автореферат диссертации по транспорту, 05.22.08, диссертация на тему:Методы и средства построения безопасных микропроцессорных систем железнодорожной локальной автоматики

ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ

На правах рукописи

П"0 0,1 БУЛАВСКИЙ Петр Евгеньевич

УДК 681.3:656.2

МЕТОДЫ И СРЕДСТВА ПОСТРОЕНИЯ БЕЗОПАСНЫХ МИКРОПРОЦЕССОРНЫХ СИСТЕМ ЖЕЛЕЗНОДОРОЖНОЙ ЛОКАЛЬНОЙ АВТОМАТИКИ

Специальность 05.22.08— Эксплуатация железнодорожного транспорта (включая системы сигнализации, централизации и блокировки)

Автореферат диссертации на соискание ученой степени кандидата технических наук

САНКТ-ПЕТЕРБУРГ 1993

Работа выполнена в Петербургском государственном уни версигете путей сообщения.

Научный руководитель —

доктор технических наук, профессор Вл. В. САПОЖНИКОВ

Официальные оппоненты:

доктор технических наук Ю. А. КРАВЦОВ; '

кандидат технических наук Г. А. ГЛАЩЕНКОВ

Ведущее предприятие — проектный институт «Гипрогранс сигналсвязь» (г. Санкт-Петербург).

Защита состоится 23 декабря 1993 г. в 13 час 30 мш на заседании специализированного совета Д114.03.03 Петер бургского государственного университета путей сообщенш по адресу: 190031, г. Санкт-Петербург, Московский пр., 9 ауд. 7-320*.

С диссертацией можно ознакомиться в библиотеке Уни верситета.

Автореферат разослан «. » ноября 1993 г.

Отзыв на автореферат, заверенный печатью, просим на правлять по адресу совета Университета.

Ученый секретарь специализированного совета, кандидат технических наук

В. Б. КУЛЬТИI

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы. В настоящее время на железнодорожном

транспорте ощущается острая потребность во внедрении микропроцессорных систем железнодорожной автоматики и телемеханики (Ш СЖАТ), обладавдих ковыг.гл функциональными возможностями.

Нвибольиив трудности возникают при построении Ш СЙАТ локальной автоматики, к которым относятся локомотпкшв устройства; сигяалыше точки автоблокировки; линейные посты диспетчерской централизации; нижний уровень компьютерных систем электрической централизации а т.п., т.к. основные задачи по обеспечению безопасности решаются именно в этих системах.

Наиболее эффективно задачи локального управления могут быть ревены с использованием возможностей микропроцессоров, обладающих расширенным набором функциональных устройств (однокристальных ЭВМ); при этом может бить использована достаточно высокая надежность микросхем большой степени интеграции. Кроме того повышение степени интеграции микросхем является устойчивой тенденцией и, следовательно, метода обеспечения безопасности в этой области могут найти широкое применение.

Существенный вклад в систематизацию основных понятий и терминологии при создании надежных и отказоустойчивых вычислительных систем, обладапздх заданными свойствами, внесен работами Авижвшса А. Лапря Е.К., Хошшнса А.Л., Сэверека Д.П., Фишера Ы., векнера В., Окимуры И., Стрелова X., Христова Х.А.

При синтезе управляющих систем, обладеиетх заданными свойствами, ванное значение юдает формализация процессов синтеза. Вопросы

синтеза управляющих автоматов подробно рассмотрены в трудах Рогинского В.Н., Сагаловича D.JI., Поспелова Д.A..Curtis H.A., Лазарева В.Г., Пийля Е.И..Сапожникова В.В., Саложникова Вл.В.

В области построения Сезопасшх СЖАТ на микроэлектронной элементной Сазе значителен вклад Ддатренко И.Е., Ефимова В.Ю., Кравцова Ю.А., Лисенкова В.М., Розенбэрга E.H.

Опат, накопленный в настоящее время в области построения безопасных систем в ядерной энергетике, авиационной и космической промышленности, имеет ограниченное применение при построении МП CSAT, что объясняется спецификой хелезнодорокного транспорта: большими масштабами внедрения систем; продолжительными сроками эксплуатации; непрерывностью перевозочного процесса.

Существенные трудности при построении МП СКАТ объясняются тем, что метода обеспечения безопасности и надежности, применяемые в действующа в настоядее время на сети дорог релейных системах, не могут Сыть непосредственно использованы в • них. Для МП СЖАТ необходимо повышение эффективности известных методов и разработка новых, лозволяицих обеспечивать безопасность их функционирования.

При этом актуальным является решение проблем повышения достоверности функционального и тестового контроля, оценки достигнутого уровня безопасности, синхронизации параллельных вычислений и моделирования отказов в резервированных системах.

Диссертационная работа выполнена в соответствии с комплексной программой 'Разработка и аффективное использование средств автоматики, связи и автоматизированных систем управления перевозками л технологическими процессами в хозяйствах келезнодорозшого транспорта на I991-1995 г." разработанной в развитие программы технического перевооружения и модернизации

ж.д. СССР в 1ЭЭ1-2000г. (Приказ МПС от 1.02.90 Н 34Ц).

Целью диссертационной работа является разработка методов и

средств построения безопасных микропроцессорных систем железнодорожной локальной автоматики на перспективной элементной базе однокристальных ЭВМ ( ОЗЕМ ) и проверки безопасности Ш систем.

Основными задачами работы являются:

-анализ методов обеспечения безопасности в микропроцессорных системах управления ответственными технологическими процессами;

-разработка программных и аппаратных методов и средств функционального контроля МП систем и методов обеспечения его достоверности; *

-синтез систем синхронизации параллельных вычислений и систем функционального контроля, обесгочивввдих заданный интервал фиксации отказа;

-разработка универсальных методов моделирования процессов функционального контроля и проверки безопасности МП СЖАТ в условиях возникновения реальных отказов.

Методы исследования. Для решения поставленных в диссертации

задач использовались аналитические и экспериментальные методы теории конечных автоматов, технической диагностики, теории планирования экспериментов.

Достоверность научных положений подтверждена результатами

испытаний микропроцессорных средств и программного обеспечения МП СЖАТ, в которых были использованы предложенные методы обеспечения безопасности.

Научная новизна работы заключается в следующем:

-предложен метод повышения достоверности функционального контроля МП СЖАТ, основанный на использовании специализированных программных средств (компиляторов);

-разработан формализованный метод синхронизации параллельных вычислений для СЖАТ на база ОЭВМ, позволяющий осуществлять синхронизацию параллельных вычислений в дублированных, троированных и п-кратно резервированных системах;

-предложен метод проверки безопасности МП СЖАТ при моделировании отказов в микропроцессоре;

-построена имитационная модель ОЭВМ, обеспечивающая проверку достоверности функционального контроля в процессе исполненная технологических алгоритмов; структура имитационной модели обобщена для синтеза алгоритмов моделирования различных типов процессоров.

Практическая ценность. Полученные в диссертации результаты

позволяют: разработать инженерше методики синтеза безопасных МП систем локальной автоматики; оценивать достигнутый, уровень безопасности как вновь разрабатываемых, так и действующих ИП СКАТ. /

Реализация результатов работы. Результаты диссертационной

работы использованы при:

-разработке троированного , микропроцессорного контроллера

линейного поста диспетчерской централизации на базе ОЭВМ;

-иошиашиг на безопасность программного обвсшчошш комплексной локомотивной система безопасности.

Апробация работы. Остювшэ результаты, получешшэ ;;

диссертационной работе, докладывались и обсуддались на:

-шестом иаучно-тохяичэсиом семинаре: "Практика автоматизации настроечно-рэгулнровочннх и контрольно-лспитательшх работ в производстве издолий радиоэлектроники, приборостроения и связи." г. Ленинград, 1990 г.;

-научно-техническом семинаре: "Применение микропроцессоров, микро- и персональных ЭВМ." г. Миасс, 1390 г.

Публикация. По теме диссертационной работа опубликовано 8

печатных работ, в том числе 2 авторских свидетельства на изобретения.

Объегл работы. Диссертация состоит из введения, пятя глав, и

заключения, она содержит 226 страниц основного текста, 103 рисунка, 28 таблиц, список литература из 98 наименований,10

приложений на вЕс.

>

ОСНОВНОЕ С0ДЕР8АНИЕ РАБОТЫ

В первоЗ главе диссертации произведен анализ методов и средств

обеспечения наденности и безопасности СЖАТ и методов построения МП систем повышенной надежности.

В результата установлено, что наибольшей эффективностью обладает метод многократного резервирования вычислительных капзлоз № системы с подключением устройстз контроля к рвзэрвируекым каналам. Вероятность возникновения опасного отказа за время ахсплуагаива в й саетеквх опрздойяотса по формула:

Р03(Т.Н) а I - Г I - Р00(х) 3 * , где: й - количество эксплуатируемых систем; Т - средний срок службы

систвнн; PQ0{i) - вероятность опасного отказа систеш в течение времени т; т: - время контроля скстеш, в точение которого обнаруишается откез.'

Во многих областях пр'окашюнности, в авиации и космонавтике безопасность работы систем кожет быть достигнута за счет повышения надегзгасти.

Действительно, вероятность опасного отказа будет достаточно малой величиной при ограниченном количестве эксплуатируемых систем Н и при достаточно небольшом сроке их службы Т. Кроме того мозздо снизить вероятность возникновения отказа путем тестового контроля систем шред кх использованием в том случае, если их использование носит периодический • характер (например, предполетная подготовка самолета).

Специфика ОШ заключается в необходимости одновременной работы большого количества систем Н на сети дорог, непрерывном характере работы к большом срока аксплуатации. Поэтому для МП СЖАТ наиболее цолерообрвзиам путем, повишвнзи» безопасности является контроль в процессе функционирования с целью сокращения времени обнаружения отказа г. Для этого необходимо разработать катода называния достоверности функционального контроля МП СЖАТ.

, На арзмя обнаружения отказов т существенно влияет периодичность сргвнешя сигналов в контрольных точках МП CHAT. Наиболее вфСактшшо ату проблеку гхшо решить пра синхронной работе резервных каналов. Для етого в диссертации предложена система синхронизации параллельных начислений.

В существу та в настоящее время Ш1 CHAT значение величины г обычно выбирается разработчиком система для обеспечения требуемой вероятности опасного отказа. Обеспечение заданного значения % во

многом зависит от "искусства" построения систомы, а именно, от выбора видов и количества контрольных точек, выбора реагтма работы системы, от принципов построения программного обеспечения. Задача разработчика системы с резервированием вычислительных каналов состоит в обеспечении гарантированного обнаругишл любого отказа в одном из каналов за время на более -с. При этом следует отметить, что вероятность опасного отказа на 30 - 50% зависит от значения т. Б то :кз время существующие методы испытания МП систем но позволяют достоверно определить, обеспечено ли требуомое значение % при разработке систомы. Это обусловлено тем, что в современных Ш системах ограничена возможности в физическом воспроизведении отказов элементов.

Для решения этой проблемы, в диссертационной роботе предложены методы и средства проверка достоверности функционального контроля и заданного времени диагностирования Ш СйАТ при моделировании физических отказов в микропроцессорах.

Вторая глава диссертации посвящена разработке методов

повышения достоверности функционального контроля Ш СЖАТ на базе ОЭВМ. Эти метода основаны на использовании автоматического внесения программной избыточности, пржензнпи программного и аппаратного сигнатурного анализа и аппаратных средств функционального контроля.

При разработке программного обеспечения безопасных микропроцессорных систем возникают существенные сложности, обусловленные противоречивши требованиями, предъявляемыми к нему. С одной стороны, в программном обеспечении предусматриваются срэдсгвз, повьшакдаэ контролепригодность Ш системы, диагностирующие различные периферийные устройства,

проверявшие само программное обеспечение. С другой стороны, это приводит к усложнению программного обеспечения и, как следствие, к повышению вероятной! возникновения ошибок при его разработке. Кроме того, эти средства не универсальны, разрабатываются человеком для каждого конкретного применения и, в силу этого, не гарантируют полнота проверки. Их применение требует при определении времени обнаружения отказа -с учитывать вероятность ошибки программиста.

Поэтому для повышения достоверности контроля в - работе предлагается метод, основанный да следующих понятиях.

Под контролируемым внутренним состоянием будем понимать любое состояние исправной № системы, определенное предшествующим состоянием или входными воздействиями.

Под неконтролируемым внутренним состоянием будем понимать любое состояние Ш систвщ, несоответствующее предшествующему ее состоянию или предшествующий входным воздействия!«. Неконтролируемое состояние появляется в результате возникновения ошибок в работе Ш система.

Тогда для достоверного контроля необходимо осуществлять проверку соответствия настоящего и предаэствуюцэго состояний системы, т.е. необходимо непрерывно проверять нахождение ее в контролируемом состоянии и исключить возмояность накопления ошибок.

Для выполнения етих условий предложен следупскй подход.

Множество контролируемых внугреших состояний скстейн полностью опрэдаляется: а) . системой команд ОЭШ; б) последовательность» выполнения команд, т.е. алгоритмов работа ОЭШ; в) последовательностью поступления внешних воздействий.

Под контролируемой командой для данного устройства контроля будем понимать команду, правильность процесса выполнения которой полностью проверяется данным устройством контроля, (Т.е. это команда, при выполнения которой все возникающие контролируемые состояния системы, данным устройством контроля, отличаются от неконтролируемых).

Тогда список контролируемых команд - это совокупность всех контролируемых команд, принадлежащих систем команд 03ВМ.

Список неконтролируемых команд - совокупность всех команд, принадлежащих системе команд ОЭВМ, не удовлзтворяивдх критерии контролируемой команды.

Для того чтобы обеспечить возможность использования команд из списка кэконгролируо1.!Ы2 команд, необходимо, чтобы после каздой неконтролируемой команда била шяолнеяв команда:

1. Входящая в список контролируемых команд.

2. Поаволяадая проверить результат выполнения предшествующей неконтролируемой хоксвдц.

3. На изменяющая результат наполнения предвзствупцой команды.

При этом в ярогрекяу,. рэслизукдуи технологический алгоритм,

будет внесена избыточность, пошпаввдя ез контролепригодность. Такая программа будот достоверно контролироваться 'устройством контроля. При атом произойдет сояредаш» .врэкеия обнаружения отказа т, которое теперь будет оправляться продояаягвдьпостья исполнения технологического алгоритма. ■ Время т попользуется п формуле расчета вероятности опасного отказа к его сокращение приведет к уменьшения этой вероятности,. - Таким образом, прэдашеипаЯ катод позволяет повыпать базспзслость МП ШТ.

Однако, учитывая возможность внесения овйАзй'в программу на

этапе повышения контролепригодности, процесс внесения избыточности в программу должен быть автоматизирован. С этой целью в работе предложены специализированные программные средства - компиляторы.

Компилятор анализирует программу пользователя и ищет в ней неконтролируемые данным устройством контроля команды. Обнаружив неконтролируемую команду, компилятор автоматически раздвигает операторы программы пользователя и вставляет после неконтролируемой команда команду ( или совокупность команд ), удовлетворяющую л Л - 3 описанной вше методики. После анализа всей программы пользователя, компилятор определяет количество сделанных вставок и сравнивает их общую длину с размерами первоначальной программы, определяя таким образом относительное увеличение программы пользователя.

Для предотвращения накопления ошибок в редкоиспользуемых массивах информации в работе предложена программная реализация сигнатурного анализатора для ОЭШ и методика расчета времени выполнения сигнатурного анализа..

Время, затрачиваемое на сигнатурный анализ массиве данных, определяется как:

1-1

ты " нб < мцI . *яАц > V * гда:

- количество байт р массиве; Нц - количество машинных циклов в частях программы, на таеидах логических переходов; Ндц -количество машинных циклов в 1-логическом переходе; -

количество выполнений ¿-логического перехода; ty - время выполнения одного машинного цикла.

Произведенные расчеты показывают, что время анализа массива

информации, используемого при работе линейного поста диспетчерской централизации (ЛП ДЦ) на базе ОЭВМ, составляет 10 -I5S от времени выполнения технологического алгоритма.

Существенным недостатком сигнатурных анализаторов, применяемых в настоящее время, является отсутствие контроля правильности их работы в процессе получения тестовых сигнатур. В * работе предложена аппаратная реализация полностьв самопроверяемого сигнатурного анализатора. Для этого, на осново анализа контрольных схем для кодов с постоянным весом, обладаксзп свойствами контроля входного состояния я самопроверка, получены выходные функции сумматора по модуля два, используемого в саио-проворяемом сдвиговом регистре на основе парафазншс триггеров.

Для контроля резервированных Ш СЯАТ разработаны аппаратные устройства контроля шин внутреннего интерфейса, обеслечивапцие: фиксацию одиночного отказа MI системы; различение отказов п сбоев в работе МП; надегаое отключение Ш СЗШ от объектов управления в случае отказа и перезапуск систеш при возникновении сбоя. Достоверность контроля при этом обеспэчиваэтся с помоэьа компшмдаи програггм, реализувдах технологические алгоритма, а для фиксации одиночных отказов разработана методика синхронизации устройств аппаратного контроля.

В третьей главе диссертация па основа анализа способов

синхронизации ипужьсгшх процессов, катодов построения систем синхронизации и принципов фиксации отказов в устройствах функционального контроля «форматированы требования к синхронизации тактовых последовательностей для Ш СЖАТ; предложен формализованный мэтод синхронизации параллельных вычислений для CHAT на базе ОЭШ, позволяющий осуществлять синхронизацию

параллельных вычислений в дублированных, троированных и п-кратно резервировании* МП CSAT; разработана методика расчета параметров ггрсцэссо синхронизации.

При резервировании однокристальных ЭВМ серии 1816 подача на тактовые входа всех резервных каналов последовательности сигналов от одного тактового генератора не обеспечивает их cmixpoиной работы, т.к. S каждой однокристальной ЭВМ имеются внутренние делители частота, не имехщие внешнего сброса, и, следовательно, каждый из них Может установиться произвольно; работа резервных каналов при этом будет не синхронной.

Дополнительные трудности появляются при возникновении сбоев в работе одного или нескольких резервных каналов. Синхронность работы каналов при атом нарушается, а для ее восстановления необходимы затраты времени, приводящие. к ' нарушению работы устройств функционального контроля, и, как следствие, к увеличении времени контроля т, а при длительном восстановлении -к потере актуальности управления. .

Для построения , системы .'синхронизации однокристальная ЭВМ рассматривается как "черный ящик", имеющий один тактовый вход Хд и один тактовый вьаод Yn. (п - номер резервного канала). Такой подход позволяет ' решить' задачу в общем виде и обеспечивает переносимость результатов исследования для широкого класса задач синхронизации Ш CSAT. ,

Для формализации решения задачи вводится понятие относительного опережения. Под относительным

оперетакивм/запаздываниш импульса тактовой последовательности ïn относительно ïnf1 понимается возникновение переднего и заднего фронта импульса Хп раньшэ/позне ихпульса Ïq+1 .

Такое определение связано с тем, что введение понятия абсолютного оперекепия/звпаздавания невозможно без выбора эталонной тактовой последовательности. Это приемлемо, для дублированной систеш, но при повышении кратности резервирования нежелательно, т. к. приводит к появлению "узкого места" в системе синхронизации.

Для реализации принципа относительного опережения система синхронизации строится на основе синтеза выходных логичесих схем (ВЛС) и входных схем синхронизации (ВСС). Тогда для дублированной системы появляется возможность синтезировать ВЛС, имеющую два выхода Р1 и У2, связав их с ее входами У1 и У2 так, что:

?1 « (У, ф У2) / X, или Р,' = У, * У2 у/ ^

= © У2) / Гг или ?2' = У, .12У12

Условия "черного ящша", поставлэшшэ при формулировке задачи логической синхронизации, являются достаточно жесткими, т.к. при этом невозможно точно определить какое воздействие должно быть оказано на входные тактовые последовательности Хд для изменения выходных тактовых последовательностей .Поэтому для построения ВССП предложен следующий подход.

На входа ВССП подаются три тестовых последовательности с частотами ^, 12, 13 •< Г2 < 13). Тогда ВССП могут воздействовать на входные тактовые последовательности Хд путем выбора тактовой частота, соответствувдей значению выходных функций ^ ,Р2 ВЛС.

На основе анализа временных диаграмм тактовых последовательностей и таблиц истинности для и Р2 получены выходные функции Х^ и для ВССГ и ВСС2 дублированной систеш синхронизации.

Для достижения оптимальных соотношений между свойствами систем» синхронизации и сложностью структуры ее построения в системе используется минимальное количество информации, которое необходимо для выполнения условий синхронизации.

При увеличении кратнооти резервирования до п функции Р1, ВЛС обозначены хах Р^ ,где: 1-номер первого вычислительного канала для данной ВЛС; 3-номор второго вычислительного канала доя данной ВЛО.

Для работы ВСО каждого канала в троированном варианте необходимо чтобы «а ее входа поступала информация о работе двух соседних каналов. Для этого в каждой ВСО выделено два входа и где: »-номер данной ВСО; п-номар соседнего канала

(первого соседаэго канала для первого входа п и второго - для второго входа п).

Для решения задачи сшпрошгаащаз п - каналов синтезирована ВССт такая, что при постувлэшш на ее входи логических сигналов с ВЛОд на ее выходе Хц возникает тактовая последовательность, обаспечиващая ушшыаанвэ . ' асшарониостн тактовых последовательностей роавраашс каналов и приводящая, а конечной счете, к их синхронной рабою.

Для синтеза ВСОа получанн шраазния для входных фушадай рга,п ' *5а,п а прообразовашш входных функций ^ , :

т1-рш,п ® чп 5 <8 "¿.а ® чп 5

И выражение для внходюй функция нспользукадй в качестве входных управляй»« шздэйотвлй, прообразованные входам функции "г !

м

*лш*г ф V *з тг

Для определения значений , ^ х доказательства

сходимости процесса синхронизации рассмотрена последовательность действительных чисел А0; А].; А2, ( Ад < Аг < А^) . На каждом 1 -шаге все члены последовательности преобразуются соответственно в А03* А13' А23 по следутаему правилу:

3-1 +Ап+1 3-1

--5--• гда:

3 - номер вага; а - номер члена последовательности.

Требуется доказать, что при достаточно большом числе шагов 3 член последовательности А^ бесконечно приближается к А^, а член последовательности ^ имеет предел.

Для доказательства утверждения определены переменные:

г013 ж А13 " ^33* ?огз " *гз ~ *оз' Чгз " Агз ~ А13-

Тогда для нечетного шага, когда } ■ гк + 1 , имеем:

^3 и А0 3^1 * ^пЧп 3 иля: Л>3 - А13 - ^яИп 3 А13 " А1 1-1 * Лип 3 ^3 * А13 + 3

" з-1 " 2{яип з 1

Для четного шага, когда 3 » 2Ц , к $ 8 имеем:

3-1 + 2?п1п 3 или: Чз " А13 ~ <5и1п 3 А13 " А1 3-1 " £и1п 3 : *23 " А13 + 2Е»1п 3

Ьз " А2 3-1 " ЕаШ 3

Посла вычисления значение каждого члена последовательности

пРи " с помощью критерия Коши показано, что последовательность имеет конечный предел.

Таким образом,, система синхронизации, построенная на основе описанных выше преобразований, является самостаОилизируюдейся, Частота синхронизации при атом равна значению среднего члена последовательности при 3-> « . В частном случае значения членов последовательности могут бить подобраны таким образом, что частота синхронизации Судет равна значению среднего члена последовательности при нулевом шаге синхронизации.

На основе предложенных в работе аналитических выражений разработана программа расчета параметров процесса синхронизации, позволяющая осуществить выбор оптимальных частот тактирования.

В четвертой главе диссертации предложен метод

программно-аппаратного . моделирования процессов функционального контроля и проверки безопасности МП СЖАТ при возникновении физических отказов в микропроцессоре. Синтезирована имитационная модель ОЭВМ, обесшчиванцая проверку достоверности функционального контроля в процессе исполнения технологических алгоритмов. Структура имитационной модели обобщена для синтеза алгоритмов моделирования различных типов микропроцессоров.

Отказы аппаратных средств окезывают сложное и неоднозначное влияние на программное обеспечение, поэтому без комплексного моделирования программных и аппаратных дефектов, возникающих в Ш система, невозможна адекватная проверка условий безопасности ее функционирования. Кроме того, в силу очень большого количества внутренних состояний микропроцессоров, число возможных последействий реальной неисправности практически необозримо.

В силу указанных причин рассчитать теоретически время

обнаружения отказа т в вычислительном канале весьма слокно. Кроме того, в процессе испытания ЮТ СКАТ нб безопасность необходимо проверять фактическое знвчоюго времени 1, т.к. оно используется в формуле расчета вероятности опасного отказа системы.

Для репония проблемы предложен слздудаяй метод моделирования, предполагающий рввлиавцию в даа этапа.

Сущность первого атагга заключается в следующем. Синтезируется программная модель БИС Ш. позволяющая отслеживать процессы передачи и преобразовиш информация внутри кристалла и имитировать во внутренней структура Ш1 физические дефекта, определяемые моделью ошбои.

Второй этап заключается ■ з синтезе аппаратного эмулятора (имитатора отказов), реализующего прогрздагуя .модель. Аппаратный шулятор выбранного тета Ш строится на основа програмяюй модели Ш и аппаратных средств, обесае'чиваэдзк имитация всех сигналов, возюпсакдах на внешних выводах реальной БКО МЛ в реальном масштаба времени.

Для синтеза ю/ятацаонной модели ОЭВМ использован метод декомпозиция, Внутренняя структура ОЭВМ представлена как совокупность отдельных блоков', взаимодействующее м9яду собой посредством информационных связей.

Информационная структура ОЭВМ определяет информационную структуру программной имитационной модели. Для синтеза математической модели отказов каидый элемент Информационной структур! звдается в двух состояниях: исправном и ошибочном.

Под циклом работы нотационной модели понимается процесс выполнения одной команда однокристальной ЭВМ. Тогда весь процесс функционирования имитационной модели будет определяться

информационной структурой и системой команд ОЭВМ.

Таким образом, в каждом цикле работы имитационной модели выполняются два действия: исполнение машинной команды; исполнение специальной функции.

В соответствий с приводимой в работе классификацией машинных команд, все команды подразделяются на четыре типа. Для построения модоли исполнения команды ОЭВМ синтезированы обобщайте модели всех типов команд и модели действий, выполняемых каздой командой.

Для синтеза математических моделей отказов все элементы структуры ОЭВМ разделены на три грунт. Такоо деление позволяет рассмотреть в отдельности каждую группу устройств и выделить для них характерные неисправности.

Например, для регистров хранения информации математическая модель отказа представляется следующим выражением:

RGH = л RGO v Ш1 , где:

EG;r - состояние неисправного регистра; Шп - состояние исправного регистра; EGO -, модель отказов регистра RG типа константа логического "О"; RG1 - модель отказов регистра RG типа константа логической "I".

Одной из характерных неисправностей счетчиков являются отказы, когда один из разрядов повторяет работу, предыдущего младшего разряда. Математическая модель этой неисправности имеет следующий еид:

скх = ( ск^, + 1 ) ; i?CfC = CKj л CKII ;

скн = { WCK + CKII ) л CKII v 57ск ; где:

СК1_1 - предыдущее состояние счетчика; CKj - текущее состояние счетчика; CKII - слово имитации отказа счетчика; СКН ~ состояние неисправного счетчика.

1В

При выполнении каждой команда или специальной функции ОЭВМ всо устройства, которые при этом используются, функционируют с на-ло5кеш!ом синтезированной для нзк математической модели отказов.

Процесс имитационного моделирования системы на базе ОЭВМ обеспечивается реализацией трех моделей: модели ОЭВМ, модели внешней среда и модели эксперимента.

Модель внешней среды обеспечивает задание условий Функционирования имитационной модели ОЭВМ и состоит из следующих элементов: генератора потока отказов, генератора потока воздействий и блока входных воздействий.

Блок входных воздействий. .содержит описание всех внешних сигналов, воспринимаемых моделируемой системой. Генератор потока воздействий обеспечивает преобразование внешних сигналов к виду обеспечивающему их восприятие имитационной моделью ОЭВМ.

Генератор потока отказов осуществляет последовательный выбор элементов информационной структуры имитационной модели и задание отказов з каждом из них.

Модель эксперимента включает в себя блок подготовки исходной информации, блок настройки модели, блок управления экспериментом и блок обработки результатов.

Программа, реализующая имитационную модель ОЭВМ, построена на основе представления работы микропроцессорного контроллера в виде двух комплектов программных моделей их схемных узлов и системы команд. При выполнении программы пользователя, реализующей технологический алгоритм, модель имитирует работу всех схемных узлов, участвующих в выполнении малинных команд, обоих комплектов микропроцессорного контроллера. При этом модель автоматически или под воздействием оператора организует отказы схемных узлов любой

кратности.

Внедрение полученных результатов произведено при испытаниях црогрвкнаого оооштечонмя кошлекиюй ' локомотивной систеш безопасности (КЛСВ). В процесса исшшшй шиацкокной моделью исполнялась програша, осущасташдбя тестирование МП контроллера КЛОБ, при иопелнонаи етлгалогаческото алгоритма. При проведения йопытвтй Садя задави отказы «ша коистшта "О" и тгаиствкта "Iм всех схешшс узлов ОЭВЫ, ячззк внутренней памяти дашад; к шешэй памяти программ последовательно во ео всох разрядах. Результаты 8Ш0Л80ШШ цротрачки в модели с ' оксазоваш: схожим узлом сравнивались о результатами, толучонкета в модели «спразкого

комплекта о помощью блока фшищвн. .отказа, кжгтиругщэго факсацшв

*

отказа Ш контроллера ¡СЛОВ.

В пятой главе диссертации ка основа вредлокешд: методов

синтезированы программа» в аппарата» сродства микропроцессорного контроллера ЛП, ДЩ на база ОЗБМ и показана экономическая еффективность его применения.

В последние годы основным направлением решения проблем в области автоматизации двксашя поездов охало . создание' автоматизированных центров диспетчерского управяшш . Ера этом важное значение имеет вффективноть функщкшроЕашй сзстем локальной автоматики, к которым относится Ш коатролпор ЛП ЛД.

Для повышения пропускной способности станций и участков необходимо создание СНАТ. с расшкренндад функциональней! возможностями, т.е. при создании новых систем необходимо предусматривать автоматизации тег газшбаопивскшс операций, кэторие огршшизаэт шревазочщф процесс.

ТсШ подход возшш! при комплексно» автояатизвдка

информационно-управляющих процессов с использованием средств вычислительной техники на всех уровнях управления.

Для оСоспечения бесперебойной работы линейного поста ДЦ использованы следущив средства. Тройное резервирование вачислителышх каналов микропроце с сорного контроллера; функциональный контроль в процессе исполнения технологических алгоритмов; управление информационными потоками, циркулирующими в каналах; жесткая синхронизация работы каналов; макоритирование управляющих воздействий; система восстановления и реконфигурации.

Мажоритарное резервирование по принципу "два из трех" обеспечивает правильное функционирование в случае отказа или сбоя одного из каналов посредством маасирования неисправности. Жесткая синхронизация работы каналов, предложенная автором, позволяет исключить непроизводительные затрата времени при выполнении программ, упростить проектирование программного обеспечения и обеспечить непрерывный контроль в процессе функционирования системы посредством схемы контроля. Схема контроля осуществляет проверку идентичности хода выполнения программ в каналах обработки данных путем сравнения сигналов в каздом такте работы контроллера в соответствии с методикой описанной во второй главе.

Применение микропроцессорных средств позволяет существенно повысить скорость и эффэктазность сбора и обработки информации в АДЦУ, оптимизировать процесса передачи данных, гибко изменять структуру систем при введении новнх фушадй.

ЗАКЛЮЧЕНИЕ. 1

В ходе исследований, проведэшмх в диссертационной работе.

получены следувдие основные результаты и выводы:

1. Обоснована необходимость повышения безопасности в СЖАТ локального управления и целесообразность применения в них БИС с расширенными функциональными возможностями. Сформулированны принципа обеспечения безопасности МП СЖАТ и принципы построения устройств контроля для МП СЖАТ;. Показано, что для обеспечения безопасности МП СКАГ необходам синтез методов повышения достоверности функционального •■ контроля, .построения устройств контроля и проверки достоверности контроля и безопасности.

2. Предложен метод повышения достоверности функционального контроля МП СЖАТ на базе ОЭШ, основывающийся на использовании специализированных программных средств (компиляторов).

3. Предложен метод программного сигнатурного анализа для асинхронных микропроцессорных систем и методика расчета времени его вы гашения.

4. Синтезировав аппаратный сигнатурный анализатор, обладающий свойством самоконтроля и - аппаратные средства функционального контроля, обеспечившие безопасность работы резервированной МП СЖАТ.

б. Сформулированы требования к . синхронизации тактовых последовательностей в (Ш ШТ. Разработана методика синхронизации устройств контроля, сбеспетаваодая выявление одиночной ошибки.

6. Предложен формализованный метод логической синхронизации ш СЖАТ на базе ОЭШ, позволяющий осуществлять потактовую синхронизацию параллельных = вычислений в дублированных, троированных, и n-кратно резервированных МП CSAT. Доказана сходимость процессе синхронизации и разработаны программные средства для расчета параметров процесса синхронизации.

7. Предложен метод программно-аппаратного моделирования систем функционального контроля, обеспечиваний проверку достоверности функционального контроля и проверку безопасности МП СЖАТ в процессе исполнения технологических алгоритмов при моделировании физических отказов в микропроцессоре.

В. Синтезирована имитационная модель ОЭБМ, позволяющая контролировать процессы изменения и передачи информации, происходящие в кристалле БИС, при исполнении машинных команд и дополнительных функций. Структура имитационной модели обобщена для синтеза алгоритмов моделирования различных типов микропроцессоров.

9. Сформулированы требования, предъявляемые к контроллерам локального уровня, управления в системах АДЦУ. Синтезированы программные и аппаратные средства микропроцессорного контроллера линейного поста ДЦ на Сазе ОЭВМ.

Основные результаты диссертации опубликованы в следующих работах:

1. A.c. СССР Ш542843 МКИ B61L 23/14. Бесконтактный дешифратор числовой кодовой автоблокировки. / Соколов В.И., Сапожников В.В., Сапожников Вл.В., Ностроминов A.M., Валиев Ш.К., Булавский П.Е. -N42404I0/27-II; Звявл. 04.05.87; Опубл. 16.02.90; Бал. N6.

2. A.c. СССР WI685799 МКИ G06F 11/12. Устройство контроля дуплексной вычислительной системы. / Дрэйман O.K., Гавзов Д.В., Булавский П.Е. -N4466547/24-24; Заявл. 26.07.88; Опубл. 15.09.90, Бел. ИЗО.

3. Прокофьев A.A., Булавский П.Е. Микропроцессорный программатор. -Информационный листок. N268-88,-Л:

ЛНЦ-ТИ, 1988. -4с.

4. Жированный отказоустойчивый контроллер. / Гавзов Д.В.. Котельников Д.М., Булавский П.Е. -Информационный листок. Н89-244.-Л: ЛИЦ-ТИ, 1989. -4с.

5. Булавский П.Е., Гавзов Д.В., , Котельников д.н. Повыванив достоверности контроля электронных модулей, используемых для управления ответственными технологическими процессами. /J Практика автоматизации настроечно-регулировочных и контрольно-испытательных работ в производстве изделий радиоэлектроники, приборостроения и связи, / Тез. докл.науч.-техн. семинара -Л: -1990. -с.53-57.

6. Котельников Д.М., Гавзов Д.Б., Булавский П.Е. Контроль функционирования управляющих систем на базе однокристальных ЭВМ. // Применение микропроцессоров, иикро- и персональных ЭВМ. / Тез. докл. яауч.-тетн. семинара -Миасс. -1990. -с.60-61.

7. Гавзов Д.В., Котельников Д.М., Булавский П.Е. Трэхканальный отказоустойчивый контроллер.//.Автоматика, телемеханика и связь. -1990. -с.12-15.

8. Алексеев Б.М., Гавриков S.O., Котельников д.М., Булавский П.Е. Технические сродства получения информации в ЛИЦУ. // Автоматика телемеханика и связь. - 1991. -HI2. -С.13-14.

Булавский Петр Евгеньевич

Подписано х печати es ц ¿>!>.

Формат 60x84 I/I6. Бумага для мновит. аш. Пачать офсетная. Усл. печ. д.1,5 . Тираж 100. заказ Н W4B,Бесплатно.

Типография ПГУ ПО, I9003I, Санкт-Петербург, Московский пр.,9.