ТЕХНИКО-ТЕХНОЛОГИЧЕСКИЕ ПРОБЛЕМЫ СЕРВИСА №4 (18) 2011 45

УДК 681.3

ОЦЕНКА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ СИСТЕМ,

СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ

В.А. Богатырев , С.В. Бибиков

1Санкт-Петербургский государственный университет сервиса и экономики (СПбГУСЭ),

191015, Санкт-Петербург, ул. Кавалергардская, 7 2ООО "Центр речевых технологий"

196084, Санкт-Петербург, ул. Красуцкого, 4

Аннотация – Рассмотрена оценка функциональной безопасности систем обеспечения без-

опасности, построенных на основе дублированных микропроцессорных комплексов. Предлагае-

мая оценка позволяет учесть периодичность контроля и возможности перехода в опасное состоя-

ние из-за не обнаружения отказа одного канала комплекса.

Ключевые слова: безопасность; опасный отказ; защищенный отказ; дублированная систе-

ма; периодический контроль.

ESTIMATION OF FUNCTIONAL SAFETY THE SYSTEMS CONNECTED WITH

SAFETY

V.A.Bogatyryov, S.V.Bibikov

St.-Petersburg state university of service and economy(SPbSUSE), 191015, St.-Petersburg, street Kavalergardsky, 7

Open Company "Center of speech technologies"

196084, St.-Petersburg, street Krasutsky, 4

Summary – The estimation of functional safety of systems of maintenance of the safety, con-

structed on the basis of the duplicated microprocessor complexes is considered. The offered estimation

allows to consider periodicity of the control and transition possibility in a dangerousbecause of not detec-

tion of refusal of one channel of a complex.

Keywords: the safety; the dangerous refusal; the protected refusal; the duplicated; the periodic

control.

При разработке и эксплуатации

транспортных средств и систем обеспе-чения движения основное внимание должно уделяться их безопасности.

В настоящее время выделен от-дельный класс систем (в том числе элек-тронных и программируемых микропро-цессорных, регламентируемых стандар-том IEC 61508, ГОСТ 61508), связанных с безопасностью, предназначенных для предотвращения аварий и минимизации их последствий.

Безопасность достигается в ре-зультате использования нескольких си-стем защиты, основанные на различных технологиях (например, механических, гидравлических, пневматических, элек-трических, электронных, программируе-мых электронных). Любая стратегия без-опасности по рекомендациям стандартом IEC 61508, ГОСТ 61508 должна учиты-вать не только все элементы, входящие в состав отдельных систем (например, дат-

чики, управляющие устройства и испол-нительные механизмы), но и все подси-стемы, входящие в состав комбинирован-ной системы, связанной с безопасностью.

Задача обеспечения высокой надежности систем, связанных с безопас-ностью, в том числе на транспорте, тре-бует оценку интегральной и функцио-нальной безопасности. Под интегральной понимается безопасность всей системы управления, а под функциональной – без-опасность подсистемы обеспечивающей безопасность (Стандарт IEC 61508, ГОСТ 61508).

При определении полноты без-опасности должны учитываться все при-чины отказов, которые ведут к небез-опасному состоянию, например отказы аппаратуры, отказы, вызванные про-граммным обеспечением, и отказы, име-ющие причину в электрическом интер-фейсе.

В.А. Богатырев, С.В. Бибиков

46 НИИТТС

В системах обеспечения безопас-ности, в том числе на транспорте[1], в основном используются дублированные и троированные микропроцессорные ком-плексы, реализованные на базе микро-контроллеров или промышленных ком-пьютеров.

К дублированным микропроцес-сорным системам, связанным с безопас-ностью, и особенно при потенциальной угрозе для жизни и здоровья людей предъявляются высокие требования по надежности и достоверности функциони-рования. В таких системах все вычисле-ния, как правило, дублируются, при этом реализуется взаимоконтроль машин, ос-нованный на сравнение результатов, а также на периодическом тестировании, проверке контрольных сумм и других ме-тодах [1].

Для дублированных систем к опасным состояниям относят состояния с отказом двух машин (с отказом процес-сора или памяти в каждой из них), так как при отказе одной из машин в результате взаимоконтроля отказ будет обнаружен и система переведена в защищенное (без-опасное) состояние.

Для дублированных (двухканаль-ных) компьютерных ( микропроцессор-ных) систем вероятности опасного и без-опасного отказа, интенсивность опасных отказов и среднее время до опасного от-каза дублированной системы определяют как [1]:

2 2 2

оп ( ) (1 )tQ t e t ;

2 2 2

Б ( ) 1 (1 ) 1tP t e t ;

2Б2 2

оп

Б2 2

( ) 2 (1 )( ) 2

( ) 2

t

t

P t et t

P t e;

2

оп Б

0 0

2 1 3( ) (2 ) ,

2 2

t tT P t dt e e dt

где λ – суммарная интенсивность отказов одного компьютера (включая отказы процессора, оперативной памяти и посто-янной памяти, используемой для началь-ной загрузки).

Для уточнения оценки будем рас-сматривать в качестве опасного не только состояние с отказом двух каналов устройства, но и с отказом одного канала при не обнаружении средствами кон-троля соответствующего отказа.

Показатели безопасности дубли-рованной системы в этом случае опреде-лим как:

2

оп ( ) (1 ) 2(1 ) (1/ (2 1)),t t t mQ t e e e ( ) 1бP t - оп ( )Q t ;

2

оп

0 0

( ) (1 ((1 ) 2(1 ) )) ,t t t

бT P t dt e e e g dt

где g – вероятность не обнаружения ошибки при контрольном суммировании. В соответствии с [2] примем 1/ (2 1).mg

Вероятность безотказной работы дублированной системы ( когда функции системы выполняются хотя бы одним ка-налом, возможно в незащищенном режи-

ме) вычисляется как 2( ) 1 (1 ) .tP t e Ре-

зультаты оценки вероятности безотказ-ной и безопасной работы системы при интенсивности отказов Λ=1,8 10

-6 1/ч

представлены кривой 1 на рис 1, на кото-ром кривая 2 соответствует разнице между вероятностью безотказной и без-опасной работы системы как

( ) ( ) ( ).бD t P t P t

Рисунок 1. Вероятность безотказной и без-

опасной работы системы

Результаты расчета среднее вре-мени до опасного отказа представлены на рис.2.

Рисунок 2. Среднее время до опасного

отказа

Определим среднее время до опасного отказа с учетом проведения

Оценка функциональной безопасности систем, связанных с безопасностью

ТЕХНИКО-ТЕХНОЛОГИЧЕСКИЕ ПРОБЛЕМЫ СЕРВИСА №4 (18) 2011 47

контроля с периодом τ. Очевидно что уменьшение периода контроля позволяет повысить достоверность функционирова-ния системы и и уменьшить вероятности функционирования системы в незащи-щенных состояниях.

Учитывая, что при отсчете каждо-го периода контроля iτ (i=1, 2,…) возмо-жен переход в состояние опасного отказа или отсчет следующего (i+1)-го интерва-ла, среднее время до опасного отказа определим как:

оп оп оп

1

( ) 1 1 ( ) .i

i

T Q t i Q t

При этом

2

оп ( ) (1 ) 2(1 ) (1/ (2 1)),mQ t e e e Расчетами установлено, что при

периодичности контроля τ= 15 с и λ=0,2245 10

-6; 6,209 10

-6; 20,9 10

-6 1/ч. -

среднее время до опасного отказа равно соответственно Tоп=3,18 10

15; 6,11 10

12;

5,46 1011

ч, что показывает высокую без-опасность исследуемых систем.

Результаты расчета среднее вре-мени до опасного отказа в зависимости от периодичности контроля представле-ны на рис.3 (при интенсивности отказов Λ=1,8 10

-6 1/ч.).

Рисунок 3. Зависимость среднего времени

до опасного отказа от периодичности контроля

Сравнение результатов расчета среднего времени до опасного отказа, представленных на рис 2 и 3 позволяет

сделать вывод о положительном влиянии уменьшения периодичности контроля на увеличение среднего времени до опасно-го отказа исследуемой дублированной системы.

Дополнительно увеличить надеж-

ность и безопасность дублированных вы-числительных систем при необходимости возможно в результате их реконфигура-ции [3, 8].

Таким образом, предложена оцен-ка функциональной безопасности дубли-рованных вычислительных систем с уче-том периодичности контроля и возмож-ности не обнаружения отказа одной из машин комплекса, что исключает требу-емый переход системы в защищенное со-стояние.

Литература

1. Сапожников В.В., Сапожников В.В., Шаманов В.И. Надежность систем железнодорожной авто-матики, телемеханики и связи М.Маршрут .2003. 263 с. 2. Надежность автоматизированных систем //. Атовмян И.О., Вайрадян А.С. и др Высшая школа М. 1978.287 с. 3. Bogatyrev V.A. Exchange of Duplicated Compu-ting Complexes in Fault tolerant Systems. // Auto-matic Control and Computer Sciences. – 2011. – Vol. 46. – № 5. – P. 268–276.

4. Богатырев В.А. К повышению надежности мультимикропроцессорных систем // Изв. Вузов СССР. Приборостроение. 1982. № 8. С. 93-96.

5. Богатырев В.А. К оценке надежности мажоритарных структур с учетом многофункциональности модулей // Изв. Вузов СССР. Приборостроение. 1982. № 11. С. 84-87.

6. Богатырев В.А. Надежность многомашинных функционально резервированных систем с пере-распределением функций после отказов //Автоматика и вычислительная техника. 1991. № 6. С. 86-88.

7. Богатырев В.А. Интервальные методы динамиче-ского распределения запросов с контролем канала // Информационные технологии. 1999. № 12. С. 29-32.

8. Богатырев В.А. Надежность вариантов разме-щения функциональных ресурсов в однородных вычислительных сетях // Электронное моделиро-вание. 1997. № 3. С. 21 –29.

Богатырев Владимир Анатольевич – доктор технических наук, профессор кафедры «Приклад-

ных информационных технологий» СПбГУСЭ, тел.:+7 911-726-02-26, е-

mail:vladimir.bogatyrev@gmail.com; Бибиков Сергей Викторович,ООО "Центр речевых технологий" Заместитель технического ди-

ректора ; тел.: +7 921 3266039 . E-mail bibikov@speechpro.com.