Методы и средства обеспечения безопасности СЖАТ

Методы и средства обеспечения безопасности СЖАТ Построение безопасной системы СЖАТ должно осуществляться в соответствии с концепцией безопасности ЖАТ. Для реализации концепции безопасности используются три стратегии: безотказность , отказоустойчивость и безопасное поведение при отказах (см. предыдущую лекцию). Исходя из концепции безопасности, повысить безопасность СЖАТ можно следующими средствами: безотказность – применением минимизации логических схем и снижением интенсивности потока отказов элементов; отказоустойчивость – резервированием, диагностированием, реконфигурацией, восстановлением; безопасное поведение при отказах – самопроверяемыми схемами и элементной базой с несимметричными отказами. При построении безопасных микроэлектронных СЖАТ в настоящее время наибольшее применение имеют различные варианты двухканальных и трехканальных (мажоритарных) структур Примеры двухканальных и трехканальных (мажоритарных) структур рассмотрены в предыдущих лекциях. Рассмотрим пример построения двухканальных систем с точки зрения повышения безопасности. На рис.1 показана двухканальная (дублированная) система с безопасным сравнением. В ней две одинаковые микроЭВМ работают параллельно во времени. Их аналогичные выходные сигналы сравниваются безопасной схемой сравнения (БСС). Сигнал на управление формируется только при совпадении соответствующих сигналов обоих микроЭВМ. Такую систему называют также системой "два из двух" (сокращенно системой "2  2"). МикроЭВМ1 БСС Входы Выходы к управляемым объектам МикроЭВМ2 Рис.1 В табл. 1 приведены состояния системы в зависимости от состояний каналов. Один канал будем называть системой "один из одного" или системой 1  1. Схема БСС считается абсолютно надежной. Система работоспособна только в том случае, если работоспособны обе микроЭВМ. Это означает, что с точки зрения безотказности мы имеем логически последовательное соединение каналов (см. предыдущие лекции). Система переходит в опасное состояние, если неработоспособны обе микроЭВМ. В этом случае может оказаться, что неправильные значения одноименных выходных сигналов обоих каналов совпадают, и система выдает неправильное воздействие на управляемые объекты. Следовательно, с точки зрения безопасности имеем логически параллельное соединение каналов (см. предыдущие лекции). Заметим, что к самим микроЭВМ не предъявляются требования безопасности, то есть их отказы не делятся на защитные и опасные. Кроме того, поскольку при одновременном отказе обоих каналов может и не происходить искажение сигналов на одноименных выходах, оценка безопасности в 1 соответствии с табл. безопасности. 1 является несколько заниженной, что допустимо с точки зрения Таблица № п/п 1 2 3 4 Состояние МикроЭВМ 1 МикроЭВМ 2 Работоспособное Работоспособное Работоспособное Неработоспособное Неработоспособное Работоспособное Неработоспособное Неработоспособное 1 Состояние системы 2  2 Работоспособное Защитное Защитное Опасное Если известна интенсивность отказов  одной микроЭВМ, то, показатели безотказности одного канала рассчитываются по формулам: P1 1 (t )  e  t ; Q1 1 (t )  1  e  t ; T1 1  Пример 1. Пусть  предыдущей лекции) Для t = 1 год = 8760 ч = 10–4 1 час 1  . ( 1) ( 2) ( 3) и t = 1 год =8760 час. (Пример рассмотрен на P1v1 (t )  0,416 Q1v1 (t )  0,584 T = 104 час = 1,14 года. Для повышения надежности и безопасности применяется дублирование двухканальных систем с межпроцессорным контролем: система "два из четырех , или система "2  4 " , или система "2  2 ˄ 2  2 " . Пример построения такой системы приведен на Рис. 2. 2 Рис.2 Если в двухканальной системе "два из двух" оба канала идентичны ( 1   2   ), то ее показатели безотказности, согласно аналогу последовательного соединения, определяются по формулам: ( 4) P2 2 (t )  P1 (t ) P2 (t )  e 2 t ; Q2 2 (t )  1  e 2 t ;  2  2 ( t )  2 ; T2 2  1 2 . ( 5) ( 6) ( 7) Пример 2. Для данных из примера 1 имеем: Пусть  = 10–4 1 час и t = 1 год =8760 час P2v 2 (t )  P1 (t ) 2  e 2t =0,173 Q2v 2 (t )  1  e 2 t = 0,827  2 2 (t )  2 = 2  10–4 T2 2  1 = 5000 час = 0,57 лет 2 Таким образом, для t = 1 год вероятность отказа двухканальной системы увеличилась в 1,4 раза, а средняя наработка до отказа уменьшилась в два раза. 3 Показатели безопасности системы "два из двух", согласно формулам для параллельного резервирования вычисляются по формулам: ( 8) Qîï 2 2 (t )  Q1 (t )Q2 (t )  (1  e  t ) 2 ; PÁ2 2 (t )  1  (1  e  t ) 2  2e  t  e 2 t ; PÁ2 2 (t ) 2 (1  e  t ) îï 2 2 (t )     22t ;  t PÁ2 2 (t ) 2e   Tоп 22   PБ 22 (t )dt   ( 2e t  e 2 t )dt  (9) ( 10) 2 1 3   .  2 2 ( 11) Пример 3. Для данных из примеров 1 и 2  = 10–4 1 час и t = 1 год =8760 час имеем: Qîï 22 (t )  = 0,340; PБ 22 (t ) = 0,660;  оп 22 (t ) = 1,75  10–4 1/час; = 1,5  104 час = 1,7 год. Таким образом, по сравнению с одноканальной системой для t = 1 год вероятность опасного отказа двухканальной системы уменьшилась в 100 раз, интенсивность опасных отказов уменьшилась в 50 раз, а средняя наработка до опасного отказа увеличилась в полтора раза. Tоп22 Рассмотрим соотношение между безопасностью и безотказностью двухканальной системы. В момент времени t вероятность безопасной работы системы 2  2 больше 2e t   1 раз, так как PБ2 2 (t ) 2e  t  e 2t   2 e t  1 .  2 t P2 2 (t ) e вероятности безотказной работы в ( 12) Для системы 2  2 имеет место равенство: PБ22 (t )  P11 (t )  P11 (t )  P22 (t )  e t  e 2t  P . Поэтому по отношению к одному каналу в двухканальной системе "2 из 2" для произвольного момента времени t i приращение вероятности безопасной работы равно убыванию вероятности безотказной работы. Это положение является существенным недостатком системы "2 из 2": безопасность обеспечивается за счет уменьшения безотказности. Широкое применение при построении безопасных управляющих систем имеют трехканальные мажоритарные структуры (системы "два из трех" или системы 2  3). Такая структура показана на рис. 3. 4 Рис.3 В ней три одинаковые микроЭВМ С1, С2 и С3 работают параллельно во времени. Их аналогичные выходные сигналы сравниваются безопасными мажоритарными элементами (БМЭ). Значение сигнала на выходе БМЭ совпадает со значением сигналов на большинстве входов. В табл. 2 приведена таблица состояний системы 2  3 в зависимости от состояний каналов. Схема БМЭ считается абсолютно надежной. Таблица 2 № С С С 23 Вероятность i -го события Pi (t ) 1 2 3 3t Р Р Р Р 1 Р Р Н Р 2 Р Н Р Р 3 Р Н Н О 4 Н Р Р Р 5 Н Р Н О 6 Н Н Р О 7 Н Н Н О e e 2 t  e 3t e 2 t  e 3t e  t  2 e 2 t  e 3t e 2 t  e 3t e  t  2 e 2 t  e 3t e  t  2 e 2 t  e 3t 1  3e  t  3 e 2 t  e 3t Из табл. 2 следуют принципы работы мажоритарной системы 2  3: 1) система работоспособна, если работоспособны хотя бы два блока из трех; 2) при отказе двух блоков система переходит в опасное состояние; 3) защитных состояний не существует. Показатели безотказности системы "два из трех", согласно табл. 10, вычисляются по формулам: P23 (t )  P0 (t )  P1 (t )  P2 (t )  P4 (t )   3e 2 t  2e 3t ; P23 (t ) 6 (1  e  t )  2 3 ( t )    ; P23 (t ) 3  2 e  t ( 13) ( 14) 5   T23   P23 (t )dt   (3e 2 t  2e 3t )dt  = 3 2 5 1    0,83 2 3 6  . ( 15) Поскольку все отказы системы 2  3 являются опасными, то имеют место равенства P23 (t )  PБ23 (t ) ;  23 (t )   оп23 (t ) ; Т 23  Т оп23 . Пример 4. Для данных из примеров 2 и 3 0, 02 0, 03 P23 (t )  3e  2e ; T23 = 0,83  105 час = 9,47 года. имеем: Q23 (t )  0,0002;  23 (t ) = 5,85  10–7 образом, для t = 1000 час по сравнению с системой = 0,9998; Таким 2  2 вероятность отказа системы 2  3 уменьшилась в 100 раз, интенсивность отказа – в 34 раза, а средняя наработка до отказа увеличилась в 1,66 раза. Однако, вероятность опасного отказа увеличилась в 2 раза, интенсивность опасного отказа – в 2,97 раза, а средняя наработка до опасного отказа уменьшилась в 1,8 раза. По сравнению с одноканальной системой 1  1 вероятность отказа и интенсивность отказа уменьшились соответственно в 50 и 17 раз. Однако средняя наработка до отказа уменьшилась в 1,2 раза. Контроль исправности элементов резервированной системы позволяет повысить вероятность безотказной работы за счет оперативного выявления и восстановления вышедших из строя элементов. Контроль исправности элементов управляющего вычислительного комплекса (УВК) может осуществляться непрерывно в процессе выполнения рабочих алгоритмов или дискретно, в специально отведенное для этой цели время части цикла работы. В обоих случаях все элементы УВК последовательно во времени проверяются с периодичностью g. Если диагностика УВК осуществляется дискретно и практически все элементы УВК проверяются за малый промежуток времени g, то зависимость интенсивности потока отказов c(t) отображается кривой 1 на рисунке 4. В этом случае с(0)0. т.к. в микроэлектронной системе существует некоторая часть элементов без резервирования, т.к. практически трудно обеспечить полностью независимые вычислительные каналы УВК. Если диагностирование элементов вычислительных каналов УВК выполняется последовательно и распределено равномерно в течение всего времени g, то c(t) будет практически неизменна в течение всего срока эксплуатации СЖАТ (зависимость 2 на рисунке 4). 6 Рис.4 Наиболее простыми являются дублированные и троированные структуры (рисунки 5 а, б), рассмотренные в предыдущих материалах. Вх ЭВМ1 ... &1 ЭВМ2 ЭВМ1 ЭВМ2 ЭВМ3 ... ... ... ... &n мэ1 1 Вых n Рис. 5а мэn ...... 1 Вых n Рис.5б Достоверность функционирования обеспечивается за счет сравнения выходных сигналов параллельно работающих микроЭВМ при формировании управляющих сигналов. Недостатком таких структур является то, что различные неисправности в каналах обработки информации могут привести к одинаковым ложным сигналам на их выходах, а при относительно больших интервалах между появлениями выходных сигналов возможно накопление отказов и как следствие - переход системы в опасное состояние. Т а б л и ц а для 2  2 № Состояние Состояние п/п МикроЭВМ 1 МикроЭВМ 2 системы 2  2 1 Работоспособное Работоспособное Работоспособно е 2 Работоспособное Неработоспособное Защитное 3 Неработоспособное Работоспособное Защитное 4 Неработоспособное Неработоспособное Опасное 7 № 1 2 3 23 1 2 3 4 5 6 7 Р Р Р Р Н Н Н Н Р Р Н Н Р Р Н Н Р Н Р Н Р Н Р Н Р Р Р О Р О О О Т а б л и ц а для 2  3 Состояние системы 2  3 Работоспособное Работоспособное Работоспособное Опасное Работоспособное Опасное Опасное Опасное Вероятность безотказной работы P(t) таких МП-модулей при условии равнонадежных каналов обработки информации определяется выражениями P2 v 2 (t )  P12 (t )  P&n (t )  e ( k  i n & )t i 1 n P23 (t )  PМЭ (t )  [3P12 (t )  2P13 (t )] (16 ) ( 17) где n - число информационных выходов модуля; 1 - 1,2,...,k и i - число и интенсивность отказов элементов канала обработки информации; & - интенсивность отказов выходной схемы И; Pl(t), P&(t), Рмэ (t) - вероятности безотказной работы соответственно канала обработки информации, схемы И и мажоритарного элемента за время t. Для малых значений t можно записать, что вероятность отказа Q(t )  1  P(t )  1  et  t Опасным отказом в резервированном МП-модуле считается отказ, не обнаруживаемый встроенными средствами контроля. Поэтому вероятность появления опасного отказа в дублированных и троированных модулях (рисунки 5 а, б) определяется выражениями t k t QО2 v 2  ( iЭ  g ) 2  ( j  g ) 2 g Q02  3  3 g i 1 t g k t i 1 g (  iЭ  g ) 2  3 ( j  g )2 где g - период диагностирования элементов модуля (с учетом возможности повторного выполнения программы или ее участка при рестарте); iэ - интенсивность потока эквивалентных отказов элементов канала обработки информации; j - интенсивность отказов канала обработки информации. Если определяется вероятность опасного отказа системы за время диагностирования g, то используются аналогичные формулы, но без отношения t/g. При контроле идентичности работы каналов обработки информации по выходным сигналам трудно детерминировать поведение микроЭВМ при появлении отказов, поэтому все возникающие отказы считаются эквивалентными. В этом случае оценка безопасности таких модулей получается несколько заниженной. Пример 5. При λ= 10-4 1/ч Для t = 1 год = 8760 ч 8 Для одного элемента P1 (t )  e t  0,416 Предположим в системе УВК g = 1 сек (оперативное диагностирование), g > 1 сек (диагностирование накопления отказов) Тогда для различных значений времени диагностирования, получим вероятность появления опасного отказа g = 1 сек QО2 v 2  1.46 106 Q023  4.38 106 g = 1 час QО2 v 2  8.76 105 Q023  2.63 104 g = 1 месяц QО2 v 2  6.30 102 Q023  1.89 101 9