Содержание к диссертации
Введение
ГЛАВА 1. Постановка задачи и основные цели исследования
1.1. Анализ дублированных и троированных отказоустойчивых систем управления 13
1.2. Математические модели надежности программного обеспечения 18
1.3. Выводы по главе 1 21
ГЛАВА 2. Разработка дублированного микропроцессорного устройства и контроль его работоспособности 22
2.1. Разработка дублированного микропроцессорного устройства 22
2.2. Контроль работоспособности в дублированном микропроцессорном устройстве 25
2.3. Анализ способов контроля сигналов 28
2.4. Разработка устройства для контроля работоспособности системы управления 31
2.5. Построение эмпирической гистограммы распределения контрольного сигнала 37
2.6. Результаты моделирования работы устройства контроля работоспособности дублированной схемы 39
2.7. Выводы по главе 2 42
ГЛАВА 3. Оценка надежности аппаратного комплекса компьютерной системы управления и его компонентов 43
3.1. Структура компьютерной системы управления оборудованием (КСУ) 43
3.2. Вероятность необнаруженного отказа КСУ при работе оператора системы 46
3.3. Вероятность необнаруженного отказа при передаче 48 сообщения
3.4. Вероятность необнаруженного отказа при расчете контрольной суммы сообщения 49
3.5. Оценка надежности компьютерной сети 51
3.6. Контроль работоспособности и оценка надежности дублированной системы управления 56
3.6.1. Контроль работоспособности дублированной системы управления «два по два» 56
3.6.2. Оценка надежности дублированной системы управления 58
3.6.3. Вероятность необнаруженного отказа в двух комплектах оборудования 59
3.6.4. Вероятность необнаруженного отказа в одном комплекте оборудования 61
3.6.5. Вероятность необнаруженного отказа в процедуре контрольного суммирования ПЗУ 64
3.7. Выводы по главе 3 67
4. Оценка надежности программного обеспечения
4.1. Анализ моделей надежности программного обеспечения 69
4.2.Экспериментальные исследования надежности программного обеспечения 73
4.3. Оценка надежности встроенного программного обеспечения в компьютерных системах управления оборудованием 76
4.4. Исходные данные для оценки надежности встроенного программного обеспечения 77
4.5. Характеристики работы программного обеспечения 78 4.6.План проведения испытаний для оценки надежности программного обеспечения 80
4.7. Оценка надежности встроенного программного обеспечения 81
4.8. Пример оценки надежности встроенного программного обеспечения 82
4.9. Результаты испытаний встроенного программного обеспечения на надежность 84
4.10. Выводы по главе 4 88
Основные выводы и результаты 89
Список использованных источников 91
Приложение 97
- Анализ дублированных и троированных отказоустойчивых систем управления
- Разработка дублированного микропроцессорного устройства
- Структура компьютерной системы управления оборудованием (КСУ)
- Анализ моделей надежности программного обеспечения
Введение к работе
Надежность является одним из важнейших свойств изделий. Согласно ГОСТ 27.002-83 [16-18] надежность определяется как свойство, обеспечивающее возможность выполнения устройством заданных функций с установленными характеристиками в определенных условиях эксплуатации и в течение требуемого интервала времени.
Аппаратно-программные системы управления комплексами оборудования в машиностроении должны обладать гарантированным уровнем надежности. Аппаратные и программные средства систем управления гибких производственных систем (ГПС) и роботизированных комплексов (РК) являются сложными и уникальными изделиями. Оценка надежности аппаратных и программных средств гибких систем управления и роботизированных комплексов определяется с помощью расчетных методов, с использованием математических моделей.
Разработка и отладка аппаратных и программных средств таких систем управления является дорогостоящим процессом из-за сложности алгоритмов, продолжительных испытаний, необходимости использования уникального технологического оборудования при отладке.
Для повышения надежности устройств используются два основных метода:
- повышение надежности компонентов, из которых строится ап
паратура;
- резервирование, применение отказоустойчивой архитектуры
устройств с избыточностью аппаратуры и программного обеспечения.
Аппаратные и программные средства не являются абсолютно надежными, поэтому к системам управления ответственными технологическими процессами предъявляются дополнительные требования функциональной надежности. Существует класс задач, выполняющих особо
ответственные функции. Для этих задач отказ должен переводить систему в безопасное защитное состояние. Электронные компоненты, на основе которых создаются устройства, не обладают свойством функциональной надежности. Для обеспечения функциональной надежности также вводится избыточность.
Известны три основных варианта архитектуры отказоустойчивых устройств:
-дублированная схема,
-системы с мажоритированием, в том числе троированная схема,
-многопроцессорная система [41,50].
В дублированных схемах и системах с мажоритированием основные и резервные комплекты оборудования выполняют одинаковые задачи. Надежность таких систем управления обеспечивается за счет аппаратного и программного резервирования функций основного комплекта.
В дублированной схеме используются два канала - основной и резервный. Основной канал работает постоянно. Резервный канал может работать параллельно с основным или включаться в работу при его отказе. В дублированных системах управления ответственными технологическими процессами, где необходимо обеспечить высокую надежность, используется отказоустойчивая схема «два по два». Второй канал работает в «горячем» резерве, параллельно с основным. В каждом канале имеются два одинаковых комплекта оборудования и схема контроля. Результаты работы двух комплектов поступают на входы схемы контроля для аппаратного сравнения. Схема контроля сравнивает данные от двух комплектов. В случае, если данные от двух комплектов не совпадают, система обнаруживает отказ канала и переключает его в безопасное защитное состояние.
Известны дублированные системы, где два канала работают син-
хронно. В ряде применений используется дублированная схема с асинхронной работой двух каналов.
В системах с мажоритированием используются 3 и более комплектов аппаратуры. Сравнение результатов производится по методу голосования «большинством голосов». В троированной схеме решение принимается по принципу голосования "2 из 3". При отказе в одном из комплектов троированной схемы, неисправный комплект отключают, и система становится дублированной. Аналогичным образом могут строиться системы с большим количеством резервированных элементов.
При дублированной и троированной архитектуре функциональные возможности устройства, его вычислительная мощность и быстродействие соответствуют однокомплектному устройству без резервирования, а стоимость значительно выше.
Многопроцессорная система содержит несколько процессорных модулей. Отличие от предыдущих вариантов состоит в том, что алгоритм работы разделен на ряд задач, которые распределены между процессорами. В зависимости от конкретного применения, задачи могут распределяться между процессорами различным образом. Известно жесткое разделение задач между процессорами, динамическое разделение задач между процессорами, перераспределение при отказе. В случае отказа одного процессора, его функции выполняют оставшиеся исправные модули. Отказ процессора обнаруживают по результатам проведения программных и аппаратных тестов.
Многопроцессорная архитектура применяется в сложных вычислительных устройствах, где функции контроля, распределения ресурсов процессоров и памяти выполняет операционная система.
В теории надежности рассматриваются две основные проблемы:
- количественная оценка показателей надежности на этапе разработки и проектирования системы;
- контроль надежности в процессе испытаний и эксплуатации системы.
Методы оценки и контроля надежности должны учитывать специфику микропроцессорных систем управления.
Микропроцессорные устройства имеют большой период приработки. Период приработки в начале эксплуатации системы характеризуется высокой интенсивностью отказов из-за выявления и устранения ошибок при проектировании и изготовлении аппаратных средств, исправления ошибок в программном обеспечении. Испытания показали, что постоянная интенсивность отказов достигается после нескольких лет эксплуатации микропроцессорных систем управления.
Оценка надежности микропроцессорных устройств определяется на этапе проектирования с помощью расчетных методов. В аппаратных средствах и программном обеспечении всегда присутствуют ошибки конструирования и ошибки изготовления. Ошибки конструирования аппаратуры и ошибки программного обеспечения можно выявить и устранить только при испытаниях и в процессе эксплуатации системы управления.
Для оценки интенсивности отказов микропроцессорного устройства используются данные об интенсивностях отказов его аппаратных и программных средств.
Аппаратные средства системы управления строятся из большого количества элементов. В оценке надежности сложно учесть влияние отказа отдельного элемента на работоспособность всего устройства. В состоянии отказа на выходах микросхем могут формироваться сигналы как логического "О" так и "1" . Возможны необнаруженные "скрытые" отказы компонентов.
Приближенная оценка надежности аппаратных средств строится на основе хорошо известной модели экспоненциального распределения
времени работы на отказ. Поток отказов элементов считается простейшим. Отказы элементов независимы. При такой модели интенсивность отказов устройства считается постоянной.
Экспоненциальная модель распределения времени работы на отказ применяется для расчета вероятностей внезапных отказов, в том числе при оценке надежности военной и космической техники одноразового применения. При оценке надежности микропроцессорных систем управления, которые эксплуатируются в режиме непрерывного применения, необходимо учитывать параметрические и перемежающиеся отказы.
4. Для подтверждения оценок и контроля показателей надежности
проводят эксплуатационные испытания. Из-за факторов морального ста
рения микропроцессоров, срок службы опытных образцов систем управ
ления исчисляется несколькими годами, а количество отказов измеряет
ся единицами. В процессе эксплуатации конструкция микропроцессор
ных устройств совершенствуется, что также влияет на достоверность
оценок.
Различие в аналитических оценках надежности и данных об отказах системы в процессе эксплуатации приводит к тому, что разработчики микропроцессорной техники и вычислительных систем не всегда объективно оценивают показатели надежности оборудования.
5. Отличительной особенностью микропроцессорных систем
управления является гибкая программируемая логика управления. При
оценке надежности микропроцессорных систем управления необходимо
учесть вероятность отказов программного обеспечения.
Определение отказа программного обеспечения (ПО) дано в работе Шишонка Н.А и Владимирского Э.И. [68]. Под отказом ПО понимается с обытие, заключающееся в нарушении отображения между входными и выходными данными, заложенного в техническом задании на разработку.
Согласно определению проф. Липаева В.В. [ 32,33 ] под надежно-/ стью программы понимается ее безошибочность, и основное внимание он уделяет тестированию и отладке с целью выявления и исправления ошибок. При этом основной причиной отказов программного обеспечения считаются ошибки проектирования.
Программа называется надежной, если корректен алгоритм ее работы, и программа соответствует спецификациям поставленной задачи. Таким образом, надежность ПО включает в себя доказательство корректности алгоритма и его способности решать поставленную задачу, а также тестирование программы, реализующей этот алгоритм. Для тестирования программного обеспечения микропроцессорных систем управления разработаны специальные методики, которые достаточно полно освещены в специальной литературе [33, 35].
Отказы могут возникать и при исполнении отлаженных программ, как следствие аппаратных отказов:
-нарушения кодов записи программ в памяти команд;
-искажения данных в памяти вычислительного устройства;
-изменения последовательности исполнения команд и т.д.
Программные отказы систем управления приводят к прекращению выдачи управляющей информации или к искажению ее содержания, что может привести к отказам в работе микропроцессорной системы управления.
Объем функций, реализуемых с помощью программных средств, имеет тенденцию к увеличению. Усложнение программы делает невозможным ее тестирование с глубиной 100%, для всех возможных сочетаний входных и выходных воздействий. После проведения комплексной отладки и эксплуатационных испытаний в программном обеспечении могут быть ошибки.
В процессе эксплуатации системы управления происходит изме-
нение количества отказов программного обеспечения. Подавляющее число программных ошибок выявляется в течение первых 3-х лет эксплуатации.
Требования к надежности микропроцессорных систем управления устанавливаются в техническом задании. Проектировщик должен обеспечить соответствие характеристик оборудования установленным показателям. При традиционном методе показатели надежности рассчитывались по эксплуатационным данным. Однако, когда создается новое уникальное оборудование, его эксплуатационные показатели, как правило, не известны.
Для подтверждения показателей надежности системы управления необходимо увеличение объема и продолжительности эксплуатационных испытаний. Для сокращения времени испытаний известны два основных способа. Это- проведение ускоренных испытаний и прогнозирование.
Для уникальных опытных образцов ускоренные испытания неэффективны. Время таких испытаний может быть уменьшено либо за счет расширения выборки испытываемых устройств, либо за счет форсированных режимов эксплуатации. Оба эти способа связаны с большими затратами.
Разработчик микроэлектронной системы управления оценивает надежность на основе своего субъективного опыта. Его мнение может не совпадать с результатами, полученными при традиционном экспериментальном методе или в ходе экспертного опроса. При оценке надежности новой техники, которой являются микропроцессорные системы управления, возникают проблемы, связанные с ограниченным объемом исходной информации.
ЦЕЛЬ РАБОТЫ совершенствование и повышение эффективности микропроцессорных систем управления оборудованием на основе методов оценки и контроля надежности.
Поставленная цель достигается путем решения следующих задач:
создания оригинальной отказоустойчивой дублированной схемы и устройства для контроля ее работоспособности;
оценки вероятности отказа дублированной схемы;
разработки методики оценки надежности программного обеспечения.
Диссертация состоит из введения, 4 глав, основных выводов и результатов и списка литературы
В первой главе выполнен анализ отказоустойчивых схем, в том числе дублированных и троированных систем управления. Проведен анализ надежности аппаратных средств и программного обеспечения.
Во второй главе рассмотрены: исследование, разработка и реализация конструкции дублированного высоконадежного устройства системы управления и разработка аппаратных средств контроля его работоспособности.
Третья глава посвящена теоретическому анализу надежности компьютерной системы управления оборудованием.
В четвертой главе описана методика оценки надежности ПО. Предложена и обоснована математическая модель надежности ПО. Приведен теоретический вывод модели и получена расчетная формула. Проведено испытание модели на встроенных программных средствах, которые показали достаточную адекватность модели.
Анализ дублированных и троированных отказоустойчивых систем управления
Надежность микропроцессорных систем управления обеспечивается за счет отказоустойчивой архитектуры. В аппаратные и программные средства вводится избыточность, чтобы обеспечить тестирование и контроль работоспособного состояния системы управления. Средства контроля должны обнаружить отказ, выключить неисправный модуль и включить соответствующий резервный модуль.
Известны три основных варианта архитектуры отказоустойчивых устройств: -дублированная схема, -троированная структура с голосованием по принципу «большинства голосов», -многопроцессорная система с распределением задач между процессорами. Работа отказоустойчивых дублированных и троированных систем рассматривалась в работах Ткаченко А.В., Ватанабе Т., Акита К.и др. [36, 62, 63,73]. Надежность дублированной системы управления обеспечивается за счет сравнения результатов вычислений в двух каналах. Каналы могут работать в синхронном режиме или асинхронно. При синхронном режиме, результаты работы двух каналов поступают на входы контролирующего устройства для аппаратного сравнения.
Дублированное отказоустойчивое устройство (авторское свидетельство SU №1774338) содержит основной и дублирующий каналы, первый и второй блоки задержки, первый и второй блоки контроля, сумматор по модулю два, решающий элемент, элемент «запрет» [62]. В устройстве используется резервирование с постоянным замещением. Дублированное отказоустойчивое устройство обеспечивает контроль входных данных и результатов вычислений в каждом канале. Выходы основного и дублирующего каналов соединены с входами, соответственно, первого и второго блоков задержки и первого и второго блоков контроля. Выходы первого и второго блоков контроля и первого и второго блоков задержки подключены к входам решающего элемента. Блок контроля формирует сигнал, соответствующий работоспособному состоянию канала.
Данные, на основании которых формируется результат, поступают на выходы основного и дублирующего каналов и затем суммируются по модулю два. При расхождении данных, элемент «запрет» отключает выходы первого и второго блоков контроля. При совпадении данных в двух каналах на соответствующие входы решающего элемента поступают сигналы, соответствующие работоспособному состоянию канала.
Недостаток этого устройства - одинаковая реакция на расхождение результатов вычислений и искажения во входных данных, что затрудняет поиск причины отказа. В дублированной вычислительной системе (авторское свидетельство SU №1783528) имеются: основное и дублирующее устройство, регистры для хранения данных, схема сравнения, регистры предварительного и окончательного анализа данных, блок анализа состояния системы, счетчик попыток тестирования и др# [63] Выходы основного и дублирующего устройства подсоединены к первому и второму запоминающим регистрам данных. Регистры данных подключаются к входам схемы сравнения, регистрам предварительного и окончательного анализа данных, блоку анализа состояния системы. С помощью схемы сравнения проверяется совпадение данных в двух каналах. При расхождении выходных данных и результатов выпол отмъ нения процедур тестирования, система обнаруживаете производит реконфигурацию схемы. Дублированная вычислительная система может находиться в пяти состояниях: 1- исходное состояние (оба канала работоспособны), 2 и 3-один канал отказал, второй исправен, 4- тестовый контроль каналов, 5-«останов». Отказ переводит неисправный канал в состояние тестового контроля. По результатам тестового контроля система может перейти в исходное состояние, в режим работы с одним каналом или в режим «останов». При успешном проведении тестового контроля канал считается исправным, и система переключается в режим работы с двумя каналами. При неудачном выполнении тестового контроля увеличивается счетчик попыток. После заданного числа попыток тестового контроля канал считается неработоспособным. Дублированная вычислительная система имеет ряд существенных недостатков. При неисправности встроенных средств контроля обоих каналов происходит зацикливание системы в состоянии тестового контроля. При расхождении выходных данных от двух каналов и ошибках при выполнении процедур тестирования, возможно отключение исправного канала. Дублированная микропроцессорная система (патент № 2000603) содержит первый и второй каналы обработки информации, элемент сравнения, генератор импульсов перезапуска и генератор сигнала с частотой контроля [36]. В канал обработки информации входят: микропроцессорное устройство, генератор тактовой частоты, первый и второй порты и блок формирования контрольного сигнала. Микропроцессорные устройства в первом и втором каналах работают асинхронно. Частоту синхронизации задают два различных генератора тактовых импульсов. К микропроцессорному устройству подсоединены первый и второй порты. Входы/выходы первых портов в первом и втором каналах соединены друг с другом для обмена информацией. Каждое микропроцессорное устройство проверяет, допустимо ли рассогласование данных, которые поступают в первый порт от первого и второго каналов. Второй порт подключен к блоку формирования контрольного сигнала. Выходы блоков формирования контрольного сигнала в первом и втором каналах подсоединены к элементу сравнения. При расхождении данных, которые поступают в первый порт от первого и второго каналов, микропроцессорное устройство передает на вход элемента сравнения байт, не совпадающий с байтом другого канала.
На выходе элемента сравнения формируется сигнал с частотой контроля, если двухканальная схема исправна. В противном случае, когда произошел отказ канала, на выходе элемента сравнения формируется сигнал постоянного уровня. При отказе микропроцессорной системы генератор импульсов формирует сигналы перезапуска и передает их на входы первого и второго каналов. Если интервал между последовательными сигналами перезапуска меньше заданного времени, то система выключается.
Разработка дублированного микропроцессорного устройства
Дублированное микропроцессорное устройство (рис.2.1.) работает следующим образом. Первые входы/выходы аналогового интерфейса 8 и цифрового интерфейса 6 подсоединены к аналоговым и цифровым входам/выходам объекта управления. Через интерфейсы 6,8 дублированное микропроцессорное устройство принимает информацию от объекта управления, формирует и передает сигналы в цифровом или аналоговом виде. Вторые входы/выходы аналогового интерфейса 8 подсоединены к первым входам/выходам ЦСП 7.
Цифровой сигнальный процессор 7 подключен к первым входам/выходам, соответственно, первого 1 и второго 2 микроконтроллеров. ЦСП работает асинхронно по отношению к первому и второму микроконтроллерам. Программное обеспечение цифрового сигнального процессора построено с избыточностью. Операции ввода/вывода и обработку данных выполняют две разные программы. Первая программа передает результаты на вход первого микроконтроллера. Вторая программа передает результаты на вход второго микроконтроллера. При этом данные на входе первого и второго микроконтроллеров должны совпадать. Информация поступает из цифрового сигнального процессора на входы первого и второго микроконтроллеров, которые передают ее в элемент «исключающее ИЛИ» 9 для аппаратного сравнения.
На входы синхронизации первого 1 и второго 2 микроконтроллеров поступают сигналы с выхода генератора тактовых импульсов 3. Первый 1 и второй 2 микроконтроллеры работают синхронно, выполняют одинаковую программу. Программное обеспечение микроконтроллера построено с избыточностью. При включении и при перезапуске программное обеспечение выполняет тестирование микроконтроллера. В процессе работы программное обеспечение сохраняет результаты вычислений в памяти микроконтроллера, чтобы восстановить значения в случае отказа. Входы микроконтроллеров подсоединены к схеме запуска 4. При включении и при перезапуске на входы микроконтроллеров 1 и 2 поступают сигналы с выхода схемы запуска к. Сигналы запуска переводят микроконтроллеры в режим пониженного энергопотребления и затем обеспечивают их синхронный запуск. В дальнейшем синхронность работы микроконтроллеров 1 и 2 обеспечивается за счет сигналов, которые поступают с выхода генератора тактовых импульсов 3.
Данные поступают на входы первого и второго микроконтроллеров 1,2 из цифрового интерфейса 6 и из цифрового сигнального процессора 7. Эти данные микроконтроллеры преобразуют в последовательный код и побитно передают на входы элемента «исключающее ИЛИ» для аппаратного сравнения. Четвертый выход первого 1 и пятый выход второго 2 микроконтроллеров подсоединены к первому и второму входам элемента «исключающее ИЛИ» 9. Чтобы исключить отказ типа «константа 0», на входы элемента «исключающее ИЛИ» передают контролируемые байты и их инверсные коды. Микроконтроллеры опрашивают состояние сигнала, который формируется на выходе элемента «исключающее ИЛИ». Если элемент «исключающее ИЛИ» обнаруживает искажение данных на входах первого и второго микроконтроллеров, то программное обеспечение микроконтроллеров игнорирует введенные данные, а затем повторяет операции ввода и вычисления.
На третьих выходах первого и второго микроконтроллеров программно формируются динамические сигналы. Эти сигналы поступают на первый и второй входы схемы контроля 5 для аппаратного сравнения. Динамические сигналы получены путем контрольного суммирования содержимого ОЗУ и ПЗУ, сигналов на выходах микроконтроллера, результатов вычислений. При совпадении сигналов на первом и втором входах, на выходе схемы контроля 5 формируется сигнал с частотой контроля.
При расхождении указанных сигналов, схема контроля 5 обнаруживает отказ. В этом случае на выходе схемы контроля формируется сигнал постоянного уровня. Сигнал постоянного уровня с выхода схемы контроля поступает на четвертый вход цифрового 6 и третий вход аналогового 8 интерфейсов. Цифровые и аналоговые интерфейсы прекращают обмен информацией с объектом управления. К выходу схемы контроля подсоединен вход схемы запуска. При отказе канала схема запуска формирует сигналы перезапуска и передает их на входы микроконтроллеров 1,2 и ЦСП 7.
В программе микроконтроллера организованы счетчики времени и счетчики искаженных байтов.
Если в течение заданного интервала времени Ts при сравнении данных в элементе «исключающее ИЛИ» обнаружено искажение одного байта, то этот байт игнорируется. В этом случае счетчик искаженных байтов увеличивается на единицу, но процесс вычислений продолжается. Когда в течение времени Ts обнаружено искажение в N (и более) байтах, то первый и второй микроконтроллеры завершают выполнение программы, прекращают формировать динамические сигналы и передавать их на входы схемы контроля. Схема контроля обнаруживает отказ и включает схему запуска, которая перезапускает первый и второй микроконтроллеры и ЦСП.
В программе микроконтроллера организованы счетчики времени между моментами запуска и счетчики попыток запуска. Если интервал времени между двумя попытками запуска превышает заданное значение, то счетчик попыток обнуляется. В противном случае, если интервал между двумя запусками меньше заданного значения, то счетчик попыток увеличивается на единицу. Если величина счетчика попыток больше М, то микроконтроллер прекращает выполнение программы и не формирует динамические сигналы на входе схемы контроля.
Таким образом, дублированное микропроцессорное устройство выполняет функции контроля работоспособности, обеспечивает защиту от искажений данных на входах микроконтроллеров, а при обнаружении отказа переключает выходные сигналы в безопасное состояние. В качестве первого и второго микроконтроллеров используются две одинаковые микросхемы в промышленном исполнении. Типы микроконтроллеров и ЦСП зависят от особенностей технической реализации системы управления.
Структура компьютерной системы управления оборудованием (КСУ)
Надежность является важным показателем качества работы системы управления оборудованием. Отказы компьютерных систем управления могут приводить к последствиям, которые различаются по степени тяжести и величине ущерба: к задержкам в принятии решений, потере важной информации, простою технологического оборудования, к созданию опасных и аварийных ситуаций на объекте управления. Рассмотрим КСУ, в которую входят следующие компоненты (рис. 3.1): - персональный компьютер в промышленном исполнении (промышленный компьютер), - сеть передачи данных, - контроллеры, - объекты управления (ОУ). Промышленный компьютер выполняет следующие функции: - обеспечивает взаимодействие с оператором, - передает и принимает сообщения по локальной сети, - сохраняет, обрабатывает и отображает на экране монитора полученные данные, - формирует отчет и т.д. Сеть передачи обеспечивает обмен данными между промышленным компьютером и контроллерами в соответствии с принятым протоколом. Контроллеры получают по сети сообщения с управляющими командами и настройками и передают по сети диагностическую информацию и данные от объекта управления. Контроллеры вводят и обрабатывают информацию от ОУ и формируют воздействия в соответствии с технологическим алгоритмом управления. Объект управления подключен к информационным входам и управляющим выходам контроллера. Сигналы от объекта управления преобразуются в цифровую форму и обрабатываются в контроллере. Определим надежность аппаратной части компьютерной системы управления. Будем считать, что отказ любого компонента приводит к отказу всей КСУ. Отказы компонентов являются независимыми событиями. Средняя наработка на отказ распределена по экспоненциальному закону. Анализ статистических данных по надежности позволяет говорить о справедливости такого подхода. Предварительная оценка надежности компьютерной системы управления проводится на этапе разработки аппаратных средств и структуры программного обеспечения. Оценка интенсивности отказов должна удовлетворять требованиям к надежности, установленным в техническом задании на КСУ. Если надежность аппаратуры недостаточна, то необходимо резервировать наименее надежные компоненты системы. Фактические значения показателей надежности следует определять в процессе эксплуатации КСУ. На эксплуатационную надежность оказывает существенное влияние работа оператора и структура программного обеспечения КСУ. Все множество возможных отказов Кунпь«гарной системы можно разбить на два непересекающихся подмножества: -обнаруженные (наблюдаемые) отказы, которые выявляются путем контроля и тестирования аппаратных и программных средств; -необнаруженные (ненаблюдаемые) отказы. В процессе работы КСУ периодически требуется вмешательство оператора. Все действия оператора можно разделить на две группы: - действия, которые не могут привести к отказу КСУ, - управляющие действия, которые могут привести к отказу от дельных компонентов или всей компьютерной системы управления. Определим вероятность отказа КСУ вследствие выполнения оператором управляющих действий. Оператор вводит команды с помощью клавиатуры персонального компьютера. Отказы при вводе команды в персональном компьютере могут возникнуть в следующих ситуациях: Ні={исправньій компьютер, ошибки оператора}; Н2={неисправный компьютер, правильные действия оператора}; Нз={неисправный компьютер, ошибки оператора}. Таким образом, вероятность необнаруженного отказа при вводе команды в персональный компьютер рвв равна вероятности наступления любого из перечисленных событий или сумме вероятностей наступления событий Hi, Н2, Нз.
Анализ моделей надежности программного обеспечения
В составе систем управления используются контроллеры со встроенным программным обеспечением (ПО). Отказы встроенного ПО могут приводить к снижению эффективности работы и даже отказам всей системы управления. Для исключения негативных последствий отказов встроенного ПО необходимо проводить испытания программных средств на надежность. В работе описан порядок и результаты испытаний встроенного ПО на надежность. Испытания проводил разработчик ПО, в лабораторных условиях.
Имеется специализированный контроллер, в ПЗУ которого записаны исполняемые коды ПО. Контроллер выполняет функции приемопередатчика амплитудно-модулированных сигналов. Часть сигналов является разрешающими, другая часть - запрещающими. Сигналы отделяются длинными синхронизирующими паузами. Разрешающе и запрещающие сигналы различаются количеством и длительностью импульсов и пауз. В ПО реализованы функции контроля длительностей импульсов и пауз с заданным допуском и дешифрации кодовой комбинации. Искаженные сигналы с параметрами вне допуска, считаются запрещающими.
Контроллер принимает и передает разрешающие сигналы. При отказах аппаратных средств или объекта управления, контроллер формирует запрещающие сигналы.
При эксплуатации системы управления были отмечены ситуации, когда контроллер кратковременно передавал запрещающие сигналы. Предполагалось, что одной из причин нарушения работоспособности может быть отказ в работе встроенного ПО. Встроенное ПО было реализовано на языке ассемблера.
Для выяснения причин неправильной работы контроллера были проведены испытания программных средств на надежность. Отказы встроенного ПО наблюдались редко, поэтому для проведения испытаний был выбран участок кодов программы, который выполняется один раз за время кодового цикла, в конце приема кодовой комбинации.
При испытаниях выполнялись следующие действия. К тексту программы были «подмешаны» коды, которые имитируют различные отказы (табл.4.5). на экране осциллографа сигналы на входе и выходе контроллера. Со стенда проверки на вход контроллера включили разрешающие сигналы. В результате испытаний были отмечены отказы встроенного ПО, когда контроллер передавал искаженные кодовые комбинации или прекращал формирование кодов. Некоторые отказы встроенного ПО не влияли на работу контроллера.
Разработана методика оценки надежности ПО, в том числе для встроенного ПО, которое используется в микропроцессорных системах управления. В оценке надежности встроенного ПО учитывается средняя наработка на отказ аппаратных средств, структура встроенного ПО, периодичность тестирования, время формирования результата.
Приведен пример расчета надежности ПО. Показано, что увеличение времени тестирования встроенного ПО позволяет существенно повысить его надежность.
Проведены испытания встроенного ПО на надежность. Получены следующие результаты: при отказе встроенного ПО передавались искаженные сигналы. Некоторые отказы встроенного ПО не влияли на работу контроллера.
Расчетные оценки показателя надежности позволяют определить количество испытаний встроенного ПО.
