автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.07, диссертация на тему:Методы и технические средства совершенствования систем автоматического торможения поездов метрополитена

МИНИСТЕРСТВО ПУТЕЙ СООБЩЕНИЯ СССР ВСЕСОЮЗНЫЙ ОРДЕНА ТРУДОВОГО КРАСНОГО ЗНАМЕНИ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ИНСТИТУТ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

На правах рукописи

ДЫКИНА НИНА ВАСИЛЬЕВНА

*

МЕТОДЫ И ТЕХНИЧЕСКИЕ СРЕДСТВА СОВЕРШЕНСТВОВАНИЯ СИСТЕМ АВТОМАТИЧЕСКОГО ТОРМОЖЕНИЯ ПОЕЗДОВ МЕТРОПОЛИТЕНА

05.13.07 - Автомгтвация технолог!- ческих процессов и производств (транспорт)

Автореферат диссертации на соискание ученой степени кандидата технических наук

Москва • 1991

Рос. Б'идуи;отеле /сясиа, /чис/^

и ей. ЗМ.Аеш^^о яр. /<(УеЛ^и//с/^СУ/ 3

2

Работа выполнена во Всесокипим ордена Трудового Красного Знамени научно-исследовательском институте железнодорожного танспорта.

Научный руководитель - кандидат технических наук, ведущий научный сотрудник Астрахан ВЛ.

Официальные оппонент; т -доктор технических наук Овласюк ЕЯ.

и кандидат технических наук Боровков Ю.Г.

Ведущее предприятие - Московский метрополитен

Защита состоится ' Ъ " С£(С/1992. Г. на заседании Специализированного совета К 114.01.01 при Всесоюзном научно-исследовательском институте железнодорожного транспорта, г.Москва, 3-я Мытищинская ул., д.10.

С диссертацией можно ознакомиться в бибдиотеке ВНИИЖТа. Отзывы на автореферат в 2-х экземплярах, заверенные печатью, просим направлять с адрес Специализированного совета. Автореферат разослан "__"_ 1992г.

Ученый секретарь Специализированного совета,

кандидат технических наук МЛДыканюк

ОБЩАЯ ХАРАКТЕРИСТИКА ДИССЕРТАЦИИ ■•'•' Актуальность темы. Решение социально-экономических проблем, стоящих перед нашим обществом, немыслимо без высоких темпов научно-технического прогресса на транспорте, в первую очередь. - на железнодорожном. Увеличение объема перевозок, интенсификация движения выдвигают новые требования к производительности систем автоматического управления движением поездов метрополитена (САУДПМ), повышают их безопасность.

Со стороны технических средств эти требования могут быть удовлетворены за счет использования передовых достижений в области информатики и связи. Внедрение современных САУДПМ, использующих микропроцессорную (МП) технику и обладающих расширенными функциональными гозможностя-ми и более высокими технико-экономическими показателям и, приводит к существенному улучшению как количественных, так и качественных показателей работы метрополитенов^

При использозанни МП в ответственных системах управления особую "актуальность приобретает Задача анализа и обеспечения безопасности их функционирования. Это объясняется тем, что, с одной стороны, невозможно априорно проанализировать все возможные отказы, возникающие в сложных электронных устройствах и их последствия. С другой стороны, даже абсолютно безопасная работа аппаратных средств не может гарантировать безопасной работы системы в целом, поскольку опасные ошибки могут быть и в программном обеспечении. При создании МП систем повышенной безопасности з дополнение к традиционным методам проектирования необходимо применять специальные подходы к построению аппаратного и программного обеспечения, направленные на сочетание необходимого уровня производительности с высокой степенью безопасности в условиях нормальной работы к при любых непредсказуемых повреждениях.

Важной задачей САУДПМ является управление прицельным торможением посздоз на станциях и в оборотных тупиках. В эксплуатируемых в

настоящее время на отечественных метрополитенах системах автоматического прицельного торможения (САПТ), входящих в комплексные системы автоматического управления движением поездов типа КСАУДП, КСАУПМ, не применяются специальные меры для 1 снижения вероятности проезда поездом станции в случае отказа или сбоя САПТ не исключают проезд поездом станции. Это обстоятельство, а также требования улучшения характеристик САПТ путем реализации адаптивного алгоритма прицельного торможения вызывают необходимость модернизации существующих САПТ.

Цель исследования: Целью работы является исследование, оценка и разработка методов построения, а также техническая и программная реализация микропроцессорной системы автоматического прицельного торможения поездами метрополитена повышенной безопасности.

Для достижения данной цели в работе поставлены и решены следующие основные задачи:

- проведен сравнительный анализ методов построения аппаратного и программного обеспечения МП систем, включенных непосредственно в цепь управления ответственным технологическим процессом (ОТП);

- разработаны математические модели поезда, САПТ и каналов связи, создана единая компьютерная модель системы;

- проведен анализ влияния помехозащищенности канала связи САПТ на показатели качества и уровень безопасности процесса управления;

- осуществлена техническая и программная реализация МП САПТ повышенной безопасности;

- разработаны методш.а и сгенд для лабораторных испытаний САПТ;

- крозедена верификация и количественная оценка уровня безопасности, надежности и технико-экономических показателей созданной системы;

- прог.едсиа проверка полученных теоретических результатов в эксплуатационных условиях.

Методы исследования. В.работе использованы методы теории вероятности и надежности, теории графов, дискретной математики, методы статистического анализа, структурного анализа, иммитационного моделирования, теории тяги подвижного состава.

Научная новизна работы. Диссертация содержит ряд новых научных результатов и технических решений в области анализа и повышения безопасности микропроцессорных систем управления движением поездов на метрополитене. Разработана методика количественной оценки и верификации безопасности микропроцессорных систем управления движением поездов метрополитена, охватывающие аппаратное и программное обеспечение. На основе статистических испытаний, проведенных с помощью комплекса компьютерных моделей, впервые исследовано влияние помехозащищенности канала связи "поезд-станция" на качественные показатели работы САПТ. Предложены принципы построения, а также разработаны алгоритмы функционирования САПТ повышенной безопасности.

Практическая ценность работы. В результате проведенных исследований сформулированы требования к построению МП САУДП. Разработаны алгоритмы работы, техническое и программное обеспечение МП САПТ поездов метрополитена. Разработанная методика оценки уровня безопасности САПТ может бьггь использована для определения количественных параметров безопасности МП систем управления на метрополитене и железнодорожном транспорте. Разработана методика, техническое и программное обеспечение стенда для лабораторных испытаний и наладки МП САПТ. Проведены линейные испытания системы на Таганско-Краснопресненской линии, подтвердившие правильность теоретических результатов работы.

Разработанные предложения по защите программными средствами системы от помех з канале сь.чзи повышают эффективность управления и безопасность авнже.чия поездов.

Предложенные методы анализа и проектирования аппаратных и программных средств могут бьпь использованы проектно-конструкторскими организациями железнодорожного транспорта при разработке и проектировании МП систем, связанных с обеспечением безопасности движения поездов.

Реализация результатов. Основные положения диссертации вошли в "Технико-экономическое обоснование", "Технические требования" и "Техническое задание" на разработку Комплексной системы интервального регулирования движением поездов на метрополитене и технические задания на разработку станционных и поездных устройств этой системы (все перечисленные документы утверждены Главным управлением метрополитенов МПС).

Вариант МП САПТ, разработагшый при участии автора, прошел успешные испытания на Таганско-Краснопреснгнской линии Московского метрополитена, что подтверждено протоколом испытаний.

Разработанные методика и стенд для лабораторных испытаний и наладки МП САПТ внедрены во ВНИИЖелдоравтомагкзации и используются при создании и наладке технического и программного обеспечения САУДПМ.

Апробация р-чботьт. Материалы диссертации докладывались на Всесоюзной научно-технической конференции "Пути -и методы ускорения научно-технического прогресса на метрополитенах страны" (Московский метрополитен, 1987г.), а также на научно-технических совещаниях отделения Связи и СЦБ ВНИИЖТа, отделения Автоматики и телемеханики ВНИИЖА.

Публикации. По результатам проведенной работы опубликовано пять печатных работ к получено авторское свидетельство на изобретение.

Структура ч объем работы. Диссертация состоит из введения, четырех глав, заключения, списка литературы и пяти приложений.

Общий объем составляет 218 страниц, текстовая часть работы изложена на 149 страницах и содержит 7 таблиц, 65 рисунков. Список литературы содер:кш 102 наименования.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается важность и актуальность темы диссертационной работы, сформулированы вопросы, подлежащие исследованию, показана цаучная и практическая ценность работы.

Первая глава посвящена анализу эволюции и методов построения микропроцессорных систем управления повышенной безопасности. В работе использован вероятностный подход к анализу безопасности. Безопасность определяется как вероятность возникновения инцидента с опасными последствиями через определенный промежуток времени при условии, что в начале этого интервала система была исправна. В рамках этого подхода сформулирована цель работы - построение МП САПТ с интенсивностью опасных отказов, не превышающей установленной величины. Американо-канадский проект (1989г.) по разработке автоматических систем управления движением поездов устанавливает, что в устройствах, работа которых связана с безопасностью, граница интенсивности опасных отказов должна составлять не более 10 . Эта величина и принята в настоящей работе за требуемую.

Рассмотрены базовые концепции построения безопасных систем, применявшиеся на разных этапах развития устройств железнодорожной азтоматики в отечественной и зарубежной практике. Можно выделить два основных подхода к обеспечению безопасности:

- исключить возможность возникновения отказов и разработать идеальную систему без отказов;

- допускать возникновение отказов, но применять специальные методы для снижения вероятности появления отказов, которые могут вызвать угрозу безопасности.

При построения МП безопасных систем приемлем только второй подход. Методы обеспечения безопасности МП систем базируются в основном на принципе дублирования аппаратных и(нли) программных средств, а также ка принципе их непосредственного взаимодействия на разных уровнях

иерархической структуры системы. Это позволяет обеспечить работу системы в целом с высоким уровнем безопасности.

Рассмотрены следующие классы систем: одноканадьные с временной избыточностью, дпухканадьные синхронные, асинхронные, асинхронные с перекрестным контролем, мажоритарные асинхронные, синхронные микрокомпьютерные системы. Проведен качественный анализ, в резул ьтате которого определены достоинства и недостатки, обуславливающие возможность и целесообразность применения этих систем в конкретных проектах.

Для основных базовых структур аппаратного обеспечения выполнен сравнительный анализ на основе вероятностных оценок безопасности S(t) и надежности R(t). Принято, что распределение времени безотказной работы одноканальной базовой структуры подчиняется экспоненциальному закону, ß качестье показателей надежности и безопасности выбраны среднее время наработки на отказ MTBF и среднее время наработки на опасный отказ MTBDF: MTBF = R(t)dt; MTBDF = S(t)dt.

В результате анализа разных структур МП систем получены выражения для MTBF и MTBDF (табл.1). А- средняя интенсивность отказа системы, D - время обнаружения отказа, Т - время устранения отказа, Q - вероятность возникновения симметричного отказа в параллельных каналах, R - вероятность формирования верного результата в случае возникновения двойной ошибки.

Анализ полученных выражений показывает, что добавление блоков резервирования не повышает безопасность системы. При мажоритарном контроле увеличение общею количества каналов при неизменном числе каналов, достаточных для принятия решения, уменьшает безопасность. В то же время надежность системы при введении резервирования и увеличении общего количества каналов существенно повышается. В частности, структура "2из2" без резервирования - наименее надежная и наиболее безопасная.

Безопасность и надежность различных МП спуктур

Структура МП системы

Ж1Е

МТВРР

Одноканальная система с временной избыточностью

Двухканальная с временной избыточностью

Двухканальная с пространственным дублированием каналов

Двухканальная с пространственным дублированием п горячим резервом

Трехкаяальная с испочьзованием мажори гарного детектора Четырехканальная система с голосованием "2из4"

?/[8Ш-е-уг)] 1/ГбХ(1-<?-?Х7)]

1/2А

'Ш-е'»)] Ути-е'Ь]

Принципы построения безопасного аппаратного обеспечения (АО) могут быть перенесены и ка программное обеспечение (ПО), но при этом необ-

ПО не подвержена сбоям и старению - все неисправности ПО - это отказы, а точнее ошибки, допущенные на этапе разработки. В диссертации предложена классификация ошибок ПО. Разработать ПО, свободное от ошибок, практически невозможно, однако существуют методы, направленные как на уменьшение общего количества ошибок в программе, гак и на повышение безопасности НО. При оценке надекяосги системы не рассматриваются и, следовательно, не учитываются концептуальные ошибки и ошибки спецификации, так как надежность определяется как вероятность успешного выполнения функций в течение определенного времени и при определенных условиях. Рассматривая же безопасность, нельзя не учитывать ошибки спецификации, так как и эти ошибки могут повлечь за собой катастрофические явления. Проанализированы такие методы обеспечения безопасности ПО как избыточность, мониторинг состояний системы, использование экспертной системы, тщательная организация и контроль всех этапов процесса разработки. Наиболее часто используется [сбыточное ПО. Проведен сравнительный анализ избыточного ПО, построенного на разных принципах. Для анализа использована упрощенная модель системы Г/О вход-лрограмма-зыход.

ходимо учитывать, что природа неисправностей АО и ПО различна. Работа

Некоторый алгоритм выбирает точки из входного пространства I, программа обрабатывает их и формирует результат, попадающий в одну из областей выходного пространства О. Во входном пространстве выделены области формирования верного результата G, неверного результата F и отсутствия результата N. Для каждой версии ПО области F,G,N свои. Поведение программы определяется входным вектором I и некоторой функцией отображения f: 0=f(I). Так как все версии ПО разработаны на основе одной и той же спецификации и будут работать в одной и той же среде, то входное пространство I для всех версий одинаково. Но из-за наличия ошибок каждая версия по-своему отображает I в О. Таким образом, существует^: I->0,; f,: 1->02; .„; f,: где п - количество версий ПО.

В соответствии с произведенным разбиением пространства 1 введем следующие вероятностные оценки:

Pg - вероятность того, что программой будет сформирован верный результат; Pi - вероятность того, что программой будет сформирован неверный результат;

Ря - вероятность того, что в результате работы программы не вырабогается никакой результат (отсутствие результата на выходе). При этом очевидно, что Pg + Pf + Pn = 1

Надежность R и безопасность S ПО могут быть оценены через эти вероятности следующим образом:

R = Z - Рп - A -Pf , S = 1 - В Pf - С Рп, 0 £ А.В.С где А -доля ошибок, приходящаяся собственно на программу, без учета ошибок, проявляющихся при нерасчетных условиях работы; В - фахтор, учитывающий, что не все неверные результаты опасны: С - фактор, оценивающий, какая часть области отсутствия репльтатов может привести к опасной ситуации.

Численные .значения факторов А, В, С определяются внешними условиями, значения же вероятностей РГ, Рп, Pg зависят от внутреннчх характеристик самой управляющей системы.

Для сравнения надежности и безопасности ПО систем, построенных на разных принципах, используются диаграммы Венна. Состояния ПО на диаграммах описываются при помощи аппарата теории множестз или булевой алгебры. На диаграммах определяются области, соответствующие неработоспособным и опасным состояниям системы. Вероятности попадания в эти области определяют надежность и безопасность ПО. В табл. 2 приведены полученные выражения для оценки безопасности и надежности систем. базпрую;::и>.ся :а разных стратегиях голосования. Здесь ^-коэффициент, отражающий долю идентичных отказов из множества пар одновременных отказов двух версий ПО; д- коэффициент, характеризующий степень взаимосвязи трех версий ПО <ГУ$1). Естественно предположить, что

Р > О, 1-(Р+0) < Р+О и . Тогда по Данным табл.2 можно выстроить

следующие по-ледозательности увеличения безопасности и надежности: < 3., < Я. . < в., , = Б., ,,,< Я, .;

Анализ приведенных последовательностей показывает, что уменьшение фактора В увеличивает безопасность сильнее, чем уменьшение фактора С. Существенное влияние на показатели оказывают коэффициенты ^ н <6~. Приближение этих коэффициентов к 1 резхо снижает уровень безопасности системы и улучшает надежность рассмотренных вариантов построения ПО.

Вероятностные оценки безопасности и надежности ПО.

Стратегия голосования Величина оценки безопасности Величина оценки надежности

"1из1" 1-В'0-С-(1-0-Р) Р+0-(А-1)

"2из2" 1-В • о3/-С- (1-2 - Р-2 о +Р -ь^+г-р-о)

"(2из2)+Г 1-В 0-(1-Р^ го2- УО)--С-(1-Ра- Г0г)(1-0-Р) -(1-Р-ОМ1-Р*- 5"Оа)

"(2из2) " 1-В 5"Ог-С (1-2- Р-2-0+ +Рг+у Ог+2'Р(?) 1-(1-Ра-уО\- л

"2изЗ" 1-В-(3 ГО:г-2^03)-С-(1-3-Р'г--3 Г О -+2- Р ^2<Г03-6- Р- О <Г +6 ГР-О^+б-Р^О) (А-,1)(2^03-ЗХ0г)+ +3'Р -2-Р

"ЗизЗ" ЬВ£з-С(1-ЗР-30+ЗР2,+ , +ЗГ0г+б-Р-0 -З-Р^О-ЗГР- О -Р*-сГо\ ' Р3-^(А-1)

Во второй главе предложена интегрированная компьютерная модель САП Г, которая, в отличие от ранее разработанных моделей, позволяет исследовать показатели качества работы системы в целом в зависимости от особенностей функционирования отдельных подсистем. Кроме того, модель допускает настройку парамегров программных кривых с целью достижения требуемого качества торможения. Качество системы оценивается по двум основным показателям: точности остановки и времени торможен>1я поезда. В работе исследована зависимость точности остановки поезда и времени торможения от характеристик помехозащищенности канала связи "поезд-станция". Искажение, возникающие р. канале связи (КС) "поезд-станция", оказывают более существенное влияние на качество функционирования системы, чем искажения в канале "станция-поезд" в котором на поезд передается более мот-

ный сигнал. Наибольшее число ошибок в КС возникает из-за наличия им-♦

пульсных и гармонических помех от тягового гока и кратковременных перерывов связи (из-за колебаний подвижного состава и др.). Моменты возникновения или исчезновения помех косят случайный характер. Система состоит из четырех взаимодействующих между собой моделей: поезда в режиме торможения, системы управления торможением, канала связи, генератора помех в канале связи. В свою очередь, математическая модель поезда в режиме торможения включает подмодели: движения поезда, тиристорного регулятора тока, электропневматичгского тормоза, авторежимного устройства, электрического реостатного тормоза, основных и дополнительных сил сопротивления движению поезда, схемы самовозбуждения двигателей. Модель может быть настроена на параметры тормозных средстз вагонов любого типа.

Движение поезда описывается дифференциальным уравнением:

*)•/>/( *+][). О)

где Б - тормозная сила поезда;

\У - сила сопротивления движению поезда;

О - масса поезда;

V - скорость движения поезда;

уЗ - постоянный коэффициент размерности;

- коэффициент инерции вращающихся частей. Уравнение решается с помощью метода Эйлера.

Модель системы управления торможением реализует адаптивный алгоритм управления торможением поездов метрополитена, позволяющий дополнительно учитывать нагрузку каждого поезда, его тормозпые свойства и обеспечивать возможность одновременного управления на линии составами нескольких типов.

Разработанная модель генератора ошибок в КС 'поезд-станция" позволяет вносить в канал искажения следующих типов: исчезновение, возникновение/дробление, временной сдвиг сигнала(сигналов). Ошибки могут

иметь различную кратность, моменты их возникновения могут подчиняться равномерному, нормальному и экспоненциальному законам распределения, что обеспечивается специально разработанным генератором случайных чисел.

Система моделирования реализована на компьютере Labtam серии 3000, работающем под управлением операционной системы Concurrent DOS. Все программы написаны на языке PASCAL в среде программирования TURBO-PASCAL. Система состоит из:

- дзух независимых процессов, параллельно выполняющихся на одном компьютере (моделирование движения поезда и моделирование системы управления торможением);

- модели передачи сообщений между указанными процессами посредством механизма очередей;

- модели внесения искажений в канал связи.

Результаты работы модели записываются в файлы для построения кривых торможения и последующей статистической обработки.

При проведении на модели статистических испытаний, системы торможения скорость въезда поезда варьировалась в пределах от 30 до 68км/ч, загрузка вагона - от 0 до 24т, что соответствует реальным условиям эксплуатации поездов метрополитена. Статистика набиралась по четырем вариантам, различающимися кратностью (один, два) и типом (исчезновение, возникновение) искажения. По каждому варианту проведено около 2800 испытаний. Статистические показатели испытаний представлены в табл. 3. Анализ результатов позволяет сделать ряд выводов. В частности, система более устойчива к ошибкам типа исчезновения; с точки зрения безопасности возникновение лишнего сигнала(ов) менее опасно, чем исчезновение; при однократной ошибке вероятность остановки поезда в заданных пределах составляет 0.81, а при двукратной - 0.71.

Статистические оценки точности остановки поезда

Тип искажения Среднее по выборке Среднеквадратичное отклонение Относительная частота остановки в [+1м,-1м] Кол-во наблюд.

Кратность 1 исчезновение возникновение Бе -0.13 0.28 3 блока помехо 0.78 0.90 защищенности 0.8124 0.8017 2617 2481

Кратность 2 исчезновение возникновение -033 037 0.87 1.09 0.7232 С.7И5 2952 2863

Кратность 1 исчезновение возникновение С -0.04 -0.02 элоком помеха" 0.66 0.74 ■ ащищенности 0.8740 0.8460 2953 2967

Кратность 2 исчезновение возникновение -0.05 0.02 0.68 0.77 0.8711 0.8289 2910 2974

Для улучшения качества функционирования системы при воздействии на нее потока ошибок, в КС "поезд-станция" введен блок защиты от помех.

Каждый сигнал, принимаемый из КС, анализируется на достоверность. Если блок выявляет помеху, он корректирует отслеживаемые координату, скорость и время от начала торможения. Для системы со встроенным блоком защиты от помех проведен аналогичный комплекс статистических испытаний (табл. 3). Для приведения случайной величины X к нормальному закону распределения применено логарифмическое преобразование: ХГ=1^1(Х1+3)100]. После этого возможен регрессионный анализ данных, с помощью которого исследована зависимость точности остановки поезда от скорости въезда поезда на участок торможения V и загрузки вагона М. При разных типах искажений получены следующие уравнения pc.~pecc.in: ¿Я =-0.0228"^ +0.0195'М +0.8820- одиночная ошибка типа возникновение; сВ =-0.0248'V+0.0209 *М +1.0063 - двойная ошибка типа возникновение; (15 =-0.0189,\'+0.0160*М+0.7049 - одиночная ошибка типа исчезновение; (13 =-0.0216*У+0.0154*М +0.8416 - двойная ошибка типа исчезновение.

Для всех четырех статистических совокупностей были составлены матрицы корреляции. Корреляционный анализ подтвердил, что безопасность системы тем выше, чем меньше скорость въезда поезда на участок торможения.

Сравнительным анализом распределения частот точности остановки поезда и показателей описательной статистики установлено, что ввод в систему блока помехозащищенности существенно улучшает качественные характеристики системы б условиях действия помех в канале связи.

В третьей главе рассмотрены схемотехнические и программные варианты реализации САПТ повышенной безопасности. Сформулированы основные принципы построения САПТ: аппаратная и алгоритмическая избыточность, использование структурных и безопасных методов построения ПО, динамическое формирование ответственных управляющих и тестовых воздействий, непрерывный тестовый контроль всех функциональных узлов МП и цинический контроль функциональных блоков системы, гальваническая развязка цепей передачи данных. На основе этих принципов разработаны алгоритм работы, АО и ПО МП САПТ. Базовая структура системы включает встроенный в станционное оборудование микроконтроллер (МК) - микро-ЭБМ Электроника К1-20. Для измерения пройденного пути используется напольный шлейф с постоянным шагом скрещивания проводников, индуктивно связанный с поездом. Входные сигналы от шлейфа поступают на входы прерываний МК через приемник фазоманипулированных сигналов. Для передачи управляющих команд с МК в поездные устройства используются два выхода: тестовый и командный, сигналы с которых поступают в блок передачи хоманд управления с выходов параллельного периферийного адаптера микро-ЭВМ через полосовые фильтры и схемы гальванической развязки. Подтверждением исправности МК является генерация последовательности импульсов фиксированной частоты ! 1 на контрольном выходе. Команда ''торможение" кодируется статическим уровнем на командном выходе, а команд? "отмена торможения" - динамическим сигналом фиксированной частоты 12 на том же командном, выходе.

САПТ работает так, что нормально в шлейф без скрещиваний поступает сигнал с частотой fr, соответствующей команде торможения. Эта частота сменяется частотой fcrr, кодирующей команду отмены торможения, только в том случае, если этого требует алгоритм торможения, и тестовая система не выявила неисправностей в работе основных функциональных блоков.

Комплекс программного обеспечения включает процедуры стартового тестового и фонового контроля, приема входных импульсов от приемника фазоманипулированных сигналов, реализации адаптивного алгоритма прицельного торможения и формирования выходных сигналов. В тестовое обеспечение входят полный и фоновый тесты ОЗУ, тест ППЗУ, микропроцессора и входных/выходных цепей МК.

Рассмотрены три варианта построения системы. В первом варианте постоянно работают два МК, един кз которых подключен к управляющим цепям. В случае обнаружения неисправности б управляющем МК, к цепям управления подключается резервный МК. Во втором варианте, кроме контроля за исправностью управляющего комплекта, производится постоянное сравнение результатов работы двух МК. Предложена схема компаратора, принцип работы \

которого заключается в распознавании типов управляющих команд, сформированных МК, и сравнении их с учетом асинхронной работы кемплектав. В третьем варианте к базовой структуре системы добавлены специально разработанный аппаратно-программный блок моделирования к схема выбора режима. Последняя выявляет факт отсутствия поезда на участке торможения и разрешает работу блока моделирования, который имитирует движение ползла над диагностическим шлейфом с помощью генератора, одновременно воспринимая управляющие команды с МК. Использование диагностического режима работы позволяет в отсутствие поезда на участке торможения проверить исправность работы основных станционных блоков и своевременно принят, решение о переходе на резервный компчект или о полном выключении системы и формировании команды "торможение".

Предложена методика настройки и испытаний системы в лабораторных условиях, на основе которой разработан стенд для отладки САПТ. Стенд включает в себя МК К1-20, реализующий адаптивный алгоритм прицельного торможеиия, МК К1-20, реализующий блок моделирования в диагностическом режиме и персональный компьютер IBM PC/AT, моделирующий движение поезда на участке торможения и обеспечивающий накопление, обработку и представление данных по получаемым тормозным реализациям. При таком подходе лабораторная реализация диагностического режима практически совпадает с реальными условиями работы на станции. Точная настройка МК К1-20, реалюующего алгоритм управления, производится с помощью полной модели торможенга поезда, заложенной в персональный компьютер (комплекс Kl-20 - IBM PC/AT). Точность остановки и время торможения, полученные в диагностическом режиме, служат основой для принятия решения о работоспособности основных станционных блоков.

С целью экспериментальной проверки результатов теоретических и лабораторных исследований были проведены испытания МП САПТ на Таганско-Краснопресненской линии Московского метрополитена, которые показали, что САПТ выполняет возложенные на нее функции.

Четвертая глава посвящена верификации безопасности аппаратного и программного обеспечения МП САПТ, Для АО разработана методика количественной оценки безопасности, основанная на применении цепей Маркова. Обобщенная диаграмма состояний системы приведена на рис.1:

Вероятность опасного отказа системы определяется вероятностью ее нахождения в состоянии S4.

Анализ диаграммы состояний показывает, что САПТ относится к классу систем с переходными состояниями. Стохастический процесс функционирования системы характергауется матрицей А = (X/J) интенсивностей перехода Все множество состояний системы разбито на два подмножества. Подмножество Sj включает только переходные состояния, подмножество S>2 - поглоща-

ющее состояние. Среднее время перехода системы из Б} в !>2 задает среднее

время до возникновения опасного отказа.

МТВОР = -1Т Д ~ -Р,(0), (2)

где через 1т - обозначен вектор-столбец, все компоненты которого равны единице;

Р^(0) - вектор начальных условий для подмножества (1,0.0).

МТВОР= (/гг Ъ^л,, (3)

Выражение для определения величины среднего времени до возникновения отказа МТВР в предположении, что состояние 53 является поглощающим,

выглядит следующим образом:

МТВР = + <4>

.Для определения вероятности нахождения сисгемы в каждом состоянии

составляется система дифференциальных уравнений Колмогорова первого

порядка в виде:

ЙР <0 г „

- = Р (0*/1 , (5)

й\ —

где Рт(0 - вектор-строка вероятности, в котором Р^), ] = 1 -.4 есть

вероятность нахождения системы в состоянии Б] в момент времени I.

Диаграмма пс&елепил одкокпнадьмоп микропроцессор» юг» САПТ

\ правильной .5/ ] фунвяшенироалгше

ютгрз

Оу I (ЕЮШ т£К! ГЧШ из

Осз ГД.ГГ--!

мм л

Вектор начальных условий для решения системы дифференциальных уразкений имеет вид: Р(1)1=0={Р1(0),Р2(0),Рз(0),Р4(0)}={ 1,0,0,0}. С помощью прямого и обратного преобразования Лапласа однозначно определяются функции Р ¡О):

(А* «<)/?.)(А~(К*)/2) , К-[А )/2) !< (1с+К)/2 -А) >

с-х

р2(0= у -Г

6 ¿2/? -с-/0(гд-с+к)~

(2А -С-Х)(2А-С+К)~ Х(2/)-С +К)

-

__, . /о '

/< !2А-С-/<)

-г ЗуМ-С-К ш е ' *}Г^*J

у ■ * -

Г гуи-с,к - '¡г'^ - 1

где В . К • ,С=3+/*.

Функция безопасности задается в виде: 5(1) = ^ (51 и Б2 Ь БЗ)} для всех 1 £ [Од], а функция надежности: Я(1) = Р{Х;6 (51 и 52)} для всех ¡£ [Од].

Для вычисления количественных показателей определены конкретные значения интенсивностсй переходов. С этой цепью для каждой интенсивности построено дерево неисправностей, устанавливающее последовательность событий, приводящих к целевому состоянию. В результате анализа деревьев неисправностей и количественной оценки их составляющих получены следующие числовые значения:

I < -6*1 -7 I -У

= 8-3-10 , Х,л - 3.443• 10 . 0.17-10 , Д/= 0.52-10

Подставив полученные значения/! у в формулы (3,4), имеем: МТЕБИ =5.889-7О * МТВР = 2. У /О

С учетом этих значений вычислены показатели надежности и безопасности для системы САПТ с горячим резервировгнием и для двуканальной системы со схемой сравнения выходных данных. Результаты вычислений сведены в табл. 4.

По такой же методике определены показатели надежности и безопасности базовой структуры, системы с горячим резервированием и двухкакаль-кой системы со схемой сравнения выходных результатов для модифицированной САПТ с дополнительным блоком моделирования (табл.4).

Таблица 4

Числовая оценка безопасности и надежности вариантов САПТ

Структура системы МТВЭР МТВБ

"1 из Г 5.9-1С? 2.9-105

"2 из 2" 6.4-107 1.4- 1С?

"1 из 2" * 5.9-10 7 4.4-1С?

"1 Г с бл. мод. 3-5-1$ 1.6-105

"2 из 2" с бл. мод. 3.6-1$ 0.8- 1С?

"1 из 2" с бл. мод. " 2_5 1С?

Сравнение количественных показателей для разных структур показывает, что введение блока моделирования заметно улучшает безопаснскть снс' темы. Безопасность систем типа "2из2" можно существенно улучшить, используя для построения схемы сравнения элементы с односторонними отказами.

Важным этапом анхтнза и оценки безопасности МП системы язляется верификация безопасности ПО на разных сталиух жизненного цикла системы - доказательство того, что работа ПО не приводит опасному состоянию. Верификация выполнялась методами временной логики, методом ачал1!за дереза отказов и с помощью сетей Петри. В методе временной лотки (НТЬ|

динамическое поведение системы описывается временными причинно-следст-Еенныыи утверждениями. Утверждения RTL - это булевы функции, определенные на последовательности состояний и построенные с использованием обычных логических операторов. Для придания свойств реального времени в модель системы включаются "часы", работающие постоянно. Для построения RTL-модели САПТ вся зона торможения разбивается на две: опасную и безопасную. Требование безопасности заключается в недопустимости выдачи команды "Тормоз Г во время нахождения поезда в опасной зоне. После задания последовательности утверждений и начального состояния системы, методом от противного доказана противоречивость утверждений, приводящих к опасному состоянию. Анализ безопасности системы ПО проводился при условии, что аппаратное обеспечение исправно, и все формулы процесса управления корректны.

С помощью анализа дерева отказов ПО исследовано поведение системы при наличии ошибок не только в ПО, но и в АО. .Для ПО САПТ пос троено дерево отказов ПО. Анализ дерева отказов показывает:

- логическая структура ПО исключает возможность опасных отказов;

- возникновение опасной ситуации возможно в случае наличия определенного, нераспознанного тестовой системой, отказа в А.О системы, либо при сбоях б работе КС "поезд-станция", что подтверждает целесообразность применения тщательного тестового контроля и мер повышения помехозащищенности КС.

Динамическое поведение ПО САПТ моделировалось с помощью дискретных во времени сетей Петри. При составлении сети выделено четыре подсистемы: поезд, канал передачи информации, управляющая машина, оконечные устройства. Задано множество состояний переходов и начальная маркировка ссти. В ходе анализа сети построен граф достижимых состояний системы, среди которых выделены опасные состояние. Рассмотрены маршруты, приводящие систему к опасным состояниям. Дла каждого маршрута показано, что условия его реализации возникают на этапах, не влияющих на безопасное

торможение поезда. В сеть введены отказы разных типов. Анализ сети Петри с отказами позволяет отделить маршруты, алгоритмически правильно приводящие к выдаче команды "отмена торможения", от ложных маршрутов.

Помимо верификация проведен анализ сложности ПО, в результате которого на ранних стадиях разработки ПО выявлены места наиболее вероятной локализации ошибок. Для этого использована такая мера сложности, как цикломатическое число графа программы. Для САПТ определена сложность компонент ПО системы. Модули с большой сложностью разбиты на подмодули с низкой сложностью. Анализ графов модулей позволил также составить оптимальные маршруты тестирования.

Заключение- В диссертационной работе исследованы и разработаны методы и технические средства совершенствования МП систем автоматического прицельного торможения поездов метрополитена с точки зрения повышения их безопасности и надежности и получены следующие научные и практические результаты:

1. Проведен анализ безопасных систем. Выявлены особенности применения безопасных систем в управлении ответственными технологическими процессами (ОТП) движения поездов метрополитена.

Определены допустимый уровень безопасности для систем автоматики на метрополитенах, а также минимальная й максимальная границы допустимой интенсивности опасных отказов. ,

2. Проведено исследование методов обеспечения безопасности систем управления ОТП, используемых три проектировании аппаратного к программного обеспечения. Проанализированы преимущества и недостатки каждого метода. Предложен вероятностный сравнительный анализ показателей безопасности и надежности для систем управления ОТП, позволяющий выбрать систему с заданным уровнем безопасности и надежности.

3. Предложена обобщенная модель системы программного обеспечения, использующая диаграммы Венка, на оснсвс которой выполнен сравнительный

анализ вероятности безопасной и надежной работы систем ПО для разных избыточных структур.

4. Разработана и реализована математическая компьютерная модель САПТ, в состав которой входят подмодели: движения поезда в реж мс торможения, системы управления прицельным торможением, канала св зи ч генератора искажений в канале связи. Модель позволяет в диалоговое режиме исследовать зависимость качества функционирования системы от алгоритма управления торможением и структурных особенностей ее построе ия. Исследовано влияние типа, кратности и момента возникновения искажение в канале связи "поезд-станция" на качественные показатели процесса тормож ния при разных скоростях въезда и массе поезда.

5. На полученной модели проведен комплекс статистических испытаний. Обработка экспериментальных данных проводилась методзАГ! описательной статистики, корреляционного и регрессионного анализа. Средняя вероятность остановки поезда в дкапозоне [-1.0м_+1.0м] по всем вариантам составляет 0.76, а среднеквадратичное отклонение точности остановки по всем выборкам - 0.!

6. С целью дальнейшего повышения надежности и безопасности САПТ разработан дополнительный блок защиты от помех в канале связи "поезд-станция". Проведенные статистические испытания САПТ с блоком защиты показали, что средняя вероятность остановки поезда в диапозоне [-1.0м..+1.0м] по всем вариантам составила 0.85, а среднеквадратичное отклонение точности остановки по всем выборкам - 0.7.

7. Разработано и испытано аппаратное и программное обеспечение САПТ, включающее комплекс управляющих программ и набор тестовых процедур. Предложен принцип формирования и выдачи управляющих и тестовых воздействий,- повышающий безопасность системы. Проведенные испытания системы и ее программного обеспечения на Таганско-Краснопреснечской линии Московского метрополитена подтвердили правильность разработанных в диссертации теоретических положений.

8. Для повышения степени безопасности системы разработан вариант САПТ с пополнительным аппаратно-программным блоком моделирования движения поезда, реализованным на одном МК типа К1-20. Оригинальность данного устройства защищена авторским свидетельством.

9. Разработаны методика и стенд для лабораторных испытаний и наладки безопасной САПТ, которые используются при создании аппаратного и программного обеспеченья системы.

10. Проведен количественный анализ предложенных вариантов построения САПТ с целью определения среднего времени до возникновения опасного отказа MTBDF и среднего времени до отказа MTBF. Для количественной оценки предложен метод пространств состояний в сочетании с методом анализа дерева неисправностей. Показано, что для системы типа "1из2" с дополнительным блоком моделирования MTBDF=3.5" 108 , a MTBF-2.5'11? .

11. Исследованы методы доказательства безопасности ПО и выполнена верификация безопасности ПО САПТ методами временной логики, сетей Петри и анализа дерева отказов. Предложен метод предварительного анализа сложности модулей IIO и определения наиболее эффективных тестовых маршрутов.

12. Основные положения и выводы диссертации включены в документы "Технико-экономическое обоснование", "Технические требования" и Техническое задание" на разработку комплексной системы интервального регулировании движения поездоЕ на метрополитене и Технические задания на поездное и станционное устройства системы, утвержденные Глаьным управлением мет^ро; ютите нов МПС.

13. Разработанный комплекс технических и программных средств для САПТ будет использоваться в САУДПМ Москозского и других метрополитенов страны.

Основные, положения диссертации опубликованы в следующих работах:

1. Комков ЕЛ., Королев ЕШ_, Дыкина Н.В. Система дистанционного управление прицельным торможением поездов метрополитена // Сб.науч.тр. Автоматизация управления движением поездов метрополитена/ М.:Транспорт,1987,- с.55-62.

2. Дудниченко А.М, Астрахан В.И., Комков Е.В., Дыкина Н.В. Методы адаптивного управления движением поездов метрополитенов и их влияние на повышение качества перевозочного процесса // Краткие тезисы докладов научно-технической конференции Пути и методы ускорения научно-технического прогресса на метрополитенах страны 27-29 мая 1987г./ЦНИИТЭИМПС, 1987,с.56

3. Дыкина Н.В. Влияние помехозащищенности 'канала передачи информации на качество управления торможением поездов метрополитена / Вести.! ВНИИЖТ,-1990.-N2.-c.ll-15. 1

4. Дыкина Н.В. Методы повышения безопасности микропроцессорных систем управления / ~ Сб-науч.трудов ВНИИЖТ Ускорение научно-технического

прогресса на метрополитенах страны./М.: Транспорт, 1990.-C.73-82.

5. Дыкина Н.В. Безопасность и надежность систем программного обеспечения с избыточностью /Вестник ВНИИЖТ,-1991.-N2.-c. 44- 47

6. A.c. 1699120 В61 L3/02. Модифицированное устройство для управления торможением поезда метрополитена/ В .И Астрахан, Н.ВДыкина, Е.В.Комков, В.М-Малинов, А .И.Беляев. Заяш1.12.12.89 N 4781743. Опубл. 15.12.91 БИ N46.

Подписано к печати 10.12.91 г. Формат бумаги 60x90 Т/Тб Объем 1,6 п.л. Заказ' 637. Титэа-к 100 экз. Типограф ШИИУТ

З-МитичинскаяЛО. .