Оценка функциональной безопасности систем, связанных с безопасностью

При разработке и эксплуатации транспортных средств и систем обеспечения движения основное внимание должно уделяться их безопасности.

В настоящее время выделен отдельный класс систем (в том числе электронных и программируемых микропроцессорных, регламентируемых стандартом IEC 61508, ГОСТ 61508), связанных с безопасностью, предназначенных для предотвращения аварий и минимизации их последствий.

Безопасность достигается в результате использования нескольких систем защиты, основанные на различных технологиях (например, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных). Любая стратегия безопасности по рекомендациям стандартом IEC 61508, ГОСТ 61508 должна учитывать не только все элементы, входящие в состав отдельных систем (например, дат- чики, управляющие устройства и исполнительные механизмы), но и все подсистемы, входящие в состав комбинированной системы, связанной с безопасностью.

Задача обеспечения высокой надежности систем, связанных с безопасностью, в том числе на транспорте, требует оценку интегральной и функциональной безопасности. Под интегральной понимается безопасность всей системы управления, а под функциональной – безопасность подсистемы обеспечивающей безопасность (Стандарт IEC 61508, ГОСТ 61508).

При определении полноты безопасности должны учитываться все причины отказов, которые ведут к небезопасному состоянию, например отказы аппаратуры, отказы, вызванные программным обеспечением, и отказы, имеющие причину в электрическом интерфейсе.

В системах обеспечения безопасности, в том числе на транспорте[1], в основном используются дублированные и троированные микропроцессорные комплексы, реализованные на базе микроконтроллеров или промышленных компьютеров.

К дублированным микропроцессорным системам, связанным с безопасностью, и особенно при потенциальной угрозе для жизни и здоровья людей предъявляются высокие требования по надежности и достоверности функционирования. В таких системах все вычисления, как правило, дублируются, при этом реализуется взаимоконтроль машин, основанный на сравнение результатов, а также на периодическом тестировании, проверке контрольных сумм и других методах [1].

Для дублированных систем к опасным состояниям относят состояния с отказом двух машин (с отказом процессора или памяти в каждой из них), так как при отказе одной из машин в результате взаимоконтроля отказ будет обнаружен и система переведена в защищенное (безопасное) состояние.

Для дублированных (двухканальных) компьютерных ( микропроцессорных) систем вероятности опасного и безопасного отказа, интенсивность опасных отказов и среднее время до опасного отказа дублированной системы определяют как [1]:

Q, (1 ) = (1- е^ ) ^/1 ² ;

Р (1 ) = 1-(1 е" )² = 1-2² 1 ² ;

2 оп (1 ) = -

Р Б^ ₌ 2Л(1- е^) P _E2v2 (1)     2- е^х*

= 2231 ;

Т оп = J Р б ( 1 ) d = J (2 е¹ " е²"' ) d1 = | 0               0

22 ” 22,

где X - суммарная интенсивность отказов одного компьютера (включая отказы процессора, оперативной памяти и постоянной памяти, используемой для начальной загрузки).

Для уточнения оценки будем рассматривать в качестве опасного не только состояние с отказом двух каналов устройства, но и с отказом одного канала при не обнаружении средствами контроля соответствующего отказа.

Показатели безопасности дублированной системы в этом случае определим как:

О оп( 1 ) = (1- е ^ )² +2(1- е^ ) e^Xt (1/(2 m -1)),

Р б ( 1 )=1 - о оп ( 1 ) ;

Т оп = J p₆ ( 1 ) d1 = J(H(1- е" )² +2(1 - е-²¹ ) е"^х* g )) d1 , 0 0

где g - вероятность не обнаружения ошибки при контрольном суммировании. В соответствии с [2] примем g = 1/(2 m -1).

Вероятность безотказной работы дублированной системы ( когда функции системы выполняются хотя бы одним каналом, возможно в незащищенном режиме) вычисляется как Р ( 1 ) = 1-(1 - е"²¹ )². Результаты оценки вероятности безотказной и безопасной работы системы при интенсивности отказов Л=1,8 10^-6 1/ч представлены кривой 1 на рис 1, на котором кривая 2 соответствует разнице между вероятностью безотказной и безопасной работы системы как D ( 1 ) = Р ( 1 )- Р₆ ( 1 ).

Рисунок 1. Вероятность безотказной и без опасной работы системы

Результаты расчета среднее времени до опасного отказа представлены на рис.2.

Рисунок 2. Среднее время до опасного отказа

Определим среднее время до опасного отказа с учетом проведения

Оценка функциональной безопасности систем, связанных с безопасностью контроля с периодом τ. Очевидно что уменьшение периода контроля позволяет повысить достоверность функционирования системы и и уменьшить вероятности функционирования системы в незащищенных состояниях.

Учитывая, что при отсчете каждого периода контроля i τ ( i =1, 2,…) возможен переход в состояние опасного отказа или отсчет следующего ( i+ 1)-го интервала, среднее время до опасного отказа определим как:

Топ= Q2« (t)£ i+1 1- Qon (tЛ i=1

При этом

Q n (t ) = (1- e" ^r)²+2(1- e^x 9 e" ^r(1/(2 m -1)),

Расчетами установлено, что при периодичности контроля τ= 15 с и λ=0,2245 10^-6; 6,209 10^-6; 20,9 10^-6 1/ч. -среднее время до опасного отказа равно соответственно T оп =3,18 10¹⁵;  6,11 10¹²;

5,46 1011 ч, что показывает высокую безопасность исследуемых систем.

Результаты расчета среднее времени до опасного отказа в зависимости от периодичности контроля представлены на рис.3 (при интенсивности отказов Λ=1,8 10-6 1/ч.).

Рисунок 3. Зависимость среднего времени до опасного отказа от периодичности контроля

Сравнение результатов расчета среднего времени до опасного отказа, представленных на рис 2 и 3 позволяет сделать вывод о положительном влиянии уменьшения периодичности контроля на увеличение среднего времени до опасного отказа исследуемой дублированной системы.

Дополнительно увеличить надежность и безопасность дублированных вычислительных систем при необходимости возможно в результате их реконфигурации [3, 8].

Таким образом, предложена оценка функциональной безопасности дублированных вычислительных систем с учетом периодичности контроля и возможности не обнаружения отказа одной из машин комплекса, что исключает требуемый переход системы в защищенное состояние.