Обеспечение надежности цифровых бортовых автоматических систем
Ото из достоинств цифровых бортовых вычислителей заклгоча — (II я в широких возможностях сочетания различных способов и приемов повышения надежности.
Наиболее эффективные способы повышения надежности связаны. вві допнем избыточности. В отличие от аналоговых систем, где ираміриткії возможна реализация лишь структурной (аппаратур — ш ні) и (Ом точности, в цифровых вычислителях применяются другие ви і и, чарамерпые для этого класса систем: кодовая. и временная I up и рамнини.).
Кодовая избыточность реализуется с помощью применения ко — ||мі, по. іиолиіоїцпх обнаружить и устранить ошибки. Наиболее проспан способом обнаружения ошибки является проверка на четность.
Программная избыточность предусматривает введение специальных проверок типа двойного просчета, прохождения тестов и пр. Как правило, и кодовая и временная избыточность приводит к усложнению структуры системы. Поэтому решающим методом остается введение многоканалыюсти.
Двухканальные (дуплексные) системы содержат два идентичных канала и предусматривают сравнение их выходов. В результате сравнения можно обнаружить факт отказа и, следовательно, уменьшить вероятность использования неисправного вычислителя до величины
pi=plq. i + 2pf](~pl) qu
где ро — вероятность отказа каждого канала; q — вероятность необкаружения отказа одного канала; q2 — вероятность необиару — жения одновременного отказа двух каналов.
При этом предполагается, что отказы независимы. Что касается времени безотказной работы, то его можно увеличить, если при обнаружении отказа проводить тестовую взаимную проверку или самопроверку обоих каналов и, обнаружив неисправный, отключить его. Процедура проверки не вполне достоверна, поэтому в дуплексной системе такого типа могут быть ошибки двух родов: пропуск отказа и ложная тревога.
Троированная (триплексная) система относится к системам с перекрестно-канальным сравнением сигналов и отключением неисправного канала. Основные принципы их построения одинаковы как для аналоговых, так и для цифровых (дискретных) систем. Они состоят в том, что задаются допустимым разбросом сигналов (хи /=1, 2, 3 — номер канала), зависящим от инструментальной точности вычислителей. В зоне допустимого разброса выходной сигнал определяется в соответствии с каким-либо алгоритмом оптимальной обработки.
Например, если критерий качества принят как сумма квадратов отклонений выходного сигнала («оценки») от каждого из дЕсли разброс подчиняется нормальному распределению, то наилучшая оценка Хо, доставляющая минимум критерию.
А’;)2
 |
среднее арифметическое
 |
Действительно, при Х=Хо
При отказах сигнал Х принимает постоянное произвольное или крайнее значение. Критерием качества опенки в этом случае может служить сумма отклонений оценки от каждого выхода
з
|
г-1 Оптимальная оценка определяется из условия
|
Решение этого уравнения — мажоритарная функция [16]: дг(,=ша] (хи х. г, х3).
Ее значение совпадает со средним членом упорядоченной после — юнательности, составленной из величин Хі. В частном случае отка — ■1 одного из трех каналов два сигнала могут бьпь равны, и тогда мажоритарная функция реализует результат «голосования».
Кворум-элементы, входящие в состав троированной системы МіСУ-154, отключают отказазший канал.
Паличне трех каналов дает возможность обнаружить два после — іукнцих отказа (поэтому систему называют двухотказной) и защи — |нп>ся от одиночного отказа, отключив отказавший канал (в системе ЛБСУ-154 эти операции выполняют кворум-элемент).
Считая, что отказы отдельных каналов независимы, а их вероятности равны, можно получить оценку для вероятности безотказно — 1И системы в целом:
Q=-p0=l-pl-pK.3,
і и* Р‘> — вероятность отказа, складывающаяся из вероятности от — I ш двух каналов и вероятности ркл отказа элемента, обнаружи — н. іюіцеїо отказа (кворум-элемента). Более подробные оценки наивности резервированных бортовых САУ приведены в работе [16].
И цифровых вычислителях реализации мажоритарных функций ■ пре іставляет труда. Она легко осуществляется попарным срав-
шем выходов всех трех каналов с выделением в каждой паре мі меньшей величины, а затем — выбором наибольшего из резуль-
I ион
Применяя обозначение для операции выделения максимальной їм нсличин V и минимальной Д, можно записать
.v(, = maj (хи х2, х3) = (х1/х. г)/(x2fx3)J(х,/x3).
1 арнік длина и другая запись:
*о = (-*Д v*2) Л (хА/Ха) Л UiV-^з)- (1.2)
()ы.;и троированной системы наступает в случае, если отказали •‘юбые дна канала (при неотказавшем третьем) или в случае отказа всех трех каналов. Этому соответствует истинность предиката (0іЛ02Лбз)у(02/�зД01)/(01Л0зЛб2)У(0іЛ02Л03), где Оі — отказ і-го канала; 0;V0j— дизъюнкция; 0,-/�j — конъюнкция; 0, — отрицание.
Вероятность отказа
з з
А>=2 РіР ; (1 — Л) + РіРчРз= ^ PiPj ~ 2P!hPk-
H-i-1-k :j
При р) = рг = р3=р, учитывая вероятность отказа мажоритарного органа, получим рт
Ра = Зр2 _ 2рЗ _j_ Рт ~ Зр2 _(_ Рт.
Заметим, что потенциальная надежность трехканальной системы, в которой с помощью тестов можно идентифицировать отказавшие каналы, равна
Р=Р3-
Четырехканальные (квадруплексные) системы — дальнейшее развитие троированных систем. Вместе с тем они обладают рядом новых качеств. Вероятность отказа четырехканальной системы
Ро=4Рз — Зр*—Рт~ 4/Я + рт.
С увеличением числа каналов сложность мажоритарного элемента растет, также растет и возможность его отказа. Обозначив приращение этой возможности через р, получим условие перехода к четырехканальпой системе
Р2> 1/Зр.
Более точное выражение имеет вид
Р( 1 ~P)>?lV 3
Если в этой системе реализовать мажоритарный принцип выделения сигнала при нулевой зоне допустимого разброса, то при несимметричной кривой плотности распределения вероятностей отказа можно улучшить оценку, сместившись в упорядоченном ряду в соответствующую сторону. Поясним это для простого дискретного случая. Пусть в «-канальной системе передается сигнал х=а, 0<а<1. Возможные отказы в у’-м канале приводят к появлению на его выходе сигнала Xj с вероятностью р0 или сигнала Xj= с вероятностью р. Мажоритарную функцию, принимающую на всевозможных наборах значение, равное х с наибольшей вероятностью, назовем оптимальной восстанавливающей функцией Фт(д:). Она имеет структуру
м
Фт (х) = Д и,,
;=i
где Uj=xt/xkJ1 фкф…1<Сп.
Всевозможные объединения її) содержат по т различных элементов. Их число
 |
п
т (п — т)
Вероятность того, что восстанавливающая функция принимает
 |
 |
іачснпе а, равна
(«метим, что в частном случае для троированной системы (п= I) при pi=ро то = 2, и оптимальная восстанавливающая функция н’іаеїтя формулой (1.3). Для четырехканальной системы при тех е условиях /По=2,5. Это показывает, что алгоритм, соответству — ІІНЦІІЙ восстанавливающей функции в этой системе, целесообразно in >л Ын тать тогда, когда вероятности двух типов отказов не равны. ‘і мл нілырехканальной системы при т0=2 показана на рис. 1.4. І Іііфріншс бортовые вычислители позволяют осуществить обра-
и ну і мі налов с дублирующих каналов последовательно. При
і їм мі тана попарно сравниваются их выходы и сопоставлением ішіуі гпмим отклонением устанавливается наличие отказа. Если пі нет, го сипіальі_поступают на фильтр, реализующий одну из pHiir’iyji фильтрации (иучастном___________________ случае — вычисление среднего
арифметического из четырех сигналов). В случае обнаружения отказа обрабатываются оставшиеся три сигнала, при двух отказах — оставшиеся два. Алгоритм поясняется на рис. 1.5. Такие алгоритмы позволяют не только эффективно защититься от сбоев и отказов, но и повысить помехоустойчивость системы £47]. Однако потенциальный уровень надежности естественно зависит от надежности вычислителя, реализующего программу обработки выходов каналов.