружено требование на передачу, опрос прерывается, и в канал
передается это сообщение. Затем продолжается опрос остальных групп
источников.
Если не обнаружено требований на передачу, то ныеет место холо-
стой ход калана Связи (передается сокращенное сообщение об отсутст-
вии требовалий на передачу).
Для передачи сигналов ТУ и ТС схема выявления сообщений будет
иметь разную структуру. При циклической передаче сипцлов ТУ в тех
группах, где пояиляется свгнаи логической 1, сообщение о состоянии:
элементов этой групны передается полностью в каждоммикле. Сообшс-’
нни о тех группах, в которых сигналы управления имеют значение логи-
ческого 0, представляют собой «мпульс (короткое сообщение) об от-
сутствии заявки на передачу.
При передаче сигналов ТС схема выявления сообщений сравнивает
текущее состояние групп контролируемых объектов с предыдущими.
14S
л . 1.! J
В случае фиксации изменения состояния она осуществляет ХА -преобра-
зовалие и передает сообщение об этой группе в канал связи, а при отсут-
ствии изменений передается короткое сообщение.
Время цикла в такой системе
г,-(S'5)
где Хр. . Лд-случайные величины; xQ - длительность пульса цикловой синхро-
низации (Гис).
Случайная величина
ГТ — с вероятностью Pf\
‘ [_Т0 — с вероятностью' Q. = 1 -Р„
где i = 1,. . ,fi— число групп источников сообщений; Т- время передачи сообще-
ния о состоянии группы объектов; - длительность сигнала об отсутствии тре-
бования на передачу от одной труппы объектов.
Таким образом, математическое ожидание длительности цикла
*Г.}= <-56>
Зависимость средней длительности цикла системы телемехани-
ки Т =F(Pt) (рис. 5.3) Приведена при Г = 224мс, Г0=56мс, 7^
= 64мси л'=23, и" =46.
Для реальной оценки эффективности применении при передаче теле-
механической информации безадресного метода статистического Коди-
рования были проведены исследования загрузки каналов систем диспет-
черской централизации [72]. Целью исследований явлвлось получение
численных значений интенсивности появления новых сообщений в цикли-
ческих системах ДЦ.
Измерения выполнялись в действующих системах "Нева” Петер-
бургского отделения Октябрьской дороги. Измерения показами, что рас-
Рис. 5.4. Распределение числа изменений Рис. 53. Распределение числа азменеинЯ
состояния объектов за время икниа ТС состояния групп объектов за время
пиния ТС
кв примерно 30—40 % циклов реботы системы ”Нева” являются пол-
ностью избыточными, т. е. не несут новой информации.
На круговой диаграмме распределении за сутки числа объектов, из-
менивших свое состояние в течение цикла ТС (рис. 5.4), инфры обозна-
чают число изменений, что соответствует следующим циклам, %: 0 - 52;
1 -21; 2-8; 3-5; 4-4; 5-5; 6-2; 7-1,5; 8нболее-1,5.
На круговой диаграмме распределения за сутки число групп объек-
тов (рис. 5.5), изменивших свое состояние (группы с новой информаци-
ей) в течение цикла ТС, цифры обозначают число групп, изменивших
свое состояние, что соответствует следующим циклам, %: 0 — 63;
1 -22; 2-5; 3-5‘, 4-2,5; 5-15; 6-0$; 7-0,3; 8-0,4.
Полученные эксмериментаньные данные о вероятности появлении
сообщений на реальных дисиетчерских кругах, оборудованных системой
”Нева”, показали, что Тц в канаке ТС можно сократить в 2-3 раза внн
в соответствующее число раз увеличить информационную емкость си-
стемы, используя асинхронно-пикнический безадресный способ передачи
сообщений.
5,2. Методы обеспечении достоверности передачи
отмктмаиых телемеханических команд
Одним из важнейших показателей безопасности СЖАТ является дос-
товерность передачи и приема телемеханических сообщений.
Достоверностью называется степень соответствии принятой и пе-
реданной информации (73]. Оценкой достоверности служит вероят-
ность правильного приема Рцр, равная отношению числа иравнньпо при-
150
нятых символов сообщения (Знаки, цифры, элементы) к общему числу
переданных символов при достаточно большом числе передаваемых со*
общений. Часто используют понятие вероятности появления ошибки при
передаче и приеме сообщений Рош, определяемой как Р «• i - р .
Ошибка может заключаться в трансформации (искажении) сообщения,
потере команды или образовании ложной команды вли контрольного
сообщения.
Для передачи н приема телемеханических сообщений необходимо
выбирать такой код, который удовлетворял бы существующим нормам
по достоверности передачи и приема сообщений [73].
В зависимости от количества элементов п в телемеханическом со-
общений вероятность появления ошибки должна быть не более допусти-
мой вероятности трансформации сообщения С [74], т. е.
1- (1-^)”= (5.7)
где - вероятность ошибочного приема единичного элемента кодовой комби-
нации.
Для повышения достоверности передачи информации можно исполь-
зовать избыточные коды- При этом в зависимости от степени избыточ-
ности можно не только обнаруживать, но и исправлять искаженные эле-
менты сообщения.
При использовании кодов с постоянным весом С* можно передать
п 1
---— комбинаций о кодовым расстоянием d > 2. В этом слу-
чае при допущении независимости ошибок и трансформации одного эле-
мента из состояния 1 в 0, а другого из состояния 0 в I возникает ложная
кодовая комбинация. Вес кода при этом не меняется, и ошибка не будет
обнаружена. Вероятность ложного приема в этом случае
приРэ« 1
Выражение р3 (I - ?3)*~ 1 - вероятность трансформации одной
из it 1 в 0; Cf.P3(l ~P3)n'~k~ 1 - вероятность трансформации одно-
го из л - к Ой 1.
Если для передачи телемеханических сообщений используется код
с контролем по четности или нечетности, то число разрешенных комби-
наций N = Т? ~ 1 и кодовое расстояние d > 2. В этом случае вероят-
ность ложного приема кода ойределяется в основном вероятностью дву-
151
л & •
кратных ошибок (четырехкратные, шестикратные и т. д. ошибки не учи-
тывают) ;
с^(1^/-э)я-2<етр. (5.Ю)
при Р3 « 1
с^,2<етр <511)
Можно отыетить, что код с контролем по четности или нечетности
имеет большее число разрешенных комбинаций по отношению к коду
с постоянным весом, имеющим такое же число разрядов.
Для того чтобы не только обнаруживать, но и исправлять ошибки
в сообщении, Необходимо использовать коды с d > 3.
Исходя из формулы Бернулли вероятность возникновения к оши-
бок (к < я)
cj (1(5.12)
В случае использования кода Хэмминга с d>3 вероятность необна-
руженной трехкратной ошибки ложного приема
г-’<<!„ (*•«>
Для обеспечения еще большей обнаруживающей и исправляющей
способности необходимо использовать коды с большим d.
Для повышения достоверности передачи информации в особо ответ-
ственных системах ТМ можно использовать метод многократного повто-
рения сообщений. Сущность метода заключается в передаче одного и то-
го же сообщения несколько раз, запоминании принятых кодов, сравне-
нии их поэлементно, в составлении сообщения определением элементов
по большинству. Например, при трехкратном повторении, используя ма-
жоритарную функцию 2 v 3 Y — XI #Х2 # ХЗ =Х1 Х2 v Х2 ХЗ v
v XI ХЗ, можно, поэлементно сравнивая, восстановить переданный код
(табл. 5.1), даже если во всех трех передачах он искажался.
Т а б лица 5.1
Пере- Элементы сообщения
152
Необходимое числ) повторных передач т для обнаружения или
исправления всех «-ьратных ошибок определяется кодовым расстоя-
нием
dn > md,
где </, - кодовое расстоя|Ие используемого в передаче сообщения кода.
Для исправления однократных ошибок при использовании простого
двоичного кода (d > 1) выполняют трехкратную передачу кодовых
комбинаций (т =3) л мажорнтирование 2 v 3 принимаемых сообще-
ний, а для исправления двукратных ошибок необходимо осуществлять
пятикратную передач} кодовых комбинаций (т = 5) и мажоритирова-
ние 3 V 5.
В случае мажоргтнрования 2 v 3 каждого разряда кода вероят-
ность искажения одного разряда
ЗРг - 2Р3 а зр- < о .
3 3 э «ТР (5.14)
Для л-значного трехкратно повторяющегося безыэбыточного кода
вероятность ложного приема
(5.15)
При пятикратной передаче
ю^’-ispj+ » юр^<е,р- (5.16)
Существует и другой метод передачи информации с накоплением,
при котором сравниваются не отдельные разряды, а комбинация в целом.
При мажоритарном восстановлении такого сигнала:
Зп2 Р* < бтр (при мажоритироваиии 2 v 3); (5.17)
1О^Р’<бтр (при мажоритироваиии 3 v 5). (5.18)
К недостаткам метода передачи информации с накоплением можно
отнести увеличение времени передачи или требуемой полосы пропуска-
ния канала С*язи, если сигнал передается на нескольких частотах одно-
временно.
ПовысиЯЬ'-ДосТоверность передачи телемеханических сообщений
можно не тоЯВКо применением избыточных кодов и многократным по-
вторением кола, но и одновременной передачей по нескольким парал-
лельным каналам. Возможно также использовать комбинации из этих
трех способов.
Использование кодов с обнаружением и исправлением ошибок сия-
зано с большой яэ^Йыточностьюн усложнением аппаратуры.
153
В системах ТМ с информационной или решающей обратной связью
(ИОС и РОС) для исправления ошибок можно использовать менее из*
быточные коды с обнаружением ошибок. Дополнительным преимущест*
вом обратного канана является возможность контроля раблтостюсобно-
сти объекта, принимающего информацию.
При использовании ИОС сообщение может передаваться даже не за*
щищенным от помех кодом. На приемном конце сообщение декодирует-
ся, но реализуется не сразу: сначала оно поступает через обратный канал
связи на передающий пункт. В схеме сравнения переданного и принятого
по обратному каналу кодов при их совпадении формируется сигнал под-
тверждения, передаваемый на приемный пункт для реализации команды.
При несовпадении кодов передается сигнал ’’гашения” равее переданной
команды и затем повторно передается сообщение. По нормам МККТТ
(Международный консультативный комитет по телефонии и телеграфии)
допускается восьмикратная повторная передача при искажении сооб-
щения.
Повышение достоверности передачи достигается повторением инфор-
мации только при наличии ошибки. Поэтому в системах с ИОС избыточ-
ность передаваемых сообщений меньше, чем в системах с повторением:
она минимальна при отсутствии искажений я возрастает при ошибках.
В системах телемеханики с ИОС по обратному каналу может передавать-
ся не вся информация, а только контрольные символы, которые сравни-
ваются на передатчике с предварительно сформированными контрольны-
мя символами.
При передаче сообщений в системах ТМ с РОС на приемный пункт
поступает избыточный код, обнаруживающий ошибки, который прове-
ряется в декодирующем устройстве. Если искажение кода отсутствует,
то команда реализуется, а на передающий пункт посылается сигнал про-
должения передачи, в противном случае формируется сигнал переспроса.
В общем случае системы с решающей и информационной обратной
связью выполняются с детектором качества сигналов (ДКС), с ожидани-
ем, с блокировкой и с адресным повторением [75, 76].
В системах ТМ с обратной связью на основе ДКС ошибки в символах
и комбинациях выявляются по вероятностным параметрам сигналов.
Такие системы иногда называют системами с посимвольной проверкой
или системами с нулевой зоной.
В системах РОС с ДКС вероятность ошибки в кодовой комбинации
из л элементов
(5.19)
где - аероятностьобнаруженижошивкидетектором качества.
Для систем ТМ с обратной связью и ожиданием реализации принято-
го сообщения передача следующего сообщения осуществляется после по-
154
ступлеиня квитирующего сигнала о правильности принятой кодовой
комбинации. При допущении, что практически невозможны трансформа-
ции сообщения о переэапросе в сообщении о подтверждения />эп а О
(и,наоборог/Рпа э 0), вероятность ошибки
/о<5М)
где PJw> - соответственно вероятности необнаруженная обнаружения ошибки
в кодовой комбинации-
При несильных помехах и малом значении PjM, PJo « 1 и Рош *
* Plt(, т. е. вероятность появления ошибки определяется вероятностью
появления нвобнаружнваемой ошибки, которая имеет место при исполь-
зовании данного кода.
Вероятность появления ошибки в системах с обратной связью и бло-
кировкой определяется аналогично.
В системах с ИОС вероятность ошибки при Передаче простым двоич-
НЫМ кодом
f.." <5.21)
где к - число информационных разрядов; Nq - число возможных комбинаций, из
которых одна используется длялередачи сигнена ошибки.
При передаче сигнала ошибки избыточным помехозашищениым
кодом
рош * к рэ/(\-0' (5.22)
Наиболее расяростралены системы с РОС, поскольку системы с ИОС
менее быстродействующие и более сложны в реализации.
5.3. Самопроверяемый контроль кодов
Для контроля кодов с обнаружением ошибок используют самопро-
вериемые тестеры (С!11). Они представляют собой кодовые детекторы,
задача которых состоит в том, чтобы отиичяп кодовые векторы, принан-
лежащие рассматриваемому коду, от остальных возможных векторов.
СПТ реализуется в виде устройства с й Входам» я двумя выхода-
ми I j иг,- (рис. 5.6). На иходы поддциея «-разрядные векторы кода
е обнаружетмЦ «шибок nRp (R - сяайюл, р - характеристика кода)
На выходах фс^иярутотся слова код» ”1 Ю 2”.
Тестер обладает следующими.свойствами: контроль входного векто-
ра, г. е. выходы и г2 приютмвют значенял 1.0 или 0,i, если на вхо-
де тестера присутствует вектор рассматриваемого кода, и значения 0,0
или 1,] в противном случае; самопроверка, т. е. дня любой одиночной
15$
a
Нв9 пЯр
I I >
пкр-спт
npeafpaseiamefa
пКр-~2С1
Т,-----------7Т
Ряс. 5.7. Тестер для коде 4С2
Код, один и> dig*’
Ряс. 5.6. Семопроверяе-
мый тестер
неисправности тестера существует входной вектор кода, на котором вы-
ходы Zj и z} принимают значения 0,0 или 1,1. Тестер представляет
собой преобразователь кода nRp в код ”1 из 2”. Выход исправного
тестера является парафазным.
Наиболее часто при построении ПСП устройств используют равно-
весные коды nOn (т - вес кодовых сяов). На рис. 5.7 показана схе-
ма тестера дня кода 4С2 (2/4-СПТ). На входы х1.х1>х3,х4 подаются
четырехраэрядные двоичные векторы. В табл. 5.2 представлено преобра-
зование слов кода 4С2 в слова кода 2С1, которые формируются
на выходах et и ?}.
С поступлением векторов, не принадлежащих коду 4С2, на выходе
формируются векторы 00 или 11, не принадлежащие коду 2С1. Напри-
мер, в двух носледних строках табл. 5.2 приведены два некодовых век-
тора. Если поступает вектор с меньшим весом (т < 1), то на входах
устанавливают значения 0,0, а при поступлении вектора с больший ве-
еом (т > 3)- значения 1,1. Таким образом, схема (см. рис. 5.7) отлича-
ет слова кода 4С2 отелов, не принадлежащих этому коду. В этом состоит
свойство контроля входного вектора. Свойство самопроверки закше-
156
чается в том, что для любой одиночной неисправности существуй такое
слово кода 4С2, при котором на выходах схемы устанавливается неко-
довое слово 00 или 11. Например, неисправность ’’обрыв входа х,” об-
наруживается в случае поступления слова х, хг ха х4 = 1100 в результа-
те установления на выходе значений 00.
Тестеры ти/и-СПГс наименьшей снежностью реализуются на осно-
ве преобразования кодов. Схема 3/4-СПТ (рис. 5.8) состоит из трех
последовательно включенных преобразователей, первый из которых осу-
ществляет преобразование кода 4СЗ в код 4С! (4СЗ-* 4С1) ,второй-
лреобразование 4С1 ~*4С2 и третий - преобразование 4С2~*2С1 (тес-
тер 2/4-СПТ), Каждый преобразователь обладай свойством контроля
входного вектора и самопроверки.
Разработаны методы, использующие следующие схемы преобра-
зования: дОя -* <гС1 ** 2kCk -* 2Cl(q = С^1) [77], nCm~* qCl'*
-* 2C/(q < С^*) [78 - 80,124] и nCm 4С2-* 2С1 [81].
Наиболее простые схемы СПТ реализуются на основа преобразова-
ния: иОп -* дС/ *♦ 2С1. Рассмотрим метод, позволяющий в данном
преобразовании подучить наименьшее значение числа <? [80].
Метод (80J рассматривает базовую функцию л/те-СПТ
/”(»!»,.....Хх> -f “ V \-‘ *|
'«Л Г1'2......">}• CS.23)
которая образуется в результате объединения знаком дизъюнкции
конъюнкций ранга т, соответствующих всем сковам кода пСт. Напри-
мер, дня кода 4С2
(xt **4) e*l К2 V *1*3 V *1 *4 V *1*3 V *1*4-
(5.24)
157
Для функции (5.23) имеет место следующее разложение:
/”(х, х. •xt)v /"(х,..,,. -,^)V
V /”- '(Xj, ...Xt)/'(xt4l... ..X,) v
v Г-’(х,. ,,x„)v...v
V f‘ (X, X») /•’’-’(Х,... . •, Х„), (5.25)
гИе * ~ < п/2>~ ближайшее к п/2 целое числа
Тестер m/л-СПТ представляется в виде последовательного соедине-
ния двух преобразователей: иОп-» qCl и qCl -* 2CL Преобразователь
пСт -* qCl описывается функциями j*...........у , которые составля-
ются из элементов правой части разложения (5.25у. Для этого находят
функции и F3 с использованием следующих формул [обозна-
чим четное и нечетное число п соответствелНокак п=ф(2) и лв<Р(1)1:
/"О,.........*». •*»> = Л V F2 v F3-
г0, если k ~ п - к = т;
• • >хкУ‘ если к^ткп-к^т-,
;Х^}, если к = ти п-к=£ т;
(5.27)
х4) V /и(х£+ ....хп),если к # т
„ и п— к * т;
F3‘l? У ....**)*
х/с»,.,..»„)¥ .V /*(»1.«*)/" ...»„); (S.2S)
Fj-F'vr-'t»,.....(«J.
...X„)V...V /(X,.....xt)/" '(xitl..x„), (5.29)
где s =1 и г = 2 пря т<р(2); г ~2 и t «1 при т - ip(l);
158
О, если п-к* т и т = ф(2);
.f”(xk* р,, .,хп),если п- к = т и т = >p(Y);
> если Л * т и п- к'* т или к - т и т = <р(1);
(хх......xfc), если к~ т я п - к=£ т или к = т и
т~ Y’(l);
f*(xv. ..,xk) v fl{xk + |Л . . x^), если к = и - к - т
т =<р(2).
и
Для случая т = 2 используют выражения (5.26) - (5.28) и соотно-
шение
[О, если # О;
3 [/2(xrx3) v A*a,x4) v ... v f(xs,xt),ecnn =0,
(5.30)
где j =п— 1 и t =п при п = ^(2); s = п-2 и t — п- I лри«= ^(1).
Приведенные формулы определяют разложение F. Функизт F и
F3 непосредственно включаются в множество функций уг........у .
К функциям fm (xJ.....xfc) и fm (хк + р .. ., х„), входящим в F{,
снова применяют разложение F. Образуются новые функции Fp F2 я
F3t в состав которых • включаются соответствующие производные раз-
ложения функций ............и ....JQ. После каж-
дого применения разложения F возможно:
1) F = 0; при этом процесс разложения базовой функции закан-
чивается и все полученные в процессе разложения функции (5.28) и
(5.29) образуют множество функций у . .,у ;
2) F. 0; при этом к функции F. снова применяется разложе-
ние F.
Описанный процесс повторяется до тех пор, пока F( не станет рав-
ным 0.
Число 4 определяется решением следующей системы уравнений:
2Р~1 т < п < 2Р т\
(2р при т > 3;
р+ 1 при т= 2.
(5.31)
159
Синтезируем 3/8-СПТ. В результате применения к базовой функции
/3(х, + xg) разложения F получим:
= /’О'! + «,); у2 =А*, xxjf'lx, ’
У, = f^.xjf'pyxj у /-"(х,.»,)/1 (*,.»,); >(S.32
yt f' (xl,x2')f!(xa,x4') V f'tx^x^f' (x, ,xs). J
Функции Ух^Уп записываются в виде ’’тупиковых” формул, для
чего каждая входящая в них функция /г(ху *,„) преобразуется при
помощи выражения (5.25) до тех пор, пока в формуле не окажутся
функции
В системе (5.32) ’’тупиковыми” формулами представлены функции
у3 н у4- Представим функции:
yt = (хух2> v /2(x3’*4) v *
X [/“(Xj.x^V /'(x7,x8)];
^2= [/'(*,.*2)v fX(X3,X4)]
V /2(x7,x8)v /•,(*J.^)f,(x7.x8)].
Тестер реализуется по ’’тупиковым” формулам в виде связанной
многоуровневой схемы (рис. 5.9).
Особый класс кодов составляют коды пС1. Тестер 1/лСПТ строит-
ся на основе преобразования пС1 -*• 2тСтп + 2С1 (см. рис. 5.8). В ра-
боте [82] описал метод каскадной реализации, позволяющий строить
1/п-СПТ, используя 1/л’-тестеры со значениями и < и (рис. 5.10). Для
построения любого 1/л-СПТ достаточно иметь 1/4-СПТ и 1/5-СПТ.
Наименее сложяые тестеры реализуются методом, представленным в
работе [83]. Для ОСИОВЯЫХ 1/л-СПТ получены структуры, описываемые
следующими функпедшв (одинаковые выражения, заключенные в
круглые скобки, реалюушкя в структурах одним и тем же элементом):
1/4-СПТ: <
zi= l(xi v »4)у*з1 *3)v
Z2 = V x3> V x J 1*1 v *4^ V *3] ;
160
Преобразователь SC3 —________________|
1U3 - *//
Рж. 5.9. Схема тестера для кода 8СЗ
Рис. 5.10. Схема каскадной реали-
зации тестера
6 Зак. 983
161
1/5-СПТ:
= (*iv-*J)(»2V ljv <>v (.’ *4)(«iv«4V xs);
"'j = (Г», V xj V (Xt V x, V Ж,)] ((X2 V X2 V X.) V (Xt V X,)) ;
1/6-СПТ:
Z1 = (*, V X2 V *»>(*,» X3VXS)V (XjV X4V X6)(X2V
V X4V XS);
z2 = ((Xj VX4 VX6)V(x, VX4 Vxs)J 'ft.vi.n.rv
V (xJXjVx,)];
1/7-СПТ:
zl [(«,V»,)VX2Vx,J V
V v X6 V Х1~7 ^X2 V XJV X3V X6^ ’
X2‘1(X2VX,) V *1 V >51 (»S V '« V XJV !(«1 V *S> V
V Xt] [(X2 V x„) Vx3 V X6)V(XS VX6 V X,) [ (X, V Xj) V
V x2 V X,1;
1/12-СПТ:
4= [X1V«10V(Jt!V*!V’:9V*l2)l;
4 ~ lX3V Xl2v (Xl V Л4 V '» V 1)] :
4= l*svVv t'Jv4vx7v'1»)l'.
/4= [X2VX?V (X1VX4V»^VX11)];
/5 = [X4 V X, V (X3 V хб V X7 V^a)] ,
/3 ~ V Z11 V (*3 V XS V "’'S V ’
762
4~AAVAAVW
zJ=/I/sv AAV АА'
Тестеры для значений п = 8 •*• 11 получают из описания 1/12-СПТ
исключением из формул следующих переменных: п = 8 (ха. хл, х.,
х9), п = 9 (х2, х4, ха),п= 10 (х4, х9), п = 11 (х4). Для 1/3-СПГТ не су-
ществует комбинационной схемы тестера; он реализуется в виде авто-
мата с самоконтролем (рис. 5.11) [81,84].
Быстродействующие m/n-СПТ реализуются в виде двух- или трех-
уровневых схем. На рис. 5.12 показаны две модификации 2/5-СПТ. Они
также могут быть реализованы при помощи программируемых логиче-
ских матриц. На рис. 5.13 представлена стандартная блочная структура
ап/и-СПТ [85], которая соответствует разложению базовой функции
(5.23)
...................*,-,>v
V/” '(«,..............1)/‘(«„). (S-33)
В структуру входят три блока. Блоки т/(л-1)-СПТ и (w-l)/(n-l)-
СГГТ представляют собой самопроверяемые тестеры, а блок С осуще-
ствляет самопроверяемое логическое сложение их парафазных выходов.
Тестеры т/(п - 1)-СПТ и (т- 1)/(л - 1)-СПТ также могут быть пред-
ставлены в виде блочной структуры (см. рис. 5.13). Тестеры заменяются
их блочными структурами в общей структуре m/и-СПТ до тех пор, пока
в ней не останутся только тестеры 2/4-СПТ, 1/пСПТ и (п~1)/и-СПТ,
которые не могут быть представлены
в виде блочной структуры. Тестеры
1/л-СПТ реализуются при помощи
каскадного соединения 1/4-СПТ и
1/5-СПТ, а тестеры (л - 1)/л-СПТ -
при помощи каскадного соединения
3/4-СПТ я 4/5-СПТ. Таким образом,
любой m/rt-Cin может быть реали-
зован соединением между собой бло-
ков 1/4-СПТ, 1/5-СПТ, 3/4-СПТ,
2/4-СПТ и С. На рис. 5.14 показа-
на блочная структура 2/7-СПТ.
Широко примягяется также код с
повторением пРк (к = л/2). При
контроле он преобразуется в пара-
фазный код пРк в результате ин-
Рис. 5.11. Схвча тестер» для кода ЗС]
163
Рис. 5.12. Схема быстропейстпупп^п
тестера для кода 5С2
х, хг xn.t Xi хг x„-t x„
Рис. 5.13. Структурная схема тДьСПТ
Рис. 5.14. Структурная схема тестера для кода 7С2
164
вертированйя контрольных разрядов кода. Для построения лАЬСПТ
используют специальный модуль сравнения МС (рис. 5.15, а), представ-
ляющий собой схем^ проверки на парафазностъ сигналов в каждой из
двух пар входов: («ц # я,) и #0f). Выход z“ исправной
схемы. МС также является парафазным (z # z2). При нарушения
парафазности входных сигналов и возникновении одиночных кон-
стантных неисправностей на выходах МС устанавливаются одинаковые
сигналы. Для проверки схемы МС необходимы четыре входных на-
бора-. 0101, 0110,1001, 1010. На рис. 5.15, б показано условное обо-
значение модуля сравнения. Парафазностъ любого числа сигналов
х2>...»х* контролируется в схеме, представляющей собой после-
довательное или древовидное соединение МС. При этом трабуется к - 1
модуль (рис. 5.16).
Среди разделимых кодов наиболее часто для построения самоиро-
веряемых устройств используются коды с суммированием nSk(k - чис-
ло информационных разрядов). В табл. 5.3 представлен код 5S3.
Код nSk строится следующим образом. Образуется множество
из 2* t-рячряцньгх информационных слов. С каждым информационным
словом сопоставляется вспомогательное слово из ] log(fc + 1) [ разря-
дов. Вспомогательное слово образуется как двоичное чисяо, выражаю-
щее количество единиц, содержащихся в к символах соответствующего
информационного слова.
Каждое вспомогательное слово преобразуется в контрольное слово
в результате замеим значения каждого символа кода на противополож-
Таблица 5.3
Информационное Вспомогательное СЛОВО Контрольное слово
Х2 Ь х4 X. 1
0 о о 0 0 1 1
0 0 1 0 1 1 0
0 1 о 0 1 1 0
0 1 1 1 0 0 1
1 0 0 0 1 1 0
1 0 1 1 0 0 1
1 1 о 1 0 0 1
1 1 ! 1 1 1 0 0
165
Ряс. 5.15. Модуль сравнения
Рис. 5.16. Схемы контроля парафаэных сигналов
Рис. 5.17, Структурная схема тестера
для кода с суммированием
Рис. 5.18. Схема тестера для кода
с суммированием 9S6
I
166
ное. Слова кода nSk образуются приписыванием справа к информаци-
онным словам полученных указанным способом соответствующих конт-
рольных слов.
Код nSk контролируется на основе сравнения информационной
части кодового слова с его контрольной частью.
Строится (л, к) тестер в соответствии со структурной схемой
(рис. 5.17). Тестер содержит генератор Г и компаратор К. На вхо-
ды Xj, х2......хк генератора подаются переменные, соответствующие
информационным разрядам кода. Генератор имеет г выходов (г =
= п—к) и осуществляет преобразование вектора, соответствующего ин-
формационной части кодового слова, в вектор, соответствующий конт-
рольной части этого слова. Компаратор имеет 1г входов и два выхо-
да Zj и гг. На входы $,+ 1. ......\ подаются переменные,
соответствующие контрольным разрядам кода. Компаратор осуществ-
ляет сравнение вектора, сформированного на выходах генератора, с век-
тором, образуемым г контрольными разрядами кодового слова. Если
указанные векторы совпадают, то на выходах и г2 присутствуют
сигналы 0,1 или 1,0, в противном случае — сигналы 0,0 или 1,1. Компа-
ратор представляет собой тестер для парафазного кода д реализуется в
соответствии с рис. 5.15 и 5.16.
Генератор строится последовательным соединением блоков, реали-
зующих схемы сумматоров и полусумматоров, осуществляющих сложе-
ние двоичных чисел [86]. Недостатком таких генераторов является
низкое быстродействие, Другой способ построения генераторов предло-
жен в работе [87]. Обозначим SQ. S,.....$r _ j—функции, описы-
вающие выходы генератора, при этом выходы S и 5 _ , соответ-
ствуют выходам, соответствующим младшему х* и старшему х*+ j
разрядам вспомогательного слова (см. табл. 5.3).
Функции Sf 0’€{Ь,1....г - 1 у) вычисляются по формуле:
т, т + 21 т. т. + 2/ —“
= V f 2 f 2 vff. (5.34)
В формуле (5.34) /"‘-обозначение простой симметричной функции
...........**) вида (5.23); = 2'; т. + , - mj; + 2f* ‘ (j € (1,2,
з................................. 4)s 1 + 2'; р =] р/2'*1 I: р’*- 2';
если а + I1 < к и Ъ = 0 в противном случае; обозначение ] t [ соот-
ветствует ближайшему к t целому чисяу, равному или меньшему t.
Например, для кода 5S3 (см. табл. 5.3) So~ у f (coot-
ветствует разряду x*),Sj = / (соответствуетразряду х*).
На рис. 5.18 показана схема тестера для кода 9S6. Генератор Г со-
стоит из двух блоков. Блок Л/ реализует систему из к простых сим-
метричных функций fm(xi, хг.......х )(m 1, 2, . . ., 6 J ), а блок
А 2 - систему кт г =9-6=3 функции вида (5.34). Функции/’" (х,,
167
Рис. 5.19. Схема тестера ши кола
с проверкой не нечетность
х2.....х) реализуются в соответствии с разложением (5.25) по’’ту-
пиковым1' функциям.
При построении надежных комбинационных схем эффективным
является использование кодов с проверкой на нечетность (четность).
Тестер для кода с проверкой на нечетность строят так. Множество
переменных кода произвольно разбивают на два непересекаюшихся под-
множества. Переменные, входящие в одно подмножество, обьедлняются
схемой свертки по модулю 2. На рис. 5.19 приведен тестер для кода
с л = 6. Тестеры для кодов с проверкой на четность строят аналогично
с установкой дополнительного инвертора на одном из выходов z или
z2. Если множество слов заданного кода включает в себя все слова с не-
четным (четным) числом 1, то проверка схемы тестера обеспечивается
при произвольном распределении переменных по ее входам. В против-
ном случае для обеспечения самопроверки Должны быть выполнены
определенные условия [88].
54. Надежная дешифрация кодов
При дешифрации корректирующих кодов решается задача контроля
внутренней структуры дешифраторов ДШ. Дешифратор представляет
собой комбинационное устройство (рис. 5.20), имеющее п входов
и q выходов. На входы х , х2,...,хп подаются слова корректирую-
щего кода. Невыходах у{, у2.......у реализуются кодовые слова.
ДШ обладают следующими свойствами:
1) дешифрации, т. е. при поступлении на вход ДШ кодового век-
тора ив соответствующем ему выходе появляется сигнал 1;
2) контроля входного вектора на выходе ДШ, т. е. При поступлении
на вход ДШ некодового вектора ив всех выходах уг - у. формируется
сигнал 0.
Неисправности элементов внутренней структуры ДШ могут приво-
дить к следующим случаям искажения выходных сигналов:
1) невозможность дешифрации кодового слова (в этом случае на
всех выходах у. - у формируется сигнал 0);
2) совместная дешифрация поступившего кодового слова и некото-
рых других слов (в этом случае на выходах JZZtf формируется несколько
сигналов 1: правильный сигнал на выходе, соответствующем поступив-
шему слову, и неправильные сигналы на остальных выходах);
168
3) неправильная дешифрация нескольких кодовых слов (в этом сну*
чае на выходах ДШ формируется несколько сигналов 1 на тех выходах,
которые не соответствуют поступившему слову);
4) неправильная дешифрация одного кодового снова (в этом случае
на выходах ДШ формируется только один сигнал 1, на том выходе, ко-
торый не соответствует поступившему слову).
Вид искажения выходных сигналов ДШ зависят как от свойств кор-
ректирующего кода, так и от внутренней структуры ДШ. На рнс. 5.21
показан способ контроля ДШ, при котором обнаруживаются искаже-
ния 1), 2) н 3). Выходы ДШ объединяются схемой контроля СК для
кода ”1 из q”. Последнюю целесообразно строить в виде самопроверяе*
мото устройства. Самопроверяемые схемы контроля для ДШ на восемь
выходов (рис. 5.22) и подобные можно применять для любых кодов.
Для разделимых кодов используют схему контроля, показанную ив
рис. 5.23. Множество выходов ДШ разбивают на непересекающиесл под-'
множества так, что все выходы, входящие в одно и то же i-e подмно-
жество, характеризуются одним и тем же признаком П.. Количество под-
множеств определяется числом возможных признаков П? При включе-
нии одной из выходных шин ДШ по специальной схеме ОсП, вырабаты-
вается соответствующий признак nf< который сравнивается с призна-
ком данного выхода ДШ, заложенным в контрольном векторе кодового
слова. Если эти признаки Не совладают, то схема сравнения вырабатыва-
ет сигнал ошибки.
На рис. 5.24 представлена схема контроля ДШ для кода с суммирова-
нием с греми информационными разрядами (см. табл. 5.3). Выходы ДШ
разбиты на четыра подмножества (группы). Каждая группа соответству-
ет одному из контрольных слов кода. Контрольное слово является при-
знаком IL выхода ДШ. В точках f и h формируются признаки выхо-
дов ДШ которые сравниваются с кодовыми векторами, присутствую-
щими на входах х4 и х$, соответствующих контрольным разрядам, че-
рез самопроверяемый компаратор для нарафазиого кода (см. рис. 5.16).
Схема контроля (см. рис. 5.23 и 5.24) позволяет обнаруживать все
искажения 1) выходных сигналов, а также те1 искажения 2) и 3),
при которых сигнал логической 1 появляется на^выходах ДШ , принадле-
КаррМп’иРУ'Ощий xni
Рис. 5.20. Схема дешиф-
ратора
Сигнал ошибна
Рис. 5.21. Схема контроля
дешифратора
169
жзищх. различным группам выходов. Обнаруживаются также искаже-
ния 4), кроме тех, при которых неправильный сигнал логической 1 появ-
ляется на выходе, принадлежащем той же группе, что и выход, соответ-
ствующий кодовому слову на входе дешифратора. Для усиления обна-
руживающей способности схемы контроля можно объединить рассмот-
ренные принципы контроля (см. рис. 5.21 и 5.23). Примером такого
объединения может служить схема контроля Дй/ на восемь выходов для
кода с контролем на нечетность (рис, 5,25). В ней не обнаруживаются
только указанные выше искажения 4).
Для решения задачи обнаружения искажений иа выходах ДШ реали-
зуют в виде самопроверяемого устройства [89J . Пря этом обеспечи- |
вается обнаружение всех одиночных неисправностей элементов внутрен-
ней структуры ДШ. Требование обнаружения неисправностей находится I
Р«- 5.23. а„ децшфи„и т кощ
в противоречия со свойством 2) дешифратора. Это связано с тем, что
корректирующий код имеет избыточность, наблюдаемую и в схемах де-
шифрация. При этом элементы дешифратора содержат избыточные вхо-
ды, неисправности которых не нарушают правильную работу ДШ с по-
ступлением кодовых слов (сохраняется свойство дешифрации), ио иска-
жают работу ДШ при подаче некодовых слов (теряется свойство конт-
роля иходаого вектора на выходе ДШ). В результате этого при nocryff-
леидя некодового слова на одном из выходов — у формируется
сигнал логической!. Для устранения указанного противоречия дешиф-
ратор строят в виде структуры, показанной на рис. 5.26. Такой ДШ
171
обладает свойством 1) дешифраторов, а также дополнительными свой-
ствами:
а) контроля входного вектора на выходе схемы контроля СК, т. е.
выходы СК г, и гг принимают значении 1,0 или ОД, если на входе
ДШ присутствует вектор кода nRp, и значения 0,0 или 1,1 в противном
случае;
б) сэмоироверки СК, г- е. для любой одиночной неисправности СК
существует вектор кода nRp, на котором выходы г я т3 принимают
значения 0.0 инн 1,1;
в) обнаружении неисправностей /рй, т. е. для любой одиночной не-
исправности ДШ существует вектор кода nRp, на котором выходы z( и
z2 принимают значения 0,0 или 1,1;
г) защищенности ДШ от неисправностей, г- е. любая одиночная не-
исправность ДШ на любом векторе кода nRp не искажает значений вы-
ходов дешифратора; в противном случае вызывает также появление
на выходах гу и z^ СК значений 0,0 или 1,1.
В структуре (см. рис. 5.26) каждый из преобразователей обладает
свойствами контроля входного вектора и самопроверки. Дешифратор
заменен на преобразователь nRp -* qCl, который обладает также
свойством защищенности от неисправностей (с поступлением на вход
преобразователя некодового слова допускается формирование сигналов
логической 1 сразу на нескольких выходах). Такая замена допустима,
поскольку поступление на вход ДШ некодового слова фиксируется на
выходе СК. С другой стороны, эта замена позволяет решить задачу
обнаружения неисправностей ДШ, поскольку преобразователь nRp **
-> qCl не содержит избыточных элементов.
Самолроверяемые ДШ строят с использованием следующего метода.
Преобразователь nRp -* qCJ описывается функциями yJF yjF...,у ,
каждая из которых определяется на множестве слов кода nRp н слов,
не входящих в этот код. Каждая функция y^i^. 1,2, ) задает-
Корректирующий ков
пЯе
Рис. S.26. Структура сэмопроьеряемого
дешифратора
172
ся следующим образом: равна 1 на i-м слове кода (т. е. на слове, реали-
зуемом на i-м выходе дешифратора), равна 0 на остальных кодовых
словах и принимает неопределенное значение на всех некодовых словах.
Функции у( определяются совместной минимизацией системы
функций у£, уг, . . у^ с учетом использования некодовых слов.
При этом каждая функция yf рассматривается ь ак не полностью опре-
деленная функция. Находятся минимальные ДНФ функций у{ при вы-
полнении следующего условия: если некоторое некодовое слово исполь-
зовано дня упрощения функции у;, то оно должно быть использовано и
для упрощения функции у. (i 1s j; i, j € 1, 2.q ). В результате ми-
нимизации каждая функция будет представлять собой конъюнкцию
ранга г <«.
Преобразователь nRp + qCI реализуется в результате установки q
элементов И. На вьисоде каждого из них выполняется одла из функ-
ций у.. Если код nRp является несравнимым, то функции у. не содер-
жат инверсных переменных. В этом случае на структуру преобразовате-
ля nRp -* qCI не накладывается никаких ограничений. Если код nRp
является сравнимым, то функции у{ содержат инверсные переменные.
В этом случае на структуру преобразователя накладывается следующее
ограничение: для инверсии входных переменных на каждый вход уста-
навливается один инвертор ияи несколько включенных параллельно ин-
верторов с учетом увеличения их нагрузочной способности.
На рис. 5.27 представлена матрица Карно, в которой заданы сло-
ва а£ - ag четырехразрядного кода с проверкой на нечетность (х4 —
контрольный разряд). Свободные элементы матрицы соответствуют
некодовым словам. Контуры отражают процесс минимизации, в резуль-
тате которого вычисляются функции, описывающие преобразоватеиь
4Н] -* 8СГ.
VVlV- ^=*1Х2*4'> Ут = W-
Ут =xi*2V- .у8 = л*2*э-
У3 “ Х 1 Х2 *3’ = Х1 Х2
На рис. 5.28 представлена схема самопроверяемого ДШ четырехраз-
рядного кода с проверкой на нечетность. Для некоторых корректирую-
щих кодов ДШ может быть реализован в соответствии со структурной
схемой (рис. 5.29), в которой преобразователь qCl~*2Cl представлен
в виде последовательного соединения специального преобразователя
qCI 5 рС1 и преобразователя рС7-*Х7.Припостроенинпреобразова-
теля qCI pCJ используются свойства кода, для которого строит-
ся ДШ . При этом реализуется преобразователь nRp -* рС1, состоящий из
173
Рис 5.29. Самоироверяемый дешиф-
ратор
Рис. 5 28. Самоироверяемый дешиф-
ратор для кода с проверкой на нечет-
Рис. 5.30. Дешмфрвтирдля рав-
новесного кода 4С2
Рис- 5.31. Дешифратор для кода
с суммированием 5S2
174
Рис, 5.32. Схема дешифратора
с парафаэными выходами
последовательно включенных преобразователей кЛр -* qCl и qCl 5
3 рС1 с выполнением следующих условий:
1) преобразователь qCl 3 рС1 описывается функциями /
Л......
2) каждая функция Л(/ е { 1, 2.....р})представляется в виде
= У, V Л V ... V где i,, »23..., I, € {1, 2.......q];
3) каждая функция у (s 6 £ 1, 2....q}) из системы, описываю-
щей преобразователь nRp <?С7, должна входить в одну и только в од-
ну изфуккций fvf3......fp;
4) каждое некодойое слово, использованное для минимизации функ-
ций У1. у2.....должно покрываться хотя бы одной функцией ys,
включенной в функцию f., и хотя бы одной функцией ys, включен-
ной в (i * j: 1, j е {1,2 р });
5) каждая функция у*, полученная из функции ys (s 6 { 1, 2,..., q^)
в результате фиксации в 1 одной из ее букв x^Xj = X/ или I 6
£ £1, 2 пJ), должна покрывать хотя бы одно кодовое слово, реали-
зуемое функцией уг (г 6 £ 1,2.....q$), включенной в ft, и хотя бы
одно кодовое слово, реализуемое функцией у-^ (/? £-£1,2,<?J),вклю-
ченной в функцию f^{i *j; i, j 6^ j, 2,.. •,q}')-
Получение функций . . .,'/p осушествияетсл на основе реше-
нии задачи покрытия. На рис. 5.30 и 5.3] соответствеияо представлены
дешифраторы для равновесвого кода 4С2 и кода с суммировани-
ем 532.
Для кодов, обладающих свойством несравнимости, реализуются ДШ
с парафаэными выходами (рис. 5.32). Такив ДШ обладают следующими
свойствами:
1) контроля входного вектора, т. е. если на входе ДШ присутству-
ет вектор контролируемого кода, то один из парафазных выходов, на
котором реа/игауется этот вектор, принимает значения 1,0, а остальные -
значения 0,1; в противном случае хотя бы один из нарафазных выходов
принимает значения 0,0 или 1,1, а остальные - значения 0,1 и ни один
из выходов не Принимает значения 1,0;
2) самопроверки, т. е. для любой одиночной неисправности сущест-
вует входной вектор кода, на котором хотя бы один из парафазных вы-
ходов привимает значения 0,0 или 1,1 и одновременно на каждом из па-
рафазных выходов сигнал не искажается или принимает значения 0,0
или 1,1;
175
3) защищенности от неисправностей, г. е. любая одиночная неисправ-
ность на любом входном векторе кода не приводит к искаженлю значе-
ний ларафазных выходов или в противном случае вызывает понвленив
на некоторых из них значений сигналов 0,0 или 1,1-
В качестве СК для ДШ с парафазными выходами используют тес-
теры для парафазных кодов. В ряде случаев специальная СК не требу-
ется, если при построения сложных дискретных систем с обнаружением
отказов па рафазные выходы ДШ подаются на парафазные входы других
блоков системы, поэтому отказы элементов ДШ фиксируются другими
блоками как отказы их входов.
Система функций, описывающих ДШ с парафазными выходами,
определяется следующим образом.
С использованием изложенного выше метода вычисляют функция
yt - Уг< • • •, Уч> описывающие преобразователь пКр -* qCl. Для несрав-
нимых кодов функция yf(i^ £1,2,.. .,<?j ) имеет вид
где у р 12...........(1, 2,.. .,л}.
Для каждой функции у, составляется функция
У' X₽i V * * * ХР1 V V Хр« - t’
гае pvpv ...,pw_tefi,2....л}; рх,р2...Ра -yf 2’
Функции у- К у, образуют Ай парафазлый выход дешифратора.
Например, ДШ для кода 4С2 описывается следующими функциями-.
Глава 6
МЕТОДЫ НОРМИРОВАНИЯ И ОЦЕНКИ
БЕЗОПАСНОСТИ СЖАТ
6.1. Нормирование показателей безотказности
и безопасности мнкроалектроиных систем
Современные концепции безопасности на железнодорожном транс-
порте исключают ’’абсолютную безопасность”, элементы которой в той
илн иной степени существовали в предшествующие периоды развития
отечественной железнодорожной техники- Это выражалось, в частности,
в стремления замалчивать факты серьезных крушений и аварий, в отсут-
ствии достоверных статистических данных об опасных отказах н реаль-
ных оценок стоимости человеческой жизни. Общепризнано, что необхо-
димо четко различать желаемый идеал (абсолютную безопасность) и
реально имеющийся уровень безопасности технических средств.
Абсолютная безопасность не может быть достигнута из-за случайной,
объективной природы отрицательно влияющих на безопасность факто-
ров. На железных дорогах такими основными факторами являются
(рис. 6.1) ошибки персонала, неисправности пути, подвижного состава,
устройств СЦБ. В различных странах мира роль этих факторов может
быть различна [90] - В США из общего числа аварии 32 % приходится
на непоправность пути, 29 % - на ошибки персонала и 16% - на выход из
строя подвижного состава и средств СЦБ. На железных дорогах Япо-
нии 60 % аварий приходится на ошибки персонала, в том числе 20 % -
на ошибочное восприятие машинистами сигналов при отправлении по-
ездов со станций, 22 % ~ на столкновения на переездах, 5,5 % - на неис-
Рис. 6.1. Структурная схема факторов, впияюшяхна безопасность движения поездов
177
Таблица 6.1
Причина 1 Крушения | Аварии
1 Числ □'процент Чнс , общего' о Процент общего ' числа
Проезды запрещающего сигнала 9 i 8 <8 '7
Превышение скорости 4 3 > — —
Неисправность локомотива Наезд поезда на поезд 2 2 [7 3 I1 6
Излом рельсов 17 •15 '5 4
Неисправность пути и стрелочных переводов 26 22 35 •31
Изломы шеек осей колесных пар вагонов и другие нх неисправности и изломы деталей ! 21 18 '6 5
Прочие I31 ,29 S3 jlOO |115 46
Всего крушений и аварий 120 |100
правность подвижного состава и 1,7 % — на неудовлетворительное со-
стояние устройств СЦБ. На железных дорогах Великобритании из 246
крушений с тяжелыми последствиями 37 % были вызваны ошибочными
действиями машинистов, 31 % - ошибочными действиями дежурных
стрелочных постов, дежурных постов централизации и других работни-
ков службы перевозок, 28 % - техническими неисправностями пути и.
подвижного состава, 4 % — отказами устройств и систем СЦБ.
В нашей стране наибольшее число крушений и аварий сосредоточено
в таких хозяйствах МПС, как путевое, вагонное, локомотивное, перево-
зок, грузовой и коммерческой работы. Основные причины крушений
и аварий за 1988-1989 гг. [91] приведены в табл. 6.1.
Статистика свидетельствует, что больше всего крушений грузовых
и пассажирских поездов (свыше 40 %) происходит по вине работников
путевого хозяйства и в основном из-за неудовлетворительного содержа-
ния пути и грубейших нарушений технологии его ремонта (табл. 6.2)
[92J. На долю хозяйства сигнализации и связи приходится 3 % круше-
ний и аварий.
Таким образом, безопасность движения поездов зависит от безопас-
ности технических средств (подвижной состав, путь, устройства автома-
тики), эксплуатационного персонала (ремонтники, машинисты, диспет-
черы и т. п.), наЛ№бш подвижных единиц на полигоне управления, а так-
же от воздействия природных явлений (гроза, землетрясения, лавины
и т. п.). Вероятность безопасного движения поездов близка к 1, поэто-
му чаше пользуются понятием вероятности нарушения условий безопас-
ности движения поездов (вероятности аварии) Q за время t, кото-
рое определяется из выражения [93] дИ
едп(')~ [е1е(о+счю*епя(г)]рс(г), (6.i)
178
где Qn(t), 0 (Г) ~ вероятности соответственно нарушения безопасной работы
технжеских средств и неправильных действийоперетора; ~ вероятность
опасного воздействия природных явлений на систему Управледия; ~ веро-
ятность эксплуатационного события - нахождение подвижной едвпишд на участке
действия системы управлении.
Нарушение безопасности движения поездов по вние СЦБ происхо-
дит реже, чем по вине других технических средств транспортного комп-
лекса. Причиной этого является строгое соблюдение требований безопас-
ности при разработке, изготовлении и эксвлуатации СЖАТ.
Требования безопасности СЖАТ в соответствии с ОСТ 32.18—92 раз-
деляются на качественные и количественные. Количественные класси-
фицируются как детерминированные и вероятностные. Нарушение
качественных и детерминированных количественных требований без-
опасности приводит к опасному состоянию системы автоматвки. Вероят-
ность такого события не должна превышать нормируемых (допусти-
мых) значений, установленных в нормативной или конструкторской
документации на СЖАТ.
Данные эксплуатации говорят о том, что опасные отказы систем
железнодорожной автоматики и телемеханики редки. Этот факт сущест-
венно затрудняет достоверный выбор и расчет показателей и норм без-
опасности СЖАТ, гак как статистические эксперименты для их опреде-
ления необходимо проводить слишком длительное время. Поэтому без-
опасность СЖАТ оценивается ие только вероятностными, но и детер-
минированными показателями.
Детерминированные (качественные) показатели обычно выражаются
физическими величинами или отношением этих величин. Например, без-
опасность многокомилектиой резервированной аппаратуры может оде-
нииаться числом комплектов, отказы которых приводят к опасным си-
Таблица 6.2
Служба.иля организация Крушения Аварии
Число! Процент общего Число Процент общего
Локомотивная 24 '20 16 14
Загонная 22 18 9 8
Пути 47 «0 52 45
Перевозок 8 5 23 20
Сонтейнерная 6 5 г
Перевозок м коммерческой работа ЦТВР 1 г
Сигнализации и связи 3 3
Пассажирская — — 2 2
Материально-Технического обеспеченвл —
НеТренспортные организации 6 5 8 6
Всего крушений и еварий 120 100 115 100
179
туациям; безопасность ограничивающего фильтра - гарантированным
спектром запираемых частот и т. п. К детерминированным относятся
показатели, оценивающие работу предприятий железнодорожного транс-
порта (абсолютное количество крушений, аварий, случаев брака и от-
ношения случаев брака к технической оснащенности) по итогам их
деятельности- Некоторые специалисты в области железнодорожной авто-
матики считают, что качественные показатели достаточны для оценки
безопасности- Однако это не так, поскольку последние имеют ряд
существенных недостатков. Оии ие отражают вероятностную природу
Процессов эксплуатации и обслуживания систем, имеют обычно ограни-
ченную область применения и носят частный характер. Они не могут быть
определены a priori аналитическими методами при разработке систем.
Вероятностные показатели безопасности имеют общий характер
(применяются для любых систем, элементов и устройств) и могут
определяться экспертным, опытным, расчетным способами пли модели-
рованием.
Поскольку безопасность движения поездов зависит от ряда факто-
ров, то необходимо определить степень их влияния в частности, тре-
бования к вероятностным показателям безопасности СЖАТ, учитывае-
мые при их создании. На основании этих требований по окончании разра-
ботки делается заключение о возможности применения данных устройств
и СЖАТ в качестве составной части транспортного комплекса.
При этом возможны два подхода к определению требований по без-
опасности СЖАТ: ’’сверху” и ’’снизу” [94]. В первом случае (’’свер-
ху”) необходимо определить общие требования к вероятностным пока-
зателям безопасности движения поездов и затем распределить их на раз-
личные технические средства (в том числе на СЖАТ), природные явле-
ния, ченовеческий фактор. Это довольно сложно и при таком подходе
не всегда однозначно можно определить роль того пли иного влияющего
фактора, т. е- задача может иметь несколько решений, так как участки
дороги имеют различную техническую оснащенность, природные усло-
вия, разную интенсивность и характер движения поездов.
Во втором случае (’’снизу”) можно попытаться оценить показатели
безопасности существующих технических средств и принять их за норму.
Для СЖАТ такой подход более реалистичен, поскольку возможно опре-
делить показатели безопасности различных систем автоматики, учитывая
свойства элементной базы и используемые меюды синтеза. Однотип-
ные СЖАТ, эксплуатируемые на различных участках железных дорог,
должны обладать одинаковыми Показателями безопасности,,не завися-
щими или слабо зависящими от размеров и характера движения поездов.
Зависимость безопасности СЖАТ от движения поездов выражается
в тоМ, что для разной интенсивности движения требуются устройства
автоматики, имеющие различные функциональные возможности, т. е.
СЖАТ разной сложности. Таким образом, движение поездов определяет
140
тип используемой системы автоматики. Поэтому количественные пока-
затели безопасности СЖАТ целесообразно определять ’’снизу”.
Имеется еще одна особенность обеспечения безопасности СЖАТ.
Синтез этих систем осуществляется таким образом, чтобы не было воз-
можности создания опасной ситуации при отказах элементов даже в от-
сутствии подвижных единиц, т. е. не возникает более разрешающих по-
казаний светофора, не осуществляется самопроизвольный перевод
стрелки, замкнутой в маршруте,» г. д. Таким образом, при синте-
зе СЖАТ и оценке ее безопасности надо абстрагироваться от размеров
движения.
При задании требований по безопасности для изделия железнодо-
рожной автоматики и телемеханики, определяют типовую модель экс-
плуатации, применительно к которой устанавливают Требования по без-
опасности-, критерии опасных отказов; перечень и значения показателей
безопасности (ПБ); методы контроля соответствия изделий железно-
дорожной автоматики и телемеханики заданным требованиям безопас-
ности; требования и (пли) ограничения по конструктивным, техноло-
гическим и эксплуатационным способам обеспечения безопасности, при
необходимости с учетом экономических ограничений; программу обес-
печения безопасности.
Типовая модель эксплуатации изделия СЖАТ определяется по
ГОСТ 21003-90 и дополнительно с учетом специфики изделий СЖАТ
Предполагает проведение инспекционных и периодических сертифика-
ционных испытаний на безопасность в процессе эксплуатации.
Как отмечалось, требования по безопасности изделий СЖАТ под-
Разделяют на количественные и качественные. Количественные требова-
ния задают в ваде групповых и индивидуальных норм ПБ. Групповые
кормы устанавливают для совокупноств изделий данного типа (вид,
марка, модель), а индивидуальные - для единичного изделия данного
типа. Качественные требования регламентируют конструкционные, про-
изводственные и эксплуатационные способы обеспечения безопасности
Изделий СЖАТ.
Конструкционные способы обеспечения безопасности предъявляют
требования к снособам и кратности резервирования, способам сниже-
ния интенсивности опасных отказов составных частей и комплектующих
изделий, ограничению номенклатуры комплектующих издений и мате-
риалов, деградации и реконфигурации структуры изделия; аппаратуре
индикации и фиксации отказов, тестового и функционального контроля,
Производственные способы, обеспечения безопасности предъявляют
требования к стабильности технологических процессов, свойствам
сырья, материалов, комплектующим изделиям; способам и средствам
контроля уровни безопасности в ходе производства; способам и про-
должительности технологического прогона изделий; периодичности,
объемам и методам испытаний иа безопасность серийно изготавливаемых
пли разрабатываемых опытных изделий СЖАТ.
181
Эксплуатационные способы обеспечения безопасности СЖАТ со-
держат требования к системе технического обслуживания (ТО) и ремон-
та по числу видов, периодичности, объемов ТО и плановых ремонтов;
средствам материально-технического оснащения ТО и ремонтов; систе-
ме учета, сбора, обработки и представления информации о безопасности
СЖАТ, если контроль нормируемых показателей осуществляется в усло-
виях эксплуатации; способам устранения отказов и повреждений, прави-
лам регулировок; численности и квалификации обслуживающего пер-
сонала.
Общее число задаваемых требований и показателей безопасности
должно быть минимальным и характеризовать все этапы создания и
режимы эксплуатации изделия-
Под методами контроля безопасности Изделия СЖАТ понимают
проверку качественных и количественных характеристик на соответ-
ствие установленным требованиям по безопасности. Виды контроля под-
разделяются: по объему контролируемых изделий — на сплошной и
выборочный (статистический); по стадии производственного процесса-
на входной, текущий, выходной; по используемым методам и средст-
вам — на экспертный, расчетный, экспериментальный и расчетно-экспе-
риментальный; по времени проведения - на циклический (периодиче-
ский) , одноразовый, плановый, внеплановый (инспекционный).
Программа обеспечения безопасности (ПОБ) разрабатывается
преимущественно для СЖАТ. Работы и мероприятия,определяемыеПОБ,
должны обеспечивать выполнение и подтверждение выполнения задан-
ных Требований по безопасности СЖАТ.
Требования по безопаспосш первоначально определяют на стадии
исследования и обоснования разработки выполнением следующих
работ:
1) анализ требований заказчика (потребителя), назначения и усло-
вий эксплуатации изделия (пли его аналогов), ограничений по всем ви-
дам затрат, в том числе по конструктивному исполнению, технологии
изготоиления и стоимости эксплуатации;
2) выработка и согласование с заказчиком (потребителем) крите-
риев опасных отказов;
3) выбор рациональной номенклатуры задаваемых ПБ;
4) установление значений (норм) ПБ изделий СЖАТ и их состав-
ных частей.
При формировании технических условий на серийные изделия в них
включают, как правило, те требования и ПБ, которые предполагается
контролировать на этапе изготовления изделия. Например, дня микро-
электронных систем качественными требованиями могут быть незави-
симость отказов в резервированных элементах структуры, период н
длительность диагностирования.
На стадиях серийного производства и эксплуатации допускается
корректировать значения отдельных ПБ по результатам испытаний пли
1S2
подконтрльной эксплуатации. Для сножкых изделий ЖАТ при их разра-
ботке, опттном и серийном производстве допускается поэтапное задание
значений 1Б с учетом накопленных статистических данных по предшест-
вующим вделиям-аналогам.
Номаклатуру ПБ выбирают на основе классификации изделий по
признака», характеризующим их назначение, особенности режимов экс-
плуатации и др. Классификационные признаки изделий определяют,
анализируя характеристики их назначения, условия эксплуатации и дан-
ные о безспасностн изделий-аналогов.
Осноиыми признаками, по которым классифицируют изделия
железподсрожиой автоматики и телемеханики по безопасности, являют-
ся: опредленность назначения изделия; режим функционирования, воз-
можные юспедствия отказов; возможность восстановления работо-
способною состояния после опасного отказа; возможность и способ вос-
становлена технического ресурса; характер основных процессов, опре-
деляющие переход изделия в предельное состояние; возможность и не-
обходимость технического обслуживания; возможность и необходи-
мость контроля перед применением; наличие в составе изделия микро-
злектронтых схем и средств вычислительной техники.
По спределенности назначения изделия подразделяют на объекты
конкретюго назначения, имеющие один вариант применения по назна-
чению, и объекты общего назначения, имеющие несколько вариантов
применения.
По режимам функционирования различают изделия непрерывного
длительного применения и многократного циклического применения.
По последствиям отказов изделия подразделяют на "Изделия, от-
казы которых приводят к снижению эффективности функционирова-
ния, и изделия, отказы которых могут привести к последствиям ката-
строфического характера (угроза для жизни и здоровья людей, значи-
тельные экологические и экономические потери).
По возможности восстановления работоспособного состояния
после опасного отказа в процессе эксплуатации изделия подразделяют
на восстанавливаемые и невосстанаиливаемые.
По характеру основных процессов, определяющих переход вопас-
ное и предельное состояние, изделия разделяют на стареющие, изна-
шиваемые, стареющие и изнашиваемые одновременно.
По возможности и способу восстановления технического ресурса
проведением плановых ремонтов изделия подразделяют на ремонти-
руемые и перемонтируемые.
По возможности технического обслуживения в процессе экс-
плуатации изделия подразделяют на обслуживаемые и необслуживае-
мые.
По возможности /необходимости) проведения контроля изделия
разделяют на контролируемые перед применением, непрерывно конь
ролпруемм* ири применении, периодически контролируемые в процессе
183
Рис. 6.2. Алгоритм расчета норм безопасности
функционирования, периодически контролируемые с отключением от
технологического процесса и неконтролируемые.
Поскольку в состав микроэлектронных СЖАТ входят средства вы-
числительной техники, то эти системы относят к- объектам с опасными
отказами из-за сбоев.
Нормы безопасности изделии определяются с учетом их назначения,
Достигнутого уровня безопасности и выявленных тенденций его повыше-
ния, технико-экономического обоснования, наличия статистической ин-
формации об опасных отказах. Алгоритм расчета норм безопасности по-
казан на рис. 6.2.
Расчетные (оценочные) ПБ изделия и его составных частей, полу-
ченные после завершения очередного этапа работ, принимают в качестве
норм безопасности, действующих на последующем этапе, после заверше-
ния которого эти но^мы могут быть уточнены (откорректированы).
>84
6.2. Методы нормирования количественных
показателей безопасности
Для обоснования ПБ используют экспертные, расчетные, экспери-
ментальные (статистические) или расчетно-экспериментальные методы.
Экспертные методы применяют в тех случаях, когда затруднитель-
но использовать более объективные методы. Например, при разработке
принципиально новых изделий СЖАТ, когда отсутствуют статистические
данные, нет апробированных методик расчета ПБ, а также отсутствуют
исходные данные и средства для определения ПБ экспериментальным
метеном.
Расчетные методы используют для изделий, по которым отсутствуют
достоверные статистические данные, полученные в ходе испытаний
(эксплуатации) аналогов (прототипов).
Экспериментальные методы применяют для изделий, по которым
возможно получение статистических данных в процессе испытаний пли
для изделий, имеющих аналоги (прототипы), позволяющие оценить
их ПБ, а также тенденции изменения ПБ от одного аналога к другому.
Такие оценки ПБ могут быть получены в результате сбора статистиче-
ских данных об эксплуатации пли при имитационном моделировании
существующих аналогичных изделий.
Расчетно-экспериментальные методы прелаавлякт комбинацию
расчетных и экспериментальных методов. Их применяют в тех случаях,
когда по отдельным составным частям имеются статистические данные
о безопасности, а по другим — результаты расчетов или когда предвари-
тельные результаты испытаний изделий, полученные в ходе разработки,
позволяют уточнить расчетные значения ПБ.
При нормировании показателей безопасности СЖАТ необходимо
учитывать функциональные возможности и число объектов управления
в этих системах. Поэтому целесообразно ввести условные измерители,
по отношению к которым необходимо выполнять нормирование. Ниже
приведены условные измерители для различных систем управления [95]'
Система автоматики
Электрическел и горочная цент-
рализации
Диспетчерская и станционная
кодовая централизации
Центры диспетчерского управ-
ления
Каналы телемех аяики
Автоблокировка
Переездная сигнализация
Автоматическая локомотив-
ная сигнелизация
Полуавтоматическая блоки-
ровка
Условный измеритель
нормирования
Централизованная стрелка
Управляемый. контролпруемый
объект (двухиозицяонный)
Пункт управления или контроля
1 км китаяа
Сигнальная точка
Переезд
Дешифратор вл и локомотивные
устройства
Перегон
185
В основе подхода к определению норм безопесности лежит концеп-
ция приемлемости риска. Смысл этой концепции заключается в том, что
некоторая норма безопасноств считается допустимой, если затраты на ее
обеспечение не превышают потерь, возникающих при опасных отказах,
или значение нормы соответствует достигнутому уровню безопасности,
признанному обществом или специалистами достаточным в данный мо-
мент. В первом случае должны быть известны перечень мероприятий по
обеспечению пли повышению безопасности изделия, прирост безопасно-
сти н затраты на его обеспечение, вид зависимости "эффективность -
безопасность”. При этом норма безопасности R определяется исходя
из следующих условий:
cw<c«f J <6'2)
гае ^mjn - минимально допустимое значение нормы безопасности, при котором
создавав или эксплуатация падения еше имеет смысн; C(R) ~ затраты на обеспе-
чение нормы безопасности R; - максимавьно допустимые затраты, при ко-
торых создавне или эксплуатация изделия еще имеет смысл.
Во втором случае норма безопасности изделия СЖАТ определяет
ся на основании уже достигнутого в аналогичных изделиях уровня без-
опасности. Например, при разработке системы микропроцессорной
централизации (МПЦ) нормы безопасности можно рассчитать с учетом
показатенен безопасности существующих систем электрической центра
лнзации. При этом дня учета функциональных возможностей и числа
объектов управления нормирование производится по отношению к чис-
лу К используемых в системе ЭЦ реле, приходящихся на один стрелоч-
ный электропривод [93]: К = бОгЗО, в том числе для наборной труп
пы К = 12-J-16, а дня исполнительной Ки =48-5-64.
Известны статиствческие данные интенсивности отказов реле 1 клас
са надежности X =(l,lvl3) 10'71/ч [95]. Считая, что интенсивность
опасных отказов реле I класса надежности Хо = 10-12 / 10~15 1/ч,
можно определить укрупненные показатели интенсивностей потоков
защитных и опасных отказов постовой аппаратуры, приходящейся на
одну стрелку:
“'-кг ,ad/4). ,
(6.3)
Та кий образом, зная число стрелок на станции, оборудованной элек-
трической централизацией, можно о преденить нормированные допусти
мые значения Хэдоп и Ходоп дня данной системы.
При разработке МПЦ- целесообразно выполнить
декомпозицию ее
18б
структуры ка ряд подсистем: ядро управляющего вычислительного комп-
лекса (УВК), устройство сопряжения с объектами (УСО), схемы непо-
средственного управления и контроля напольных объектов (СНУК).
Выделенные подсистемы могут разрабатывать различные группы ис-
следователей. Поэтому целесообразно определить удельный вес каждой
из подсистем в сумме интенсивностей защитных и опасных отказов МПЦ.
Для этого примем допущение, что обрабатывающее ядро УВК МПЦ неиз-
менно для различных станций, поскольку с ростом числа объектов уве-
личивается в основном только объем ЗУ. На первой очереди внедре-
ния МПЦ СНУК выполняются релейными и в системе остается в сред-
нем Кмм = 27 т 30 реле/стрелка [95],
Таким образом, можно определить укрупненные нормы показате-
лей надежности СНУК:
Хз снук *мцХр. L
[ (6.4)
Хоснук *мц\>- у
Для определения удельного веса аппаратуры обрабатывающего ядра
УВК примем допущение, что при минимальном числе стрелок на станции
(например, 10) надежность МПЦ в основном определяется ядром УВК
и СНУК, откуда:
> (6.5)
Х0у-к=10(Хостр-*мцХо)' J
При большем Числе W стрелок на станинн в соответствии с первым
допущением приплмаем, что Хз и X у>к постоянны, Х3 снук,
X к растут пропорционально ХмцЛ, а оставшаяся часть нормиро-
ванных значений X и Хо приходится на аппаратуру УСО.
В табл. 6-3 приводится распределение интенсивностей защитных и
опасных отказов между подсистемами МПЦ.
Интенсивность отказов МПЦ определяется в основном УСО и СНУК,
поскольку оин имеют большой удельный вес в объеме аппаратуры и
работают в сложных эксплуатационных условиях.
В тех случаях, когда статистических данных о безопасности экс-
плуатируемых систем нет, а имеются только данные о безотказности,
возможно для нормирования использовать коэффициент асимметрии
отказов, приняв за норму его значение дня какой-либо из эксплуатируе-
мых систем. Например, дня японской системы микропроцессорной
централизации стрелок и сигналов Smile на станинн Хагаси-Канага-
ва X =l,3-10~” 1/ч,Хэ = 1,7-Ю~’1/ч [96, 97], а значит
187
Таблица 6.3
Пареметр Интенсивность отказов, l/ч, при Д'
30 50 i 100 300
\ уэк 6,5 .10”® 6,5.10“® 6,5.10"® 6,5-10“®
\ у со 13.10"® 26*10“® S8,S"10"s 123,5‘Ю'®
\ снук 10,5 'Ю“® 17,5 10“5 35.10“® 7040“®
^зобщ 30-Ю-® 30-10-5 100-Ю- ® 200-10~®
\ увк 2-10-11 2.10-*1 2 • 10“11 2 ,10“п
\> усо 4-Ю"11 8-10-11 18-Ю-11 38.10-*1
снук .9-10“н 15.10-11 30 •10“’* 60 -Ю'11
\) общ 115-10-1’ ( 25*1О-11 ! 50-10-11 100-10-11
Используем это значение Кнс в качестве нормативного для обосно-
вания нормированных допустимых значений X и X комплексной ло-
комотивной системы безопасности (КЛСБ). В качестве исходных дан-
ных о безотказности локомотивных устройств возьмем данные экс-
плуатации аналогичных зарубежных систем АЛСН [98]. Согласно этим
данным интенсивность защитных отказов системы LZB 80 не превыша-
ет X < 9,6-10"5 1/ч.
Нормированное значение Х^ для КЛСБ определяется по формуле
\аоп Кис
(6.6)
где Квс — 5-10 6 - коэффиииент несимметричности отказов для микроэлектрон-
ной аяпаратуры, при котором \,аопя^'^ 1/ч.
Возможно также нормировать нитенсивностьопаскых отказов КЛСБ
исходя из числа устройств, эксплуатируемых на сети дорог. Такое нор-
мированное значение Хо доп определяет границу условий безопасности
нз основании допущения, что в геченнесрока эксплуатации (Г = 10 лет)
при числе локомотивов, оборудованных системой КЛСБ (У = 100000),
произойдет не более одного опасного отказа.
= 1,15-КГ”.
(в.7)
Tikhm образом, данное значение Хо доп может быть принято за
основу, так как в случае при нормировании с помощью Кнс интенсив-
ности защитных отказов АЛС (а следовательно, и опасных) моглииметь
завышенное значение из-за недостаточно отработанной технологии произ-
водства электронной аппаратуры.
Частным случаем концепции приемлемого риска является концеп-
ция замещения рисков. В соответствии с этой концепцией нормы без-
опасности изделия СЖАТ, включаемого в структуру СЖАТ и замещающе-
го частично или полностью менее совершенные изделия, определяются
с учетом норм заменяемых изделий. Например, в случае модернизации
системы автоматической переездной сигнализации (АПС) часть релейной
схемы управления замешается микропроцессорным управляющим мо-
дулем. Норма вероятности безопасной работы модуля должна удовлет-
ворять услоиню
где Р М(О и ? (t) - соответственно нормы вероятности безопасной работы мо-
дуля и замещаемой части репейной схемы управлеияя АПС.
Бели выполняется условие ^М(О > Ром (0, где - собствен-
ная вероятность безопасной работы модуля, возможно повышение нор-
мы вероятности безопасной работы системы в целом или перераспреде-
ление норм между другими составляющими схемы управления АПС.
Рассмотрим методику нормирования покаэатеней достоверности при
передаче ответственных команд. При телемеханическом способе управ-
ления вероятность опасного искажения при передаче ответственных
команд
отв к “ ^яоэ @0 тр + ^ВОЭОТВ К’ (6.8)
Для определения количественных требований (норм) к допусти-
мому значению Qo отв при передаче ТМ сигналов воспользуемся кон-
цепцией замещения рисков, для чего рассмотрим случай, когда к досто-
верности передаваемых сообщений предъявляются наиболее жесткие тре-
бования, т. е. при прямопроводном способе управления. В этом случае
процесс передачи ответственных команд сводится к следующему- нажа-
тие кнопки — передача сообщения по канану связи — срабатывание реле.
Очевидно, что вероятность опасного отказа При передаче ответственных
команд складывается из трех составляющих: вероятности опаспого от.
189
каэв кнопки 2кн, вероятности опасного отказа в канале связи (кабень-
ной пинии) Скс, вероятности опасного отказа рене <2р, т. е.
О ® Q + Q + Q .
“о о та к икн кс *р
(6.9)
Будем считать, что вероятности опасного отказа реле Q и кноп-
ки Q одинаковы. р
Интенсивность опасного отказа рене 10“12 1/ч. Вероятность опас-
ного отказа реле и кнопки определяется по экспоненциальному зако-
ну и дая значений кг «I можно считать Q = Q = к t.
п Р жп '"КН р
при расчетном времени, равном одному году, что составляет t «
= 8,76 1 03 ч, вероятность опасного отказа реле Q ~ 8,76-10“ 9.
Последствием опасного отказа в кабеньной линии является ложное
срабатывание рене, которое возникает в результате одновременного со-
общения жил кабеля с двумя полюсами постороннего источника пита-
ния. Таким образом, вероятность опасного отказа в канале связи иден-
тична вероятности двухполюсного сообщения жил кабеля Q .которая
согласно [38] дс
где QKC - вероятность одного сообщения жвл кабеля; £>ос - вероятность опас-
ных соединений.
Данное соотношение получено на основе рассуждения о том, что дня
двухполюсного сообщения жил прежде всего должны произойти сообще-
ния двух пар проводов, а из общего числа возможных сообщений долж-
ны иметь место те, которые создают опасные ситуации.
Для Дальнейших расчетов примем интенсивность сообщений жил
кабеля А =1'10”’ 1/чиа 1 кмйлины. Тогда 0rc-АкГ = 8,76 -10“4.
Далее* по методике, предложенной в работе [38], перебирая все
возможные соединения жил кабеня, можно рассчитать вероятность опас-
ных соединений за год <2ОС и вероятность двухполюсного сообщения
жпл кабеля Сдс-
Например, для 5-жильного кабеля <?ос =8- Ю~3;& = 6,2-Ю-8;
дня 9-жильного кабеня Qot = б,9‘10-2; Сас = 5,4 -10 .
Поскольку значения данных показателен различны и зависят от чис-
ла линейных проводов в схеме, числа жил в кабеле и т. д., то в качестве
оценки вероятности двухполюсного соединения и критерия защищенно-
сти схем от опасных отказов принято значение Q =6,0’l0~e.
С,учетом вьвдеизложенного по формуле (6.9) рассчитаем вероят-
ность опасного отказа при передаче ответственных команд при прямо-
проводном способе управления: Qo о1Л = 8,0* Ю-8. Это значение при-
мем в качестве допустимой вероятности опасного искажения информа-
ции при телемеханическом способе управления (6.8).
190
Для опредеюния вероятности возникновения ответственных
команд />воз на нескольких станциях собрали статистические данные
о числе заявок напередачу ответственных команд за 1 год, возникающих
в результате отказов устройств СЖАТ. Полученные данные обрабаты-
вались методами математической статистики согласно РД 50-690-89. Ис-
ходными данными для расчета являлось число заявок на передачу ответ-
ственных комащ, зафиксированных за 1 год на нескольких станциях.
При обработке данных использовался параметрический метод, применяе-
мый при огрантгениой исходной информации и предполагающий извест-
ный закон расгределения- Для СЖАТ справедлив экспоненциальный
закон распреденгния. В этом случае параметр закона (интенсивность
возникновения ответственных команд) устанавливается эксперимен-
тально.
Для расчета показателей необходимо задать доверительную вероят-
ность q, числемо показывающую меру достоверности получаемых зна-
чений показатели. Для изделий, влияющих на безопасность,q — 0,95.
П^н заданно^ доверительной вероятности q =0,95 находим точеч-
ное Л и интервальные значения X (нижнюю X и верхнюю X грани-
цы доверительного интервала) по формулам (РД 50-690-89):
Л d - XX*(2d + 2)
Х NT ’ - 2d ’ 2d
где d - число заявок на передачу ответственных команд за время Т; N - чисно
устройств; Т - период наблюдений; Х‘ (О - квантиль Х-квадрат распределения
с числом стененей свободы I, соответствующая вероятности q.
В данном случае </ = 556; число стренок N= 130; Т = 8,7б-|0э ч.
Интенсивность возникновения ответственных команд =
= 4,88-Ю-4 J/ч на одну централизованную стрелку. 03
Искомое значение находится в интервале, определяемом нижней
и верхней грнншимн: 4,48.10-* 1Л < < 5,29’10“ 4 1/ч на одну
централизованную стрелку.
В этом случае предельная относительная ошибка оценки данного
показателя
что отвечает требованиям, предьявниемым к изделиям, влияющим на
безопасность (РД 50-690-89).
191
Вероятность возникновения ответственных команд для времени
т = I год рассчитаем по формуле
Р = е~ Х>03 ‘ « 1,39 ’10'2
воз (Г)
Подставив полученные данные в формулу (6.8), получим
8,0-10”8 = 1,39-Ю-2 Q + О
' о тр *возотвк
Определить значения вероятностей Qo тр и QB03 0TB к пока невоз-
можно. Поэтому примем некоторые допущения.
Предположим, что вероятность опасного отказа при передаче ответ-
ственной команды Q отв определяется только вероятностью иска-
жения в канале связи Тогда
Наличие статистической информации об опасных отказах изде-
лия СЖАТ дает возможность определить нормы безопасности, используя
экспериментальный метод: на основании полученных при эксплуатации
ограниченных по объему статистических данных определяют точечные
или интервальные оценки показателей безопасности, которые являют-
ся нормами безопасности. Нормы определяются с заданной точностью
и достоверностью.
За норму безопасности может быть принято ее точечное и (или)
интервальное (границы доверительного интервава, который с заданной
вероятностью содержит истинное значение показателя) значение. Ис-
ходными данными для расчета норм безопасности являются.’ число
изделий; число отказов изделий; время наработки на отказ; время
наблюдения.
Для опенки значений норм безопасности задаются доверительной
вероятностью q соответствующего значения нормы безопасности и пре-
дельной относительной ошибкой оценки соответствующего значения
нормы безопасности
( R - £ R - R]
е = max л-------— • ------— А
L Л R J
где R - точечная оценка нормы безопасность Я; Я - нижняя доверительная гра-
ница значения нормы безопасности A; R — верхняя доверительная граница значе-
ния нормы безопасности R.
192
Для расчета норм безопасности в соответствии с РД 50-690-89 реко-
мендуется принимать значения доверительной вероятности <? = 0,9510,99
и предельной относительной ошибки оценки е == 0,05.
Как уже отмечалось, опасные отказы изделий СЖАТ являются ред-
ким событием, поэтому получение полной и достоверной статистики об
опасных отказах потребовало бы много времени. Однако нормы без-
опасности можно определить и при ограниченных статистических дан-
ных, используя параметрическую опенку показателя, предполагающую
известный закон распределения. Для изделий СЖАТ справедлив экспо-
ненциальный закон распределения. В этом случае параметр закона рас-
пределения — .интенсивность опасных отказов - определяют эксперимен-
зально, а остальные значения норм безопасности рассчитывают но фор-
мулам.
Воспользуемся статистическими данными, собранными за пятилет-
ний период (с 1986 по 1990 г-), на сети дорог СНГ, о случаях нарушения
безопасности из-за опасных отказов СЦБ. На основании статвстических
данных на сети дорог происходит примерно 20 опасных отказов
устройств СЦБ в год. Подавляющее большинство опасных отказов
(примерно 80 %) приходится на устройства электрической централи-
зации.
Величину можно рассчитать по упрошенной формуле
Хо = u(Ai)/(jvAi),
где л - число опасных отказов; N - количество устроВста влм систем; Д{ -
период наблюдений, равный 43 800ч (5 лет).
Полученные значения интенсивности опасных отказов различных си-
стем и устройств СЖАТ на условный измеритель приведены в табл. 6.4
и 6.5. В этих таблицах приведены также значении наработки До опасного
отказа Тоа, вероятность безопасной работы в течение 20 лет Р (?) и
коэффициенты безопасности К которые рассчитывают по форму-
лам fi04]:
Г „ - 1/\; (610)
Vl-i-S.»)*!-».'; («и)
к»=-р+W. 1
где Q — вероятность опасного отказа; — средняя наработка на опасный
отказ;0 Твср - среднее время восстеновленм.
При расчетах но формуле (6,12) принято, что при экспоненциаль-
ном законе распределения времени безопасной работы 7’бср= ^ОП'ДЛЯ
7 Зак «83 .м
Таблица 64
MB*1* Измери- Кояиче- м «риге- ле* опасных | отказов Иитшсив- отказов, 1/я ботка ДО опас- OTKI- а, годы Вероятность безопасно* в течение Коэффи- циент без- опасности
ЭЦ Станция 9 754 77 1.8-10”7 634 0,968464 0,99999984
Стрелка 229 571 77 7,740"’ 14 825 0,998651 -
АБ Сигнаяьнав 44 570 18 9,2-10”’ 12 408 0,9984 0,99999998
1 км 58 898 18 7,0-10”’ 16 308 0,9987736 -
АПС Переезд 20 279 5 5,6.10”’ 20 3841 0,9990189 0,999999994
ЭЦ Тя = 40 мин, для автоблокировки (АБ) Тл ср ~ 70 мин, для авто-
матической переездной сигнализации (АПС) Та ср = 60 мин (38].
Возможны ситуации, когда статистика опасных отказов известна
только по отденьным составляющим изделия СЖАТ. В этом случае нор-
мы безопасности определяются с использованием расчетно-эксперимен-
тального метода, который предполагает сочетание двух онисанных выше
методов: экспериментального для составляющих изделие СЖАТ с из-
Таблица 6.5
Элемент, устройство Число аве- меитов, устройств Число опасных отказов но еястемем Интенсив- ность опас- ных отка- зов, 1/4 Вероятность безо- пасной работы в течение 5 лет
ЭЦ ДБ АПС Всег<
Реле 14 826 350 7 2 - 9 1,4.10”" 0,9999994
Светофор 378 853 2 - 2 4 2,4 -Ю”10 0,9999895
Рельсовав цепь 292 924 33 1 - 34 2,7 -10”’ 0,9998817
Релейные шкафь^ 95 510 4 7 7 11 2,6-10”’ 0,9998861
194
вестной статистикой опасных отказов и расчетного для остальных состав-
ляющих.
При разработке принципиально новых изделий СЖАТ для опреде-
ления норм безопасности применяют экспертный метод. В этом случае
нормы безопасности определяют на основании опроса специалистов -
экспертов — и соответствующей обработки их оценок. По результатам со-
вещания экспертов стран - членов СЭВ (Румыния, 1984 г.) вероятность
опасных отказов микропроцессорной системы централизации стрелок
и сигналов должна удовлетворять условию (6] Q <|(Г”.
В качестве частных норм безопасности СЖАТ эксперты СЭВ прилили
следующие интенсивности опасных отказов (99] : 2 -10-’2 1/ч для
схем управления стрелкой; 3 -10-12 1/ч для схем управления сигна-
лом; 1*10~ 2 1/ч для схем контроля рельсовой цепи.
В качестве частного критерия безопасности СЖАТ можно рассматри-
вать интенсивность опасных отказов реле I класса надежности (основ-
ного элемента существующих СЖАТ). По оценкам ряда отечественных
и зарубежных специалистов Хо = 10_,2t10_,s 1/ч (103,104].
63. Математические модели надежности
и безопасности микроэлектронных систем
Надежность программных и аппаратных средств. Теория надежности
аппаратуры позволяет достаточно точно определять надежность аппара-
туры во-многих инженерных областях. Отказ означает нарушение работо-
способности, т. е. любое отклонение от нормативно-технической доку-
ментации тех параметров, которые определяют нормальное функциони-
рование изделия. Причины отказов - неисправности, обуслопленные ста-
рением, износом, разрегулированием, влиянием среды и т. д.
Специфика микропроцессорных СЖАТ - наличие программного
обеспечения их работы. Говоря о надежности системы, следует попимать
надежность аппаратных и программных средств, различных по своей
природе.
Ошибки* в программе являются ошибками проекта, т. е. дефекта-
ми, которые присутствуют до начала эксплуатации в каждом изделии.
В аппаратных средствах вследствие износа, старения, разрегулирования,
влияния среды и т. д. возникают неисправности в каждом экземпляре
после того, каК их запустили в эксплуатацию.
Кривая /Интенсивности отказов Х(г) аппаратных средств (рис.63),
как известностмеет участки ранних отказов (интенсивность убывает
со временем^' длинный период случайных отказов с относительно по-
стоянной мпмкивностью н по мера ястечения срока службы участок
поздних отказов, возникающих с нарактаюшей интенсивностью.
Программы ие имеют таких особенностей. Их ненадежность обуслов-
ливается ошибками, внесенными в процессе проектирования или сопро-
195
Рис. 6.3. Зал нсимость интенсивности
отказов от времени
вождения программного обеспечения. Если ошибка исправлена, она
больше не появится (в отличие от неисправности аппаратуры), надеж-
ность программы повысится. Следовательно, в процессе работы систе-
мы по мере проявления и устранения ошибок (без допущения новых)
интенсивность отказов из-за недостатков программы убывает (кри-
вая 2) до нуля. При исправлении последней ошибки достигается без-
ошибочное состояние, в котором ненадежность обусловливается толь-
ко отказами аппаратуры.
Отказы электронной аппаратуры не зависят от информационного
потока и от данных, обрабатываемых системой. Интенсивность таких от-
казов одинакова при любом информационном состоянии. Поэтому от-
казы случайны, а наработка на отказ измеряется временем.
Переход ошибок программы в функциональные отказы в большой
степени зависит от частоты обращения к ней, алгоритма и информаци-
онного состоянии. Наиболее часто ошибка выявляется именно тогда,
когда появляется ранее не встречавшаяся определенная последователь-
ность входных данных. Поэтому вероятность отказа зависит от того, на-
сколько часто эти входные данные поступают в рааньном времени. Если
входные носледовательности данных строго регламентированы, то от-
казы не случайные события [109]. Они имеют детерминированный ха-
рактер.
Модель надежности системы. Рассмотрим систему, в которой су-
ществуют ошибки проектирования и изготовления (в основном про-
граммные). Они допущены и остались необнаруженными на разных эта-
пах создания, нуска и наладки. Назовем эти ошибки остаточными.
Влияние остаточных ошибок и неисправностей аппаратуры на работо-
способность системы имеет стохастический характер.
Рис. 6.4. Графы состояний системы
196
Введем для системы следующие состояния, (рис. 6.4, я) : 7 - исход-
ное, которое априорно считается исправным, но в большинстве случаев
содержит остаточные ошибки; 2 - состояние системы, имеющей оста-
точные ошибки и неисправности аппаратуры, но которые еще не прояви-
лись и не нарушили ее работоспособность; 3 — неработоспособное со-
стояние, в котором ошибки и неисправности проявились в виде непра-
вильного выходного результата.
Интенсивности переходов в графе имеют следующий смысл: Х|} —
= Хпн - обычная интенсивность появления неисправностей; Х.3 = Х —
интенсивность переходов остаточных ошибок в отказы системы; Х23 =
= X. + Хош - суммарная интенсивность переходов неисправностей
(X j и остаточных ошибок в отказы системы.
Для данной модели вероятность безотказной работы
Р(г) - Г>,(Г) + (б13>
Интенсивности Хош и Х#н зависят от стохастики входных данных
и алгоритма работы системы и являются функциями времени. Однако
в практических моделях (модели Джеяинското и Морайды, модели Шу-
мана [10]) величина X ш принимается постоянной в интервале време-
ни между моментами обнаружения остаточных ошибок (рис. 6.5).
При обнаружении и устранении очередной остаточной ошибки интенсив-
ность X скачкообразно уменьшается по ступенчатой кривой. В упо-
мянутых моделях принято считать, что величина X ш прямо пропор-
циональна числу необнаруженных еще ошибок:
= *(Л.„ - 0. <б14)
где Лгош - неизвестное первоначальное число ошибок; I - число обнаруженных
ошибок.
В работе [Ю] описаны методы определения величин г и К.
Рассмотрим модель надежности невосстаиавливаемой системы. При
постоянных интенсивностях А (см, рис. 6.4, в) процесс перехода меж-
ду состояниями является марковским, а модель описывается линейны-
ми дифференциальными уравнениями Колмогорова:
d^(r) -1
7;—।
а?2<») 1
——
а?э(0
--------- х р. (г) ♦ х е (/).
dr ош 1 23 2
(6.15)
При начальных условиях Р^ (0) = 1, Р2 (0) = 0 и Р3 (0) “ 0 систе-
ма уравнений имеет следующее решение:
?,</) = ехр[ — (Хга+ Хош)1); <616)
''2 ‘ х’ -Т“-х’ {“•>[ “ <\» * Хо»),] “
2 3 ПН ОШ'
- ехр[ —Х23 1]J; (6.17)
,)™*Хо,„>'1*>га«р| эг]
Р=(,)-!-------------i^-x -х----------------------- <6!8>
Вероятность безотказной работы системы определяется по уравне-
нию (6.13) с учетом формулы (6.14):
Чн ,
P(t)=~-----Г-®р[_(\и+хош)г1 ; — ехр х
вн %н вн пн
xl- (VV'l <6-19)
Если в слстеме нет остаточных ошибок (Хош =0),то
“рГХ"',_ Ап;т“р|- (6.20)
198
. ’ I
Л '& 'Ь И ' 1
Если неисправности быстро выявляются, то
ton Р (/) = ехр[- Хпн г].
X -* °°
вн
На рис. 6.6 показаны кривые, графически интерпретирующие изме-
ншия вероятностей P(f), P^it), Р2(Г), ?3(t) иевосстанавливаемой
системы. Вероятность Р2 (г) достигает максимума при критическом
времени t , которое нетрудно найти, анализируя первую производ-
ную функции по времени:
Вероятность безотказной работы P(t) выше вероятности Pl(t')
из-за наличия скрытых неисправностей.
Среднее время наработки между отказами системы
се ВИ ПЯ
т= = --------------------- [-------------'------------]. <622)
»
При Хвн * 00 оио сводится к традиционному времени наработ-
КИТ=1/(Х" +X,S).
Рассмотрим модель надежности восстанавливаемой системы. Рабо-
тоспособность системы восстанавливается в результате ремонта после
проявления неисправности аппаратуры и устранения остаточныхошибок
после их обнаружения.
Будем считать, что восстановление происходит лишь после функцио-
нального отказа (Х21 = 0) (рис. 6.4, б).
Если система не имеет остаточных ошибок, восстановление происхо-
дит только в результате ремонта, а модель надежности можно рассматри-
вать как гомогенную марковскую модель.
Рис. 6.6. Надежность не-
восстанавливаемых
Ьистем
Это недостаточно точно^поскольку время восстановления Т обыч-
но распределяется по нормальному, а ие по экспоненциальному закону.
Корректное решение требует применения полумарковской модели.
Но наработка на отказ значительно больше времени восстановления.
Тогда поток отказов и восстановлений считают пуассоновским, а процесс
Переходов из состояния в состояние - марковским. Интенсивность вос-
становления принимается равной обратному значению математического
ожидания времени Т* восстановления:
“ = 1/Г.- (6.23)
Когда д » X, погрешностью от неадекватности модели можно пре-
небречь в инженерных расчетах [106]. Модель описывается системой
линейных дифференциальных уравнений Колмогорова:
APi(T)
>Х'3П
d?2 (Г)
d?3 <'>
—--------х23Р2(0-дР3(0.
(6.24)
Решение задачи при начальных условиях Рх (0) - 1, Р2 (0) = 0 и
Ръ (0) = 0 дает вероятности пребывавия системы в любом из трех со-
стояний:
<., .ДХ,, .х2э>
Г' + .') -
(Г2+Д)(г2+ \3)
------------------ех₽('»');
(6.25)
(6.26)
200
’‘з.Чи Г1 Хпн Х2 3 - + —• ехр(г г) - Г1<Г1’Г2>
гз<') , , ‘ Г1 2
'2<Г1 “ Ч’ ехр(г2 Г), (6.27)
где г^гг = -0,5(g+X„+XnH *
(628)
Экспоненциальные функции (6.25) —(6.27) асимптотически прибли-
жаются к постоянным значениям-к предельным вероятностям со-
стояний: '
Р = Un R (О - --------; «.29)
<‘Х«,
Р2 - Um P2(Z) -
ДХ
МХ23 +
Р3= 1ЙП Р3(г) =
(6.30)
(6.31)
Определим временной показатель Т. Как известно [110] ,в мар-
ковских случайных процессах частота Н. перехода в данное состоя-
ние j является суммой частот Ну всех переходов i -» j в это состоя-
ние. Причем каждая частота Нц равняется произведению вероятности
нахождения в состоянии i на интенсивность перехода Х^.. В рассматри-
ваемом случае (см. рис. 6.4, б) есть только один переход в неработо-
способное состояние J, частота которого Н = Р2 где величина Р
определяется по формуле (6.30). Тогда среднее время между отказами
Г = 1/Я= 1/Хпи+ 1/Хзз+ 1/д. 1 ' (6.32)
в? рис. 6.7, в представлена графическая интерпретация установ-
ленный зависимостей. Функция готовности является суммой вероятно-
стей пребывания системы в состояниях 1 и 2:
Г(1) « Pt (т) + Р2(/). (6:33)
201
uii‘
Очевидно, вероятность функционального отказа Р3 (г) возрастает
со временем, а функция готовности убывает, приближаясь к коэффи-
- циенту готовности'
Если неиспралности быстро выявляются, то lim К = -----------,
\ з = те * ^па
что известно из теории восстанавливаемых систем.
Если в программе есть остаточные ошибки, то > 0, и восста-
новление работоспособности системы происходит и в результате ремонта
и устранения ошибок. Диаграмма состояний системы показана на
рис. 6.4, в. Она описывается системой дифференциальных уравнений
Колмогорова:
dP, (О >
<<> " I
«) - w; I ,6-35)
df,«>
~~г,— - V Л <о + Л, рг (') - о Л (,).
202
Решения аналогичны уравнениям (6.25)-(5.28):
Х23М (rt +g) (г, * * \3) r t
(г2 * Д) (r2 + X2J)
(6.36)
,,,
-----XXе
<'2*f>X™ , I
- -------;-- е 2 j
~ Г2
XonP Г1У + \3(Хпи + Хот’
W = —--------------+-----------------
1 2 г1(Г1 - Г2)
Г1 М + Х23(ХПН * \>п? ro f
е ’
(6.37)
(6.38).
где корпи характеристического уравнения г и г2 имеют значения:
ггг2=- 0,5 [д * Х23 + Хпв + Хош ±
* У (ДОзЭ + Х1И* \ш’2-4^Х23 + \3Х11Н + ^ХПН + \зХоИ1’1
Пред«льм|е вероятности состояний;
»Х
р;| = ------------------г-т-----; (639)
1 **Х2Э+Х23ХПН+дХ^* л23лйш
_____________ (6.40)
+ дХпн + ^эХош
203
X. '^и ’it
_ \з(Лпн+ \ш>_________________
3 у\э+ \з\ш+ **\ж + *аэ*01п
(641)
Время tk достижения предельных вероятностей состояния (6.39) -
(6.41) с точностью до 0.1 % определяется по формуле из книги [110]
где интенсивность функциональных отказов
ЛоШ)(Апк* Лош>
Например, среднее время наработки на отказ 100 ч и среднее время
восстановления 2 ч. Тогда Х = 0,011/ч, д=0,51/чи tk * 14 ч. Это
время (14 ч) намного меньше, чем время между моментами обнаруже-
ния остаточных ошибок Т.-и Т, . (см. рис. 6.5). При этом условии в
интервале времени Т( — Т. заканчивается переходный процесс, и
в системе устанавливаются предельные вероятности состояний.
После устранения первой ошибки в момент времени Т- интенсив-
ность переходов остаточных ошибок в отказы уменьшается до значении
\шг (см‘ Р110- 6-5). В результате этого в соответствии с формулами
(6.36) - (6.38) возрастает значение функции готовности (см. рве. 6.6,
штрихован линия). С этого момента начинается новый переходный про-
цесс и устанавливаются новые предельные вероятности, определяемые
формулами (6.39) — (6.41). После устранения последней остаточной
ошибки функция готовности системы постепенно становится постоян-
ной, приближаясь к предельному значению, которое имеет функция го-
товности системы без остаточных ошибок.
Анализируя кривые (рис. 6..7, б), можно сданать следующие вы-
воды. В программируемых системах происходят два переходных про-
цесса уменьшения значения величины Г(г). Первый процесс (быстрый)
протекает при постоянной интенсивности X в течение времени наре-
боткн между очередными ошибками. Второй процесс (медленный)
опреденяется значениями вероятностей Л (г), Р2 (0 и Рэ (г) в момен-
ты исправления ошибок. Первый процесс протекает внутри второго.
204
А. Д
Наиболее вероятно, что очередное затухание первого процесса произой-
дет раньше возникновения следующей ошибки. Поэтому вероятно-
сти Р (г), Р^) и P3(t) в моменты исправления ошибок являются
предельными вероятностями для данной интенсивности Хош.
Таким образом, в программируемых микроэлектронных СЖАТ
функция готовности Г(г) имеет минимум при некоторой критической
наработке гкр (см. рис. 6.7, б), определяемой влиянием остаточных
ошибок.
Модель безопасности системы. Вопрос безопасности в обшем слу-
чае решается с использованием критерия опасного отказа (см. гл. 1).
Однако в сложных микроэлектронных и микропроцессорных СЖАТ
трудно, а иногда в невозможно установить результат работы системы
при дайной ошибке или неисправности. Поэтому будем считать опасным
каждый необнаруженный функциональный отказ, хотя на самом деле
неправильные выходные сигналы не каждый раз будут создавать опас-
ные ситуации.
Переход ошибки или неисправности в функциональный отказ еше
не означает, что сам отказ обнаружен и его воздействие на управляемые
объекты исключено. Для этого нужны специальные технические и про-
граммные средства, осуществляющие контроль над работой системы и
реагирующие на отказы еще до того, как их неблагоприятные воздей-
ствия восприняты внешними объектами. Из сказанного следует, что без-
опасность в программируемых микроэлектронных системах наиболее
эффективно достигается на макроуровне с использованием принципа об-
наружения отказов. При обнаружении отказа система должна перехо-
дить в безопасное состояние.
С учетом этого принципа показателями безопасности для невосста-
навливаемых систем являются вероятность необнаруженного (опасного)
отказа Соп(О и среднее время наработки до необнаруженного отка-
за Гоп, а для восстанавливаемых систем ~ вероятность пребывания си-
стемы в состоянии необнаруженного отказа Q п(т), среднее время на-
работки на необнаруженный отказ Тб, среднее время обнаружения от-
казов ГоО, включая время переключения в защитное состояние.
Получим граф состояний безопасной системы. Методом укрупнения
графов диаграмма состояний (см. рис. 6.4, е) сводится к графу, пока-
занному на.МС. 6.8, а, в котором состояния 1 и 2 объединены в ра-
ботоспособвмк Р состояние, а состояние 3 образует неработоспособ-
ное HP состйрме. Интенсивность перехода Х(Г) определяется по фор-
муле (6.43)Лм
{Шзобьем Н^мботоснособно^ состояние на опасное О и защитное 3
состояния и получим граф состоянии безопасной системы (рис. 6.8, б).
В нем приняты следующие обозначения: р - вероятность обнаружения
функционального отказа в момент возникновения и перехода системы
в защитите состояние; 1-р - Вероятность того, что отказ не обнаружен
и система переходит в опасное состояние; и - интенсивность выявления
205
Рис. 6.8. Графы состояний безопасной системы
о
опасных отказов и перевода их в защитные; д - интенсивность восста-
новления работоспособности системы (нэ защитного состояния).
Граф состояний безопасной системы (см. рис. 6.8, б) описывается
следующей системой дифференциальных уравнений Колмогорова:
= - «!-₽> + Pl if (О * nW I
d/t I
———* > (6-44)
“Г-------РХР/О+ иРоЮ-цР3(0. I
Если ие учитывать остаточные ошибки и считать, что интенсивно-
сти X, ц и и постоянны, то решение системы (6.44) имеет вид:
(6.45)
f.(') - 'Г^+ -
-—-—— /!<] <646)
« -1 +и г I r2 *U г I
f.0)-l------ +-—-------------------е2 1ХР, (6.47)
'.5 Ч’'!-',’ ’
206
№ rt,r2 -- 05[д*Х+и± -/(Я* Х+0’-4(ди+д(1-р)Х+иХ)]. (6'“18)
Функции (6.45)-(6.47) описывают однородный марковский про-
цесс и их значения стремятся к предельным вероятностям:
К = - ; Г ди + х[« + д(1 - р)] (6.49)
_ дХ(1 - р) (6.50)
yu+ X[u + д(1 - р)]
(6.51)
yu+ X[« + Д(1 - Р)]
редц учитыпять остаточные ошибки, то интенсивность Х(Г) убыва-
ет со временем (см. рис. 6.5). Поэтому возникает необходимость решать
систему (6.44) с переменными коэффициентами, которые связаны с не-
известными аналитическими функциями Х(Г). Обшее решение системы
(£.44) в этом случае невозможно, и переходный процесс следует анализи-
ровать, задавая конкретные числовые данные.
Рассмотрим пример СЖАТ с интенсивностью отказов аппаратных
средств X = 1 • 10“ 31/ч и с интенсивностью выявлений апнаратных от-
казов 1 -КГ2 1/ч. Предположим,что распознаваемость р =0,99,
а интенсивность выявления опасных отказов и = 0,1. Пусть в программе
имеется шесть остаточных ошибок, а интенсивность восстановления
д - 0,5. Наработка Tf до исправления очередной ошибки принята про-
извольной согласно табл. 6.6. Произвольными приняты и случайные
значения интенсивности Хош после очередного исправления ошибки.
Они показаны в третьей строке табл. 6.6. Общая интенсивность отказов
систолы X(t),возникающих из-за ошибок и неисправностей, определе-
на по формуле (6-43) для принятых значений интенсивностей X и
Х>и. В табл.7 6.6 показаны результаты расчета значений функций Г*(т),
(f),P3 (Г) Йо формулам (6.45) - (647).
1 Рис. 6.9. Безопасность носстаиавлинае- мых систем г,р 207 Л.
Таблица 6.6
Значение параметра для номера обнаруженной ошибки
0 0 0 0 12 3 4 5 6
Гу,ч 0 10 50 794 1488 2976 4464 6896 8365 11634
10 10 10 10 8 5 3 1 0,4 0
Х(О-10"3,1/ч 10.4 10.4 10,4 10,4 8,53 5,63 5,63 3,71 1,83 1.28
ГСО 1 0,988 0,981 0,980 0.988 0,992 0,992 0,996 0,991 0,998
Ро«).10-> 0 0,001 1,014 1,018 0,84 0,556 0,556 0,368 0,182 0,128
Л/0-10-2 0 1,08 1,799 1,821 1,116 0,744 0.744 0,363 0,281 0,187
На рис. 6.9 показана графическая интерпретация аналитических
результатов. Кривые вероятностей пребывания системы в опасном
7*0 (г) и защитном Рз (т) состояниях имеют одинаковый характер из-
менения. Готовность системы Г(Г) имеет минимум при критической
наработке, дня которой вероятность опасной работы минимальна. Та-
ким образом, в программируемых СЖАТ самая низкая безопасность
имеет место не обязательно в конце жизни системы. Это происходит при
большом числе остаточных ошибок, которые к концу срока эксилуата-
ции системы могут быть устранены- Поэтому в инженерной практике
при эксплуатации безопасных систем целесообразно осуществлять ме-
роприятия по максимальному устранению остаточных ошибок еще на
этапе приработки системы или в Начальный период эксплуатации.
Если СЖАТ является нелосстанавливливаемой (и - 0, ц = 0), то
она становится ' неэргодйческой (рис. 6.8, в) системой,, а система
дифференциальных уралнений (6.44) имеет решения:
Р(Г) =ехр(-Хг);
р (») = (!-р)|1-ехр(- М)Ь
F,(<) =PlI-«p(-Xt)]. •,
При *”
Р(<) = °. '’„(О = 1 - р. P,V1 “р-
(6.52)
(6.53)
(6.54)
(6.SS)
Глава 7
СТРУКТУРЫ БЕЗОПАСНЫХ МИКРОЭЛЕКТРОННЫХ
СИСТЕМ ЖЕЛЕЗНОДОРОЖНОЙ АВТОМАТИКИ
И ТЕЛЕМЕХАНИКИ
7-1. Одиоканальная структура
Построение одноканальиых структур. В гл. 6 было сказано, что
традиционными микроэлектронными средствами трудно достичь требуе-
мой безопасности микропроцессорных СЖАТ. Требуемую безопасность
этих систем можно достичь, используя специализированные микро-
процессорные устройства. По этому пути пошли еще в 60-е годы неко-
торые фирмы и ученые.
В Японии создали параметроны без опасных отказов. На них по-
строили ЭВМ для централизованного управления стрелками и сигнала-
ми [117J. В Германии разработали контролируемые Л71-л<эгические
элементы (Ueberwachbahre RT-Logik),Ha которых построили ЭВМ с без-
опасным функционированием после отказав {118].
Было немало попыток построить СЖАТ на магнитных и феррит-
транзисторных ячейках. Подобные эксперименты в России были прове-
дены и в эксплуатационных условиях [119].
Строить СЖАТ на специализированной магнитной и электронной
элементной базе пробовали и другие страды, Но ии одна из разработок
не получила серийного производства, не приобрела производственного
и эксплуатационного значения. Небольшое быстродействие, низкая тех-
нологичность, ограниченное применение и связанная с этим высокая
стоимость изделий привели к повсеместному отказу от дальнейших
усилий создавать специализированные компьютеры..
Целесообразно применять универсальные микропроцессорные
устройств* с контролем отказов. Для достижения требуемой безопасно-
сти микроэлектронных устройств предусматривают средства контропл и
переключение (СКП). Они должны как можно быстрее реагировать на
отказ, чтоШ предотвратить его опасное влияние иа объект управления.
Некоторое шемя СЖАТ может находиться в опасном состоянии, которое
является цвопосылкой для происшествий. Чтобы быстрее вывести
систему из jBcro состояния, СКП должны осуществлять периодический
контроль (ПК)- Вени отказ не (обнаружен своевременно, то необходимо
хотя вы сократить время обнаружения Гов.
Исходя из данной постановки задачи можно построить общую струк-
туру микроэлектронных СЖАТ, названную F-К структурой (рис. 7.1).
Универсальное микропроцессорное устройство F работает по за-
209
А & л
данному спецификацией алгоритму. В этом устройстве есть встроенные
средства периодического контроля неисправностей и ошибок, такие, как
абсолютный тест, счетчик времени, самопроверяемые программы и т. д.
СКП (на рис. 7.1 К) осуществляют выходной контроль всех вы-
ходных сигналов (ВК) к объекту управления ОУ. По принятому крите-
рию их корректности контрольное устройство К устанавливает с ве-
роятностью р появление ложного сигнала и переключает систему в за-
щитное состояние.
Таким образом, структура F-К является реализацией знакомого
квази-fail - safe принципа. Современные микроэлектронные и микро-
процессорные СЖАТ строятся по рассмотренной концепции.
Надежность и безотказность одноканальной структуры. Рассмотрим
моделирование безопасности компьютера. Предположим, что вероят-
ность функционального отказа компьютерного устройства F (см.
рис. 7.1) равла Q(tl, а выходной кодовый вектор имеет w разрядов.
Величина С(г) = Р3(0 определяется по формуле (6.27) или
при достаточно большом времени с начала эксплуатации, когда в про-
грамме уже нет ошибок, по формуле (6.31). Функциональный отказ
обнаруживается благодаря выявлению неправильных выходных векто-
ров, вероятность появления i-ro из которых
е,(0 = «,(0е(0, (7.1)
где <?; (0 “ вероятность того, что отказ вызвал именно Z-й выходной набор сиг-
налов.
Задача определения безопасности устройства F решается адекватно
лишь в том случае, когда известно распределение q^i), т. е. известно,
какова вероятность появления каждого из выходных векторов при всех
возможных отказах. В общем случае, как и в большинстве реальных
систем, это распределение неизвестно. Решение можно найти, предпола-
гал приближенно, что появление вследствие отказов любого из выход-
ных векторов равновероятно.*
где 1= 1,я.
(7.2)
Это часто бывает неадекватно действительной ситуации, но ничего
более корректного пока не предложено. Независимо от
распределения
Рис. 7,1. Общая структура микроэлек-
тронной СЖАТ
210
рис. 7.2. Графы состояний структуры IA+ 1П
только один из выходных сигналов соответствует спедификацнн. Осталь-
ные З*1— I векторов являются ошибочными.
' Вероятность ложного и возможно опасного воздействия любого
отказа -w
Q°(t) - (i -«,)е<о <731
Каждый отказ является опасным, поскольку нет контрольных
средств. Для решения проблем СЖАТ, связанных с безопасностью, необ-
ходима высокая надежность.
Рассмотрим Л'-Л'-структуру с контролем выходных сигнавов. Она
состоит из одного комплекта аппаратуры А и одной программы Л;
обозначается IA + 1П. В системе предусмотрены средства контроля и
переключения, являющиеся своеобразными фильтрами, не пропускаю-
щими к управлению объектами неправильные выходные сигналы.
Граф состояний блока F показан на рис. 7.2,в, где обозначения
соответствуют принятым на рис. 6Л. Аналогичный граф (рнс. 7.2, б)
имеет блок Jf. Опасный отказ блока Л" происходит тогда, когда из-за
неисправности он теряет свойство обнаруживать неправильные выходные
сигналы, а пЬл защитном отказе (с вероятностью р*) отключается
упривляемыфрбьект. Проведем анализ полного графа состояний F-К-
структуры (Й-7-2'")'
Система Лротоспособна в двух случаях, соответствующих состоя-
ниям:,/, когДи оба блока ^и# работоспособны, и 7, когда блок А’
имеет'опасный отказ. Но посксгьку блок F работоспособен, то и всл
система работоспособна. СледоватеАно, функция готовности F— К-
структуры
ГРХ(О e + 'pF^O)- (7.4)
211
1 - '-'Ал. Щ
Рис. 7.3. Изменения ве-
роятности опасного от-
казе Р-Х-структуры
Определим временные -показатели. Частота опасных отказов HoFk
определяется по известным формулам Кохса [115] применительно
к графу (см. рис. 7.2, в).-
** + V*- (7.10)
Система находится в опасном состоянии в следующих случаях:
9, когда оба блока F и К имеют опасный отказ; 3, когда блок F име-
ет опасный отказ, а блок К работоспособен,- 8, когда блок К имеет
опасный отказ, а блок F находится в защитном состоянии. В остальных
случаях (Л 4, 5 и б) система находится в защитном состоянии.
Тогда вероятность опасного отказа одиокаиелвиой F — К-струк-
туры
Л,м<') (г5>
Согласно формулам (6.49)—(6.51).вероятности пребывания бло-
ка F в работоспособном, опасном и защитном состояниях стремятся
к пределам:
Тогда математическое ожидание времени между опасными отказами
F- К- структуры
Т = -----------г-----------*------------------------. (7.11)
Но А₽HF [< 1 - pF) P*P*(«F+ Х*)+ А*Ц*Up(I - р*)]
Ит (г) = ---—Д-—--------
г— г’
1.т?0Р (0 = -,
(7-6)
В формулах (7.6) - (7.9) интенсивность отказов компьютерного
устройства рассчитывается по формуле (6.43), учитывающей убы-
вающую интенсивность Хош отказов вследствие ошибок программы.
Кривые (рис. 7.3) для вероятности опасного отказа одиоканань-
ной F - ЛГ-скстемы, полученные в результате расчетов по формулам.
(75)-(7.9) для различных наборов значений переходных интенсивно-
стей Л, д, и в моделях (см. рнс. 7.2), Определяют три характерных
случал: кривая I — безопасность системы убывает, т. е. величина
?оРх Расчет монотонно, достигал некоторого предела; кривая 2 —
безопасность системы убывает, но в течение нараблгки может иметь
локальные экстремум-минимум и экстремум-максимум; кривая 3 —
безопасность имеет наихудшее значение прн некоторой критической-на-
работке.
(7.7)
ton ^(0 =
(7.8)
7.2. Многоканальные структуры с нагруженным
резервом
Одним из наиболее эффективных способов достижения безопасно-
сти и отказоустойчивости сметем является многоканальная избыточность
(рис. 7.4). Ювалы обработки информации Fr F^.....FN могут быть
СКП выполняются аппаратно япи программно. Программируемые
С КП ввиду их простоты наиболее часто считают безошибочными при их
сознаний. Очевмдао, для них фуямяв готовности опреДеияеЛя по форму*
ле предельной вероятности (6д9)? )
1йпГ*(т) = -~-
(7.9)
212
213
on
Рис, 73. Двухканальная однопрограм-
мная структура
Рис. 7.6. Граф состояний
канаяа
аппаратные или программные, идентичные или диверентетные- Получен-
ные на их выходах сигналы сравниваются на соответствие друг другу
специальным устройством V. Принципами сравнения могут быть прин-
ципы равенства (консенсуса), преобладания, большинства, среднего
арифметического и т. п.
Если в работу включены все каналы, говорят о статической избы-
точности (нагруженном резерве}. Если резервные каналы включаются
только при отказе основных, говорят о динамической избыточности
(непогруженном резерве}.-
Наибольшее распространение из систем с нагруженным резервом
имеют мажоритарные системы, у которых блок ¥ работает по прин-
ципу ''М из V, где
Л/«] Л72[+ 1.
(W)
В многоканальной структуре, кроме выходного контроля с использо-
ванием устройства сравнения К может быть организован и внутренний
периодический контроль средствами тестирования. Результаты этого тес-
тирования фиксируются контрольными блоками К , К?......KN (см.
рис. 7.4). При возникновении отказов в одном или нескольких каналах
блоки К формируют сигналы а блок индикации D и обшдй блок кпнт-
роин КМИ Последний с помощью специального сигнала (Ж может от-
ключить выходы устройства V от управляемых объектов.
В занислмости ох принятой концепции безопасности результаты
сравнения работы каналов бло$*ми V и К используются для маски-
ровки отказов в m ~ N-М itewiax (fault tolerance стратегия) и для
выключения неработоспособней) канала, а при- исчерпании ресурсов
избыточности — для отключения даврав^яемых объектов (fail safe егра-
гегая). V.
Рассмотрим свойства и показатели основных многоканальных
структур.
Двухканальная однопрогряммная структура с натруженным резер-
вом (рис. 7.5). Назовем ее структурой 2А + П. Два вычислительных
214
канала (компьютеры) А и В работают по одной программе параллель-
но и одновременно. Выходные сигналы сравниваются компаратором К.
Выключатель С транслирует управляющее воздействие с выходов од-
ного ид каналов (в данном случае А) к управляемым объектам. Есть
структуры, в которых сигналы снимаются с обоих каналов. Если ка-
налы работают безотказно, разрашаюшне сигналы ОК, вырабатывае-
мые компаратором и средствами внутреннего тестирования компьюте-
ров А и В, поддерживают систему подключенной к УО.
Сначала исследуем безопасность системы 2А + П без учета отка-
зов Компаратора. Граф состояний одного канала (рис. 7.6) содержит
работоспособное .состояние Z , состояние с необнаруженным отка-
зом 2но и состояние с обнаруженным отказом Zg& и эквивалентен
графу на рис. 7.2, о. Интенсивность перехода из состояли Zp в состоя-
ние Zq6 равна рХ, причем
<713>
где Pm - вероятность обнаружения отказа средствами внутреннего периодическо-
го контроля; - вероятность обнаружения отказа с использованием выходно-
го контроля компаратором X; w - число разрядов выходного вектора одного
пенала.
Диаграмма состояний системы’’два из двух” (рис. 7.7) составлена
при ординарном потоке отказов и восстановлений без учета програм-
мных ошибок. Возможны любые комбинации состояний обоих комшло-
теров, образующие девять обобщенных состояний системы. Например,
Рис. 7.7. Граф состояний системы "два из двух"
Рис. ТА. Укрупненный граф состояюп
системы "два ив двух”
состояние (А В ) соответствует случаю, когда компьютер А находит-
ся в работоспособном состоянии, а компьютер В - в состоянии с необ-
наруженным отказом. Возможно укрупнение данного графа (рис. 7.8),
в котором объединенные состояния обозначены векторами (/, /), где
i - число- отказавших каналов, f — число кананов с обнаруженными
ошибками. По известным формулам укрупнения графов [115] опреде-
ляют интенсивность переходов, обозначенные на рис. 7.8- Вероятности
пребывания системы ’’два из двух” в канатом из шести состояний опре-
деляются на основании следующих соотношений:
р = р*- р = 2Р Р Р = 2Р Р Л
0,0 р* 1,0 р но 1,1 о об’ /
. h (7.14)
’’,.0"^ =4..' J
Вероятности Р Рво, Роб определяются по формулам (7.6)-(7.8),
% __________ри_________ ,
’ Г М(1-рпк)2-(.* Х1'
Рпк>2 ”
Рио“ 0 “ Л|<1 - ,пк>2 (7.15)
Хй
Poe=^3“ pu+X[(i-pnit)2’wg + u] *
Систама ’’два из двух” работоспособна, если находется в состоя-
ниях (0,0) ини (1,0) (см. на рис, 7.8 область, ограниченную штриховой
линией с обозначениям Р), Поэтому Коэффициент готовности
ЛГЗ¥,2 Г0,0 Г1.0 ’{' 1_г2“т
^«♦Х[«*д(1-рпк)2 Tf
(7.16)
216
Любой обнаруженный отказ ведет к защитному состоянию (об-
ласть 3). Опасным является состояние (2,0), в котором не обнаружены
отказы обоих каналов. Оно наступает с вероятностью
fo-₽nlc)2”4«l2
O1V2 1,0 ^ы+ М(1 - Рпк)2 Ч]р
(7.17)
Результаты расчетов по формуле (7.17) для некоторых значений
ее параметров приведены в табл. 7.1.
Средства периодического контроля улучшают безопасность систе-
мы независимо от того, используют их до ини после функционального
отказа, который остался необнаруженным. Повышение интенсивности
обнаружения отказов и ныеет существенное значение для безопасности.
Ее улетичение при низкой эффективности внутреннего периодического
Таблица 7.1
U ... KO2V1 "Р” ₽ПК
0.6 0,7 0,8 °,9
1 3,837-10"* 2,180-Ю"4 9,783«10"5 1 2,471-10"’
0,01^ 8 2,399*10"* 1,299.10"* 6,070 -Ю"9 1 1,518-Ю"9
16 3,720-10"*3 2.093» 10"14 9.290-10"*4 2.336-10"*4
J 3,976-10"* 2,238-10"* 9,960-Ю"7 2,490-10" 7
8 2,429-Ю"10 1,336. 10"*° 6,070Ц0"** 1,518-10"**
16 3,717-Ю"15 2,093-10"*’ 9,290* 10"16 2,336-10"1*
1 3,899 -10" 8 2.200-10"8 9,970-Ю"9 2490-Ю"9
1 8 £,429-10 12 1,336-Ю"11 ' 6,070*10“13 1,518-Ю"13
16 Ки’-'»-” 2,093-Ю"17 i 9,290-Ю"18 2,336 -10"18
г 1 1 ' 3,$92-10"*° 2,24^-1О10 1 9,970.10"11 2.790.10"11
8 2,428-IO-14 1,336 40"** 1 6,071-Ю"15 1,518.Ю"15
1 16 3,717.10’19 2,093 -10"19 1 9,291-Ю"20 2,336-Ю"20
217
Рве. 7.9. Графы состояний с учетом остаточных ошибок
контроля (при малых значениях р J ведет к значительному сниже-
нию вероятности опасной работы, с повышением эффективности конт-
роля влияние значения и убываех. Для улучшения безопасности целе-
сообразно сравнивать результаты не поразрядно (когда w - 1), а по
векторам. Чем бэлъше разрядов сравнивается у выходных векторов, тем
выше безопасность.
Если в системе "два из двух” каналы не восстанавливаются, то для
них вероятность безотказной работы Р(1), вероятность опасного отка-
за Q и вероятность защитного отказа определяются по
формулам:
Р(0 = F/0 « exp (— Хг);
(7-18)
PHO(0 = (»-7f’nK)2-w[l-exp(-Xt)l; (7.19)
G3 (0«Рв6(0 = [1 - (1 - [1 - ехр(- Ml - (7-20)
Подставляя выражения (7.18)-(7.20) в формулы (7.14), получаем
для системы ’’два из двух” выражения для расчета величин Р(т) и
6^(0 •
P1V а(О - П - 2(1 -Ряк)2-*1«₽(-2Х/)+2(1 -pBK)2'*exp(-W);
(7Л0
2<>n2V2(r)={0_PnJ2 р.22)
Исследуем безопасность системы Упри наличия в ней остаточных
ошибок проектирования (в основном программных). Будем называть
отказы системы по причине остаточных ошибок d-отказами в отличие от
отказов аппаратуры, которые будем называть z-отказами. Отличие
213
^отказов состоит в том, что они присутствуют в обоих каналах А и В
(при условии, что каналы идентичны) и не Обнаруживаются при срав-
нении выходных сигналов. Потоки d' й z-отказов можно считать неза-
висимыми друг от друга-
Граф состояний относительно d-отказов является двухпозициоя-
ным (рис. 7.9, а). Система находится в работоспособном состоянии
£>р, если, несмотря на наличие остаточных ошибок, ее выходные сигналы
являются правильными; она находится в опасном состоянии в против-
ном случае. Если после обнаружения очередной ошибки слстема восста-
навливается с интенсивностью то предельные вероятности пребыва-
ния системы в состояниях Dp и Do '.
Г =К , = Х„); (7-23)
pd rd rd' '^d d'
w м-
(7.24)
Поскольку интенсивность Xrf уменьшается с устранением каждой
ошибки (см. рис. 6.5), то коэффициент готовности системы отиоситаль-
но d-отказов возрастает с течением времени.
Граф состояний относителыю z-отказов, полученный укрупнением
графа (см. рис. 7.9), приведен на рис. 7.9, б. Общий граф системы ’’два
из двух” с учетом остаточных ошибок имеет шесть состояний (рис. 7.9, в).
Работоспособным является состояние J, поэтому с учетом формул
, (7.16) я (7.23) функция готовности восстанавливаемой системы с уче-
том остаточных ошибок
да[дЫ+2Хд(1-ряк)2 *]
= K?2V [я. д(1 -Рик) 2-«]}г (дг V (7' }
Опасным являются состояния 3, когда не обнаруживаются z-отка-
зы, 4, когда не обнаруживаются d-отказы, и 6, когда не обнаружива-
ются оба вида отказов. Поэтому вероятность опасной работы системы
’ %. р,^р„ + пл)
Подставляли выражение (7.26) формулы (7.1S), (7.17), (7.23) и
(7.24), полушЛ
- Р„,)27“1 ! - ГХ<1 - Рпк) 2’“'- »1
л (rs ;----------------i---------------------------------,
°"2tf . %+ Хй)£ди+ X[(l - pni()2_w^ + «]J2
(7.27)
219
Рве. 7.10. мажоритарная структура
"два ««трех”
В формуле (7.27) от времени зависит только интенсивность Xrf
После устранения последней остаточной ошибки величина е 0, и ве
роятность Con(f) системы "два из двух” сводится к установленному
выше значению, вычисленному по формуле (7.17).
Мажоритарная однопрограммная структура "два из трех”
(рис. 7.10). Эта структура является вторым типом наиболее распростра-
ненных на практике систем. Она построена иа трех одинаковых компью-
терах и F3, работающих параллельно по одной программе. Каж-
дый из компьютеров имеет средства контроля Кг и Имеется
также общесистемное устройство контроля маскирующей избыточно-
сти К МИ, которое снимает разрешающий сигнал ОК с выключателя В
(см. рис. 7-4) после того, как избыточность исчерпана вследствие отка-
«20
зов, т. е. при обнаружении отказов в двух компьютерах. Выходные сиг-
налы трех каналов сравниваются мажоритарным устройством И, кото-
рое выверяет превильныи результат. Кроме того, есть диагностическая
индикаюя о том, в каком канале произошел отказ: Рассмотрим вопро-
сы надежности и безопасности, не учитывая отказы устройств КМИ, V,
К и наличие остаточных ошибок. Граф состояний трехканальной систе-
мы всего имеет З3 = 27 вершин, а укрупненный граф - 10 вершин
(рис. 7.11), обозначенных (i, /), где i - число отказавших каналов,
/ - число каналов с обнаруженными отказами. Система работоспособна
в состояниях /, 2 и 5, когда два из трех компьютеров исправны.
Поэтому коэффициент готовности
Xr2V3-'>1*'5 + '’s=-'? + 3'>«o',?t '’.Л' (7'28>
Подставляя формулу (7-15) в формулу (7.28), получаем
х =------------------------------------ . (7.29)
Г,УЗ х|«.р<1 - Рчк)2 ”]}’
Вероятность опасной работы
2Оп2УЗ=/’э + ^ + ^+^ =
[дХ(1 w
X[u+ Д(1-Рпк)2 w]>*
(730)
предположим, что мажоритарная структура имеет средства реконфи-
гурации. Для этого выходные сигналы каждого компьютера поразрядно
сравнивают с сигналами на выходе мажоритарного блока V (см.
рис. 7.10). Бели некоторое сравнивающееустройство обнаруживает раз-
ницу, го соответствующий канал выключается из работы. Система ’’два
из трех” трансформируется в систему ’’два из двух”. Блок V форми-
рует выходной сигнал на выходах обоих оставшихся каналов. При их
несоответствии срабатывает контроль КМИ и выключает всю систему.
В этом ейяие происходит перераспределение областей работоспо-
собных и оп«яП состояний (штриховая линия на рис. 7.11). Состоя-
ние 6 уже неа&СИ°, и изменяются выражения (7.29) и (7.30):
_ '<№зХ h * * зХ *“>!} (731)
r2V3 £д» + Х[и4-д(] -PnK)2-w]}3
221
•3L.
1x^(1 luX<l-fnK>2
' (732)
Чтобы учесть при расчетах надежности и безопасности системы ’’два
из трех” влияние остаточных ошибок и отказов средств контроля,»»-
дует использовать итеративный метод укрупнения графа состояний
системы, как это показано на примере системы ’’два из двух”.
С точки зрения безопасности наиболее ’’узким” местом в мажори-
тарной системе является блок V, выходные сигналы которого непо-
средственно управляют объектами. На рнс.7.10показанслособконтро-
ля блока V благодаря сравнению его выходных сигналов с соответ-
ствующими сигналами на выходах каналов F. Другим способом конт-
Рис. 7.11 Схемы контроля мажоря-
терных блоков
222
роля является дублирование блока V (рис. 7.12). Объект УО] вклю-
чается только при совпадении выходных сигналов 1 и ф г.
Более общим случаем по отношению к структуре "два из трех"
является мажоритарная одноирограммная структура ”М из N”, где
порог мажоритирования определяется по формуле (7.12). Ее анализ
не отличается от уже изложенного. На рнс. 7.13 показан граф состояний
системы с обозначениями = (1-р)Х и =рХ,(см. рис. 7.6). Штрах -
пунктирными линиями выдалены области работоспособных, защитных и
опасных состояний.
В системах "М из № мажоритарное устройство V может быть
адаптивным с изменяемым порогом М. Реконфигурация возможна, ес-
ли существуют соответствующие средства контроля и переключения ка-
налов. Первоначально структура имеет порог . Когда маскирующая
избыточность вследствие отказов будет исчерпана, т. е. когда откажет
М. — 1 канал, происходят автоматическая реконфигурация системы в
структуру с более низким порогом М2. После того как исчерпана но-
вая избыточность, система переключается в новую конфигурацию с еще
более низким порогом, доходя до предельно простой структуры- ’’два
из трех’’. При реконфигурации долговечность системы значительно рас-
тет, поскольку эффективнее используется структурная избыточность.
73. Диверсигеткые структуры
В многоканальных структурах, рассмотренных в предыдущем раз-
деле, предполагалось, что все каналы идентичны. Это означает, что они
имеют одну и ту же документацию, изготовлены по одинаковым техно-
логвлм, их монтаж и наладка выполнены одним и тем же методом
и т. п. Поэтому ошибки проектирования независимо от того, ня каком
этане они допущены, повторяются во всех экземплярах аппаратуры ка-
налов, и коэффициент корравяции между отказами в каналах теоретиче-
ски равняется единице. Такие отказы выше были обозначены ^-отказа-
ми. В огицчие от них отказы аппаратных средств (г-отказы) являются
случайными и независимы друг от друга в разных кананах.
При возниаловении d-отказов каналы генерируют одинаковые вы-
ходные результаты, что не обнаруживается средствами контроля. Для
исключении этого при построении каналов используется метод dueepeu-
тетя [метод разЛиня) Диверситетные каналы выполняют один и те же
функции (имеюъйбшие спецификации), но реализуются но различным
независимым приметам и разными бригадами проектировщиков. Тогда
многоканальная мютема приобретает новые свойства. Ошибки проекти-
рования уже не распространяются на, все экземпляры аппаратуры кана-
лов и могут быть обнаружены средствами контроля.
Тем ие менее в диверситетных системах всегда существуют и неко-
торые общие компоненты, ошибки которых одинаково влияют на все
каналы. Это могут быть тактовые генераторы, устройства электропита-
ния, средства синхронизации, средства ввода информации и др. Поэтому
говорят о степени (или глубине) диверситега. Она тем больше, чем
меньше имеется одинаковых ошибок в каналах.
Для увеличения степени диверситега необходимо осушестнлять не-
зависимую реализацию максимального числа этапов создания проекта.
Однако проект, и в частности программирование, всегда начинается
с записи спецификаций. Ошибки спецификаций распространяются по
всем диверситетным программам. Поэтому важное значение имеет фор-
мализация спецификаций, что позволяет осуществить контроль их кор-
ректности, непротиворечивости и полноты.
Найдем количественную оценку влияния диверситега на надежность
и безопасность структур СЖАТ. Рассмотрим одноканальную структуру
с двумя диверситетнымн программами А и Б. Ее можно обозначить
как 1А + 2П. По сравнению с двухканальной системой 2А + 4П дан-
ная структура имеет меньшее количество аппаратуры, но возможна
только последовательная во времени реализация программ. Это означает,
что в системах реального времени необходимо создавать технические ре-
шения и алгоритмы функционирования, позволяющие входные данные
о состоянии процесса в момент запуска первой программы сохранять до
начала второй программы.
Один из возможных и применяемых в СЖАТ алгоритмов работы си-
стемы 1А + 2П следующий: чтение и запоминание данных в фиксиро-
ванные моменты времени; обработка их обеими программами; запоми-
нание результатов программы А до получения результата програм-
мы Б; сравнение результатов на совпадение; в случае совпадения пере-
дача результирующих выходных воздействий на управляемые объекты,
а в противном случае исключение этих воздействий.
Моменты чтения входных данных зависят от режима работы - спо-
радического (при изменении данных) или циклического (независимо от
их изменения). Во втором случае система работает в повторяющемся
цикле с некоторым периодом, продолжительность которого зависит от
необходимого максимального времени обработки данных и требуемого
быстродействия. Выходные сигналы получаются одни раз в каждом пе-
риоде в виде импульсов, следующих с частотой, определяемой длитель-
ностью периода.
Пусть программы л и Б даверситетные н независимые. Они могут
обнаруживать как аппаратные отказы в компьютере, так и остаточные
ошибки в программах. При этом они могут обнаруживаться по одной
программе и не обнаруживаться во другой или обнаруживаться обеими
программами, по при этом получаются различные выходные результаты.
Чем больше различаются программы, тем вероятнее обнаружить отказ.
Поэтому важной является задача создания таких программ, которые да-
ют как можно больше различий при использовании общих аппаратных
средств.
224
Рис. 7.14. Структурная схема яявер-
ckvo повторения
Рассмотрим некоторые формы
диверситега, который имеет мно-
жество разнообразных проявлений,
Диверситет аппаратуры достигается:
разными производителями с отли-
чающимися технологиями; прин-
ципиально отличеюшимися компо-
нентами (разные процессоры, раз-
ные виды памяти и т. п.); примене-
нием разных масок для изготовле-
ния интегральных микросхем; раз-
ными схемными решениями; раз-
ными конструкциями и т. д. Дивер-
ситет программ достигается исполь-
зованием разных бригад програм-
мистов, языков и методов описа-
ния спецификаций, алгоритмов,
подходов к программному обеспе-
чению,
. Наиболее известными формами программной диверситетной избы-
точности являются миоговерснонное программирование, альтернативное
программирование, избыточное кодирование информации, инверсионное
повторение. В последнем случае задача решается повторно, по по обрат-
ному алгоритму. Сначала реализуется программа А (рнс. 7.14), резуль-
таты выполнения которой служат входными данными Для программы £.
Программа Б решает обратную задачу (например, если А решает за-
дачу у e sin х, то Б решает задачу х =arcsiny). Результаты вы-
полнения программы Б должны совпадать с входными данными про-
граммы А, чтод сравнивается. Результат сравнения воздействует на вы-
ключать В.
Проанализируем безопасность системы IA + 2П. Различные брига-
ды программистов создеют разные программы, в которых^однако,не-
зависимость присутствует не в полной мере. Введем параметры, отра-
жающие степень независимости обоих каналов. Пусть XAd, XAZ,
Хпг - соответственно интенсивности отказов аппаратных А н про-
граммных П средств, которые не обнаруживаются («0 и обнаружива-
ются (z) в результате сравнении. Соответственно обозначим интенсив-
ности восстайомвида ц. 'Определим шраметр h в доле обнаруживае-
мых сравнением Отказов:
л
Лп- —
' J
I (733)
8 За. 983
225
Т а б л и я 8 7.2
Случай Аппара- тура | IporpaM- Система | Случай А пиар» тура Програм- Система
I P P P l 6 z d z
2 P z z 7 d P 0
3 , P , d 0 8 d t z
z I P z d d 0
11 z г z
Величина h тем ближе к 1, чем сильнее диверситет каналов.
В табл. 7.2 показаны девять возможных случаев поведения смете*
мы 1А + 2П в зависимости от состояния аппаратуры и программ (Р —
работоспособное, d - с необнаруженным отказом, z - с обнаруженным
отказом, О - опасное).
Опасными являются 3, 7 и 9-й случаи. Поэтому верпятность
опасной работы системы
боп=Р3+Р7+ РЧ = РАРпа + + Pnd PAd‘ (7-34)
Составляющие суммы (7.34) согласно формулам (7.15), (7.16) и
(7-24):
Р"‘' 2'м*(1~''п’хп'
('-‘a11.
J’A<' 1*ЛЙ4<|-',а”‘а'
f'n.” ' "1
p _________________“a."_______________
"a.“* 'лЛ1‘* "a,'1-^’2’”!
226
(735)
(736)
(7.37)
(7.35)
Подстановка выражений (735) и (7.36) в формулу (7.34) дает
сложную формулу для расчета вероятности опасного отказа системы
1А + 2П из-за необнаруживаемых отказов вследствие ошибок про-
грамм и неисправностей аппаратуры.
Двухканальная структура с диверситетными программами
(2А + 2ГТ) требует вдвое больше аппаратных средств. Зато она приоб-
ретает повое качество по сравнению с системой 1А + 2П, состоящее
в практически полной независимости аппаратных и программных
средств, когда параметры ЛА = 1 и = 1. Поскольку выеется два
аппаратных канала, то вместо формулы (7.38) сиедует првыздять
формулу
<*Л» “ * 2“л, ‘ Л ХЛ <> ’ '’„к1 2 ”| ,,
= — . — — — ' ( / ЗУ;
{мАг “ * * А Хл 1" * “л« 11 - "як1 Г1}"
74. Структуры с ненагруженным резервом
Структуры с ненагруженным резервом классифицируют так, как
показано на рис. 7.1S.
Многократное резервирование применяется и при динамической из-
быточности. Рассмотрим два компьютерных канала, один из которых
(основной) А • работает, а другой В находится в резерве (рис, 7.16).
Когда основной канал отказал, то включается резервный переключате-
лем П и осуществляет управление объектами УО. Поскольку выход-
ные сигналы каналов А и В ие сравниваются, то необходимы средства
распознавания отказов в каждом канане.
Уис. 7.15. Структурная схема клас-
сификации снегам с ненагруженным
резервом
Рис. 7.16. Структура с не-
нагружениым резервом
227
Рис- 7-17- Структура "один
плюс один”
Переключение на резервный канал происходит вручную или авто-
матически и требует некоторого времени, когда объекты выключаются
из управления (в отличие от систем с нагруженным резервом, где маски-
ровка отказов происходит без отключения управлении). Если канав В
нормально выключен, то он находится в холодном резерве, если вклю-х
чан, то в горячем резерве.
Резервный компьютер должен находиться в адекватном информа-
ционном состоянии, чтобы быть готовым немедленно включиться в ра-
боту- Если он находится в горячем резерве, то это происходит автомати-
чески. При холодном резерве требуется осуществить перезапись данных
Из компьютера канала А в компьютер канала В к моменту переключе-
ния. Возможен также и промежуточный вариант, о котором говорят,как
о теплом резерве. Тогда компьютер канала В частично готов к включе-
нию, но содержит только часть данных, необходимых дня своей ра-
боты.
Опасный отказ в структуре возникает в следующих случаях: сред-
ства контроля не обнаруживают отказ в канале 4; не происходит пере-
ключения на резерв из-за отказа переключателя; одновременно отказы-
вают основной и резервный каналы.
Каждый технологический процесс допускает некоторый интервал
информационной неопределенности Гдн1), во время которого не иару;
Таблица 7.3
223
шается работа и безопасность управляемого объекта. Если г __ мало,
то переключение должно быть автоматическим (см. рис. 7.16). При
этом время переключения должно быть мяныце времени t
К горячему резерву прибегают, если время от моментао'Ьнаружания
отказа основного канава до подготовки холодного резерва и переключе-
ния на него больше Гдя|| или если переход управляемого объекта в
новое состояние жестко обусловлен предыдущим состоянием (эволю-
ция процесса в будущем зависит от его предыстории). Например, пусть
в микропроцессорной централизации наступил отказ во время разделки
маршрута и структура системы переключилась на работу резервного
компьютера. Если последний находится не в адекаатмом ни формацией-,
ном состоянии, могут ложно разомкнуться стрелки, что опасно.
Оценим надежность и безопасность систем с нанагруженным ре-
зервом иа примере простой системы ’’один плюс один” (рис. 7.17).
Предположим, что система невосстанавливаемая, а средства контроля
и переключения К идеальные (не отказывают). В структурах с горя-
чим резервом основной и резервный компьютеры работают одновре-
менно и система отказывает лишь после отказа обоих. Следовательно,
с точки зрения надежности структуре эквивалентна двухканальной па-
раллельной структуре. Средняя наработка до отказа системы при иден-
тичных компьютерах с наработкой Т Tt + j г = 1,5 Т, т. е. увеличивает-
ся на 50 %. В структурах с холодным резервом канал В не работает
до отказа капала А и поэтому Ti +, х = 2 Т.
Для опенки безопасности системы с нанагруженным резервом рас-
смотрим деиять ее возможных состояний (табл. 7.3).
Каждый из каналов А и В имеет три состоянии (работоспособное,
защитное и опасное). Система "один плюс один” работоспосойта, если
канал А не имеет отказов (состояния 1, 4, 7) и если канал А имеет
защитный отказ, а канал В работоспособен (состояние 2). К опасным
относятся состояния /, 6 и 9, когда канаи А отказал опасно (отказ
ие обнаружен и компьютер канала А продолжает реботать). Опасно
также состояние, когда канал А имеет защитный отказ, а канал В отка-
зал опасно (состояние 5), Система находится в защитном состоянии,
если оба капала имеют защитный отказ (состояние 5).
Согласно табл. 7.3 вероятность безотказной работы и вероятность
опасного отказа системы ’’один плюс один” определяется цо формулам:
^оп 1 +1,Г “ Р3 + + + *9 = ^опЯ * ^рпВ‘
Пусть система невосстанавливаемая, с одинаковыми каналами и
р —вероятность обнаружения отказа одного канала, тогда
229
H14I r= exp(-Xr) +pfl - exp(-Xr)! exp(-Xr)'. (7-40)
eoni»i,r “О-Й [1 — «хр(—ХГ)] +p(l-p) [l-exp(-xr)]’,
(7.41)
Безотказность системы тем выше, чем лучше обнаруживаемое™ от-
казов, а безопасность системы тем меньше, чем безопасность одного
канана. Последнее объясняется тем, что часть защитных отказов основ-
ного канана трансформируется в опасные отказы системы благодаря
резервному каналу. Причем чем меньше величина р, тем больше от-
казов трансформируется в опасные.
7-5. Самопроверяемые структуры
Особенностью само проверяемых структур безопасных систем являет-
ся то, что комплекты аппаратуры (блоки), из которых они строятся, вы-
полнены как самопроверяемые устройства.
На рве. 7.18 представлена структура самопроверяемой оцнокаяаль-
ной системы. В этом случае дискретное устройство ДУ снабжается
семопроверяемой схемой встроенного контроля ССВК, задачей кото-
рой является обнаружение неисправностей заданного класса в схеме ДУ
и собственных неисправностей. Методы построения таких ДУ и ССВК
рассмотрены в книгах [61, 62, 66]. При отсутствии неисправностей на
Рнс. 7.18. Самолроверяе-
мая опнокапаяьная система
Рис. 719. Последовательная дублиро-
ванная структура
230
н осуществляется воздей-
выходах z и ?2 ССВК имеются парафаз-
ные значения сигналов (0,1) или (1,0),что
контролируется специальным ПСП фикса-
тором ошибок ФО. В качестве ФО может
быть использован парафазный Т-триггер
(см. п. 3.4).
Пря возникновении отказов в ДУ или
ССВК нарушается парафазностъ сигналов
z и zy и ФО блокируется в защитном
состоянии, при котором нарушается пара-
фазность его выходов yt и у2. В резуль-
тате этого включается индикатор'Отказа ИО
ствие на тактовые входы Ф/ и Ф2 дискретного устройства. При равен-
стве сигналов на входах Ф1 и Ф2 отключается питание ДУ, и система
переводится в защитное состояние, при котором выходы v ..v от-
ключаются от объектов управления. Этим обеспечивается безопасное
функционирование системы при отказах-
Наиболее часто при построении безопасных систем используются
дублированные и троированные структуры. На рис. 7.19 прииедена по-
следовательная дублированная структура, состоящая из двух одинако-
вых и синхронно действующих самопроверяемых ду/ и ДУ2. Сигналы
на одноименных рабочих выходах v.....v ' и v .., у" сравнивают-
ся между собой с помощью безопасных элементов ......Ид. В отли-
чие от простой Дублированной структуры в этом случае, помимо безопас-
ного сравнения выходных сигналов, осуществляется внутренний само-
контроль обоих комплектов аппаратуры. Парафазные сигналы с выхо-
дов ФО1 и ССВК2 контролируются схемой 2/4-СПТ и- ФОЗ.
Чтобы обеспечить поступление наборов проверяющего теста на вхо-
ды схемы 214-СПТ подаются сипганы yJ , у'г и z”, z” .
Сигналы z' z' и Zp z'’ всегда1 совпадают, когда ДУ/, ДУ2,
ССВК! • и ССВК2 исправны (табл. 7.4). Если в качестве ФО/ приме-
нить ПСП Т-триггер, то на его выходах частота входных импульсов
делится на два. Поэтому сигналы у’г и z'', z^' не совпадают (см.
табл. 7.4). Чатыревекюраг'р z”»y' у”, указанных в табл. 74, состав-
ляют проверявший тест схемы 214-СПТ.
Если происходит отказ в одном из комплектов аппаретуры, то воз-
никает несоответствие сигналов г' и ve , и схема исключает ак-
тивное воздействие на объект управления. Отказ фиксируется соответ-
ствующими ССВК и ФО. Фиксатор ошибок ФОЗ блокируется в за-
щитном состоянии и отключает питание блоков ДУ1 и ДУ2. Таким
образом, в данной структуре существует двойная защита от отказов, что
обеспечивает высокий уровень безопасности управления объектами.
В простой дублированной структуре минимальная'кратность необ-
наруживаемого отказа равна двум. Не обнаруживаются одновременные
отказы в ДУ/ и ДУ2, которые одинаково искажают сигналы v.' и
231
CCBKt
Рис. 7.20- Схема контроля выходных элементов сравнения
/' . В самопроверяемой дублированной структуре минимальная крат-
ность таких отказов равна четырем: по два отказа в каждом комплекте
аппаратуры, которые не фиксируются ССВК и которце одинаково
искажают сигналы / и v . Вероятность возникновения подо<жых от-
казов очень мала. Достоинством системы (см. рис. 7.19) является
Также Возможность обнаружения отказавшего комплекта аппаратуры,
что невозможно в простой дублированной системе. В табл. 7.5 отражена
информация об отказах системы при срабатывании индикаторов отка-
за ИО (переключение их в состояние 1). Предполагается наличие только
одного отказа.
Если выходные элементы И(, . . ., не являются безопасными,
то необходимо контролировать их работу. Для этогосравняваются зна-
чении сигналов на выходах элементов И со значениями соответствую-
щих сигналов на выходах одного из ДУ.
На рис, 7.20 показана схема Хакого сравнения дня случая,когда ДУ
имеют диа выхода: и v2. Пр*ртказе одного из элементов И нару-
шается равенство сигналов у и к Л Это фиксируется схемами 214-СПТ^
и фиксатор ошибки ФОЗ блокируется в запдатном состоянии. Схема
контроля содержит три тестера 214-ОПТ, включенных каскадно.
В табл. 7.6 отражено изменение сигналов на их входах при исправном
состоянии всех устройств. Множества наборов на входах тестеров вклю-
чают в себя их проверяюпдае тесты.
232
Таблица 7.5
Состояние индикаторе» отказа Ияформааия об отказ»
ИО1 ’ ИО2 иоз
0 1 0 0 Все блоки исправны
0 1 0 Неисправен ФОЗ или 2/4-СПТ
0 ) 1 0 Неисправен ФО2
0 ! > Неисправен ДУ2, или ССВК2, или ФО2
1 Г_1 1 Неисправен ДУ], или ССВК1, или ФО1
233
Троированная мажоритарная са-
мопроверяемая структура (рис.7.21)
состоит из трех одинаковых и сим- -
хронно действующих самопроверя-
емых бноков ДУ1, ДУ2 и ДУЗ.
Сигналы на одноименных рабочих
выходах .. ,,v' v' .. ., v”,
г’р . • ’’д поступают на иходы
безопасных4 мажоритарных элемен-
тов МЭ, которые осуществляют
маскировку отказа на одном из
трех своих иходов. Парафазиые
сигналы контроля исправности
блоков z'v z2, у'р у”, «р д}
подаются на входы самопроверяе-
мого мажоритарного элемента
контроля МЭК (рис. 7.22) [16].
При наличии парафазных сиг-
налов на двух или более входах
элемента gt, g2, g3 на его вы-
ходе имеется верафазкый сигнал
(табн. 7.7). Любая одиночная внут-
ренняя неисоравносгь элемента
ороявляется на выходе в результате
возникновения ненарафазного сиг-
нала хотя бы на одном из ‘рабо-
чих входных наборов переменных
(первые восемь строк в табн. 7.7).
Эти восемь наборов составля-
ют проверяющий тест МЭК и доя»
ны появиться на входах эле-
мента при исправной работе трех
бноков ДУ], ДУ2 и ДУЗ. Это
обеспечивается тем,что парафазиые
Рис, 7.21-троированная самопроверяе- контрольные сигналы с выходов
мая структура ССВК, которые для всех трех
блоков совпадают, делятся на два с
помощью триггера ФО2 к на
четыре с помощью двух последовательно включенных триггеров фОЗ
и ФО4 (см. рис. 7.21). В этом случае на входах МЭК имеется орове-
ряющий тест (табл. 7.8).
Допустим, что в одном из комплектов аппаратуры (см. рис. 7.21),
например в блоке ДУД произошел отказ- Несоответствие между сигна-
лами v'f и сигналами vZ v.' маскируется выходными МЭ, и сигналы
имеют правильные значения. Отказ фиксируется ССВК1,
ФО1 и ИО1- Появляется индикация о неисправности первого блока,
234
Рис. 1.22. Схема самопроверяемого мажоритарного элемента коптропя
и сигнавы ~ y'Jt воздействуя на входы <₽/ и Ф2, отключают
ДУ}. Схгн&лы 2Х = поступают на вход МЗКГ но на выходе послед-
него сохраняется ц&рафазиыйсигнав,система функционирует нормально.
Если происходит отказ во втором комплекте аппаратуры, то в про-
стой троированной системе это не обнаруживается, в результате чего воз-
никают неправильные активные воздействия v , . . v на объекты
управления. В самопроверяемой структуре этого произойти не может.
При втором отказе, например в блоке ДУ2, сигнавы »......г" могут
01 1 01 01 01 01 01
ю ю ю ю 10 ю
01 01 01 ю ю ю
ю ю 10 01 01 ю
01 01 01 01 01 10
10 10 10 ’ Ю 10 01
01 '01 01 I 10 10 01
10 <10 ' 10 01 '01 j 01
235
быть неправильными, но сипганы Vj.....v не вызывают активных,
опасных воздействий на объекты управления, поскольку блок ДУ1
выключен. Кроме того, непарафазные сигналы у'‘= у^' появляются
на входах МЭК На его выходах нарушается парафазность, что фиксиру-
ет ФО5 (см. рис. 7.21). Выключаются все три комплекта аппаратуры.
Таким образом, в самопроверпемой тропроваииой структуре, так же как
и в самопроверяемой дублированной, минимальная кратность необпару-
живаемых отказов равна четырем.
Если в системе (см. рис. 7.21) выходные мажоритарные элементы
не являются безопасными, то контроль их работы осуществляется спо-
собом, показанным на рис. 7.20 для дублированной структуры.
7.6. Расчет показатенай безотказности и безопасности
сложных структур микропроцессорных СЖАТ
Рассмотренные в предыдущих разделах данной гнавы безопасные
структуры могут использоваться как базовые при построении более
сложных структур. В сложных системах могут одновременно использо-
ваться различные виды резервировании для разных функциональных
уроввей системы. Для того чтобы получить аналитическое выражение
для определении показателей безотказности и безопасности, применяет-
ся метод расчета, осиовалный на расчетно-логических схемах, рассмот-
рим этот метод расчета на примере нескольких видов микропроцессор-
ных централизаций (МПЦ).
На основании расчетно-логических схем можно получить аналити-
ческие выражения дня определении вероятности безотказной рабо-
ты P(t) и интенсивностей защитных отказов X(f) различных си-
стем МПЦ.
В расчетно-логической схеме для определения показателей надеж-
ности МПЦ (рис. 7.23) в качестве элементов схемы использованы: тер-
мвдальный компьютер 77f; маневровый компьютер МК; централь-
ный компьютер ЦК\ локальный компьютер ЛК-, компаратор, управ-
ляющий напольным устройством, Кр\ схемы непосредственного управ-
ления объектами СНУК [143].
Рис. 7.23. Расчетно-логическая схема дня определения показателей надежности
болгарской МПЦ
236
Резервирование МК и ЦК выполнено по схеме постоянно вклю-
ченного и нагруженного резерва- Резервирование ТК и ЛК выполнено
по схеме включения резерва замещением с ненагруженным режимом
работы.
Верпятиость безотказной работы системы МПЦ
ЛЮ - п - <1 И- (1-
-лл»г1 !, Л,«1тЛ«УкЮ' -
-X t — X г —X t —X t
= [(1+Хтк/)е т* ] (2е мк - е м*)(2е нк -
-2Х t -X t , -Im X г -ZX t
~e цк ) [(1 "K ]' e «₽ e ”*yK ,
где At - событие, заключающееся я появления отказа в i-м уровне системы.
Интенсивность отказов системы
Х“') XJ <
При малых значениих Xt для интенсивности отказов системы спра-
ведливо следующее выражение;
М')’ Ч«'+^к"+
При расчетах надежностных характеристик МПЦ (см. рис- 7.23)
были приняты следующие исходные данные: Х,к = Хмк = Хцк = Хдк ~
= \,0, = ЗГ"1СГб К» - Х„= 0,1-10-'1/ч; Х„ук=40х
х 10~6 1/ч; чисяо локальных подсистем МПЦ I = 8; число
управляемых напольных объектов в одной локальной подсистеме т= 20.
237
Рис. 7.24. Расчетно-логическая схема для Определения показателей надежности
МГШ ГДР
Расчетно-логическая схема для определения показателей надежности
МПЦ (рис. 7.24) состоит из подсистемы ввода-вывода информации
ПВВИ, центральной подсистемы управления маршрутами ЦПУМ, под-
системы диагностики ПД и О и периферийной подсистемы управления
напольными объектами ППУО [143]. В каждую подсистему входят
три нараллепьно и независимо работающих микроЭВМ с аппаратным
мажорированием входных и выходных сигналов с помощью мажоритар-
ных устройств ввода-вывода- На расчетно-логической схеме в качестве
элементов показаны процессорный модуль обработки информации
МОИ, мажоритарное устройство для связи подсистем УМ, схемы непо-
средственного управления объектами СНУК и мажоритарный элемент
сопряжения с напольными устройствами М.
Вероятность безотказной работы данной системы М1Щ, имеющей
мажоритарную модифицированную структуру [142],
ЛЮ - -
- ю л! (01 ’ "'(» Л«у«« -
= 2ХМОИГ - 2/3 ) (3- 2Хмои 1 -
-ЗХ t -ЗХ г . - 2тГК t
_2е ^*ои е у« )3 е м .
Интенсивность отказов систему
\v) ^“гх 7 -з~К t -*
3 е мои ~ 2е мои
х (е~э + е-2\«ои*\м)
--------------------------------— +2mIX +IX
М сиух
238
Гис. 725- Расчетно-логическая схема для определения показателей надежности
МПЦ SSI
При малых значениях At
М')« 6>i01l»t18(XM„OyM)>r + HXM+ <Х„у,-
При расчетах надежностных характеристик МПЦ (см. рис. 7.24)
были приняты следующие исходные данные: X =Х =30«10~б 1/ч;
Хм ®0,110"6 1/ч; Хсяук = 40 10~б 1/ч; ~1 =20; т=**20.
В расчетно-логической схеме для определения Докаэателей надежно-
сти МПЦ SSI (рис. 7.25) ( 144], где в качеств элементов схемы исполь-
зованы процессоры интерфейса ПИ, централизации ДЦ, связи цент-
ральной подсистемы ПС, модуль информационной связи МИС, локаль-
ный компьютер ЛК. и компараторы, управляющие напольными объек-
тами, КР1~Крт [114].
В системе выполнено мажоритарное резервированле ПЦ и ПС,
резервирование ПИ и МИС - по схеме постоянно включенного и нагру-
женного резерва.
Из расчетно-логической схемы следует, что вероятность безотказной
работы данной системы МПЦ
?,(') = [1 - (1 -[3^(0 - 1 X
X [ЗР*с(!) - 2Р’С (!)] 11(1 - (!))’] ‘ (!) х
X г”^(!) ',;„к<') "Л - 0«' -
‘ -2е^ЗХ“')(Зе 2Х“С'X
х [1 - (1 ~е' Х”"“')!) 1 /2'‘
2Э9
Интенсивность отказов системы
2’'-"S
22Х”«'- 2е ЗА”“'
«2*“ '>
з«-2Х,“'-2Г,Х“Г 2 г>м”с'
♦а\,+ и,\,+ "w
При малых значениях М
\(0 ~ + 6х™' + 6Хп«' * + 21 +
t тП^ + 1 \я„-
При расчетах Рс (t) и X (/) системы SSI приняты следующие ис-
ходные данные:
’ >и„ - \к ’ х,„ >30-10-’ 1/’:
V\, -0,1 10^1/,; ХШ,-«И1Г‘1Ц
I = 20; т= 20.
В расчетно-логической схеме для определения показателей надежно-
сти МПЦ системы JZS-85O (Швеция) (рис. 7.26) в качестве элементов
схемы использованы терминальный компьютер ПС, процессоры цент-
Рис. 7-26- Расчетно-логическая схемадля определения показателей надежности
ИЛИ JZS-850
рализаиии ПЦ и передачи информации ПНИ, локальный компьютер
ЛК и схемы непосредственного управления объектами СНУК [ 145] .
Резервированне ПЦ и ПИИ выполнено по схеме постоянно вклю-
ченного и нагруженного резерва, резервирование ПС - по схеме вклю-
чения резерва замещением с иеяагружеияым режимом работы резерва.
Вероятность безотказной роботы системы
т/О “ t,1 (1 - (1 [1 - (1-г„„(<))’! х
х'’„«(О= (» + \x')c Х”‘ 1 х
х [(2/’'"4'
хе-2,М'
Интенсивность отказов системы
<пп,<1-. “™
^nmtf
+ Хпх+
При малых зяашиях Хг
+2Aanlnlf + 21XnK+ ГХсиук.
При расчетах надежностных характеристик МПЦ JZS-85O приняты
следующие исходные данные:
Х« = “ \к = = 30-10-» 1/,;
\Яук= 40,10-6 !/4; 1 =2а
240
Рис. 7.27. Интенсивность потока отка-
зов систем МПЦ при 0 < t <1000 ч
Рис. 7.28. Иятенсвнность потока отказов
систем МПЦ при 0 < t <10 000 ч
По полученным выше аналитическим выражениям и приведенным
исходным данным рассчитаны X (f) и Р(г) отдельных узлов и систем
МПН (рис. 7.27-7.33) (см. рис. 7.23 и 7.24).
Анализ полученных зависимостей показывает, что надежностные
характеристики вышеперечисленных систем в значительной степени
определяются надежностью нерезервированных узлов данных систем,
т. е. безотказностью таких устройств нижнего уровня иерархии систем,
как мажоритарный элемент (устройство сравнения) сопряжения с на-
польными устройствами, схемы непосредственного управления и конт-
роля и т. д.
Рассчитаем показатели безопасности 200(г) и \о(О для систе-
мы МПЦ (рис. 7.34) 1143]. Схема составлена на основе расчетно-логи-
ческой схемы дня определения показателей безотказности системы МпЦ
(см. рис. 7.24) исключением из нее ПВВИ (ПВВИ не может дать в дан-
ной систеце опасный отказ) и разделением системы на иять уровнен.
Вероятность опасного отказа первого уровня 200
001 кмои 4Кмои кмои
242
Рис. 7.30. Вероятность безотказной ра-
боты уровней МПЦ SSI
Рис. 7 29. Интенсивность поюкаотказов
систем МПЦ при 0 < t < 100 000 я
Рис. 7.31. Вероятность безотказной ра-
боты уровней болгарской МПЦ
Рис. 7-32. Вероятность безотказной
боты уровней МПЦ JZS-850
243
Рис. 7-33. Вероятность безотказной ра-
боты уровней МПЦ Г ДР
Рис. 7.34. Расчетно-логическая схемадля
опрецаяеинн показателей безопасности
МПЦГДР
Вероятность опасного отказа второго и третьего уровней
е»о„ = с<,»п1 -3 п - о - е>м) о - ом„)11 -
-2 (1 - О - 0 - Ск,„)1 ’ "> Чм + ем« - °г" <?«««>"
Опасный отказ четвертого уровня системы <2qoiv = ^>m-
Опасный отказ пятого уровня системы О^у = Ссяук-
Опасный отказ системы МПЦ может произойти при возникновении
опасного отказа на любом в уровней системы или при опасном отказе
на нескольких уровнях системы одновременно. Исиользуя теорему сло-
жения вероятностей для совместных событий [146] .вероятноспонае-
ного отказа всей системы МПЦ оостояшей из п уровней,
+ хек, At At-)y.
244
ra A? Aj и Ak - события, заключавшиеся в появлении опасного отказа соогвет-
спенно на? t. j и fc-м уровнях системы.
Для данной системы МПЦ
С(Ю асгемы ^001 + ^0011 + ®00Ш + Сфщу * Cq0V.
- (COo(COO((+ Ooor Qooiu + CooiCoojv + C0oiCoov
Сооп^оош + Сщщ Cooiv * ^oou^oov
+ С00щС001У + 6oout®oov+ C00IVQo0v.
+ (@001 @0011 @00111 + @001 @0011 @001У + @001 @0011 Cpov
+ Coon Cootn C00IV + £?ooti Cooni Cqov * C0OII[ Cooiv Coov
CqoH CqoIV 6qoV + Cqoi ^OOIIl CqoIV + Cqoi Coottt COOV
+ Cool CooiV Coov^^CoOJ Coon Cooui COO(V *
+ COoi Cooti( COo(v C0ov + Cqoi COoii Oootv Coov +
+ Coot Coon Cqoui Coov + Coon Cooni Cootv Сооу) +
* Oooi Coon Cooni Cooiv Coov (7-42)
Подставив в формулу (7.42) вероятности опасного отказа соответ-
ствующих уровней, приучим аналитические выражения вероятности опас-
ного отказа системы. Поскольку значения выражений во второй и после-
дующих скобках формулы (7.42) малы, то ими можно пренебречь:
ем”зе,л,ои+б(е>м+е„ои -су„ем1,1,),+е> е„ук -
24S
Рис. 7.35. Расчетно-Логическая схема для определения показателей безопасности
Рис- 7.36. Вероятность безопасной рабо- Рис-7.37. Интенсивность опасных от-
ты МПЦ казов МПП
Интенсивность опасных отказов данной системы МПЦ
Ч-еи(оГ
^снук + ®\<оиГ * 12^\м + \адк~ 2\м \к>и^ <\м' + \м>и(
1 “ [3\Lk *г +б <\м' + \,м ' V + fy* *
246
Для МПЦ системы (рис, 7.35) вероятности опасного отказан интен-
сивности опасных отказов соответственно:
е»о- +Ч..+++Яс,." Ч. <’+
»L;'’ *«Р,+ Ч««'-
\.ук
Х"’ •- 4.-’4-'4V'V ’
Результаты расчетов по полученным формулам приведены на рис, 7.36
и 7.37 (см. рис. 7.23 и 7.24).
7.7. Применение безопасных структур в системах
железнодорожной автоматики и телемеханики
За последние 20 лет СЖАТ, построенные на базе микроэлектрон,
ной и вычислительной техники, постепенно вошли в железнодорож-
ную практику. Их производством занимаются многие известные запад-
ные фирмы, а внедрение происходит не только в развитых, но и в разви-
вающихся странах, где нет сооружений старого поколения.
Специалисты считают, что традиционные системы СЦБ обладают хо-
рошей долговечностью (до 80 лет жизни) [122]. Поэтому темны внед-
рения новых систем на железных дорогах обычно невысоки. К тому же
эти темпы сдерживаются трудностями в решении проблемы безопасно-
сти микроэлектронных систем. В связи с этим на железных дорогах мира
находится в эксплуатации много устройств СЦБ разных поколений и
модификаций. Например, в Швейцарии в настоящее врамя работают
163 механических, 260 электромеханических, 413 релейных и только
одна компьютерная централизации. Аналогично обстоит дено и во мно-
гих других странах.
Независимо от этого существует устойчивая и необратимая тенден-
ция к разработке и внедрению микроэлектронных, микропроцессорных
и компьютерных СЖАТ. Рассмотрим эту тенденцию на примере микро-
процессорных централизаций стрелок и сигналов.
Первая яэ систем нового поколении - компьютерная централизация
IZS-750 - была разработана шведскей фирмой L. М. Ericsson и внед-
рена на станции Гетеборг в 1978 г. Последующие системы этой фирмы
(например, полностью электронная система ЕгИос 850), а также снеге-
247
мы других скандинавских фирм (например, система 1ZSD 770 датской
фирмы DZI) базируется на одноканальной квазибезопасной структуре
с двумя днверситатнымн программами. Они работают в односекунд-
ном системном цикле с тестовым периодическим контролем. Безопас-
ность системы зависит от степени диверситега независимых программ,
что достигается работой двух разных бригад программистов. Входные
данные в оба программных канала вводятся методом информационно-
го диверситега. Для повышения надежности системы на больших стан-
циях применяют второй компьютер в режиме горячего резерва, работаю-
щий одновременно с основным.
На железных дорогах различных стран работают более 100 централи-
заций данного типа. В книге [114] опубликованы результаты экс-
плуатационных испытаний этих систем. Установлено, что причиной од-
ной трети ошибок яиляется само программирование, одной трети - не-
правильные или противоречивые требования спецификаций, одной тре-
ти — наличие ошибок в данных. Почти половлиа всех ошибок обнаружи-
вается благодаря диверситегу.
Британская микропроцессорная централизация SSI (Solid State
Interlocking) разработана фирмой GEC/GB и работает на станции Ли-
мингстои Спа с 1985 г. Она построена по принципу однопрограммиой
многоканальной системы ’’два из трех” и функционирует в циклическом
режиме с периодом 0,85 с. Связь с напольными объектами осуществляет-
ся квазибезопасными модулями со структурой ’’два из двух”. Аппарат-
ные средства контроля и переключения подвергаются непрерывному
тестированию. Структура системы допускает реконфигурацию при от-
казах. На разных станцних мира эксплуатируют более 20 подобных
®нтрализаций.
В разработке и производстве нового поколотя систем в Германии
приняли участие известные фирмы Siemens, AEG, SEL иТехнический
университет в Брауншвейге. Базовая концепция фирмы Siemens полу-
чила название SIM1S. В ней используются два независимых компьютер-
ных канала, которые работают синхронно и синфазно пр одной програм-
ме с аппаратным сравиеккем на инверсностъ по принципу ’’два из двух”
с помощью контрольных элементов Lohman-a. На этой основе построена
микропроцессорная централизация типа EIA фирмы Siemens, находя-
щаяся в эксплуатации на станции Дибурге 1988 г. Безошибочность про-
граммного обеспечения достигается комплексными методами разработ-
ки и вервфикации. Во втором поколении систем этой фирмы эксплуата-
ционная готовность достигается применением отказоустойчивой струк-
туры ’’дваиз трех”.
Концепция фирмы SEL базируется на безопасных микропроцес-
сорных модулях типа SELM1S, которые имеют трехканальную структу-
ру и обрабатывают информацию по принципу ’’два из двух” с програм-
мным сравнением, Тритий канал находится в горячем резерне и подклю-
чается взамен отказавшего.
248
Система микропроцессорной централизации типа ELEKTRA (авст-
рийская фирма ALCATEL) построена в виде структуры 2А + 2/7.
Два одинаковых в аппаратных отношениях Канала служат для различных
целей. Первый канал решает функциональные задачи и реализует логи-
ческие зависимости при установке маршрутов. Второй канал осуществ-
ляет контроль безопасности. Программное обеспечение функциональ-
ного канала написано на языке CHILL. Контрольный канал представляет
экспертная система PAMELA, в которой применяется и одноименный
язык программирования. Программы обоих каналов разработаны не
только разными бригадами программистов, но и на основе разных спе-
цификаций. Это возможно, поскольку второй канал не выполняет функ-
циональных задач и экспертная система на базе зяений дежурного по
станции осуществляет контроль правильности работы первого (основно-
го) канана.
Микропроцессорные централизации в Японии с названием SMILE
(Safe Microprocessor System for Interlocking Equipment) эксплуатируются
c 1985 г. В них заложена трехканальная структура с переменным поро-
гом мажоритироваиии, обеспечивающая высокий уровень готовности
к работе. Процессоры работают синхронно от общего генераторн тактов.
Аппаратный компаратор с самоконтролем (fail safe типа) сравнивает
потенциалы на внутренних магистралях попарно. Периодический конт-
роль осуществляется с помощью программного счетчика. Для неболь-
ших станций применяется модификации Micro SMILE, двухканальная,
с аппаратным самопроверяемым компаратором и горячим резервом,
В литературе имеются сведения и о других новейших системах на
базе микроэлектронной и микропроцессорной техники. В них использу-
ются принципы, рассмотренные в данной главе. Безотказность достигает-
ся в многоканальных системах. Обычно используется трехканальное
мажоритирование нии ненагруженный горячий (или холодный) резерв.
Безопасность достигается сравнением работы двух каналов с помощью
самопроверяемых компараторов. Обеспечение безопасности однопро-
граммных систем возможно путем достижения безошибочности (автома-
тическое проектирование, программирование и тестирование), а много-
канальных систем — усилением степени диверситега.'
БЕЗОПАСНЫЙ ИНТЕРФЕЙС С ОБЪЕКТАМИ
8.1. Требования к спа
ним УСО
Серьезной проблемой при построении безопасных систем является .
организация сопряжения микроэлектронной кппаретуры железподорож- !
ной автоматики и телемеханики с исполнительными объектами. Решение
задачи организации сопряжения (интерфейса) различных частей управ-
ляющего комплекса возможно следующими способами: жесткой унифи-
кацией и стандартизащкй входных и выходных параметров элементов
комплекса; использованием специализированных функциональных ,
блоков, обладающих адаптивными характеристиками обработки сигна-
лов на входах и выходах- I
Существует много различных исполнитаяьных объектов железно- I
дорожной автоматики и тенемеханикя с разнообразными характеристи-
ками входных и выходных параметров сигненов, унифицировать кото-
рые невозможно- Поэтому чаще используют второй способ построе-
ния устройств сопряжения с объектами (УСО) Специфичные для ответ-
ственных дискретных систем требования безопасности,как правило, не
позволяют использовать выпускаемые промышпеняостыо УСО для
управляющих ЭВМ.
Структура безопасной системы (рис. 8.1) содержит управляющий
вычислительный комплекс УВК (обычно дублированный или мажорн-
тнрованный), восстанавливающий орган ВО, управляющий выходной
преобразователь ВП, исполнитекьные объекты ИО и контрольный
входной преобразователь ВхП.
Функцией ВО является формирование сигналов управления при
совпадаинв всех или большинства выходных сигналов УВК-, ВП обес-
печивает энергетическое согласование электронных элементов с нспол-
нитенъными объектами ИО, а также исключает воздействие на ИО при
повреждении элементов ВО, В ряде случаев разделить управляющую
часть УСО на ВО и ВП трудно, поскольку в их состав входят одни
и те же элементы. Блок ВхП обеспечивает формирование достоверных
сигналов о состоянии ИО, подаваемых в управляющий вычислительный
комплекс.
Рис. 8.1. Структура безопасной
сястемы
250
К УСО СЖАТ предъявляют»» следующие основные требования
[125—130]: обеспечение временного и энергетического согласования
электронных, схем и ИО, минимально допустимая вероятность возник-
новения ложного сигнала включения ИО на выходе УСО при любом от-
казе аго элементов, максимально допустимая чувствительность к элек-
тромагнитным помехам и влияниям; стабильность временных и энерге-
тических параметров УСО в заданных пределах в течение всего срока
эксплуатации; высокая технологичность в производстве в сочетании
с низкой стоимостью.
Схемные решения УСО не должны иметь опасных отказов, т. е.
с определенной Вероятностью должны исключать ложное включение ИО
на выходе УСО прилюбом отказе его элементов. Обычно учитываются
отказы, выражающиеся в появлении следующих событий: короткого
замыкания, обрыва в элементах или соединениях; трансформации одно-
го типа полупроводникового элемента в другой; самовозбуждения
электронных схем; кратковременного или длительного отключения
источника питания; повреждения источника питания, при котором на
его шинах появляется значительная переменная составляющая; измене-
ния параметров элементов или их режимов работы в установленных пре-
делах; появления двух и более отказов элементов пли соединений меж-
ду точками схемы, не выявленных за время нахождения схемы в стати-
ческом состоянии.
Дия исключения опасных отказов в УСО необходимо диагностиро-
вать полупроводниковые (электронные) элементы, периодически пере-
ключая их из состояния логической 1 в 0 и из 0 в 1.
8.2. Классификация элементов сопряжения
Условно УСО можно разделить на две части: элементы вывода
управляющей щформации и элементы ввода контрольной информации
о состоянии исполнительных объектов. В цепях женезнодорожной авто-
матики и телемеханики, к которым не предъявляются требования без-
опасности, как правило, применяют стандартные УСО, выпускаемые
промышленностью, в составе управляющих ЭВМ и контроллеров. Спе-
циализированные (безопасные) УСО разрабатываются на основе выше
перечисленных требований и методов. В зависимости от используемой
элементной бмы УСО можно разделить на релейные и- электронные
(бесконтактные).
Наиболее часто безопасные УСО выполняют в виде функциональ-
ных преобразователен ФИ (рис. 8.2) с несимметричным отказом,
у которых при появлении неисправности искажаются передаточные
функции [129,130]. Возликаюшие в этом случае выходные сигналы
неисправного ФП не должны приводить к ложному включению ИО,
т. е. при возникновении отказа (W7 должны переходить в защитное со-
стояние.
251
Тяс. 8.2. Структурная схема меюдов аосгрожвя бвапасных УСО
Наиболее широко применяют фП с использованием безопасных,
ране, контакты которых коммутируют рабочие цеин ИО. Такие ФП
иногда называют устройствами включжия исполнительных рже (УВИР)
[126—130].
Преимуществами такого решения является то, что реле имеют
высокую устойчивость к электромагнитным помехам л перенапряже-
ниям, являются элементами идеальной гальванической развязки с несим-
метричным отказом. Недостатки ране состоят в ограниченном ресурсе
и потребности в профилактическом обслуживании релейно-контактных
схем, а также-специфичности производства релейных приборов.
Реализация УСО возможна на основе построения полностью бес-
контактных схем [131]. В этом случае не требуется профилактическое
обслуживание, УСО более технологичны в изготовлении, не содержат
специализированных элемвпов. Однако проблема безопасности при
этом решается более сложными методами, что определяет и более высо-
кую сложность УСО и затрудняет доказательство достижения требуемо-
го уровни безопасности. Этот пуп менее исследован, но наиболее пер-
спективен для безопасных систем, особенно в тех случаях, когда приме-
нение репейных приборов затруднено.
8.3. Устройства включения исполнительных реле
Дия того чтобы обеспечить безопасность устройств включении ис-
полнительных реле при повреждении электронных коммутирующих эле-
ментов, в ржейных- УСО используют элементы контроля их динамиче-
232
ской работы, играющие роль функциональных преобразователей. Для
этого£ как правило, применяют трансформаторную и конденсаторную
гальванические развязки- Однако импульсные трансформаторы являют-
ся нетехнологхчнымн элементами, поэтому в последнее время разраба-
тываются УВИР без намоточных элементов.
По сути УВИР .являются ФП, работа которых в общем виде описы-
вается выражениями:
при х = 0, At - 0;
yF(x}-, F(x) < unJ при At = 1; (8.1)
(u > unl при x = 1, Л, = 0,
где F(x) - функция, отражающая закон преобразования ияодных сигналов; л -
входная перемданая 4V7; 0; J - леремданая. отражающая «псутствла или на-
личие отказов в ФП-, и - значенла сигнала на выходе ФП' ип1, - соответ-
ственно напряжении срабатывания и отпускания ИР,
Анализ поведения УВИР при отказах его элементов заключается в
проверке выполнения условий (8.1).
Безопасное функционирование схемы УВИР (рис. 8.3).при отказах
обеспечивается благодаря двойному преобразованию входных импульс-
ных сигналов — дифференцированию с помощью трансформатора и ин-
тегрированию (накоплению) с помощью диода и конденсатора [38] •.
di г
СГ = ЛГ-jy- , ис » & (О') + -g-/ (cdr, <8-2)
me U*, U - напряжения соответственно На выхода трансформатора и на конден-
саторе; я - взаимная индуктивность обмоток трансформаторе; 4Z (0) - напря-
жение на конденсаторе в момент времени Г =0; С - величина емкости конденса-
тора; tj 1С - ток в цевя соответствлно трансформатора и кондансатора.
При нарушении любого из законов (8.2) преобразования сигналов,
вызванного отказами элементов, на выходе схемы отсутствует напряже-
ние пня имеется напряжение, меньшее напряжения выключения, и ПР
<япускает якорь.
Дия включения реле, т. е. дня достижения напряжения срабатывания,
необходимо поступление на вход схемы слрпи импульсов (рис. 8.4).
0 VDI
Рис. 8.3. УВИР с трансформаторной °~ Мр V Г1
гальванической развязкой
253
Рис. 8.4. Временная
диаграмма работы
УВИР
Кратковременные случайные сбои в работе СЖАТ не приводят к лож-
ному выключению или включению ИР. Во включенном состоянии реле
находится до тех пор, нока поступают импульсные сигналы. Каждый
импульс подтверждает исправное состояние элементов, формирую-
щих аго.
В схеме УВИР (рис. 8.5) используется конденсаторная гальваниче-
ская развязка, выполняющая функции дифференцирования, интегриро-
вания и преобразования повярности выходного напряжения [132],
ис = W + 7T0'.fc2d'-
(83)
В качестве выходного устройства иодользуют поляризованное рале
с несимметричным отказом. На рис. 8.6 приведены зависимости напря-
жения на обмотке ИР с сопротивпеипем 4,5 кОм от частоты входных
сигналов и от емкости конденсаторов преобразователя полярности
Кривая 1 отображает зависимость при С1*С2 = 30 мкФ, 2 — при
С7 = С2=60мкФ, 3-прн С1=С2 — 100мкФ.
Известны схемные решения ралейных УСО, приводя работы которых
основан на преобразовании импульсных сигналов малой амплитуды
в рабочее напряжение ИР с помощью выпрямителей с умножением на-
пряжения (рис. 8.7) [133], < также благодаря формированию ЭДС само-
254
Рис. 8.7. УВИР на основе выпрямителе с умножением нанряжения
индукции прн коммутации индуктивности (рис. 8.8) [134]. Данные
схемы (см. рис. 8.7 и 8.8) можно использовать в дублированных управ-
ляющих вычислительных комплексах, выходные сигналы которых
взаимоинверсны.
В схеме (см. рис. 8.7) входные сигналы в виде последовательности
импульсов поступают на прямой4 и инверсный входы двухповюсного
ключа ДПК на транзисторах VT1—VT3. При нарафазньсти сигналов,
поступающих от разных вычислительных каналов, на входе выпрямите-
ля с умножением напряжения (ВУН), выполненного на элементах
С1—С6, VD1—VD6, появляется переменное напряжение прямоугольной
формы с амплитудой 2Г, которое выбирают меньшим напряжения от-
пускания ИР. ВУН выпрямляет и умножает исходное напряжение до
уровня, необходимого дня работы ИР при поступлении нескольких им-
пульсов, . т. е. в этом устройстве также осуществляется статическая об-
работка (накопление) сигналов.
Повреждение любого элемента УВИР ведет к прекращению умно-
жения напряжения или снижению выходного напряжения ВУН и исклю-
чает возможность ложного притяжения или удержания якоря реле.
В случае повреждения трах и более элементов к обмотке реле может
быть подключен один из источников Д/iK. Однако уровень его налря-
.женин недостаточен не только для включения, но и для удержания реле
во включенном состоянии. Результаты экспериментальных исследований
параметров данного УВИР приведеньеяа рис. 8.9.
>ис. 8.8. УВИР иа основе накоилення
анергии индуктивного выброса
ИР
255
Кривые 1,2 Отображают соответственно зависимости U>MJt=F(O
при С1=С6 =200 мкФ и С1=С6=100 мкФ при сопротивлении обмотки
ИР, равном 3 кОм, а кривые 3, 4 — при сопротивления обмотки ИР,
равном 2 кОм.
' В схеме УВИР (см. рис- 8.8) используется эффект формировавия
ЭДС самоиндукции при коммутации дросселя;
В этом случае индуктивный выброс, формирующий рабочее напря-
жение на репе, может быть значительно больше, чем напряжение пита-
ния ДПК. Рабочее иапрнженм на репе определяется величиной L и
скоростью изменения (выключения) тока в дросселе.
В микроэлектронных СЖАТ применяются также мажоритарные
УСО [50,130] - В схеме УВИР, реализующей мажоритарную функцию
2 V 3 (рис. 8.10) [135] при скнхронвом поступлении импульсных сиг-
налов на входы 1-3 заряжаются конденсаторы С1—СЗ в течение вре-
мени действия входных импульсов. Во время науэы ови разряжаются
на еветолиоды оптопар V01 и VO2 через резисторы R1 и R2. При
*|| tO “* Рис. 8.10. Схема мажоритарного УВИР
256
Рис-8.11- Амплитудно-частотные харак-
теристики мажоритарного УВИР
Рис. 8-12. Фазовые характеристики ма-
жоритарного УВИР
этом напряжение, воздействующее на них, равно сумме напряжений на
конденсаторе и источнике питания. В результате этого фототранзисто-
ры оптопар VO1 и VO2 переключаются и формируют импульсы, по-
ступающие на вход преобразователя полярности (элементы С4, С5,
VD6. VD7). Поляризованное реле ИР притягивает якорь.
При отсутствие импульсов на двух входах из треп (напрямер, 1 и
2) на еветодиоды воздействует напряжение заряда кондшсаторов, при-
близительно в 2 раза меньшее. В результате оптроны не переключа-
ются, и ИР отпускает якорь. Для обеспечения беэонасяого функциони-
рования схемы используются функция дифференцирования, удвоения
напряжения и гальванической развязки.
Зависимости напряжения на реле U от длительности периода Т
входных сигналов (рис. 8.11) приведены при С7=Сб=20 мкФ (?) и
£2=05=200 мкФ (2).
Зависимость напряжения на реле от несивфаэности Ду> по-
ступления входных импульсных сигналов (рис- 8-12) приведена при
С7=С2=200 мкФ.
Обобщая анализ описанных схемных решений, можно сформулиро-
вать основные принципы построения управляющих УСО, отвечающих
требованиям безопасности и выполненных с использованием безопас-
ных реле:
1) обеевечение непрерывного контроля исправности электронных
элементов периодическим изменением их состояния (принцип контроля
динамической работы);
2) стетистическая обработка (накопление) сигналов включения ИР}
3) гальваническая развязка входных и выходных цепей;
4) частотная или амплитудная защита схемы от иеисправнойпй
источника питания;
5) отсутствие обратных евязей, приводящих к самовоэбужде*000
схем;
6) амплитудная, поляряая или частотная защита от ложного
включения ИР при изменении параметров ияодных риалов в преде-
лах, больших допустимых.
9 Зак 983 уг-
8.4. Бесконтактное УСО
Управляющие устройства бесконтактной коммутации цепей ИО
в зависимости от используемых методов обеспечения безопасности
можно разделить на три вида (см. рис. 8.2) [131] устройств*, с перио-
дическим программным тестовым контролем дублированных комму-
тирующих устройств (КУ); с аппаратным контролем исправности дуб-
лированных КУ и программным тестированием контрольных элемен-
тов (КЭ); бесконтактные ФП с несимметричным отказом.
Исправность коммутационных УСО с периодическим программным
тестовым контролем дублированных КУ проверяется параллельно или
последовательно соединенными с ними контрольными элементами.
При параллельном соединении КУ и КЭ (рис. 8.13) для предотвра-
щения последовательных во времени отказов типа "пробой” обоих
ключей КУ1 и КУ2 ЭВМ периодически '’опрашивает" входы, на ко-
торые поступают сигналы от КЭ [136]. Если КУ1 и КУ2 закрыты,
то на выходах КЭ1 и КЭ2, выполненных на оптронах VO1-VO4,
появляются импульсные последовательности (рис. 8.14, а), а в состоя-
нии пробоя КУ на вход ЭВМ поступает иостоянньй сигнал 1
(рис. 8.14,6).
При последовательном соединении КУ и КЭ (рис. 8.15) также осу-
ществляется периодическая проверка их исправности поочередным
(че^ез некоторое время) тестовым включением одного из двух КУ.
В этом случае с Помощью КЭ проверяется отсутствие тока в рабочей
цепи ИО. Считается, что вероятность пробоя обоих КУ за время ма-
ла, однако необходимо учитывать также возможность одновременного
пробоя полупроводниковых ключей,
например, при воздействии пера-
напряженнй. При этом может воз-
никнуть ложный сигнал включении
ИО в течение врамеии г < т , что
может привести к опасной ситуации
до выявления отказа. Этот вывод
подтверждается результатами экс-
плуатации полупроводниковых при-
боров в схемах напольных уст-
ройств СЦБ и тем, что внешние
(рабочие и контрольные) цепи ИО
наиболее подвержены воздействию
перенапряжений.
Таким образом, для обеспече-
ния безопасности функционирова-
ния такого рода коммутацион-
ных устройств длительность парно-
Рис.8.13.Схс*гавключдаки ИО пр«п-
ра иле льном включда ни КУ и КЭ
258
Рис. 8.14. Диаграммы работы КЗ при закрытом состоянии КУ (а)
и при периодическом переключении КУ (б)
да диагностировании (тестирования) должна быть меньше времени
включения (инерции) ИО.
Поскольку в обоих схемах (см. рис. 8.13 и 8.15) контроль исправ-
ности полупроводниковых элементов осуществляется программным
способом, то такое диагностирование снижает полезную производитель-
ность ЭВМ.
Поэтому в большинстве безопасных систем контроль исправности
УСО осуществляют с помощью аппаратных или программно-аппарат-
ных средств.
Например, в безопасной системе, выполненной на основе дублиро-
ванной микроЭВМ. специальный компаратор К сравнивает сигналы,
поступающие от основного УСО. и контрольного УСО устройств
сопряжения (рис. 8.16, я) [129, 137J.
Одноименные сигналы от УСОо и УСО поступают на входы К
в парафазном виде дня того, чтобы можно было обнаруживать такое
повреждение, как короткое замыкание его входов.
При повреждении КУ нарушается парафазность, и К блокирует
поступление тактовых сигналов Т1 и Т2 в ЭВМ. Коммутационные
устройства УСО^ и УСО* работают в разных условиях, поскольку
выходы УСО* не подключены к внешним цепям и, следовательно, зна-
чительно меньше подвержены воздействию перенапряжений и помех.
Поэтому при пробое КУ из-за воздействия перенапряжений вероят-
ность появления ложного парафазного сигнала, поступающего на вхо-
ды К от УСОо и УСС?к,мала.
Рис. 8.1$.Схемавключв1ивЯОпри
последовательном включении КУ
иКЭ
Шика иитер/реаса
259
Для исключения возможности накоияения дефектов в самом ком-
параторе К необходимо периодически его тестировать в результа-
те программного изменения состояния каждого из выходов УСО
(рис, 8.16, б) независимо от того, включена ими выключена рабочая
цепь ИО. Такой программно-аппаратный контроль позволяет при воз-
никновении неисправности обеспечить выключенное состояние системы,
поэтому тестирование компаратора можно осуществлять относительно
редко, т. е. производительность ЭВМ снижается меньше, чем в системе
(см. ркс. 8.16, а). Длительность сигналов тестовой проверен 1тп
должна оставаться меньше врамени инерции ИО.
В книге [138] предложен вариант УСО с программно-аппарат-
ным контролем для мажоритарно-разервированного УВК (рис. 8.17).
Под действием тактовых импульсов ЭВМ1 ~ ЭВМЗ по определен-
ной программе обрабатывают поступающую на их входы X — Хп
информацию, при этом на выходах -Z к и -Z^ мажоритарных
элементов Я( - Мк появляются парафазные импульсные сигналы, ко-
торые поступают к исполнительным устройствам.
При повреждении одной из ЭВМ ее выходные сигналы будут отли-
чаться от сигналов двух исправных ЭВМ. При этом на входе одной ияи
нескольких контрольных схем (КС) 2/4, входящих в состав соответ-
ствующего блока анализа, нарушается код ’’два из четырах”, так как сиг-
налы на выходе повраэдемиой ЭВМ не соответствуют выходным сигна-
лам мажоритарных элементов (не являются парафазными). В этом слу-
чае на выходе каскадно-соединенных КС появляется неварафазный код,
что фиксируется самопроверяемыми элементами памяти (они блоки-
руются).
На выходе / соответствующей схемы контроля динамики, выпол-
ненной в виде выпрямителя с преобразованием поляркости ВПП
[139], отсутствует напряжение. Если произойдет отказ еще одной ЭВМ,
го на выходах f двух ВПП также будет отсутствовать напряжение.
В этом еяучае электронные контакты размыкают цель поступления так-
товых сигналов, необходимых для работы вычислительныхканалов УВК.
Таким образом обеспечивается защитное статическое состояние вы-
ходных сигналов МЭ. При контроле их динамического характера с по-
мощью специальных схем исключается возможность ложной активиза-
ции ИО.
Рассмотренные схемы УСО являются в значительной степени уни-
версальными для коммутации контрольных и рабочих цепей различных
ИО, но применяются также узкоспециализированные УСО па основе
Ф/7, ияи самоконтролпруемые УСО.
Прам ерами таких УСО являются преобразователи постоянного то-
ка в переменный. Мостовой преобразователь управляется двумя вара-
фазными импульсными последовательностями X и Х2 (01 или 10)
(рис. 8.18, а) [140]. Под действием сигнала X = 1 открываются
ключи KI, К4 и чераз цель ИО протекает ток одного направления,
260
Рис. 8.16. Интерфейс безопасной дублированной системы:
4 _ структура интерфейса; б ~ временная диаграмма диагности-
ческого измвения состояв»» ИО
Рис. 8.17. УСО мажоритврно-резервированного УВК
261
Рис. 8.18.СхемЫ бесконтактных ФП в виде мостового преобразователя (а)
к двухтактного ускнигеля с трансформаторной гальванжескойразляэкой (б)
а под действием сигнала X? = 1 открываются ключи К2 и КЗ и через
цепь ИО протекает ток другого направлении.
Таким образом;,в рабочей цепи ЙО формируется переменный ток.
Ложное включение ИО невозможно, поскольку при пробое ключей
через рабочую цель протекает постоянный ток, который не изменяет
состояния ИО.
Если ИО работает от переменного и постоянного тока, то в состав
преобразователя должен входить элемент гальванической развязки —
трансформатор (рис. $Л8, б), защищающий цепь ИО от воздействия
постоянного тока при повреждении элементов УСО.
Если исиользуется трансформатор с прямоугольной петлей гистере-
зиса, то схема защищена от появления значительной переменной состав-
ляющей на шинах питания и самовозбуждения ключей К1 и К2.
Примером ИО, защищенного от воздействия постоянного тока (при
повреждении ключей преобразователя), может служить применяемый
на железных дорогах стрелочный электропривод переменного тока. Для
управления таким электроприводом используется три мостовых преоб-
реэователя, управляемых импульсными последовательностями, сдвину-
тыми друг относительно другана 120° [140]. Такой преобразователь
называется инвертором.
Преимуществами данной схемы является возможность тестирова-
ния обмоток злектродвигатеня и полупроводниковых ключей. Для
этого последовательно с обмотками двигателя включают контрольные
элементы (токовые трансформатор или оптроны), с помощью кото-
рых можно диагностировать исправность цепи ИО. Мостовые преобразо-
ватели тестируются по одному, что исключает возможность ложного пе-
ревода стрелочного злектропрнаодв. Одним нз недостатков данной схе-
мы является ее сложность. При использовании микропроцессорных
средств схема управления киючами преобразователя значительно упро-
щается, расширяются возможности диагностирования и резервирования,
как всего ф[Т, так и отдельных его элементов [141 ].
262
8.5. Безопасный ввод информации
и обеспечение помехозащищенности СЖАТ
Безопасный ввод информации.Для обеспечениянеобходимойдосто-
вериости контрольной информации о состоянии исполнительньа объек-
тов в безопасных системах используются различные виды избыточ-
ного кодирования последовательного или параллельного вида.
Наиболее широко применяется парафазное импульсное представле-
ние информации. В устройствах ввода информации в УВК (рис. 8.19)
значение переменной X отображается парафазными импульсными
последовательностями 27 или поступающими на входы А и В
УВК. При неисправности нарушается парафазносгь или импульсный ха-
рактер сигналов на входах А и В, что фиксируется с помощью про-
граммных или аппаратных средств контроля УВК- [50].
Аналогично выполняется контроль исправности нити лампы свето-
фора (рис. 8.20). При переключении транзистора УТ1 в цепи пампы Л
протекает переменный ток, который приводит к поочередному пере-
ключению оптронов VO1, VO2. Таким образом, при. поступлении сигна-
лов управления светофором исправность нити его лампы в горячем со-
стоянии контролируется благодаря динамическому характеру парафаз-
ных сигналов на выходах 1 и 2.
Обеспечение помехозащищенности СЖАТ. Внедрение микроэлек-
тронной аппаратуры на железнодорожном транспорте долгое время
сдерживалось тем, что не были разработаны методы ее защиты от элек-
тромагнитных помех и перенапряжений, возникающих в процессе экс-
плуатации постоммх и напольных устройств железнодорожной автома-
тики и телемеханики.
Эксплуатируемые релейные СЖАТ по сравнению с микроэлектрон-
ными обладают значительно меньшей восприимчивостью к злектромаг-
Рис. 8.19. Схема устройств ввода ияфоржии» в УВК ндаосредственно от кон-
тактов реле 0) в через оптроны (ff)
263
Рис. 8.20. Схема устройств контроля ис-
правности икгя лампы светофора
нитным помехам. У микроэлектрон-
ных элементов значительно меньше
пороговое напряжение срабатыва-
ния и выше быстродействие, опреде-
ляющее пороговое значение длитель-
ности воспринимаемых помех. В си-
лу экономических причин расшири-
лось внедрение систем ТУ-ТС, в
том числе обеспечивающих пере-
дачу ответственных приказов. По-
этому в течение длитеньного време-
ни усилия многих разреботчиков
были направлены на создание эффек-
тивных методов я средств обеспече-
ния помехозащищенности микроэлектронных СЖАТ Г8, 34, 38, 50
67-71].
На электронную аппаратуру СЖАТ оказывают электромагнитное
воздействие контактная сеть, грозовые и электростатические разряды,
ренейная аппаратура СЦБ, стрелочные электропроводы, компреосоры и
различные потребитени энергии, подключаемые к энергосети питания
аппаратуры СЦБ.
Электромагнитные помехи (ЭМП) независимо от источников воз-
никновения проникают в аппаратуру женезнодорожной автоматики и
телемеханики через входные и выходные цени, шины пнталня и через
поле, воздействующее на корпус устройства. Влияние ЭМП на аппарату-
ру СЖАТ проявляется в неправильной ее работе из-за сбоев и в значи-
тельной степени определяется емкостными паразитными связями аппа-
ратуры с источниками помех. На вероятность сбоя аппаратуры влияет
значение параметров помех (амплитуда и длительность), внутреннее
сопротивление источника помех, а также восприимчивость используемой
элементной базы.
Для обеспечения требуемой помехозащищенности СЖАТ возможно
проводить работы в трех направлениях: подавление ЭМП в источнике
возникновения; понижение восприимчивости к ЭМП аппаратуры СЖАТ;
воздействие на паразитный канал проникновения помех. В этвх трех на-
правлениях обеспечения требуемой помехозащищенности СЖАТ исполь-
зуют экранирование и заземление. Экраны делятся на электрические,
магнитные и электромагнитные. Эффективность экранирования в значи-
тельной степени зависит от выбора места его заземления, качества кон-
такта экрана с корпусом, а также от индуктивности соединительных про-
водников. Как правило», использование экранирования как средства
Обеспечения помехозащищенности имеет ограниченное применение в
СЖАТ, поскольку при заземлении необходимо соединение одного из
полюсов источников питания с землей, а это не допускается по техниче-
ским условиям эксплуатаяии СЖАТ.
264
СПИСОК ЛИТЕРАТУРЫ
1. Развитие автоматики, телемеханики и связи на железных дорогах /Б. С. Ря-
занцев, Д. А. Бунин, Н. 3. (Цацев, Н. М. Стайнов / Под ред. Б. С. Рязанцева. М.:
Транспорт, 1986. 279 с.
X Егореиков Н. Г., КарвапкийС.Б., Терпугов Г. А. Час-
тотная диспетчерская централтвации ЧДЦ-ЦНИИ. М.: Траясжелдориздат, 1963.
179 с.
3. Сапожников В. В. Схема выбора трассы маршрутов в бесконтакт-
ном маршрутном набора//Тр. ЛИИЖТа, 1967. Вып. 256. С. 15-18.
4. Сапожников В.В., Сапожников Вл.В., Борисенко Л,И.
Какими должны быть микропроцессорные системы железнодорожной автомати-
ки и телемеханики//Автоматика, телемеханика и связь. 1988. № 5. С. 32-34.
5. ГОСТ 27.002-89. Надежность в технике. Основные понятии. Термвны V
и определена. М.: Изд-во стандартов, 1989.37 с.
6. Безопасность железнодорожной автоматики я таввмеханикк. Термжы
и определена /В. В. Сапожников, Вл. В. Сапожников, В. И. Талалаев и др. //Ав-
томатика, телемеханика и связь. 1992. №4. С. 30-32.
7. ОСТ 32. 17-92. Безопасность железнодорожной автоматики и телемеха-
ники. Термжы и определена. С-Петербург: ПИИТ, 1992. 33 с.
8. Костромвнов А.М. Теория и методы электромагнитной совмести-
мости технических средств железнодорожной автоматики и телемеханики. Авто
рсф. дне. д-ра техн. наук. Л.:ЛИИЖТ, 1990. 46 с.
9. Сапожников В. В..Сапожников Вл, В. Принципы постродаия
безопасных микропроцессорных систем // Автоматика, телемеханика и связь. 1989.
№ 11. С. 22- 24.
10. М а й е р с Г. Недежность программного обеспечения. М.: Мир, 1980,
360 с.
11. Методы и средства оценки и обеспечен ал безопасности систем железно
дорожной автоматики / В. В.Сапожников,Вл. В. Савожников, Д. В. Гавзов и др.//
Автоматика, телемеханика и связь. 1992. № 1.С.4-7.
12. Д р е й м а н О. К., Гавзов Д. В,, И лк> х ин М. В. Способы обео
печвтия и методика расчета показателей надежности н безопасности микропроцес-
сорных систем железнодорожной автоматики. - Д», в ЦНИИТЭИ МПС 28.01.88,
№ 4320. 18 с.
13. Христов X. А. Электройисата в жп автсматяката -сьстоянце, тся-
дяшхн, и перспективи/ Желеэопьтда траионорт. 1981. № 1. С. 7-11.
14. Сапожников В. В., Сапожников Вл. В. О синтезе конечных
автоматов с исключением онасиых отказов //Автоматика, телемеханика н связь.
1972. №8. С. 93- 99.
15. Сапожников В. В., Сапожников Вл.В. Синтез надежных
автоматов, заданных регулярными выраженшыи //Тр. международного симпо-
зиума. ИФАК "Дискретные системы*’. Рига: Знкатне, (974. Г. 5. С. 247 - 253.
16, Сапожников В. В., Кравцов Ю. А., Сапожников Вл. В.
Дискретные устройства желонодорожной автоматики, телемеханики и связи. М.:
Транспорт, 1988- 255 с.
17. К л и и и С К. Предстааяеняе событий в нервных сетях и конечных
автоматах//В кв,: Автоматы. М.: ИЛ, 1956.С. 16-6?.
265
18. Глушков В. М. Синтез цифровых автомегов. М.: Фязматгиз, 1962.
476 с.
19. Мелихов А. Н. Ориентированные графы и конечные автоматы. М,:
Наука, 1971.416 с.
20. Сапожников В. В. Разработка методов технической диагностики
и методов синтеза контролепригодных даскретных систем железнодорожной ав-
томатики и телемеханики. Автореф. дне. д-ра техн. наук. Л.: ЛНИЖТ, 1983. С. 43.
21. 0ре0. Теорнаграфов.М.:Наука, 1968. 352с.
22. Сапожников В. В., Сапожников Вл. В. О неопасном кодиро-
вании состояний конечных автоматов //Тр. ЛИИЖТа, 1969. Вып. 303. С. 86-89.
23. Поспелов Л. А- Логические методы анализа и синтеза схем. М.:
Энергия, 1974. 368 с.
24. Сапожников В, В. О построен ап логических схем на элементах
с несимметричными отказами //Тр. ЛИИЖТа, 1976. Вып. 391. С. 52—63.
25. Яблонский С. В., Гаврилов Г. Я, Кудрявцев В. Б.
Функции алгебры погвки и клессы Поста. М.: Наука, 1966. 120 с.
26. Сапожников В. В.. С а п о ж и и к о в Вл. В. О синтезе много-
тактных рапейных устройств с исключением олесных отказов //Тр. ЛИИЖТа,
1973. Вып. 353. С. 51-55.
27. Сапожников В. В., Сапожников Вл. В. Метод синтеза релей-
ных устройств с исключением опасных отказов и критических состязаний // Тр.
ЛИИЖТа, 1973. Вып. 367. С. 55-62.
28. Лисенков В. М. Безопасность технических средств в системах
управлении движением поездов. М.: Трапснорт, 1992. 192 с.
29, ORE, Bericht А 118 Katalog der Fehler von elektronischen Elementen
fan Signaltechnick. Utrecht, 1972. № 10.
30. MU-4004 Ausfall-Liste zum Naihweis der Ungetahrlichkeit von Einze-
lausfaDen. - Dentsche Bundesbahn. Richttnien43120. 1988.
31. Материалы Совещания Экспертов СЭВа. Праменснне бесконтактных
апементов в устройствах автоматики и телемехкиики. Кутнагора, ЧССР, 1977. 38 с.
32. Моньяков И. В. Об оценке надежности устройств железнодорожной
автоматики и телемехапики//Тр. ЛИИЖТа, 1971. Вып. 314, С. 13-19,
33, Linde Я, L. W. Sdiiweck. Der Sichrheitsnachweis auf Banelementenebene
//Signal und Draht, 1981, N* 9. C. 17-21,
34. Лисенков В. M, Теорна автоматических систем интервального ре-
гулировнана. М.; Транспорт, 1987. 150 с.
35. А. с. N* 25631 (НРБ).МКИ Н01К. Логическое устройство/ Христов Хр.,
Санерев С.
36. Jentsch W. A., A. Lotz., L. W. Schiweck. Dae Sicherheitbansystem *'Lo-
gisafe"//Signal und Draht. 1978. № 12. C. 82-86.
37. Ходырев АД. Параметрическое бесконтактное реле //Тр. МИИТа,
1966. Вып. 233. С. 33-37.
38, Телеупрэвлапце стрелками и сигналами / А, С. Переборов, А М. Бры-
леев, В. Ю. Ефимов и др, М.: Транспорт, 1981. 390 с.
39. О к о m u г a J. Eltctronic faterlocing to be Tried in Japan. // Railway
Gazette International 1980. N* 12. C, 77-81.
40. Y a g i M. A. Fail- safe digital Data Trasmission System // Japanese Rail-
way Signalling Engendering 1981, № 2. P. 12-16.
41. Yochlnao Y., Ochfaio Я Fail-‘safe digital Data Trasmisrion of the
Signalling Information. Qertery Reports. V20. 1979, № 2. P. 83-88.
42. C h r 111 о w Ch. Sichere Elektronische Schaltungen von Typ ELES. -
Wissentachaftliche Zeitachrift d. HWV Dresden. 1977. P. 53-61.
43. C h r i it о w Ch. Zu Problemen der Elektronischen Verarbeitung und
Uebertragung von Information mit Sicherhetsveraetwortung. — Ausgewaehlte Vor-
raegeHWV Dresden. 1977. P. 34-39.
266
44, Lohman H. 1. Sicherhet von Mikrocomputem filer die Eisenbahnsig-
naltechruk. - Elektronische Rechenanlagen. 1980. № 2. P. 58-63,
45, A. c. 25966 (НРБ), МКИ НОЗ К. Метод и устройство за реалюцзане на
логически операции с осигурнтелна отговори ост/Христов Хр„ Пятов С.
46. А. с, 26794 (НРБ). МКИ G06F. Телемеханично устройство за обработ-
ниче и пренасяне на информация с осигурнтелна отговорност / Христов Хръ Ля-
тов С., Ковалев И.
47, А. с, 32835 (НРБ). МКИ НОЗ К, Кодов преобразувател /Христов Хр„
Пятов С.
48. А. с. 32836 (НРБ). МКИ НОЗ К. Схема за логичеса инверсии /Хрис-
тов Хр„ Пэтов С., Димова Ю.
49. А. с, 31631 (НРБ), МКИ НОЗ К, Схема эк реализцзане на логяческа
функция ’’конъюнкция”/Христов Хр„ ЛятовС,, ДимоваЮ„ Начев Б,
50. Христов Хр, Элекгропюация на осигурнтелната техника, Софап:
Техника, 1984.355 С,
51. Пупырев Е. И. Перестраиваемые автоматы и микропроцессор-
ные системы. М.: Наука, 1984, 192 с,
52. Лазарев В. Г., П я и л ь Е. И., Т у р у т а Е. Н. Построение про-
граммируемых управнающих устройств, М.:Энергоатомиздат, 1984, 192 с,
53, Головкин Б. А. Надежное программное обеспяенле // Зарубежная
радиоэлектроника. 1978. № 12. С. 3-61.
54, Л и п а е в В, В, Надежность программного обеспеченна АСУ. М..- Энер-
гокздат, 1981, 240 с.
55. Сапожников В. В., Сапожников Вл. В, О попятим поясного
отказа в микропроцессорных системах //Автоматика, телемеханика н связь. 1989.
N»7.C. 22-25.
56. Лонгботомм Р. Надежность вычислительных систем. М.: Энерго-
ятомиздат, 1985. 288 с.
57. 3 е л к о в в ц М„ Шоу А., Г э н н он Дж. Принципы разработки
программного обеспечении. М.: Мпр, 1982. 368 с.
58, Дал У,, Д е й к с т р а Э,, X о о р К. Структурное программирова-
ние. М.: Мир, 1975, 274 с.
59. Бичевский Я. Я„ Борзов Ю.В. Тестирование программ ЭВМ,
Рига: Латвийский государственный университет, 1985, 101 с,
60, Mill A. Self-stabilizing programs: the fault-tolerant Capability of Self-
Checking programs. - IEEE Trans. Сотриt. 1982, V. 31, №7. P. 685-689,
61. Сапожников В. В., Сапожников Вл, В, Самонровернемые
дискретные устройства. Л.: Эвергоатомкэдат, 1992. 224 с,
62. Согомонян Е, С,, Слабаков Е. В, Семоироверяемые устрой-
ства и отказоустойчивые системы. М.: Радио и связь, 1989. 208 с,
63, Иослотованле свойств программных реализаций оемопроверяемых
устройств в микропроцессорных системах /В, В, Синожников, Вл. В. Саяожнциов,
А. В. Харитонов, В, М. Чухании // Электронная техника. Серна 8. Управляли®
качеством, стандартизация, метроногия, испытании. 1986, Вып. 6. С. 15-19.
64. Обнаружение ошибок в программных реализациях оемопронеряемых
тестер он в микропроцессорных системах / В, В. Саяожников, Вл. В. Синожников,
А. В. Харитонов, В. М. Чухании // Автоматика, телемеханика и связь. 1989.
№ 12. С. 129-140,
65, Исследование интерпретирующей программной реализация самопрове-
рнемых тестеров /В, В. Саяожников, Вл. В. Сапожников, И. Г, Тильк, А. В. Херн-
тонов//Аитоматика и телемеханика, 1989. № 12, С, 141-150.
66, Сапожников В, В„ Сапожников Вл. В. Дискретные устрой-
ства с обнаружением отказов, Л.: Эвергоатомиздат, 1984. 112 с.
67, Переборов А, С„ Дрейман О. К. К вопросу создан ал теле-
механической системы с достоверной передачей жформация // Тр. ЛИИЖТа, 1965.
Вып. 242.С. 3-22,
267
68. Гаазов Д.ВнНикитин А. Б. Диспетчерские центры управляют //
Транспорт: наука, техника, управлдаце. 1993.№ 2. С. 2-12.
69. А. с. 1345362 (СССР).МКИ B61L 19/14. Система телемеханики с вре-
менным раздело! лем каналов для электрической централизации стрелок и сигна-
лов /Дреймап О. К., Гавзов Д. В., Коробов В. В.
70. Гью Б. Система передачи данных с зашитой от опасных отказов //Же-
лезные Дороги мпра. 1988, № 3. С. 43-48,
71. Микропроцессорная система телеуправпелия и телесигнализации. Про-
спект фирмы Siemnas //Железные дороги мира. 1988. № 9. С. 17.
72. Проблемы создания телемехлнической сети для АДЦУ /Д. В. Галзов,
М. В. Илюхин, А. П. Кошелев, О. Е. Петровская //Автоматика, телемеханика и
связь. 1991. № 12. С. 10-12.
73. ГОСТ 26.205- 88. Комплексы и устройств! телемеханики. Общие техни-
ческие условия. М.: Изд-во стандартов, 1989. 28 с.
74. Дрейман О. К., Гавзов Д.В. Разработкафункшкяальиыхузлов
по заданным характернстикем системы Телемеханики. Л.: ЛИИЖТ, 1989. 83 с.
75. Тутевич В.Н. Телемеханика. М.: Высшая школа. 1985.423 с.
76. Кудряшов В. А., СеменютаН. ф. Передача дискретной инфор-
мация из железнодорожном транспорте. М.: Транспорт, 1986. 295с.
77. Anderson D. А., М е t г е G. Design of Totally Self-Checking Chek
Circuits for M - out - of - N Codes // IEEE Тгаяа. Computer. 1973. V22. № 3.
P. 263-269.
78. В и э и p e в И. С. Полностью самопровернемые контрольные схемы
с мшимальным множеством тестов // Автоматика и вычислительная техника.
1982. N* 1. С. 43-49.
79. М а г о u f М. A., Friedman A. D. Efficient desing Self-checking
checkers for any m-out-of-n Code//IEEE Trans. Computer. 1978. V27. №6.
P. 482-490.
80. Сапожников В. В., Сапожников Вл. В. Универсальный
алгоритм синтеза самоироверяющихсн тестеров для кодов с постоянным весом //
Проблемы передачи информации. 1984. Т. 20. № 2.С. 65-76.
81. Сапожников В. Вп Сапожников Вл. В. СамонроверяемЫе
тестеры дал раапоцесных кодов // Автометика, телемеханика и связь. 1992.
№З.С. 3-35.
82. М а з и е в В. Н. О синтезе самотестируемых lfr-тестеров //Автомати-
ка, телемеханика и связь. 1978. №9. С. 142-145.
83. Сапожников В. В., Раба ра В. Универсальный алгоритм синтеза
1/»тестеров//Проблемы передачи информация. 1982. Т. 18. № 3.С.64-73.
84. Сапожников В. В„ Сапожников Вл. В. О синтезе самоирове-
ряемых тестеров для кода ”1 из 3” //Автоматика, телемеханика и связь. 1992.
№2. С. 178-188.
85. Сапожников В.В., Сапожников Вл.В., Шпак А.Ф. Блоч-
ная реализация самоироверяюшихся тестеров для раияовеошх кодов // Элек-
тронное моделирование. 1990.» 2.С.66-71.
86. М а г о u f М. A., Friedman A.D. Deang of Self-checking checkers
for Berger code //Proc 8th Annual, intern. Conf, on Fault-Tolerant Computing.
Toulouse. 1978.P. 179-183.
87. Мельников А. Г., Сапожников В. В., Сапожников Вл. В.
Саптеэ самоироверяюшихся тестеров дни кодов с суммированлем // Пробпамы
передачи апформацин. 1986. Т. 22.№ 2. С. 85-97.
88. ГорожинА. Д., Крайнов К.М. Построен па полностью самооро-
веряемых комбияаппснных устройстве использован пам полиноминальных форм //
Аптомэтика, Телемеханика и связь. 1979. № 12. С. 159-166.
89. Сапожников В. В., Сапожников Вл. В., Харитонов А. В.
Синтез дешафраторов с обнаружаплем отказов // Известап вузов. Приборострое-
ние. 1989. №5. С. 30-34.
268
90. Железнодорожный трамонорт за рубежом // ЦНИИТЭИ МПС. Обзорная
информации. 1990. Вьга.4. 124 с.
91. Айэиибуд С. Я., Козубенко В. Г„ Курков В. Н. Машинист
и безопасность. М.: Транспорт, 1992. 48 с.
92. Прокудин Н. В. Железнодорожный путь и безопасность движонш
поездов // Безопасность па транспорте. Метериалы научно-технической конферен-
ции 1992 г. С.-Петербург, 1993.С. 7-8.
93. Гавзов Д.В., Самонина Е. В. Методика расчета количественных
показателей безопасности микропроцессорных систем железнодорожной автомати-
ки и телемеханики //Вестник ВННИЖТа. 1992. № 5. С. 21-25.
94. Общие правила выбора показателей безопасности н методы расчета норм
безооааюстн / В. В. Сапожников, Вл.В. Сапожников, В. Н. Талалаев и др.//Авто-
матика, телемеханика и связь. 1992. № 10. С. 15-17.
95. Гавзов Д.В. Методы определении норм надежности микропроцессор-
ных систем автоматики и телемеханики // Микропроцессорные системы на желез-
нодорожном транспорте. Л.; ЛИИЖТ, 1991. С. 15-19.
96. Ясухара X. Разработка системы централизации на безе ЭВМ // Желез-
ные дороги мира. 1985. №5. С. 28-32.
97. Акита К., Накамура X. Безопасность и отказоустойчивость мик-
рслроцессоряых систем сигнализация //Железные дороги мира. 1991. С. 29-34.
98. Венер Л. Современные средств! ynpasnwan движдаием постдов
па DB // Железные дороги мц>а. 1987. N*5. С. 46-49.
99. Фенн ер В.. Христов X. А. Требовании к надежности микроэлек-
тронных устройствСЦБ //Железные дороги мира. 1986.№ 10.С. 14-18.
100. Зекцер Д. М. Некоторыет«ддекиивразвитиярелестроенки //Ав’-
матйка, телемеханика и связь. 1992. № 9. С, 38-39.
101. Ягудин Р. Ш. "Надежность устройств железнодорожной аптомитики
ятелемеханики. М.г Транспорт, 1989, 159 с.
102. Ефимов В. Ю. Об оавтхебезопасностидействииустройств железно-
дорожной автоматики и телемеханики и способов достижении заданной величины
безопасности. Л.: ЛИИЖТ, 1973. Выл. 367. С. 118-125.
103. Эйлер А.А., ЗапгаллерС. Н. Анавиз способов зашиты от лож-
ных срабатываний стрелочных эиектротфнводов я контрольных реле//Тр.ЛИИЖТа,
1953. Выл. 5. С. 81-107.
104 .-Безопасность железнодорожной автоматики и телемеханики. Статистиче-
ские данные, экспертные оценки н нормы безооааюстн /В. В. Сапожников,
Вл. В. Сапожнике», Д, в. Гепзов и др. // Автоматика, телемеханика и связь. 1993.
№10. С. 17-19.
105. Avizienis А., И. Kopetz, J. С. L а р г 1. Dependability Baric
Concept end Terminology. Springer Verlag, 1991. Wien, New York. P. 17-25.
106. Иыуду К. A., Kp ивошек о в С. А.. Математическое модели от-
казоустойчивых вычислительных систем.М.: Мир, 1989. 102 с.
107. Лисенков В. М. Показатели и методы обеспечения безопасности
ответственных технологических процессов и технических средств ив транспорте.
Вторая научно-техническая сессия ВВТУ.Софап. 1991. С. 75-76.
108. Руденко Ю. Н., Ушаков И. А. О безопаоюстикак одном из
свойств надежности систем анергегикн // Известки АН СССР. Серин Энергетика и
транспорт. 1985. № 2. С. 5-11.
109. Христов X. А. Основи па осигурвтелната техника. Ссфап: Техни-
ка, 1991.411с.
ПО. Fischer К., Zuverlaarigkelt - und Instandhaltugstheorie. Trenspress.
Berlin. 1981.327 р.
111. Христов X. А., Г. H. Александров. Реляции ’'надежность -
безопасность - экономичность" в СЖАТ. Втора научно-техническа сесап на ВВТУ.
Ссфап. 1091. С. 81—82.
269
112. P i t у к К. ABgemeinen enerkenten Regein der Ttchnik beim Einsatz
von Datenvereibeitungsistemen mit Sicherheisverantwortung. -Dis Bundesbahn, 1980.
№ 10. P. 13-19.
113. W о b i g К. H. Fail-safe Microcomputer Systems for Railway Signa-
ling Problem. // IEEE Conference "Railway In the electronic AGE”, London, 1981.
N* 11. P. 17-20.
114. V о g e s U. Software-Diversiteat und tore Modellierung-Springer Ver-
lag. 1989. 315p.
115. Kochs H. D. Zuverlassigkeit elektronischer Anlagen Springer Verlag,
Berlin, 1984.377 р.
116. Переборов AC., Дрейман О. K„ Кондратенко Л. ф.
диспетчерская централюация. М.: Транспорт, 1989. 303 с.
117. Okomura J. Electronische Versluseinrichtung unter Steurung dutch
einen Digitalrechnet. Moestschrift der Intemationaien Eisenbahnen. Kongresferemln-
gung. 1969. №6. 283 p.
118. Lohman H. L URTL - Ein Saltkreissystem mit Salbstaetider Faeler-
meldung. Signal nd Draht. 1972. № 1. P. 15-20.
119. Переборов AC., СапожннковВ. В., Сапожников Bn.B.
Прямейшие феррнт^транэисторных алементов для постро® ни схем электронной
централизация//Тр. ЛИИЖТа, 1970. Вып. 312. С. 76-91.
120. Drucker Н. Verwendung diversitaerer Software zur Hardwere-Fehle-
rerennung. Institut fuer Rechnerentwurf und Fehler—toleranz/ Karisrue 1992.
P. 135-138.
121. Sterner В. I. Hammingkoden (8/4) en Gudagava at den moderua
Syguaisakerhetstekniken - Jamvegsteknik. 1974.
122. Jieyu She, Michael G. Pecht. Reliability of a k—out-of-n Wfrm-
Standby System. - IEEE Transactions on Reliability. V42. № 1. 1992. P. 19-26.
123. Неделчев H. Настопше и бъдеще на гаровиге централюация // Же-
лезопътен транспорт. 1993. N* 4. С. 1Q-17.
124. Gaitanis N., Н а 1 a t s i s C. A new desingmethod for m-out-of-n
TSC checkers //IEEE Trans. Computer. 1983. V32. N« 3. P. 273-283.
125. Христов X. А., Иванов Э. Б. Специфичен интерфейс на микро-
комтотьрни гарови пегтралюации // Железопьтен тралонорт. 1985. № 6. Р, 18-22.
126. Переборов А. С., Лисовский М.П., Прокофьев АА
Построение устройств согласовании электронных схем управлении с исполнитель-
ными реле// Аптоматика, телемеханика и снизь. 1982. № 5. С. 7-11.
127. Кошевой С. В. Устройство сопряжении микропроцессорной тех-
ники с испоинительными реле женезнодорожной автоматики и телемеханики //
Тр. ХИИТа, 1986. С. 42-45.
128. Цымбап АЛ. Структуре выходного элемента устройств скизи
микроЭВМ с объектами управл® им и контроля //Тр. ОМИТа, 1987. С. 64-67.
129. Brauer Н. Das elektronische Steliwerk EIA/Signaiund Draht. 1989.
N»5.C. 87-102.
130. Дрейман О. К., T а в з о в Д.В., И лю х и и М. В. Сопряжены
микропроцессорных систем женезнодпрожной автоматики с напольными объекта-
ми// Автоматика, телемеханика и связь. 1990. № 12. С. 10-17.
131. Дрейман О. К., Гавзов Д.В., Илюхин М.В. Бесконтактные
устройства сопряжении микропроцессорных систем железнодорожной автоматики
с напольными объектами// Автоматика, телемеханика и сапзь, 1991. № i - С. 12-14.
131 А, с. 1393698 (СССР). МКИ B61L 23/16. Устройство для декодирова-
нля ампульсных си-напов электрической снгналнзации/Гавэов Д. В., Илюхин М. В.
133, А с. 1017570 (СССР). МКИ B61L 23/16. Устройство для включении
исполнительного реле женезнодорожной ептоматики /Дреймеп О. К., Гаазов П. В.,
Бодров А. А
134. А с. 1017571 (СССР). МКИ B61L 23/16. Устройство для включения
исполнительного реле / Гавзов Д. В., Дреймеп О. К.. Молодцов В. П., Песков И. А.
270
135. А. с. 1588615 (СССР). МКИ B61L 19/14. Межоритарное устройство
уяравлдаки включением исполнительного рале железнодорожной автоматики и
телемеханики / Гизов Д. В„ Илюхин М. В., Сосяовская Е. Г.
136. Заявка 2110389 (Эелюсобрипяин). МКИ GO] R 31/26. Testing opera-
bility of a semiconductor divice. Brovn Christopher Robert; Westinghous Brake and
Signal Co Ltd.
137. Eue W., Gronemeyer M. SIMIS-C-Die Kompaktversion des Siche-
ren Microcomputer-dstems SlMIS/Signal und Draht. 1987.V79. N*4. P. 81-85.
138. A. c. 1410705 (СССР). МКИ G06F 11/18. Резервированное устрой-
ство / Сапожников В. В., Гавзов Д. В..
139. Заявка 2092848 (Великобритании). МКИ НОЗ К 3/295. Voltage level
detector circuit. Сгои Peter iohn; ML Engineeeritig (Plimouth) Ltd.
140. A. c. 1439008 (СССР). МКИ B61L 19/14. Устройство для управлении
стрелкой / Дрейман О. К, Гизов Д. В.. Илюхин М. В.
141. Запв» 3219366 (ФРГ). МКИ B61/L 27/00. Electroniche Weichenstase-
rung. Lotz Alfred. Ucentia Patent - Verwaltungs Gmb И.
142. Колесников В. П. Огттамальный епбытояный синтез многока-
нальных структур ЦВМ. М.-. Советское радио, 1976.131с.
143. Актуальные проблемы развитии железнодорожной аитоматики, теле-
мехелюси и связи//Сб. докладов науч.-тех. конференции. Бухарест, 1985. М.: Транс-
порт, 1987.231с.
144. Системе микропроцессорной центрам юа дин Британских жецеэных до-
рог // Железные дороги мпра. 1986. № 2. С. 76Г 77.
145. Sjoberg A., Wordenfot) D. Computer - based Signalling at
Hallsberg. Brings Major Sivtags/Railway Gazette International. 1986. № 1. P. 1—3.
146. Вентцела E. С. Теории вероятностей. M.: Наука, 1969. 576 с.
ОГЛАВЛЕНИЕ
Глава 1- Особенности систем железнодорожной автоматики и телемеха-
ники и зелачи т построения....................................... 5
1.1. Эппы и тендотия развития СЖАТ..........................
1.2. Требования к СЖАТ...................................... ™
1.3. Качественные и количественные показатели работы СЖАТ ....
1.4. Показатели безопасности СЖАТ ..........................
j.5. Концепции и стратегии обеспеченна безопасности ........
1.6. Зелачи построения СЖАТ................................. i
Глава 2. Теории синтеза безопасных систем......................... 24
2.1. Постеювка задачи синтеза безопасных натоматов.........24
2.2. Анализ безопасности конечного автомега................29
2-3. Моделирование отказов в безопасных автоматах...........32
1А. Необходимое н востаточное условие отсутствия опасных от-
казов..................................................36
23. Методы абстрактного синтеза безопасных автоматов.......45
2.6. Синтез безопасных комбинационных схем..................52
2.7. Структурный синтез безопасных ентоматов................59
Глава 3. Безопасные логические элементы............................73
3-1. Концепция безопасности.................................73
3.2. Классификация схем безопасных логических элементов.....82
3.3. Декодеры сигналов логических переменных............... 85
3.4. Автогенераторкые логические элементы.................. 90
3-5. Импульсные схемы безопасных ЛЭ с внешним тактировнаием . . 95
3.6. Квазибезопасные логячесхне элементы...................100
3.7. Самощюверяемые элементы............................. 102
Глава 4. Надежные программныереялизацннуиравниющих авгортмов. ,110
печения.....................................................
110
112
125
4.4. Методы повышения надежвмта прогреми................131
4.5. Ьемопроверяемые программы...................... 137
Глава 5. Передача ответственной информации в мхкроалектронньп
системах-...................................................... 143
5.1. Способы передачи ответственной информации............143
5.2. Методы обеспеченна достоверности передачи ответственных
телемеханических команд...................................150
5.3. СамопроверяемЫй контроль кодов . ....................155
5.4. Надежна) дешифрация кодов............................168
272
г леве 6. Методы вормиролевже в оцевка беэопасиости СЖАТ .........177
6.3. Нормирование покамтеней безотказности и безопасности мик-
роэлектронных систем...................................177
6.2. Методы нормирования количественных показатеней безонас-
носги................................................ 18$
6.3. Магматические модели надежи ости и безопасности микроэнак-
тронных систем....................................... 19$
Глав» 7. Структуры безопспа микроэджтрснимх снстемвшмэводо-
рожяой автоматам и теяшехеники..................................209
7.1. Одноканальяая структура........................... 209
7.2. Многоканальные структуры с нагружекиым резервом.....213
7.3. Диверситепше структуры............................. 223
74. Структуры с нетагружатым резервом...................227
7.5. Самопроверяемые структуры...........................230
7.6. Расчет показателей безотказности к безопасности смежных
структур микропроцессорных СЖАТ...........................236
7.7. Прнмететие безопасных структур в системах железнодорожной
автоматики и телемеханики............................... 247
Г лава 8. Безопасный интерфейс с обмиимя.........................250
8.1. Требовании к снециалюироваиным УСО..................250
8.2. Классификация элементов сопряжении..................251
8.3. Устройства включения исполнительных рале............252
84. Бесконтактное УСО...................................258
8.5. Безопасный ввод информации и обеспечение лаиехозашишда-
ностнСЖАТ.................................................263
Список литературы................................................265
Производственно-практическое издание
Сапожников Валерий Владвчирович,
Сапожников Вяадииир ВладтмИрович,
Христов Христо Ангелов,
Гавзов Дмитрий Вдвдяммроввч
МЕТОДЫ ПОСТРОЕНИЯ БЕЗОПАСНЫХ МИКРОЭЛЕКТРОННЫХ
СИСТЕМ ЖЕЛЕЗНОДОРОЖНОЙ АВТОМАТИКИ
Технический редактор Л. А. Усенко
Корректор-вычкгчик С.М. Лобова
Корректор В. Т. Агеева
ИБИ* 4912
Лицензии N» 010163 от 04.0i.92 г.
Подсжсето в печет» 20.11.95. Формат 60x88 1/16 Бумага офеетнее N* 2.
ГервитураПресС'Ромет Печать офсетиав. Усп. п«.л. 16,66.
Уел. кр^отт. 17,03. Учгиэд. л. 17,76. Тираж 15OO »».
Заказ 983 С 107. Им. № 1-3.J/5 Ж 6339,
Текст вабрет в издатюствеиа ПЭВМ
Ордена "Эмк Почета” изиитвлство ’ТРАНСПОРТ”,
103064, Моекве, Басманный туп... 6а
Отпечатало в АООТ "Политех-4”
129110, Моекве, ул. Б. Перевспавекав, 46