ТЕХНИКО-ТЕХНОЛОГИЧЕСКИЕ ПРОБЛЕМЫ СЕРВИСА №4 (18) 2011 45
УДК 681.3
ОЦЕНКА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ СИСТЕМ,
СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ
В.А. Богатырев , С.В. Бибиков
1Санкт-Петербургский государственный университет сервиса и экономики (СПбГУСЭ),
191015, Санкт-Петербург, ул. Кавалергардская, 7 2ООО "Центр речевых технологий"
196084, Санкт-Петербург, ул. Красуцкого, 4
Аннотация – Рассмотрена оценка функциональной безопасности систем обеспечения без-
опасности, построенных на основе дублированных микропроцессорных комплексов. Предлагае-
мая оценка позволяет учесть периодичность контроля и возможности перехода в опасное состоя-
ние из-за не обнаружения отказа одного канала комплекса.
Ключевые слова: безопасность; опасный отказ; защищенный отказ; дублированная систе-
ма; периодический контроль.
ESTIMATION OF FUNCTIONAL SAFETY THE SYSTEMS CONNECTED WITH
SAFETY
V.A.Bogatyryov, S.V.Bibikov
St.-Petersburg state university of service and economy(SPbSUSE), 191015, St.-Petersburg, street Kavalergardsky, 7
Open Company "Center of speech technologies"
196084, St.-Petersburg, street Krasutsky, 4
Summary – The estimation of functional safety of systems of maintenance of the safety, con-
structed on the basis of the duplicated microprocessor complexes is considered. The offered estimation
allows to consider periodicity of the control and transition possibility in a dangerousbecause of not detec-
tion of refusal of one channel of a complex.
Keywords: the safety; the dangerous refusal; the protected refusal; the duplicated; the periodic
control.
При разработке и эксплуатации
транспортных средств и систем обеспе-чения движения основное внимание должно уделяться их безопасности.
В настоящее время выделен от-дельный класс систем (в том числе элек-тронных и программируемых микропро-цессорных, регламентируемых стандар-том IEC 61508, ГОСТ 61508), связанных с безопасностью, предназначенных для предотвращения аварий и минимизации их последствий.
Безопасность достигается в ре-зультате использования нескольких си-стем защиты, основанные на различных технологиях (например, механических, гидравлических, пневматических, элек-трических, электронных, программируе-мых электронных). Любая стратегия без-опасности по рекомендациям стандартом IEC 61508, ГОСТ 61508 должна учиты-вать не только все элементы, входящие в состав отдельных систем (например, дат-
чики, управляющие устройства и испол-нительные механизмы), но и все подси-стемы, входящие в состав комбинирован-ной системы, связанной с безопасностью.
Задача обеспечения высокой надежности систем, связанных с безопас-ностью, в том числе на транспорте, тре-бует оценку интегральной и функцио-нальной безопасности. Под интегральной понимается безопасность всей системы управления, а под функциональной – без-опасность подсистемы обеспечивающей безопасность (Стандарт IEC 61508, ГОСТ 61508).
При определении полноты без-опасности должны учитываться все при-чины отказов, которые ведут к небез-опасному состоянию, например отказы аппаратуры, отказы, вызванные про-граммным обеспечением, и отказы, име-ющие причину в электрическом интер-фейсе.
В.А. Богатырев, С.В. Бибиков
46 НИИТТС
В системах обеспечения безопас-ности, в том числе на транспорте[1], в основном используются дублированные и троированные микропроцессорные ком-плексы, реализованные на базе микро-контроллеров или промышленных ком-пьютеров.
К дублированным микропроцес-сорным системам, связанным с безопас-ностью, и особенно при потенциальной угрозе для жизни и здоровья людей предъявляются высокие требования по надежности и достоверности функциони-рования. В таких системах все вычисле-ния, как правило, дублируются, при этом реализуется взаимоконтроль машин, ос-нованный на сравнение результатов, а также на периодическом тестировании, проверке контрольных сумм и других ме-тодах [1].
Для дублированных систем к опасным состояниям относят состояния с отказом двух машин (с отказом процес-сора или памяти в каждой из них), так как при отказе одной из машин в результате взаимоконтроля отказ будет обнаружен и система переведена в защищенное (без-опасное) состояние.
Для дублированных (двухканаль-ных) компьютерных ( микропроцессор-ных) систем вероятности опасного и без-опасного отказа, интенсивность опасных отказов и среднее время до опасного от-каза дублированной системы определяют как [1]:
2 2 2
оп ( ) (1 )tQ t e t ;
2 2 2
Б ( ) 1 (1 ) 1tP t e t ;
2Б2 2
оп
Б2 2
( ) 2 (1 )( ) 2
( ) 2
t
t
P t et t
P t e;
2
оп Б
0 0
2 1 3( ) (2 ) ,
2 2
t tT P t dt e e dt
где λ – суммарная интенсивность отказов одного компьютера (включая отказы процессора, оперативной памяти и посто-янной памяти, используемой для началь-ной загрузки).
Для уточнения оценки будем рас-сматривать в качестве опасного не только состояние с отказом двух каналов устройства, но и с отказом одного канала при не обнаружении средствами кон-троля соответствующего отказа.
Показатели безопасности дубли-рованной системы в этом случае опреде-лим как:
2
оп ( ) (1 ) 2(1 ) (1/ (2 1)),t t t mQ t e e e ( ) 1бP t - оп ( )Q t ;
2
оп
0 0
( ) (1 ((1 ) 2(1 ) )) ,t t t
бT P t dt e e e g dt
где g – вероятность не обнаружения ошибки при контрольном суммировании. В соответствии с [2] примем 1/ (2 1).mg
Вероятность безотказной работы дублированной системы ( когда функции системы выполняются хотя бы одним ка-налом, возможно в незащищенном режи-
ме) вычисляется как 2( ) 1 (1 ) .tP t e Ре-
зультаты оценки вероятности безотказ-ной и безопасной работы системы при интенсивности отказов Λ=1,8 10
-6 1/ч
представлены кривой 1 на рис 1, на кото-ром кривая 2 соответствует разнице между вероятностью безотказной и без-опасной работы системы как
( ) ( ) ( ).бD t P t P t
Рисунок 1. Вероятность безотказной и без-
опасной работы системы
Результаты расчета среднее вре-мени до опасного отказа представлены на рис.2.
Рисунок 2. Среднее время до опасного
отказа
Определим среднее время до опасного отказа с учетом проведения
Оценка функциональной безопасности систем, связанных с безопасностью
ТЕХНИКО-ТЕХНОЛОГИЧЕСКИЕ ПРОБЛЕМЫ СЕРВИСА №4 (18) 2011 47
контроля с периодом τ. Очевидно что уменьшение периода контроля позволяет повысить достоверность функционирова-ния системы и и уменьшить вероятности функционирования системы в незащи-щенных состояниях.
Учитывая, что при отсчете каждо-го периода контроля iτ (i=1, 2,…) возмо-жен переход в состояние опасного отказа или отсчет следующего (i+1)-го интерва-ла, среднее время до опасного отказа определим как:
оп оп оп
1
( ) 1 1 ( ) .i
i
T Q t i Q t
При этом
2
оп ( ) (1 ) 2(1 ) (1/ (2 1)),mQ t e e e Расчетами установлено, что при
периодичности контроля τ= 15 с и λ=0,2245 10
-6; 6,209 10
-6; 20,9 10
-6 1/ч. -
среднее время до опасного отказа равно соответственно Tоп=3,18 10
15; 6,11 10
12;
5,46 1011
ч, что показывает высокую без-опасность исследуемых систем.
Результаты расчета среднее вре-мени до опасного отказа в зависимости от периодичности контроля представле-ны на рис.3 (при интенсивности отказов Λ=1,8 10
-6 1/ч.).
Рисунок 3. Зависимость среднего времени
до опасного отказа от периодичности контроля
Сравнение результатов расчета среднего времени до опасного отказа, представленных на рис 2 и 3 позволяет
сделать вывод о положительном влиянии уменьшения периодичности контроля на увеличение среднего времени до опасно-го отказа исследуемой дублированной системы.
Дополнительно увеличить надеж-
ность и безопасность дублированных вы-числительных систем при необходимости возможно в результате их реконфигура-ции [3, 8].
Таким образом, предложена оцен-ка функциональной безопасности дубли-рованных вычислительных систем с уче-том периодичности контроля и возмож-ности не обнаружения отказа одной из машин комплекса, что исключает требу-емый переход системы в защищенное со-стояние.
Литература
1. Сапожников В.В., Сапожников В.В., Шаманов В.И. Надежность систем железнодорожной авто-матики, телемеханики и связи М.Маршрут .2003. 263 с. 2. Надежность автоматизированных систем //. Атовмян И.О., Вайрадян А.С. и др Высшая школа М. 1978.287 с. 3. Bogatyrev V.A. Exchange of Duplicated Compu-ting Complexes in Fault tolerant Systems. // Auto-matic Control and Computer Sciences. – 2011. – Vol. 46. – № 5. – P. 268–276.
4. Богатырев В.А. К повышению надежности мультимикропроцессорных систем // Изв. Вузов СССР. Приборостроение. 1982. № 8. С. 93-96.
5. Богатырев В.А. К оценке надежности мажоритарных структур с учетом многофункциональности модулей // Изв. Вузов СССР. Приборостроение. 1982. № 11. С. 84-87.
6. Богатырев В.А. Надежность многомашинных функционально резервированных систем с пере-распределением функций после отказов //Автоматика и вычислительная техника. 1991. № 6. С. 86-88.
7. Богатырев В.А. Интервальные методы динамиче-ского распределения запросов с контролем канала // Информационные технологии. 1999. № 12. С. 29-32.
8. Богатырев В.А. Надежность вариантов разме-щения функциональных ресурсов в однородных вычислительных сетях // Электронное моделиро-вание. 1997. № 3. С. 21 –29.
Богатырев Владимир Анатольевич – доктор технических наук, профессор кафедры «Приклад-
ных информационных технологий» СПбГУСЭ, тел.:+7 911-726-02-26, е-
mail:[email protected]; Бибиков Сергей Викторович,ООО "Центр речевых технологий" Заместитель технического ди-
ректора ; тел.: +7 921 3266039 . E-mail [email protected].