автореферат диссертации по транспорту, 05.22.07, диссертация на тему:Обеспечение функциональной безопасности на примере микропроцессорной системы управления преобразователя собственных нужд на электровозе постоянного тока

На правах рукописи РОГОЖНИКОВА ОЛЬГА ВЛАДИМИРОВНА

ОБЕСПЕЧЕНИЕ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ НА ПРИМЕРЕ МИКРОПРОЦЕССОРНОЙ

СИСТЕМЫ УПРАВЛЕНИЯ ПРЕОБРАЗОВАТЕЛЯ СОБСТВЕННЫХ НУЖД ЭЛЕКТРОВОЗА ПОСТОЯННОГО

ТОКА

Специальность 05.22.07 - Подвижной состав железнодорожных дорог, тяга поездов и электрификация

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

003474065

Москва, 2009

003474065

Работа выполнена в «ОКБ Автоматика» филиале Федерального государственного унитарного предприятия «Научно-производственное объединение автоматики имени академика Н.А.Семихатова» (ФГУП «НПО автоматики»).

Научный руководитель - кандидат технических наук Никифорова Нина Борисовна

Официальные оппоненты:

Ведущее предприятие: Московский государственный университет путей сообщения (МИИТ)

Защита диссертации состоится «30» июня 2009 в 10 часов на заседании диссертационного совета Д 218.002.01 при Открытом акционерном обществе «Научно-исследовательский институт железнодорожного транспорта» (ОАО «ВНИИЖТ») по адресу: 129851, г. Москва, ул. 3-я Мытищинская, д. 10, зал Ученого совета.

Автореферат разослан «29» мая 2009 года.

С диссертацией можно ознакомиться в технической библиотеке института.

Отзыв на автореферат в двух экземплярах, заверенный печатью учреждения просим направлять в адрес института.

Ученый секретарь диссертационного совета

Д.В.Ермоленко

доктор технических наук, профессор Мугинштейн Лев Александрович (ОАО «ВНИИЖТ»)

кандидат технических наук

Кучеров Станислав Владимирович (ЗабИЖТ).

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы. Современные электровозы содержат микропроцессорные системы управления (МПСУ), осуществляющие управляющие функции как по отношению ко всему электровозу, так и к его отдельному оборудованию. Они позволяют реализовывать лучшие потребительские свойства: тяговую и тормозную силы, управляемость, экономичность. Однако программное обеспечение МПСУ несет в себе возможность новых, ранее не регистрируемых и не прогнозируемых отказов, ошибок и сбоев.

Одним из основных условий успешного внедрения МПСУ является обеспечение необходимого уровня безопасности. Принятие решения о том, что система соответствует уровню безопасности, возможно по результатам аналитического исследования, экспертизы и испытаний, направленных на доказательство безопасности.

Необходимость предвидения и анализа на этапе проектирования всех последствий, которые могут возникнуть при эксплуатации создаваемых систем -принципиально новое требование к разработчикам сложной микропроцессорной техники, критичной к безопасности. Сбой микроконтроллера, программная ошибка, внезапный отказ аппаратуры системы управления на электровозе могут привести к опасной ситуации: неисправности двигателя, возгоранию в двигателе, неконтролируемым динамическим усилиям вплоть до разрыва поезда или выдавливания вагонов, потере управления торможением, потере управления электровозом при потере питания и так далее. Последствия нештатного функционирования МПСУ многократно возросли, поэтому недостаточно просто учитывать предыдущий опыт. Необходима методология, позволяющая на этапе проектирования новых МПСУ предвидеть возможные последствия, которые могут проявиться в процессе эксплуатации. В рамках методологии необходимо решить конкретную задачу обеспечения и контроля полноты рассматриваемых последствий. Основой методологии должен являться полный перечень возможных ситуаций нарушенного функционирования систем и их причин.

Актуальность поставленной проблемы заключается в необходимости разработки методики, учитывающей отечественный и зарубежный опыт

обеспечения функциональной безопасности (ФБ). В данной методике должны быть установлены количественные и качественные показатели ФБ, их нормативные значения и оценки фактических показателей. Применение методик позволит повысить безопасность эксплуатации электровозов.

Исследованиям надежности и безопасности систем управления на железнодорожном транспорте уделяли значительное внимание разные научные коллективы. Большой вклад в развитие этих проблем внесли Б. Н. Тихменев,

A. Т. Осяев, А. Б. Подшивалов, Г. Г. Гомола, В. В. Сапожников, Вл. В. Сапожников, В. И. Шаманов, Д. В. Гавзов, X. А. Христов, В. М. Лисенков, Е. Н. Розенберг.

Вопросами Надежности оборудования и характеристиками, обеспечивающими высокую эффективность электровозов ВЛ80, занимались Л. Д. Капустин, А. С. Копанев, А. Л. Лозановский. Вопросами надежности электронных систем автоматики и телемеханики в устройствах электроснабжения занимались В. Я. Овласюк, Н. Д. Сухопрудский, В. С. Хальков.

В своей работе автор опирался на труды ученых, непосредственно занимающихся исследованием безопасности на железнодорожном транспорте:

B. В. Сапожникова, Вл. В. Сапожникова, В. М. Лисенкова, И. Б. Шубинского, Е. Н. Розенберга. Автор также использовал труды ученых, занимающихся вопросами безопасности в других областях промышленности: В. В. Липаева, Г. В. Новожилова, М. С. Неймарка, Г. П. Шибанова, Д. Дж. Смита, К. Дж. Л. Симпсона, А. В. Майорова, Г. К. Москатова.

Цель работы. Целью диссертационной работы является разработка методологии обеспечения ФБ МПСУ электровозов постоянного тока на этапе проектирования.

Для достижения поставленной цели решены следующие задачи:

- разработан системный подход к обеспечению ФБ в течение жизненного цикла МПСУ на локомотиве;

- разработаны методы определения требований для функций безопасности, в соответствии с ситуациями отказов и уровнем риска;

- разработаны требования безопасности для преобразователя собственных нужд (ПСН);

- разработаны требования к архитектуре построения аппаратуры ПСН, к количественным системным параметрам безопасности, отказоустойчивости;

- разработаны требования к архитектуре и особенностям реализации программного обеспечения ПСН;

- исследована функциональная безопасность ПСН на соответствие выдвинутым требованиям, выполнен анализ доказательства ФБ ПСН.

Основные методы научных исследований. Научные результаты получены на основе теории безопасности, теории автоматического управления, методов теории графов и математической статистики, математической логики.

Также применялись аналитические методы оценивания и доказательства ФБ, метод приведения, методы и меры, представленные в 1ЕС 61508-7: 2000. «Функциональная безопасность электрических / электронных и программируемых электронных систем. Часть 7. Обзор способов и мер».

Для определения количественных параметров безопасности ПСН электровоза постоянного тока использована автоматизированная система расчета надежности.

Научная новизна работы заключается в следующем:

1. С использованием общих методов и принципов международного стандарта 1ЕС/МЭК 61508-1-7: 1998-2000. «Функциональная безопасность электрических / электронных и программируемых электронных систем», предложен системный подход к разработке МПСУ на электровозе с обеспечением ФБ электровоза и железнодорожных перевозок.

2. Впервые разработана методика определения показателей ФБ МПСУ на электровозе, позволяющая определить количественные и качественные показатели ее аппаратной части и программного обеспечения.

3. Предложен метод определения требований ФБ, позволяющий отказаться от субъективной оценки и установить все возможные риски.

Достоверность научных положений и выводов подтверждена корректным применением методического аппарата. Научные положения и выводы

подтверждены практическим внедрением и реализацией в проекте ПСН для электровоза 2ЭС6.

Практическая ценность работы. Основные положения диссертации использованы при разработке и внедрении ПСН электровоза постоянного тока 2ЭС6, для которого были:

разработаны требования по общей ФБ для функций безопасности, в соответствии с ситуациями отказов и уровнем риска;

- разработаны требования по ФБ архитектуры построения аппаратуры ПСН, требования к системным параметрам;

- произведено доказательство безопасности;

разработаны рекомендации по ФБ к архитектуре и особенностям реализации программного обеспечения.

Апробация работы. Основные положения диссертации докладывались на научно технических семинарах лаборатории «Электровозы» отделения ТПС ОАО «ВНИИЖТ», 2007-2009г.г., на научно-техническом семинаре отдела 051 «ОКБ Автоматика» филиала «НПО автоматики», 2008г.

Публикации. Материалы, отражающие основное содержание диссертационной работы, изложены в четырех печатных работах, в том числе в двух - в рецензируемом издании, входящим в перечень ВАК РФ.

Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения, библиографического описания, включающего 67 наименований и 12 приложений. Объем диссертации 148 страниц основного текста, в том числе 3 таблицы и 48 рисунков.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении представлены основные положения концепции ФБ для разных сфер промышленности, выведены общие подходы к обеспечению безопасности, показана актуальность обеспечения безопасности микропроцессорных технических средств. Сделан обзор методов и мер ФБ принятых в международных стандартах 1ЕС/МЭК 61508 «Функциональная безопасность электрических / электронных и программируемых электронных систем».

В первой главе проанализировано состояние отечественных и зарубежных разработок в области ФБ преобразовательной техники электроподвижного состава. Основное внимание уделено современным статическим преобразователям с использованием ЮВТ-транзисторов. Обозначены проблемы применения новых технологий ФБ, заключающиеся в том, что основная нагрузка по управлению новой преобразовательной техникой возложена на микроконтроллеры в составе преобразователей. Отсюда новые алгоритмические решения, новые конструктивные разработки и новые программные решения. Происходит внедрение новых технологий аппаратной части объемом до 70% от всего объема аппаратуры на электровозе и до 100% новых программных решений.

Такие внедрения требуют глобальных исследований во всех областях электровозостроения. В заключение главы поставлена цель исследования, определены задачи для достижения поставленной цели.

Во второй главе определена методика ведения работ по ФБ для любой электронной системы управления на электровозе по принципу от общего к частному. На первом этапе последовательно рассмотрен объект управления совместно со всеми подсистемами и устройствами, участвующими в работе объекта. Требования к рассматриваемой подсистеме определены из требований ко всему процессу управления объектом.

Соответственно, на первом этапе рассмотрена общая функциональная безопасность, которая определена как свойство МПСУ совместно с объектами управления и сопряженными устройствами реализовывать основные функции при случайных дестабилизирующих воздействиях и отсутствии злоумышленного влияния на систему и ее программную составляющую за расчетное время.

В теории ФБ определен термины:

- риск - вероятность (или частота) возникновения опасного события при условии, что имеется степень вреда человеческой жизни, материальные потери, потери, нанесенные окружающей среде;

- функция безопасности - функция, реализуемая системой, связанной с безопасностью, или внешними средствами снижения риска, предназначенными для поддержания безопасного состояния применительно к конкретному опасному

событию (предотвращение опасного события, смягчения последствий опасного события для объекта управления и комбинации этих действий). В качестве внешних средств снижения риска могут выступать сопряженные устройства, если в них заложены данные функции.

Функция безопасности характеризуется уровнем полноты безопасности (УПБ), то есть уровнем удовлетворительного выполнения системой, связанной с безопасностью, требуемых функций безопасности при всех заданных условиях в течение расчетного периода времени.

Исследования по общей ФБ начаты автором с выявления опасных состояний тягового двигателя электровоза постоянного тока и соответственно определения функций безопасности.

Для наиболее полного определения функций безопасности обычно используются аналитические методы, применяемые на этапе проектирования систем, такие как метод анализа опасности и работоспособности (НАгОР), анализ вида и последствий отказов (РМЕА). Эти методы представляют собой работу с экспертами в разной последовательности и разными объемами проводимых опросов. Недостатком этих методов является то, что результаты субъективны, исходные данные не представлены в виде конструктивных параметров системы. Эти методы имеют ограничения, связанные со сложностью системы.

В диссертации использован используемый в авиастроении метод приведения для получения полного перечня функциональных отказов. Такой метод свободен от влияния субъективности, опыта и квалификации экспертов и позволяет получить перечень функциональных отказов как однозначную функцию конструкции системы. Для определения функциональных отказов исследуемая МПСУ смоделирована в виде «черного ящика», имеющего физические входы и выходы (рис. I), где У;пр - управляющее воздействие на объект управления со стороны системы управления; ХУпр - управляющее воздействие на систему управления со стороны внешней системы управления; Хос - управляющее воздействие на систему управления по обратной связи от объекта управления; Х„„ -управляющее воздействие на систему управления оператора; ао - воздействия внешней среды на систему управления; сп - воздействия системы управления на

внешнюю среду; р0 - воздействия внешней среды на объект управления; -воздействия объекта управления на внешнюю среду.

Функциональный отказ определен как нарушение одного определенного вида параметра одного выходного сигнала или комбинации нарушений нескольких выходных сигналов. По методу приведения любая функция безопасности системы обязательно приводится к функции или сочетанию функций, входящих в эту систему блоков.

На основании метода приведения в работе синтезированы модели нормального и нарушенного функционирования системы. Нарушения функций блоков определены в соответствии с моделью состояния нарушенного функционирования системы.

Полученные модели состояний нормального и нарушенного функционирования блоков являются универсальными, то есть они не зависят от установки блока в той или иной системе и определяются только конструктивными параметрами функционирования блока.

В качестве функций блоков рассмотрены конкретные физические входные и выходные сигналы (механические, гидравлические, электрические) с их параметрами в соответствии с технической документацией и с соответствующими им физическими элементами связи (механические связи, штуцеры, клеммы и т. д.), поэтому модели являются универсальными.

Понятия «функция» и «функциональный отказ» становятся однозначными, связанными со строго определенными нарушениями функционирования блоков системы, а эти нарушения в свою очередь определяются параметрами функционирования блоков, указанными в конструкторской документации.

Хоп

Хупр

Хос

Рис. 1. Структурная схема контура системы управления

Метод приведения в большей степени свободен от влияния субъективности, опыта и квалификации эксперта.

Согласно предложенному методу, приведен механизм разделения анализируемой системы управления до контуров, управляющих единичными объектами, и определения границ и областей исследования, выведения полного перечня функциональных отказов.

Исходя из полного перечня функциональных отказов, выведен путь определения функций безопасности, определения логической последовательности неблагоприятных событий в анализируемой системе по отношению к объекту управления. Проведено построение графа функций безопасности и выведены формулы для расчета безопасности системы управления:

п

У = ^?ут+Ро + Рь (1)

¡=1

где ? - нарушение работы функции безопасности; п - количество независимых функциональных отказов составных частей элементов из полного перечня; Купр. -нарушение управляющего воздействия на объект управления со стороны системы управления по причине ¡-того отказа; /?0 - негативные воздействия внешней среды на объект управления; Д1 - негативные воздействия объекта управления на внешнюю среду.

Следующий шаг работ по общей ФБ - это анализ опасностей, проводимый для каждой функции безопасности методом анализа дерева отказов. В результате:

- определены причинно-следственные пути развития функциональных отказов по контурам, которые неизбежно приведут к опасному событию;

- идентифицированы общие причины возникновения функциональных отказов;

- определены негативные воздействия и блоки, которые несут в себе повышенную опасность, проведено адресное распределения функций безопасности.

Для каждой функции безопасности проведен анализ риска с целью определения уровня полноты безопасности методом графа риска, который строится

на основе данных о факторах риска, связанных с объектом управления и системой управления по формуле:

1{ = Р * Р *№ * С, (2)

где Я - риск при отсутствии мер его снижения; Б - частота и время пребывания человека в опасной зоне; Р - возможность избежать опасного события; W - вероятность нежелательного события; С - последствие опасного события (последствия могут быть связаны с вредом, причиненным здоровью и безопасности, или вредом, нанесенным окружающей среде).

Каждый параметр риска имеет набор градаций, которые используются в конкретном применении. По шкале вероятности нежелательного события \У делается вывод о необходимом снижении риска для данной конкретной ситуации. Шкала вероятности нежелательного события \У определена в соответствии с международными стандартами и имеет численную интерпретацию. Таким образом, заданы требования к уровням полноты для функций безопасности МПСУ на электровозе.

На втором этапе рассмотрена ФБ аппаратной части МПСУ. Исходными данными являются требования, полученные при анализе риска и опасностей общей ФБ. Целью данного этапа поставлена задача структурировать требования по безопасности электронного оборудования анализируемой системы в двух направлениях - в определении функций безопасности аппаратной части системы и постановке их соответствия уровню полноты безопасности, а также получения исходных требований для анализа ФБ программного обеспечения.

В настоящее время системы управления на электровозе являются многоконтурными. При формировании требований к функциям безопасности каждой подсистемы управления, входящих в общую систему управления, также применен метод приведения с последующим построением графа риска и определением уровня полноты безопасности.

Для доказательства безопасности каждой отдельной подсистемы определены следующие параметры, используемые в теории надежности:

- интервал между техническими осмотрами для неисправностей каждого блока, которые не выявляются автоматически, Т|;

- среднее времени восстановления, Т2;

- диагностическое покрытие, ДП;

- вероятность опасного отказа, Лоп;

- доля безопасных отказов, ДБО.

Расчет вероятности отказов функции безопасности выполнен исходя из расчетной интенсивности отказа для отдельных элементов блоков в составе этой функции безопасности методом структурной схемы надежности.

Для расчета параметров безопасности применен известный экспоненциальный закон распределения отказов, по которому вероятность безотказной работы P(t) = е"ЛС, вероятность отказа Q(t) = 1—е-А£ и интенсивность отказа Я = const.

Расчет интенсивности отказов для отдельных групп сложных изделий, суммарный поток отказов которых складывается из независимых потоков отказов составных частей элементов, производится по известной формуле:

где taj- исходная (базовая) интенсивность отказов j-го потока отказов; m - количество независимых потоков отказов составных частей элементов; K,j - коэффициент, учитывающий влияние i-ro фактора в j-м потоке отказов; rij - количество факторов, учитываемых в j-ом потоке отказов.

Расчет вероятности отказа функции безопасности произведен методом структурной схемы надежности (рис. 2), где Хоп - интенсивность опасного отказа

подсистемы, Яоп = Яоп нд + Я0,,_д = Х.оп_нд - интенсивность опасных отказов, не выявленных в процессе диагностических испытаний в подсистеме; >.оп_д - интенсивность опасных отказов, выявленных в процессе диагностики подсистемы; tee - время простоя для всех компонентов в канале подсистемы:

(3)

Встроенная | I диагностика

Подсистема датчика 1 Логическая 1 Конечный 7ЛСМСНХ ,

1 подсистема 1

Рис. 2. Блок-схема функции безопасности одноканальной системы

Диагностическое покрытие (ДП) функции безопасности определено как отношение интенсивности опасных отказов, выявленных в процессе диагностических испытаний к интенсивности опасных отказов функции

безопасности подсистемы ДП = -¡^¡р Доля безопасных отказов (ДБО), которая существует независимо от надежности, рассчитанной для функции безопасности, подразумевает некоторый минимум избыточности (или допустимой ошибки),

основанный на доле безопасных отказов функции ДБО = где

Хб - интенсивность безопасных отказов.

В одноканальных системах в случае, если соотношение ХкО, 1 применяется формула расчета вероятности опасного отказа:

О ~ Л>п_нд- (5)

При применении резервирования приведен расчет Р-фактора учета отказов по общей причине при отсутствии испытаний, или доля отказов одного резервного блока, который влияет на другой однотипный блок.

Итогом этапа исследования ФБ аппаратной части системы является:

- спецификация функций безопасности с установленным уровнем полноты;

- теоретическое доказательство безопасности системы, то есть вероятность опасного отказа каждой функции безопасности попадает в требуемый интервал значений;

- обоснование архитектуры построения системы и вывод о достаточности мер снижения риска, либо вывод о введении дополнительных мер;

- исходные требования для программного обеспечения, заключающиеся в определении необходимых мер при построении структуры и алгоритмов программ

(средства диагностики: самоконтроль, мониторинг аппаратуры, датчиков и исполнительных механизмов программируемой электроники, периодическая проверка функций безопасности в процессе работы).

На заключительном этапе рассмотрена ФБ программной части МПСУ, состоящая в предъявлении требований по безопасности к программному обеспечению.

В стандартах ФБ для каждого уровня полноты безопасности определены необходимые принципы построения программного обеспечения на всех этапах жизненного цикла. В процессе предыдущего анализа сформулированы требования по диагностическому покрытию. То есть, исходя из заданного уровня полноты безопасности и требований по диагностическому покрытию, заданы требования к программному обеспечению системы. Выполнение требований при проектировании программного обеспечения даст снижение риска аппаратной части системы, заложенного в показатель диагностического покрытия. Таким образом, произведено доказательство ФБ МПСУ на электровозе.

В третьей главе произведено исследование ФБ ПСН на электровозе на основании приведенной во второй главе методики.

На рис. 3 представлен контур, реализующий функции управления возбуждением тягового двигателя в режимах тяги и электрического торможения.

В контур включены: микропроцессорная система управления локомотивом (МПСУ); преобразователь собственных нужд (ПСН); аппаратура пульта машиниста, с которого задаются команды машиниста; контактная сеть (КС); аппаратура организации низковольтного питания ПСН (ШитИЮВ); тяговый двигатель (ТД), обмотка возбуждения тягового двигателя (ОВ ТД); цепь пусковых резисторов (блок контакторов).

В контуре имеются две системы управления (МПСУ - система управления верхнего уровня и ПСН - система управления низшего уровня). Часть управляющих воздействий от ПСН имеют контроль и механизмы защиты со стороны МПСУ. В анализ общей ФБ включено совместное исследование работы МПСУ и ПСН.

1в, 1я

1в,

Диагност. сигналы I икс

¿1 1в.1а ^

Л

I

ПСН ПСН

система_

-силовая

управлен часть

ия

Рис. 3. Структурная схема контура управления токами в обмотках возбуждения

тяговых двигателей Для модели неправильного функционирования для контура получены формулы:

4 2 5

?=2 +2 п>+Е й°-к+X йх-вн+X ^

1=1 ;'=1 А=1

Р\_elm = Япсн + *д,

4 _ _ 2 ___

где £ I в, - суммарный негативный сигнал Тв; £ и, - суммарный сигнал 11 )

неправильного функционирования; £ а,., - суммарный сигнал а0 ПСН из-за

внешних дестабилизирующих факторов; £ вн - суммарный сигнал с^ ПСН из-за внутренних неисправностей; зпп - суммарный сигнал р! цепи двигателя из-за

внутренних неисправностей; Р, ь негативный сигнал рх цепи двигателя из-за режимов электромагнитной совместимости; Япш - ненормативные режимы по

электромагнитной совместимости ПСН; Лд - ненормативные режимы по электромагнитной совместимости цепи двигателя.

В диссертации представлен полный перечень функциональных отказов и функций системы в виде входных и выходных сигналов, приводящих к конкретным опасным отказам.

Методом анализа дерева неисправностей определен путь реализации опасного отказа. Вершиной дерева отказов является функциональный отказ -«неправильная/невозможная реализация силы тяги двигателями» по причине одного из следующих событий: самопроизвольный переход из режима тяги в режим рекуперативного торможения Рх; самопроизвольный переход из режима рекуперативного торможения в режим тяги У2; ненормированное снижение/увеличение силы тяги двигателя ?3; возгорание в двигателе У4.

В диссертации разработаны схемы деревьев отказов. В качестве примера на рис. 4 представлено дерево отказов по ветке самопроизвольного перехода из режима тяги в режим электрического торможения ?1.

По анализу дерева отказов получены результаты:

- идентифицированы события, которые могут непосредственно вызвать функциональный отказ: сигналы /?01, Д02, До_4> До_з> Дипп»

- по оценке отказоустойчивости системы выявлены ситуации, когда система не способна функционировать после того, как произошел отказ в низшей линии дерева;

- система ПСН имеет зависимость от системы верхнего уровня МПСУ;

- определено место расположения критичных компонентов - в ПСН.

Выведены исходные требования для построения аппаратной части ПСН:

необходимо введение мер по обеспечению отказоустойчивости и парированию функциональных отказов; для организации цепи обратной связи - рассмотрена возможность резервирования датчиков и применения алгоритмов выявления и исправления ошибки в показаниях датчиков; применения технологий и материалов упреждения функциональных отказов по причине воздействия внешней среды, применения технологий по упреждению и парированию функциональных отказов по внутренним причинам.

Неправильная реализация Рт

>

ф

Самопроизвол ьный переход из тяги вдекуп.

у,

Отказ Обрыв

датчика 1.1.2.1 линии 1.1.3.2

Условные обозначения:

«Переход в». Событие, определенное в другом месте дерева «Переход из». Событие, переходящее из другого места дерева «Блок описания события». Название и код события

«Основное событие». —/Л Событие, которое не может быть ^■—'подразделено на составляющие события

«Клапан запрещения». Подразумевает синхронизацию событий

а 6

«Клапан ИЛИ». Объединение входящих событий

«Клапан И». Пересечение входящих событий

Рис. 4. Схема дерева отказов по ветке самопроизвольного перехода из режима

тяги в режим рекуперативного торможения У\ Выведены исходные требования для объекта управления: необходимо введение упреждающих мер возникновения функционального отказа, парирование функционального отказа.

Выведены исходные требования для системы управления верхнего уровня МПСУ: необходимо введение внутренних алгоритмов по выявлению и неправильных задающих сигналов, использование защиты от сбоев в линиях связи. Методом графа риска определены уровни полноты безопасности для каждой функции.

При исследовании аппаратной части ПСН методом графа риска выявлено, что при условии удовлетворения требований по защитам со стороны системы управления верхнего уровня и двигателя, требования по уровням полноты безопасности ПСН могут быть снижены до второго. Исключением является функция безопасности выявления и парирования ненормированного тока

возбуждения по причине негативного сигнала — (коды 1.1.4, 2.1.4, 3.1.7, 4.3.4),

функция должна соответствовать УПБ=3 (>10"8+<10:7 опасных отказов в час) (Табл. 1).

Таблица 1. Требования к уровням полноты безопасности

Функция безопасности Код неисправности УПБ/количество опасных отказов в час

Выявление и парирование ненормированного значения тока возбуждения 1.1.3,2.1.3, 3.1.4,4.1.2, 1.1.2, 2.1.2, 3.1.5,4.1.3 УПБ=2. ЗгКГ'-сЮ"6

Выявление и парирование негативного сигнала 3.1.1,4.3.2 УПБ=2. ^КГ^сЮ-6

Выявление и парирование ненормированного значения тока возбуждения 1.1.4,2.1.4, 3.1.7,4.3.4 УПБ=3. >10-8-<10'7

Выявление и парирование отказов и сбоев ПСН 1.1.5, 2.1.6, 3.1.6, 4.1.4, 4.3.3 УПБ=2. ^КГ^сЮ"6

Определена логическая структура построения ПСН и блок-схемы расчета системных параметров для каждой функции безопасности. Пример для функции безопасности выявления и парирования ненормированного значения тока

возбуждения по причине неправильной обратной связи и неправильного сигнала ~ приведен на рис. 5.

Подсистема датчиков | Логическая масть

Датчик_1 1 ИВ1

1

Диагностика J 1 !1 Диагностика

Датчик_2 1 ИВ2

^оп ^оп.нд ^оп_д 2

¥Щ'(Т + Г2)+ТУ,Г2

Лоп * ' I ^оп

лоп

я

^Диагностика ^ | ^Диагностика ^ Датчнк_1 Датчик_2 ИВ1

11В2

К ■ £ п

— ^"ОП нд ^-оп д - ^ч>п нд ^-оп д - ^•оп нд л — ^оп_нд ^оп д —•

Рис. 5. Схема логической структуры функции безопасности выявления и парирования ненормированного значения тока возбуждения из-за неправильной

обратной связи и неправильного сигнала ^ Системные параметры для функции безопасности выявления и парирования ненормированного значения тока возбуждения из-за неправильной обратной связи

Ж

и неправильного сигнала —:

- подсистема датчиков: Х,= 1,8Е-6 1 /час; ДП=90%; 1«= 14 час; О=9,00Е-08;

- логическая подсистема: Х=2,66Е-5 1/час; ДП=99%; 1„=8,6 час; О=1,328Е-07;

- для функции безопасности: С?=4,456Е-07.

Расчетные значения вероятности опасных отказов для функций безопасности приведены в табл. 2.

Определены требования доли безопасных отказов в потоке отказов для каждой функции безопасности: для функции выявления и парирования ненормированного значения тока возбуждения по причине неправильной уставки -60-90%; для функций безопасности выявления и парирования ненормированного значения тока возбуждения по причине неправильной обратной связи и

неправильного сигнала функций безопасности выявления и парирования негативного сигнала 1/кс, выявления и парирования отказов и сбоев ПСН - 90-99%.

Данные требования соблюдены, что подтверждено расчетами системных параметров каждой функции безопасности.

Таблица 2. Значения вероятности опасных отказов для функций безопасности

Функция безопасности Вероятность опасного отказа <3, ¡час

Выявление и парирование ненормированного значения тока возбуждения из-за неправильной уставки 1.32Е-08

Выявление и парирование негативного сигнала 1)к1. 9.67Е-07

Выявление и парирование ненормированного значения тока возбуждения из-за неправильной обратной связи и Ж неправильного сигнала 4,45бЕ-07

Выявление и парирование отказов и сбоев ПСН 4,51Е-07

На основании результатов известных исследований, проведенных в области безопасности программного обеспечения, а также исходных требований по безопасности при исследовании аппаратуры ПСН приняты принципы построения ПО с целью уменьшения вероятности отказов аппаратуры, сбоев и ошибок ПО. Выполнение требований ПО даст соответствие программной части каждой функции безопасности не ниже уровня полноты, определенной для аппаратной части. В диссертации приведены требования по безопасности при построении архитектуры ПО.

Четвертая глава посвящена разработке мероприятий по повышению безопасности функции выявления и парирования ненормированного значения тока возбуждения по причине неправильной обратной связи и неправильного сигнала

По доказательству ФБ, приведенному в главах 2 и 3, определена функция безопасности ПСН, параметры безопасности которой не соответствуют требуемому уровню полноты. По контуру управления скоростью нарастания тока якоря требуются меры дополнительные меры повышения ФБ.

Для повышения безопасности функции выявления и парирования

ненормированного значения тока возбуждения из-за неправильного сигнала ^ обосновано применение следующих мер:

изменения структуры контура с применением минимизации логических схем и снижением интенсивности потока отказов элементов;

как временного так и логического резервирования с применением разнотипного оборудования.

Исследована структура контура управления скоростью нарастания тока якоря при изменении логической структуры:

введении резервирования датчиков (рис. 6); введении резервирования датчиков и логической части; вынесении защиты за пределы ПСН в более высокий по приоритету уровень системы управления.

*дат=1,8Е-06

ДП=90%

Р=2%

0оп=1%

(ШОЕ-07

Голосование1оо2

Рис. 6. Логическая структура контура управления скоростью нарастания тока якоря при введении резервирования датчиков

Разработана логическая структура контура управления скоростью нарастания тока якоря, с применением защиты за пределами и внутри ПСН.

Внедрение разработанной автором методологии позволило на этапе проектирования новой МПСУ, связанной с безопасностью движения, использовать весь научный потенциал в области теории безопасности.

22

Заключение.

1. Определены общие подходы обеспечения безопасности, заключающиеся в предотвращении нарушений нормальных режимов работы и предотвращении опасного развития нарушений режимов функционирования.

2. Реализована применительно к МПСУ электровоза концепция поэтапной структуры обеспечения ФБ. Разработка требований по безопасности проведена в три этапа: 1 этап - определение функций безопасности электровоза; 2 этап -определение функций безопасности для ПСН; 3 этап - определение функций безопасности его программного обеспечения.

3. Для определения полного перечня функциональных отказов и контроля над его полнотой разработан метод приведения, который свободен от влияния субъективности, опыта и квалификации эксперта и позволил получить перечень функциональных отказов как однозначную функцию конструкции системы.

4. По предложенной методологии проанализирована система управления на локомотиве: ПСН, контур управления питанием обмоток возбуждения тяговых двигателей. По методу приведения составлены перечни воздействий из внешней среды и изнутри во внешнюю среду ПСН. Определены функции безопасности ПСН: выявление и парирование ненормированного значения тока возбуждения по причине неправильной уставки; выявление и парирование ненормированного значения тока возбуждения по причине неправильной обратной связи; выявление и парирование ненормированного значения тока возбуждения по причине

¿й п

неправильного сигнала выявление и парирование негативного сигнала 1)кс;

выявление и парирование отказов и сбоев ПСН. Составлены логические уравнения нормального и неправильного функционирования.

5. На основе применения методов определения риска (граф риска) определены численные значения требований по вероятности опасных отказов для функций безопасности контура управления питанием обмоток возбуждения тяговых двигателей. При применении внешних методов снижения риска данный показатель должен быть не выше предела 10"6 опасных отказов в час (соответствует второму уровню полноты безопасности), кроме функции безопасности выявления и парирования ненормированного значения тока возбуждения по причине

неправильного сигнала Для данной функции в требованиях по безопасности определено количество опасных отказов - не более 10"7 опасных отказов в час (соответствует третьему уровню полноты).

6. Определены логическая структура построения ПСН и численные системные параметры для функций безопасности: вероятности опасных отказов в час, доля безопасных отказов, временные параметры. Определена функция безопасности, не соответствующая выставленным требованиям: функция выявления и парирования ненормированного значения тока возбуждения по

причине неправильного сигнала По данной функции необходимо принятие мер повышения безопасности.

7. Определены исходные требования для организации архитектуры программного обеспечения — требования доли безопасных отказов. Определены требования мер при построении программного обеспечения.

8. Разработаны модели функции безопасности выявления и парирования ненормированного значения тока возбуждения по причине неправильного сигнала

ас'

9. Проанализированы меры повышения безопасности функции выявления и парирования ненормированного значения тока возбуждения по причине

неправильного сигнала Показано, что применение однотипного резервирования не дает существенного повышения безопасности в МПСУ, ввиду наличия программной составляющей в каждом блоке и наличию отказов по общей причине. Определена модель функции безопасности выявления и парирования ненормированного значения тока возбуждения по причине неправильного сигнала

^ соответствующая заданному уровню полноты безопасности.

10. Таким образом, на основе принципов системы стандартов МЭК, СЕЫЕЬЕС и ГОСТ решены основные задачи обеспечения ФБ МПСУ электровоза и пути их решения на примере МПСУ преобразователя собственных нужд электровоза постоянного тока.

Публикации по теме диссертации в изданиях, рекомендованных ВАК:

1. Рогожникова О.В., Худорожко М.В. Функциональная безопасность микропроцессорных систем управления на локомотиве II Вестник ВНИИЖТ. М.-2008г. №4 с.41-43.

2. Рогожникова О.В. Метод функциональной безопасности для определения структуры защитных функций локомотивной системы управления // Вестник ВНИИЖТ. М.-2009г. №2 с.26-28.

В других изданиях:

3. Никифорова Н. Б., Худорожко М. В., Рогожникова О. В. Задача обеспечения функциональной безопасности при разработке микропроцессорных систем управления / Вопросы развития железнодорожного транспорта в условиях рыночной экономики: Сб.науч.трудов / Под ред. Ю.М.Черкашина, Г.В.Гогричиани., М: Интекст, 2007, 34с. стр.69-75.

4. Никифорова Н. Б., Худорожко М. В., Рогожникова О. В. Анализ функциональной безопасности системы управления электровозом. // 7 международная научно-техническая конференция: "Кибернетика и высокие технологии XXI века" / Том 1. Сборник докладов / Воронеж: НПФ "САКВЕЕ", 2006. стр.26-30.

Подписано к печати 27.05.2009 г. Формат бумаги 60x90 1/16 Объем 1,5 пл. Заказ 84 Тираж 100 экз. Типография ОАО «ВНИИЖТ», 3-я Мытищинская ул., д. 10

ВВЕДЕНИЕ

1. ОБЕСПЕЧЕНИЕ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ПРЕОБРАЗОВАТЕЛЬНОЙ ТЕХНИКИ НА ПОДВИЖНОМ СОСТАВЕ

1.1. Основные принципы построения преобразовательной техники на подвижном составе и обеспечение функциональной безопасности

1.2. Состояние разработок в области обеспечения безопасности преобразовательной техники электроподвижного состава

1.3. Постановка задачи исследования

2. МЕТОДИКА ОБЕСПЕЧЕНИЯ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ МИКРОПРОЦЕССОРНОЙ СИСТЕМЫ УПРАВЛЕНИЯ НА ЭЛЕКТРОВОЗЕ

2.1. Подходы и методы обеспечения функциональной безопасности микропроцессорных систем управления в жизненном цикле

2.2. Определение общей функциональной безопасности МПСУ на этапе анализа риска

2.3. Функциональная безопасность аппаратной части МПСУ на электровозе

2.4. Функциональная безопасность программного обеспечения МПСУ на электровозе

2.5. Выводы по 2 главе

3. ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ ПСН

3.1. Определение функций безопасности ПСН

3.2. Анализ риска ПСН

3.3. Численное определение риска

3.4. Функциональная безопасность электронного оборудования

3.5. Требования для ПСН по соответствию комплексу требований по безопасности

3.6. Определение модели безопасности ПСН

3.7. Функциональная безопасность программного обеспечения ПСН. Спецификация требований по функциональной безопасности к программному обеспечению

3.8. Выводы по 3 главе 132 4. ПОВЫШЕНИЕ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ДЛЯ ФУНКЦИИ УПРАВЛЕНИЯ СКОРОСТЬЮ НАРАСТАНИЯ ТОКА ЯКОРЯ 134 4.1. Разработка модели функции управления скоростью нарастания тока якоря 134 4.2 Выводы по четвертой главе 146 ОБЩИЕ ВЫВОДЫ ПО РЕЗУЛЬТАТАМ РАБОТЫ 147 СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 150 ПРИЛОЖЕНИЕ А. Обзор принципов обеспечения безопасности для разных сфер деятельности 15 8 ПРИЛОЖЕНИЕ Б. Анализ методов разработки программного обеспечения 161 ПРИЛОЖЕНИЕ В. Аналитические методы оценивания и доказательства функциональной безопасности 172 ПРИЛОЖЕНИЕ Г. Перечень опасных состояний контура управления обмотками возбуждения 182 ПРИЛОЖЕНИЕ Д. Первичный перечень функциональных отказов 197 ПРИЛОЖЕНИЕ Е. Данные для построения дерева отказов 202 ПРИЛОЖЕНИЕ Ж. Анализ риска и опасностей контура управления обмотками возбуждения тяговых двигателей 207 ПРИЛОЖЕНИЕ 3. Адресное распределение функций безопасности 213 ПРИЛОЖЕНИЕ И. Анализ уровня соответствия комплексу требований безопасности ПСН 225 ПРИЛОЖЕНИЕ К. Расчетная интенсивность отказов блоков ПСН 231 ПРИЛОЖЕНИЕ Л. Обзор методов и мер диагностических испытаний, обеспечивающих диагностическое покрытие функций безопасности 249 ПРИЛОЖЕНИЕ М. Определение диагностического покрытия и доли безопасных отказов

Проблема обеспечения безопасности технических средств всегда находилась под пристальным вниманием ученых и практиков. Областями техники, где безопасность воспринималась как проблема номер один, были авиация, ядерная и военная промышленности, системы железнодорожной автоматики и телемеханики. Обзор принципов обеспечения безопасности для разных сфер деятельности приведен в Приложении А.

Однако продолжают происходить аварии, катастрофы и несчастные случаи, так как:

- нет ни одного технического средства, с нулевой интенсивностью отказов. С развитием техники опасность растет быстрее, чем человеческая способность может ей противостоять; нет человека, не допускающего ошибок. Причем, люди склонны привыкать к опасности, к нарушению правил.

Современные электровозы содержат микропроцессорные системы управления (МПСУ), реализующие управляющие функции как по отношению ко всему электровозу, так и к его отдельному оборудованию. МПСУ позволяют воспроизвести лучшие потребительские свойства электровозов: реализуемую силу тяги, управляемость и экономичность. Однако программное обеспечение МПСУ несет в себе опасность новых, ранее не регистрируемых и не прогнозируемых отказов, ошибок и сбоев.

Одним из основных условий успешного внедрения МПСУ на электровозе является обеспечение необходимого уровня безопасности. Принятие решения о том, что система соответствует уровню безопасности, возможно с учетом результатов аналитических исследований и испытаний, направленных на доказательство безопасности.

Функциональная безопасность системы - свойство реализовывать основные функции при случайных, дестабилизирующих воздействиях и отсутствии злоумышленного влияния на систему, программную составляющую за расчетное время. Источниками отказовых ситуаций могут быть некорректные исходные требования, дефекты и отказы в аппаратуре, сбои и ошибки в программной части, проявляющиеся при работе МПСУ на протяжении всего жизненного цикла.

Между понятиями функциональной безопасности и надежности имеется принципиальное различие. Ненадежность приводит к неприемлемым уровням готовности, технического использования, безотказности и стоимости технического обслуживания. Недостаточная функциональная безопасность приводит к авариям и человеческим жертвам [32].

Необходимость предвидения и анализа на этапе проектирования всех последствий, которые могут возникнуть при эксплуатации создаваемых систем - это принципиально новое требование к разработчикам сложной микропроцессорной техники, критичной к безопасности. Сбой микроконтроллера, программная ошибка, внезапный отказ аппаратуры МПСУ на электровозе могут привести к опасной ситуации: неисправности двигателя, возгоранию в двигателе, неконтролируемым динамическим усилиям вплоть до разрыва поезда или выдавливания вагонов, потере управления торможением, отсутствие управления электровозом при потере питания и так далее. Последствия нештатного функционирования при появлении МПСУ многократно возросли, поэтому недостаточно просто учитывать предыдущий опыт. Необходима методика, позволяющая на этапе проектирования новых МПСУ предвидеть возможные негативные последствия, которые могут проявиться в процессе эксплуатации электровоза. В рамках методики необходимо решить конкретную задачу обеспечения и контроля полноты рассматриваемых последствий. Основой методики должен являться полный перечень возможных ситуаций нарушенного функционирования систем и их причин.

Актуальность поставленной проблемы заключается в необходимости разработки методики, учитывающей отечественный и зарубежный опыт обеспечения функциональной безопасности. В данной методике должны быть установлены количественные и качественные показатели функциональной безопасности, их нормативные значения и оценки фактических показателей. Методика позволит обеспечить безопасность эксплуатации электровозов на заданном уровне.

Исследованиями надежности и безопасности систем управления на железнодорожном транспорте уделяли значительное внимание разные научные коллективы. Большой вклад в развитие этих проблем внесли Б. Н. Тихменев, А. Т. Осяев, А. Б. Подшивалов, Г. Г. Гомола, В. В. Сапожников, Вл. В. Сапожников, В. И. Шаманов, Д. В. Гавзов, X. А. Христов, В. М. Лисенков, Е. Н. Розенберг.

Вопросами надежности оборудования и характеристиками, обеспечивающими высокую эффективность электровозов ВЛ80, занимались Л. Д. Капустин, А. С. Копанев, А. Л. Лозановский. Вопросами надежности электронных систем автоматики и телемеханики в устройствах электроснабжения занимались В. Я. Овласюк, Н. Д. Сухопрудский, В. С. Хальков. Значительный вклад в исследование функциональной безопасности программных средств и систем внесли И. Б. Шубинский, В. В. Липаев. Вопросами обеспечения безопасности в смежных областях науки и техники -обеспечение безопасности полетов, летательных и глубоководных аппаратов занимались Г. В. Новожилов, М. С. Неймарк, Г. П. Шибанов, А. В. Майоров, Г. К. Москатов.

В работе использованы труды ученых, непосредственно занимающихся исследованием безопасности на железнодорожном транспорте: В. В. Сапожникова, Вл. В. Сапожникова, В. М. Лисенкова, И. Б. Шубинского, Е. Н. Розенберга, а также труды ученых, занимающихся вопросами безопасности в других областях промышленности: В. В. Липаева, Г. В. Новожилова, М. С. Неймарка, Г. П. Шибанова, Д. Дж. Смита, К. Дж. Л. Симпсона.

Однако на новом этапе развития МПСУ требуется решить много новых задач, ранее не ставившихся.

Для обеспечения функциональной безопасности вновь создаваемых систем управления на электровозе имеется ряд проблем: формирование и представление требований на вновь разрабатываемые МПСУ на электровозе; обеспечение полноты и достоверности результатов доказательства функциональной безопасности; унификация подходов к обмену информации в пространстве подвижного состава, отсутствие единых принципов построения и формирования эксплуатационного обслуживания МПСУ; отсутствие технической и методологической инструментальной базы доказательства функциональной безопасности.

Еще один нюанс разработки безопасных систем на электровозе: недостаточная нормативная база для создания безопасных систем. Для систем железнодорожной автоматики и телемеханики (СЖАТ) разработаны современные нормативные документы, имеется методическая и техническая основа процесса доказательства безопасности. Это отраслевые стандарты [2932], руководящие документы [35], руководящие технические материалы [38]. Существуют международные стандарты второго яруса для СЖАТ [48, 50, 43]. В случае с электровозной аппаратурой этого нет.

Основной проблемой исследования является разработка методики определения функциональной безопасности МПСУ на электровозе на этапе проектирования в направлении: от общей безопасности, безопасности аппаратной части к безопасности программного обеспечения.

Рассмотрена проблема разработки методики определения исходных требований по функциональной безопасности общей безопасности, безопасности аппаратной части, безопасности программного обеспечения.

Рассмотрена проблема обеспечения полноты и достоверности результатов доказательства функциональной безопасности для МПСУ на электровозе.

В работе проанализирована система управления преобразователя собственных нужд (далее по тексту - ПСН) с точки зрения обеспечения функциональной безопасности на этапе проектирования. Применяя разработанную методику, выдвинуты исходные требования по безопасности ПСН: общей безопасности, безопасности аппаратной части, безопасности программного обеспечения. Определены уровни соответствия комплексу мер по безопасности. Рассчитаны количественные параметры безопасности для аппаратной части ПСН. Приведены качественные оценки функциональной безопасности программного обеспечения.

Методы исследования. Научные результаты получены на основе теории безопасности, теории автоматического управления, методов теории графов и математической статистики, математической логики.

Также применялись аналитические методы оценивания и доказательства функциональной безопасности, метод приведения, методы и меры, представленные в 1ЕС/МЭК 61508: 1998-2000 «Функциональная безопасность электрических / электронных и программируемых электронных систем» [5156].

Для определения количественных параметров безопасности МПСУ ПСН электровоза постоянного тока использована автоматизированная система расчета надежности.

Научная новизна работы заключается в следующем:

1. С использованием общих методов и принципов международного стандарта 1ЕС/МЭК 61508: 1998-2000. «Функциональная безопасность электрических / электронных и программируемых электронных систем», предложен систематический подход к разработке МПСУ на электровозе с точки зрения функциональной безопасности электровоза и безопасности железнодорожных перевозок в целом.

2. Впервые разработана методика определения показателей функциональной безопасности МПСУ на электровозе, позволяющая установить количественные и качественные показатели ее аппаратной части и программного обеспечения.

3. Предложен метод определения требований функциональной безопасности, позволяющий отказаться от субъективной оценки и установить все возможные риски.

Достоверность научных положений и выводов подтверждена корректным применением теории безопасности, теории графов, методов математической статистики, математической логики, теории автоматического управления, аналитических методов оценивания и доказательства функциональной безопасности. Научные положения и выводы подтверждены практическим внедрением и реализацией в проекте ПСН для электровоза 2ЭС6.

Практическая ценность работы. Основные положения диссертации использованы при разработке и внедрении ПСН электровоза постоянного тока 2ЭС6, для которого были: разработаны требования по общей ФБ для функций безопасности, в соответствии с ситуациями отказов и уровнем риска; разработаны требования по ФБ архитектуры построения аппаратуры ПСН, требования к системным параметрам; произведено доказательство безопасности; разработаны рекомендации по ФБ к архитектуре и особенностям реализации программного обеспечения.

Апробация работы. Основные положения диссертации докладывались на научно-технических семинарах лаборатории «Электровозы» отделения ТПС ОАО «ВНИИЖТ», 2007-2009г.г., на научно-техническом семинаре отдела 051 «ОКБ Автоматика» филиал ФГУП «НПО автоматики», 2008г.

Публикации. Материалы, отражающие основное содержание диссертационной работы, изложены в четырех печатных работах, в том числе в двух - в рецензируемом издании, входящим в перечень ВАК РФ:

1. Рогожникова О.В., Худорожко М.В. Функциональная безопасность микропроцессорных систем управления на локомотиве // Вестник ВНИИЖТ. М.-2008г. №4 с.41-43.

2. Рогожникова О.В. Метод функциональной безопасности для определения структуры защитных функций локомотивной системы управления // Вестник ВНИИЖТ. М.-2009г. №2 с.26-28

В других изданиях:

3. Никифорова Н. Б., Худорожко М. В., Рогожникова О. В. Задача обеспечения функциональной безопасности при разработке микропроцессорных систем управления / Вопросы развития железнодорожного транспорта в условиях рыночной экономики: Сб.науч.трудов / Под ред. Ю.М.Черкашина, Г.В.Гогричиани., М.: Интекст, 2007, 34с. стр.69-75.

4. Никифорова Н. Б., Худорожко М. В., Рогожникова О. В. Анализ функциональной безопасности системы управления электровозом. // 7 международная научно-техническая конференция: "Кибернетика и высокие технологии XXI века" / Том 1. Сборник докладов / Воронеж: НПФ "САКВЕЕ", 2006. стр.26-30.

Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения, библиографического описания, включающего 67 наименований и 12 приложений. Объем диссертации 148 страниц основного текста, в том числе 3 таблицы и 48 рисунков.

ОБЩИЕ ВЫВОДЫ ПО РЕЗУЛЬТАТАМ РАБОТЫ

1. Рассмотрены различные подходы к оценке функциональной безопасности в областях промышленности: ВПК, авиации, ядерной энергетике и системах железнодорожной автоматики. Выделены общие подходы к обеспечению безопасности, заключающиеся в предотвращении нарушений нормальных режимов работы и предотвращении опасного развития нарушений режимов функционирования.

2. Реализована применительно к МПСУ электровоза концепция поэтапной структуры обеспечения функциональной безопасности. Разработка требований по безопасности проведена в три этапа: 1 этап - определение функций безопасности электровоза; 2 этап - определение функций безопасности для ПСН; 3 этап - определение функций безопасности его программного обеспечения.

3. Для определения полного перечня функциональных отказов и контроля над его полнотой разработан метод приведения, который свободен от влияния субъективности, опыта и квалификации эксперта и позволил получить перечень функциональных отказов как однозначную функцию конструкции системы.

4. По предложенной методологии проанализирована система управления на локомотиве: ПСН, контур управления питанием обмоток возбуждения тяговых двигателей. По методу приведения составлены перечни воздействий из внешней среды и изнутри во внешнюю среду ПСН. Определены функции безопасности ПСН: выявление и парирование ненормированного значения тока возбуждения по причине неправильной уставки; выявление и парирование ненормированного значения тока возбуждения по причине неправильной обратной связи; выявление и парирование ненормированного значения тока возбуждения по причине неправильного сигнала выявление и парирование негативного сигнала икс; выявление и парирование отказов и сбоев ПСН. Составлены логические уравнения нормального и неправильного функционирования.

5. На основе применения методов определения риска (граф риска) определены численные значения требований по вероятности опасных отказов для функций безопасности контура управления питанием обмоток возбуждения тяговых двигателей. При применении внешних методов снижения риска данный показатель должен быть не выше предела 10"6 опасных отказов в час (соответствует второму уровню полноты безопасности), кроме функции безопасности выявления и парирования ненормированного значения тока возбуждения по причине неправильного сигнала Для данной функции в требованиях по безопасности определено количество опасных отказов - не более 10" опасных отказов в час (соответствует третьему уровню полноты).

6. Определены логическая структура построения ПСН и численные системные параметры для функций безопасности: вероятности опасных отказов в час, доля безопасных отказов, временные параметры. Определена функция безопасности, не соответствующая выставленным требованиям: функция выявления и парирования ненормированного значения тока возбуждения по причине неправильного сигнала По данной функции необходимо принятие мер повышения безопасности.

7. Определены исходные требования для организации архитектуры программного обеспечения - требования доли безопасных отказов. Определены требования мер при построении программного обеспечения.

8. Разработаны модели функции безопасности выявления и парирования ненормированного значения тока возбуждения по причине Г неправильного сигнала —. у сгс

9. Проанализированы меры повышения безопасности функции выявления и парирования ненормированного значения тока возбуждения по

149 причине неправильного сигнала Показано, что применение однотипного резервирования не дает существенного повышения безопасности в МПСУ, ввиду наличия программной составляющей в каждом блоке и наличию отказов по общей причине. Определена модель функции безопасности выявления и парирования ненормированного значения тока возбуждения по Ж причине неправильного сигнала — соответствующая заданному уровню полноты безопасности.

10. Таким образом, на основе принципов системы стандартов МЭК, СЕЫЕЬЕС и ГОСТ концентрированы основные задачи обеспечения функциональной безопасности МПСУ электровоза и пути их решения на примере МПСУ преобразователя собственных нужд электровоза постоянного тока.

1. Головатый А. Т., Исаев И. П. Горчаков Е. В. Независимое возбуждение тяговых двигателей электровозов / Под ред. А.Т. Головатого. М.: Транспорт, 1976. — 152 с.

2. Горбань В. Н. Электрические железные дороги: Конспект лекций для студентов специальности 181400 «Электрический транспорт железных дорог». Часть 1. - Екатеринбург: УрГУПС, 2004. - 85 с.

3. ГОСТ 12.0.002-80. Система стандартов безопасности труда. Термины и определения.

4. ГОСТ 27.002-89. Надежность в технике. Основные понятия. Термины и определения.

5. ГОСТ 27.003-90. Надежность в технике. Состав и общие правила задания требований по надежности.

6. ГОСТ 27.310-95. Надежность в технике. Анализ видов, последствий и критичности отказов. Основные положения.

7. ГОСТ 28195-89. Оценка качества программных средств. Общие положения.

8. ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения.

9. ГОСТ Р 51901.13-2005. (МЭК 61025: 1990). Менеджмент риска. Анализ дерева неисправностей.

10. ГОСТ Р 51901.14-2005. (МЭК 61078: 1991). Менеджмент риска. Метод структурной схемы надежности.

11. ГОСТ Р 51901.15-2005. (МЭК 61165: 1995). Менеджмент риска. Применение Марковских методов.

12. ГОСТ Р 51901-2002. Управление надежностью. Анализ риска технологических систем.

13. ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению.

14. Доказательство безопасности аппаратуры САУТ-ЦМ. / Уральское отделение ВНИИЖТ / МПС РФ, 1997. 20 с.

15. Куликов В. В. Дискретная математика: Учеб. пособие. М.: РИОР, 2007.- 174 с.

16. Липаев В. В. Методы обеспечения качества крупномасштабных программных средств. М.: СИНТЕГ, 2003. - 520 с.

17. Липаев В. В. Функциональная безопасность программных средств. -М.: СИНТЕГ, 2004.-348 с.

18. Липаев В. В. Стандартизация характеристик и оценивания качества программных средств. // Приложение к журналу «Информационные технологии». 2001. № 4.

19. Лисенков В. М. Статистическая теория безопасности движения поездов: Учеб. для вузов. М.: ВИНИТИ РАН, 1999. - 332 с.

20. Новожилов Г. В., Неймарк М. С., Цесарский JI. Г. Безопасность полета самолета. Концепция и технология. М.: Машиностроение, 2003. - 144 с.

21. НП-012-99 Правила обеспечения безопасности при выводе из эксплуатации блока атомной станции.

22. Майоров А. В., Москатов Г.К., Шибанов Г.П. Безопасность функционирования автоматизированных объектов. М.: Машиностроение, 1988.-264 с.

23. Методы построения безопасных микроэлектронных систем железнодорожной автоматики / В. В. Сапожников, Вл. В. Сапожников, X. А. Христов, Д. В. Гавзов / Под ред. Вл. В. Сапожникова. М.: Транспорт, 1995. -272 с.

24. Основы автоматического регулирования и управления: Учебн. пособие для неэлектротехн. специальностей вузов. / Под ред. В. М. Пономарева, А. П. Литвинова. М., Высшая школа, 1974. -439 с.

25. ОСТ 32.17-92. Безопасность железнодорожной автоматики и телемеханики. Основные понятия. Термины и определения. СПб.: ПИИТ, 1992.-33 с.

26. ОСТ 32.18-92. Безопасность железнодорожной автоматики и телемеханики. Выбор и общие правила нормирования показателей безопасности. СПб.: ПИИТ, 1992. - 16 с.

27. ОСТ 32.19-92. Безопасность железнодорожной автоматики и телемеханики. Общие требования к программам обеспечения безопасности. -СПб.: ПИИТ, 1992.- 15 с.

28. ОСТ 32.78-97. Безопасность железнодорожной автоматики и телемеханики. Безопасность программного обеспечения. СПб.: ПГУПС. 1995, -26 с.

29. Петер Виггер. Опыт применения распределения уровней целостности безопасности (SIL) на железнодорожном транспорте.

30. РД 32 ЦШ 1115842.04-93. Безопасность железнодорожной автоматики и телемеханики. Методы расчета норм безопасности. СПб., 1993. - 12 с.

31. Розенберг Е. Н., Шубинский И.Б. Методы и модели функциональной безопасности технических систем. Монография, Москва. 2004. 188 с.

32. Розенфельд В. Е., Исаев И. П., Сидоров H. Н. Теория электрической тяги : Учебник для вузов ж.-д. трансп. 2-е изд., перераб. и доп. - М.: Транспорт, 1983. - 328 с.

33. РТМ 32 ЦШ 1115842.01. Безопасность железнодорожной автоматики и телемеханики. Методы и принципы обеспечения безопасности микроэлектронных СЖАТ. СПб, 1994. - 120 с.

34. Сапожников Вл. В, Наседкин О. А. Доказательство безопасности систем железнодорожной автоматики // Железные дороги мира. 2007, №1. -С. 25-30.

35. Сапожников В. В, Сапожников Вл. В, Валиев Р. Ш. Синтез самодвойственных дискретных систем. Монография. СПб.: «Элмор», 2006. -224 с.

36. Сапожников В. В, Сапожников Вл. В, Шаманов В. И. Надежность систем железнодорожной автоматики, телемеханики и связи: Учебное пособиедля вузов ж. д. трансп. / Под ред. Вл. В. Сапожникова. М.: Маршрут, 2003.-203 с.

37. Сыромятников В.Н. Программное обеспечение: Учебно -методическое пособие. Екатеринбург: УрГПУ, 2005. - 89 с.

38. Тулупов В. Д. Автоматическое регулирование сил тяги и торможения электроподвижного состава. М.: Транспорт, 1976. - 368 с.

39. Функциональная безопасность. Простое руководство по применению стандарта МЭК 61508 и связанных с ним стандартов / Девид Дж. Смит, Кеннет Дж. J1. Симпсон М.: Издательский Дом «Технологии», 2004 - 208 с.

40. Шибанов Г. П., Артеменко А. Е., Метешкин А. А., Циклинский Н. И. Контроль функционирования больших систем. М.: Машиностроение, 1977. -360 с.

41. Шубинский И. Б. Активная защита от отказов управляющих модульных вычислительных систем. СПб.: Издательство "Наука", 1993 г. - 284 с.

42. Электротехника: Учеб. пособие для вузов. В 3-х книгах. Книга II. Электрические машины. Промышленная электроника. Теория автоматического управления / Под ред. П. А. Бутырина, Р. X. Гафиятуллина, А. Л. Шестакова. -Челябинск: Изд-во ЮУрГУ 2004. - 711 с.

43. EN 50129-2003. Железные дороги. Системы связи сигнализации и обработки данных. Электронные сигнализационные системы безопасности.

44. EN 50126-2000. Железные дороги. Технические условия и демонстрация надежности, наличности, ремонтопригодности и безопасности

45. EN 50128-2001. Системы телекоммуникационные, сигнализационные и системы для обработки данных, применяемые на железных дорогах. Программное обеспечение для систем управления и защиты на железных дорогах.

46. IEC 61508-1: 1998. Функциональная безопасность электрических / электронных и программируемых электронных систем. Часть 1. Общие требования.

47. IEC 61508-2: 2000. Функциональная безопасность электрических / электронных и программируемых электронных систем. Часть 2. Требования к электрическим / электронным и программируемым электронным системам безопасности.

48. IEC 61508-3: 1998. Функциональная безопасность электрических / электронных и программируемых электронных систем. Часть 3. Требования к программному обеспечению.

49. IEC 61508-5: 1998. Функциональная безопасность электрических / электронных и программируемых электронных систем. Часть 5. Примеры методов определения уровня соответствия комплексу требований безопасности.

50. IEC 61508-6: 2000. Функциональная безопасность электрических / электронных и программируемых электронных систем. Часть 6. Руководство по применению стандартов IEC 61508-2 и IEC 61508-3.

51. IEC 61508-7: 2000. Функциональная безопасность электрических / электронных и программируемых электронных систем. Часть 7. Обзор способов и мер.

52. ESTEL. Преобразователи электроэнергии Электронный ресурс. : [Преобразователи для железнодорожного транспорта]. Электрон, дан. - М.: Estel (с), 2001. - Режим доступа: http://www.estel.ее/company.htm. - Загл. с экрана.

53. ООО «Новая эра» Электронный ресурс. : [Силовая преобразовательная техника]. Электрон, дан. - СПб.: Newelectro (с), 2004. -Режим доступа: http://www.newelectro.ru/prod/prod51 .html. - Загл. с экрана.

54. ООО «Трансконвертер» Электронный ресурс. : [ПСН-235 У2, ПСН-50 У1, ПСН-80 У1]. Электрон, дан. - M.: Transconverter (с), 2005. - Режим доступа: http://transconverter.ru/psn50ul.html. - Загл. с экрана.

55. ТРАНСМАШХОЛДИНГ Электронный ресурс. : [Статические преобразователи компании «Трансконвертер»]. Электрон, дан. - М.: ТРАНСМАШХОЛДИНГ (с), 2004. - Режим доступа: http://www.tmholding.ru/workypress/smi/7486. - Загл. с экрана.

56. ExCode. Проектирование информационных систем Электронный ресурс. : [Жизненный цикл программного обеспечения ИС]. Электрон, дан. -М.: ExCode (с), 2005. - Режим доступа: http://www.excode.rU/art6057pl.html#keyword-context.2. - Загл. с экрана.

57. Железные дороги мира Электронный ресурс. : [Разработка программного обеспечения по стандартам CENELEC в фирме Siemens], -Электрон, журн. М.: ЖДМ - online, 11, 1998. - Режим доступа к журн.: http://www.css-rzd.ru/zdm/! l-1998Z8350.htm. - Загл. с экрана.

58. Липаев В.В. Стандартизация характеристик и оценивания качества программных средств Электронный ресурс. / Липаев В.В. Электрон, дан. -Режим доступа: http://www.fostas.ru/library/Lipaev6.rtf. - Загл. с экрана.

59. Авиационные правила. Часть 25. Нормы летной годности самолетов транспортной категории. Межгосударственный авиационный комитет. 1994.

60. ГОСТ 29205 91. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от электротранспорта. Нормы и методы испытаний.

61. ГОСТ Р51320.14.1-99 (с испр. 14-1-93). Совместимость технических средств электромагнитная. Радиопомехи индустриальные от бытовых,158