автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.07, диссертация на тему:Система формирования гарантоспособной программной архитектуры для АСУ ТП

! 1а нранач |л »описи

Привалов Алексей Сер|еевим РГБ ОД

¿м

СИСТЕМА ФОРМИРОВАНИЯ ГАРАНТОСПОСОБНОЙ ПРОГРАММ НОЙ АРХИТЕКТУРЫ ДЛЯ АСУ ТП

лециальнос)ь 05.13.(>7 — Ашомгтгшация гехш »логически*

процессов и производств

Автореферат дисеертции [1а соискание ученой степени кандидата технических паук

Красноярск 2000

Работа выполнена в Научно-исследовательском инсгиту систем управления, волновых процессов и технолог! (г. Красноярск)

Научные руководители:

доктор технических наук, профессор Ковалев И.В.

Официальные оппоненты:

доктор технических наук, профессор Семенкин Е.С.

кандидат технических наук, доцент Вайнгауз A.M.

Ведущая организация: государственный научн исследовательский институт информационных технологий телекоммуникаций (г. Москва)

/у с, У

Защита состоится «-7 » с?*/ 2000 года в /у' часов i

заседании диссертационного Совета К064.46.01 в Сибирск< аэрокосмической академии по адресу: Красноярск, пр.им.газет «Красноярский рабочий», 31

С диссертацией можно ознакомиться в библиотеке академии.

Ваш отзыв, заверенный печатью, просьба направлять i адресу: 660014, Красноярск-14, а/я 486, CAA, ученому секретар диссертационного Совета Ковалеву И.В.

Автореферат разослан « 2000 года.

Ученый секретарь диссертационного Совета

доктор технических наук, профессор

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. Современная тенденция к расши-ению сферы работ по автоматизации технологических провесов (ТП) относится не только к отраслям промышленности дискретным характером производства но и, в большой мере, к правлению на транспорте, включая железнодорожный. Успе-и разработок и промышленного выпуска средств микропро-ессорной вычислительной техники создают прочную основу ля проектирования и внедрения автоматизированных систем правления (АСУ) ТП с высокими показателями экономично-ги и надежности. Несомненно, что этому же способствует онцепция развития средств железнодорожной автоматики и :лемеханики (СЖАТ), одобренная президиумом НТС МПС Ф в октябре 1998 г. (протокол № 28 от 7 ноября 1998 г.).

Весьма важно, что работа по развитию и усилению техни-еского и технологического оснащения железнодорожного эанспорта не прекращалась в период спада перевозок и ведет? в настоящее время, особенно на объектах государственной рограммы по безопасности движения. Проведенная на Крас-оярской железной дороге предпроектная работа показала эф-ективность внедрения АСУ ТП (с учетом информационно-;хнологического комплекса задач управления перевозочным роцессом) на основе микропроцессорной диспетчерской цен-эализации и координатной системы интервального регулиро-шия на базе цифрового радиоканала.

Для рассматриваемого класса автоматизированных систем травления при определении состава технических средств и ;хнологий акцент делается прежде всего на Российские разра-тгки и предприятия, что позволит создать отечественную сис-;му, аналогичную Европейской Е11ТМ8.

Специфичность области применения - управление техни-

ческим объектом, функционирующим в реальном времени и реализующим технологический процесс перевозки людей, грузов и т.д. - порождает целый ряд проблем в программировании АСУ ТП. Однако на современном этапе развития различные подходы к программированию систем управления имеют тенденцию к сближению, а подходящей базой для этого может стать унификация архитектуры АСУ ТП. Более того, известно, что в технологии многоуровневого программирования используется концепция архитектуры связи открытых систем, предложенная международной организацией стандартов в качестве эталонной модели построения систем обработки данных. Применение ее в приложении к АСУ ТП впервые было рассмотрено в работах Шенброта И.М., Антропова М.В. и Давиденкс К.Я.

Такие показатели качества управляющих программ, ка! корректность и помехоустойчивость определяют надежност} программной архитектуры АСУ ТП. В работе под корректно стью понимается способность программы давать с большой ве роятностью правильные результаты при всех комбинациях ис ходных данных, допустимых в рамках постановки задачи. По мехоустойчивость - способность программы с большой веро ятностью обнаруживать ошибки, возникающие в процессе вы полнения и блокировать или уменьшать их вредное влияние.

Для формирования гарантоспособной программной архи тектуры АСУ ТП большое значение имеют также время откли ка (время реакции программ на внешние события), время рес тарта (продолжительность повторного запуска программ), за траты времени на защиту данных.

В связи с изложенным появилась настоятельная потреб ность в разработке эффективной системы формирования гаран тоспособных программных архитектур АСУ ТП, позволяющее с учетом надежностных характеристик осуществлять синте; анализ, коррекцию программных архитектур, учитывать эти

акторы в составе интерактивных средств экспресс-анализа, эиентированных на специалистов предметной области.

В диссертации обобщены результаты по комплексу простых работ для обеспечения устойчивой эффективной дея-шьности Красноярской железной дороги, выполняемых в терние ряда лет в научных коллективах Сибирской аэрокосми-гской академии, Красноярского государственного техниче-сого университета и НИИ систем управления, волновых провесов и технологий. Исследования, результаты которых со-гавили основу настоящей работы, проводятся в соответствии хоздоговорными НИР по программе информатизации КрЖД в рамках создания информационно-поисковых систем для роведения исследований по профилю деятельности КрЖД.

Работы в этой области проектирования надежных архи-жтур ПО АСУ технологическими процессами требуют боль-[их затрат, однако современные масштабы разработок и вне-рения систем реального времени на основе информационно-2хнологических комплексов как на железнодорожном трансорте, так и в других отраслях промышленности, не оставляют эмнений в экономической целесообразности, своевременно-ги и актуальности поставленных задач исследования.

Целью настоящей работы является разработка автома-язированной системы формирования гарантоспособной про-эаммной архитектуры АСУ технологическими процессами.

Для достижения этой цели ставились следующие задачи:

- провести анализ задач, имеющих первостепенной значе-ие и существенно влияющих на эффективность внедрения нформационно-технологического комплекса АСУ ТП;

- разработать модели и алгоритмы формирования гаранто-пособной программной архитектуры АСУ ТП;

- разработать алгоритмическое и программное обеспече-ие процедур анализа риска и учета неопределенности при вы-

боре объема вводимой архитектурной избыточности;

- реализовать разработанные алгоритмы и программное обеспечение в виде автоматизированной системы формирования гарантоспособной программной архитектуры АСУ ТП;

- решить с помощью автоматизированной системы практические задачи формирования эффективной по надежности программной архитектуры системы управления технологическим процессом перевозки людей, грузов и т.д. на Красноярской железной дороге.

Методы исследования. Системный анализ и методы математической оптимизации. Методы теории вероятностей, анализ риска и теория статистических решений. Теория множеств, комбинаторика и теория графов. Многоатрибутивные методы принятия решений и прикладные аспекты теории надежности.

Научная новизна работы.

1. Предложен комплекс математических моделей формирования гарантоспособного ПО АСУ ТП, отражающий надежностный фактор одно- и многофункционального состава зада1 системы управления и многоуровневую архитектуру программного обеспечения.

2. Аналитически определены показатели, характеризующие поведение архитектуры программного обеспечения и позволяющие выявить архитектурно-связанные компоненты.

3. Разработан метод определения объема вводимой архитектурной избыточности при исполнении гарантоспособные программных компонент АСУ ТП, применяемый для выработки решения в условиях неопределенности и являющийс5 обобщением и развитием задач анализа риска и теории стати стических решений целеориентированного программирования.

4. Разработана методика автоматизированного экспресс анализа архитектурной надежности информационных техно логий в АСУ ТП, которая применена в рамках современной

хнологии программирования АСУ ТП.

Практическая ценность. Разработанная в диссертации [стема формирования гарантоспособной программной архи-ктуры АСУ ТП применена при программирования АСУ пе-:возочным процессом на Красноярской железной дороге и юектировании высоконадежного ПО информационно-биологического комплекса задач при внедрении информаци-1ных технологий для управления КрЖД. Созданные на ее ба-: системы автоматизации сокращают сроки и снижают стои-ость разработки, увеличивают надежность и улучшают со-эовождаемость ПО. Надежностное проектирование про-)аммной архитектуры АСУ ТП позволяет решать новые задал по качественной оценке и быстрому восстановлению систе-ы ПО при введении оптимальной избыточности программных змпонент.

Использование автоматизированного экспресс-анализа прощает организационно-технологическую схему разработки рограммной архитектуры АСУ ТП, исключая промежуточ-ые неформализованные этапы и процедуры и обеспечивая ривлечение к разработке как специалистов по подсистемам правления ТП, так и специалистов по АСУ ТП в целом.

Реализация результатов работы. Под руководством и ри непосредственном участии автора диссертации выполнен яд экспериментальных работ, в ходе которых разработан и ередан в составе автоматизированных средств технической иагностики программный комплекс диалогового формирова-ия гарантоспособного ПО подсистем АСУ ТП на КрЖД. В со-таве автоматизированной системы технической диагностики А.СТД) разработаны и внедрены современные технологии ди-гностирования, гарантоспособность которых позволяет выяв-ять неблагополучные машины с трудноопределимыми отка-ами и повышать надежность работы системы управления.

Материалы диссертационной работы введены в учебные курсы и используются при чтении лекций для студентов Красноярского государственного технического университета и Сибирской аэрокосмической академии. Эти материалы нашли отражение в учебном пособии «Технология надежностного программирования задач автоматизации управления в технических системах», г. Красноярск, НИИ СУВПТ, 2000 г., написанном в соавторстве с А.А.Ступиной и И.Н.Давыдовым.

Основные тезисы, выносимые на защиту.

1. Для задач формирования высоконадежной, отказоустойчивой архитектуры ПО АСУ ТП разработан комплекс математических моделей, учитывающий сложные взаимосвязи компонентов многоуровневой архитектуры и отражающий надежностный фактор ПО при одно- и многофункциональном исполнении системы управления.

2. Разработанная процедура определения дохода от информации при выборе объема вводимой архитектурной избыточности обеспечивает эффективное специально организованное сопровождение ПО АСУ ТП с учетом базовых требование методологии гарантоспособных вычислений к разнообразии: проектирования программных компонент.

3. Разработанный программный комплекс для интерактивного экспресс-анализа архитектурной надежности инфор мационных технологий в АСУ ТП отвечает современным тре бованиям, предъявляемым к программному обеспечению, i предназначен для решения оптимизационных задач выбора ар хитектуры ПО.

4. Разработанная система формирования гарантоспособ ной программной архитектуры АСУ ТП применима для широ кого класса сложных информационно-управляющих систем, ] которым предъявляются повышенные требования по надежно сти функционирования.

Апробация работы. Основные положения и результаты 1боты прошли всестороннюю апробацию на всероссийских и гждународных конференциях, научных семинарах и научно-эактических конференциях. В том числе, на научно-эактической конференции с международным участием «Ин-ормационные технологии в инновационных проектах» 1жевск, 2000), международной AMSE конференции ССМ'99 Santiago de Compostela, Испания, 1999), 10-й международной абочей конференции Немецкого общества по исследованию пераций GOR-Workshop "Entscheiden 2000" (Darmstadt, Гер-ания, 2000), на научных семинарах кафедры Системного ана-иза и исследования операций Сибирской аэрокосмической кадемии (1998-2000), института систем управления, волновых роцессов и технологий (1998-2000).

Публикации. По теме диссертации опубликовано 9 пе-атных работ, список приводится в конце автореферата.

Структура и объем работы. Диссертация состоит из ведения, четырех глав, заключения, списка литературы из 114 аименований и приложений.

СОДЕРЖАНИЕ РАБОТЫ

В первой главе на основе обзора литературы дается характеристика состояния вопроса. Анализируется жизненный [икл программной архитектуры АСУ ТП и этапы проектирова-[ия сложных систем ПО.

Показано, что для современных систем управления пере-¡озочным процессом на железнодорожном транспорте реали-ация информационных технологий (согласно Концепции ЖАТ) может быть обеспечена только в рамках высоконадеж-юй программной архитектуры АСУ ТП, являющейся много-фоцессорной и распределенной по территории. Более того,

проведенная предпроектная работа, как уже было сказано выше, показала эффективность внедрения информационно-технологического комплекса на основе микропроцессорной диспетчерской централизации и координатной системы интервального регулирования на базе цифрового радиоканала.

Распределенность данного класса АСУ ТП определяется еще и тем, что для комплексного развития автоматизированной системы управления перевозками необходима информация с дислокации подвижных объектов на дорогах и линиях сети.

Наиболее перспективный путь решения вышеприведенной задачи инициативно реализуется на КрЖД и заключается е использовании системы спутниковой навигации, сетей передачи данных, устройств сбора и обработки информации. Этс предполагает использование координаты подвижной единиць: в качестве исходной информации для создания систем оптимального управления движением поездов и интервального регулирования. Совокупная информация по всем движущимс* объектам позволит получить информацию о дислокации транспортных потоков на линиях сети не дожидаясь перехода поездов через стыковые пункты дорог.

Открытая телекоммуникационная архитектура системы включая архитектуру локомотивной и станционной аппаратуры, предусматривает ее дальнейшее функциональное развитие направленное на минимизацию дорогостоящего напольногс перегонного оборудования, что является экономически эффективным и соответствует концепции СЖАТ.

Современное технологическое оборудование на железно дорожном транспорте позволяет получить информацию о дислокации подвижных объектов (прежде всего локомотивов) ш дорогах сети с нужной для решения практических задач АС^ ТП точностью и периодичностью. Соединение "спутниковой' информации с уже имеющейся информационной системой АСОУП позволит продолжить развитие автоматизированных

стем управления в направлении создания оптимизационных [реждающих решений и тем самым значительно повысить деющиеся возможности существующих систем управления.

Для обеспечения высокой надежности функционирования СУ ТП рассматриваемого класса в работе выделяются архи-жтурные уровни, соответствующие различным компонентам 1стемы и их зависимостям. Результаты испытаний, приводные в диссертации, подтверждают возможность создания че-лрехуровневых информационных потоков в реальном мас-[табе времени для решения задач дальнейшего развития ин-ормационных технологий в АСУ ТП.

Таким образом, реализация имеющихся технических ре-гений, даже на первом этапе внедрения АСУ ТП и систем об-аботки сообщений, требует соответствующей архитектурной адежности, позволяющей реализовать информационные тех-ологии в структуре АСОУП.

Архитектурная надежность автоматизированных систем правления, работающих в режиме реального времени, в больной мере определяется структурой программного обеспечения [ его эксплуатационными характеристиками, существенно шияющими на выполнение основных функциональных задач системы. Кроме того, архитектура большого комплекса про-рамм, работающего в реальном времени, является модульной, иерархической и распределенной, что продемонстрировано в заботе на примере базовых подсистем.

Сбой в системе или ее функциях выражается в периоде лростоя системы, который определятся как отрезок времени, на котором система не может выполнять функции центрального ядра, включая функции администрирования и обслуживания. Период простоя системы приводит к резкому снижению производительности и потерям производства. Таким образом, уменьшение времени простоя системы является одним из наи-

более важных факторов при разработке больших программных архитектур АСУ ТП, работающих в реальном времени.

Надежность системы в целом зависит как от аппаратной части, так и от программной. Помимо достижения низких показателей сбоев для аппаратных компонентов, надежность аппаратного обеспечения можно увеличить дублированием наиболее критичных компонентов архитектуры. В некоторых случаях, при отказе компонента, его функции могут выполняться дублирующим компонентом. Надежность программного обеспечения нельзя увеличить таким методом, поскольку дублирование компонентов ПО приведет также к дублированию ошибок.

Гарантоспособное программное обеспечение АСУ ТП можно создать с помощью тщательной разработки архитектуры и выявления ошибок в компонентах, которые больше всего оказывают влияние на надежность системы. Эти компоненты определяются как наиболее часто используемые или архитектурно-связанные с множеством других компонентов, и влияющие, таким образом, на их надежность. Эти ключевые компоненты являются кандидатами на разработку методом, обеспечивающим многообразие версий идентичных программных компонент.

Предлагая комплекс формальных моделей надежности для программной архитектуры АСУ ТП, автор определяет и описывает в диссертации конкретные примеры критических компонентов архитектуры, а также зависимости компонентов, которые позволяют ошибке или сбою распространяться от компонента, в котором они происходят, к другим компонентам. Это распространение может вызывать сбои в цепочке (или в дереве) компонентов. Однако, ошибка может быть прослежена, через цепочку (или дерево) зависимостей компонентов для устранения всех сбоев, которые связаны с ней.

При формировании программной архитектуры АСУ ТП

учитываются уровни, соответствующие различным компонентам и их зависимостям. Так как сбой может происходить на различных уровнях архитектуры (в модуле, процессе, интерфейсе компонента или в связи и механизме контроля), то длительность отказа системы и его влияние на надежность АСУ ТП различны.

Число архитектурных уровней в модели архитектуры ПО зависит от проекта системы. В модели архитектуры, показанной на рисунке 1, имеются два уровня компонентов программного обеспечения: модули и процессы. Каждый архитектурный уровень содержит граф компонентов каждого типа (граф модулей и граф процессов). Сплошные линии представляют дуги каждого направленного графа внутри одного архитектурного уровня, прерывистые линии показывают соединения между архитектурными уровнями. Процессы используют модули в течение их выполнения: эти зависимости показаны прерывистыми линиями. Процесс может использовать несколько различных модулей, и модуль может использоваться несколькими различными процессами. Граф процессов представляет динамическую зависимость компонентов, а граф модулей представляет статическую зависимость компонентов. Эта архитектура может быть расширена до произвольного числа уровней с графами компонентов на различных уровнях.

Как правило, в модели архитектуры ПО граф процессов гаходится на самом верхнем уровне, а графы остальных ком-юнентов, например - функции, примитивы, данные, структуры 1 сообщения находятся на нижних уровнях.

Анализ содержания процедур проектной парадигмы га-)антоспособного программирования и их взаимосвязи с тради-щонными этапами ЖЦПО позволяет сделать заключение о 'ом, что в настоящее время только предлагаемый автором под-:од отказоустойчивого программирования является возможной льтернативой методам тестирования и доказательства пра-

УРОВЕНЬ 2

Граф процессов

1

УРОВЕНЬ 1

Граф модулей

Рис.1 Архитектурные уровни программного обеспечения АСУ ТП.

вильности программ, обеспечивая высокий уровень надежности исполнения критичных по сбоям и ошибкам программных компонент АСУ ТП. Именно данная методология обеспечивает гарантию того, что ошибки одной из версий не приведут к нарушению процесса управления сложными технологическими объектами, для которых характерны жесткие требования по надежности и автономности функционирования.

Во второй главе диссертации рассматривается предлагаемая автором динамическая модель формирования гарантоспособной архитектуры ПО реального масштаба времени для АСУ ТП. При формировании гарантоспособной программной архитектуры предлагаемая модель использует следующие па-

эаметры и обозначения (отметим, что параметры компонентов применяются отдельно для каждого уровня архитектуры ПО):

М число архитектурных уровней в архитектуре ПО число компонентов на уровне ], ] е {1,. .,М} множество индексов компонентов, зависящих от компонента 1 на уровне], ]е{1,..,М} событие сбоя, произошедшего в компоненте I на уровне ]е{1,..,М}

Ри,] вероятность использования компонента \ на уровне ], РГц вероятность появления сбоя в компоненте 1 на уровне ],

}е{1,..,М}

РЬчпт условная вероятность появления сбоя в компоненте т на уровне п при появлении сбоя в компоненте \ на уровне] ¡еО,..,^},]е{1,..,М}, пе{1,..Д„}, те{1,..,М} ГАу относительное время доступа к компоненту I на уровне ], {]е{1,..,М}, определяемое как отношение среднего времени доступа к компоненту 1 на уровне ] к числу сбойных компонентов на малых уровнях архитектуры за одно и тоже время ГС^ относительное время анализа сбоя в компоненте 1 на уровне], ]е{1,..,М}, определяемое как от-

ношение среднего времени анализа сбоя в компоненте 1 на уровне ], 1е{1,..,^}, ]е{1,..,М}, к числу сбойных компонентов на всех уровнях архитектуры, анализируемых в одно и тоже время ГЕ|] относительное время устранения сбоя в компоненте 1 на уровне], ]е{1,..,М}, определяемое как от-

ношение среднего времени восстановления в компоненте I на уровне], 1е{1,..,^},]е{1,..,М}, кчислу сбойных компонентов на всех уровнях архитектуры, в кото-

рых происходит устранение сбоев в одно и тоже время Ти^ относительное время использования компонента [ на уровне ]е{1,..,М}, определяемое как от-

ношение среднего времени использования компонента \ на уровне]е{1,..,М}, кчислу компонентов на всех уровнях архитектуры, используемых в одно и тоже время

ТГ1 среднее время простоя системы в большой архитектуре телекоммуникационного ПО реального времени, определяемое как время, в течение которого система не может выполнять свои функции МТТК среднее время появления сбоя в большой архитектуре телекоммуникационного ПО реального времени, определяемое как время, в течение которого сбоев в системе не происходит

8( /, ?) Функция готовность системы к эксплуатации в момент

времени I при начальном состоянии ¡еЕ={0,1}. 8 коэффициент готовности системы,

8=8(1,+ со)=Нт1->оо(1Д)=соп81, где б не зависит от начального состояния системы, 0<Б<1.

Среднее время простоя системы в архитектуре зависит от условных и безусловных вероятностей сбоев на всех уровнях архитектуры и от среднего времени доступа, анализа и восстановления сбойных компонентов. В нашей модели время устранения сбоя равно времени, которое требуется для доступа, анализа, восстановления, это означает, что время восстановления меньше, чем время устранения сбоя. Если используется автоматическое восстановление и компонент не содержит сбоев, то он рассматривается моделью как восстановленный компонент. Ошибка того же типа, что была устранена, считается новой ошибкой.

Среднее время простоя системы определяется следую-

цим образом:

Р=М ¡=К1| т=М 11=N11

™=£ Х{РиихРРих[(ТАц+ТСи+ТЕй)+ X X

1 = 1 (т=1)&(т*.)) п = 1

:РЦтх[(ТАпт+ТСпт+ТЕпт) + Е[РЦХТА1п1+ТС1т+ТЕ1т)]]]

1б0пш

т=М п=№ч

[Р^х[(ТА1и + ТСч+ТЕ1а.)+ I I [РЬ1[(ТАпт+ТСпт+ТЕпт) +

I (т=1)&(т^) п=1

^ Е[РЬГх(ТА1т+ТС1т+ТЕ1т)]]]]]]}

1бОпт

Первое слагаемое соответствует вычислению среднего ¡ремени простоя системы с учетом всех архитектурных уров-тей и всех компонентов на каждом уровне. Для каждого архитектурного уровня ПО вероятность использования каждого сомпонента умножается на вероятность сбоя компонента и на :умму средних времен анализа, доступа и восстановления для 'того компонента:

Второе слагаемое оценивает вклад отдельных уровней в :реднее время простоя системы, так как сбойный компонент южет вызывать сбои в зависящих от него компонентах как на фугих уровнях архитектуры, так и на том же самом уровне.

Последнее слагаемое соответствует вкладу в простой сис-емы архитектурного уровня, на котором произошел сбой.

Среднее время появления сбоя зависит от условных и без-'словных вероятностей сбоев во всех компонентах на всех

архитектурных уровнях и, кроме того, от относительного времени использования компонентов, в которых сбой не происходит. Среднее время сбоя вычисляется для всех архитектурных уровней и всех компонентов на каждом архитектурном уровне.

Дополнительно, для каждого отдельного архитектурного уровня и для всех компонентов условная вероятность работы без сбоев умножается на относительное время использования этих компонентов. Также, для того же архитектурного уровня и для всех компонентов условная вероятность работы без сбоев перемножается на относительное время использования этих компонентов. Модель должна также учесть влияние на среднее время сбоя те уровни архитектуры, на которых сбой не происходит.

С учетом сказанного выше, для гарантоспособной архитектуры ПО АСУ ТП среднее время сбоя определяется следующим образом:

/=М ¡=Ы] т=М п=Ит

/=1 (т=1)&(т#/) л=1

[(1 - РЦ,т) х[типт+ 2до- РЦ") х ти,т ]]] + £[(1 -

I еОпт к еОу

т=М п=Мт _

(Л!=1)&(от*7) Л=1 ¡ейпт

Время появления сбоя (МТТР) и среднее время простоя системы (Т11) характеризуют гарантоспособные возможности архитектуры ПО по обеспечению потенциальной производительности и по достижению этой производительности после отказа. Первый показатель связан с понятием отказа ПО, а второй - с понятием восстановления. Время появления сбоя по-

воляет пользователю системы оценить возможность решения ой или иной задачи АСУ ТП. Среднее время простоя инфор-[ирует о том, когда отказавшая функция системы (или система целом) будет восстановлена.

Время появления сбоя и среднее время простоя системы арактеризуют поведение архитектуры ПО на начальном этапе •ункционирования. Эти показатели не информативны при ценке работы архитектуры в течение длительного времени >ункционирования, что является характерной особенностью .СУ ТП.

Поэтому особый интерес представляет показатель, оторый бы характеризовал производительность системы в ¡омет времени t>0 (включая t—>-со) и который был бы связан дновременно с понятиями отказа и восстанов-ления.

При современном уровне развития производственно-гхнологической базы вычислительных систем и комплексов .СУ ТП на их основе, функция готовности достигает коэффи-иента готовности S, при t не более, чем 10 часов. С увеличе-ием интенсивности восстановления этот временной период ожет быть сокращен до нескольких часов; так, при среднем ремени восстановления 30 минут он не превышает 5 часов.

Следовательно, для случая непрерывной эксплуатации правляющих вычислительных комплексов АСУ ТП анализ их этовности можно производить, ограничившись формулой, ус-шавливающей взаимосвязь интенсивности отказов и интен-ивности восстановлений системы, то есть достаточно оценить этовность архитектуры ПО в момент времени t:

S = lim t—^со S (i, t) = MTTF/(TR +MTTF) ,

де i - начальное состояние, причем ieE, где E={0,1} -ножество состояний системы, причем i=0 соответствует эстоянию отказа, а i=l - работоспособное состояние системы;

(1,1) - вероятность нахождения ПО в момент времени 1>0 состоянии}<=Е, при условии, что ее начальным состоянием был состояние ¡еЕ.

Итак, разработанные модели и алгоритмы формировани эффективной по надежности архитектуры ПО АСУ Т1 позволяют выявлять ошибки в компонентах, которые наибольшей степени оказывают влияние надежност функционирования системы. Эти компоненты определяютс как наиболее часто используемые или архитектурно-связанны с множеством других компонентов и влияющие, таки: образом, на их надежность. Эти ключевые компонент! являются кандидатами на разработку методом обеспечивающим многообразие версий идентичны: программных компонент. В этом случае необходим« определить уровень вводимой архитектурной избыточности чему посвящена следующая глава диссертации.

В третьей главе разрабатываются модели и алгоритмь оценки эффективности применения гарантоспособных про граммных компонент АСУ ТП. Решение системы моделей по зволяет в результате многоэтапной диалоговой процедуры оце нить объем вводимой архитектурной избыточности и существенно повысить знания о конечном состоянии гарантоспособного компонента ПО. Рассмотрим последовательно этапы разработанной процедуры, полная реализация которой обеспечивает эффективное, специально организованное, сопровождение отказоустойчивого ПО АСУ ТП.

Отметим, что проблема выбора объема вводимой архитектурной избыточности является неотъемлемым предварительным этапом, обеспечивающим реализацию базовых требований методологии отказоустойчивого программирования и позволяющим достичь необходимого разнообразия методов проектирования гарантоспособных программных компонент.

Так как в реальной ситуации при разработке отказоустой-ивого ПО АСУ ТП мы сталкиваемся с неопределенностями в ценках затрат, надежностных и временных факторов, относи-гльно которых необходимо принять решение, то предлагается спользовать на этом этапе методы анализа риска и элементы гории статистических решений, которые позволяют выраба-ывать решения в условиях неопределенности. Кроме того, ассматривается значение информации как основного фактора ри определении глубины мультиверсионности гарантоспо-эбных компонент.

Для оценки вводимой архитектурной избыточности в ра-оте предлагается выделить следующию классификационную руппу, которая характеризует три возможных варианта:

1. Неизбыточный вариант (НВ), который соответствует еизбыточному программированию компонента и обеспечива-г минимальную стоимость его реализации.

2. Малоизбыточный вариант (МВ), предусматривающий [инимально возможную избыточность при числе версий ком-онента N=3 и обеспечивающий гарантоспособность про-раммной архитектуры АСУ ТП;

3. Избыточный вариант (ИВ), радикально увеличивающий бъем вводимой архитектурной избыточности при N>3 и, есте-твенно, требующий дополнительных затрат по сравнению с азовым неизбыточным вариантом - НВ.

Очевидно, что в процессе специально организованного опровождения ПО АСУ ТП при отказе избыточного варианта-1В необходимо перепрограммировать систему, используя ба-овый неизбыточный вариант-НВ и получая при этом снижение гарантоспособности АСУ ТП и дополнительные затраты на [ерепрограммирование. Потенциальные результаты примене-[ия вариантов (ИВ и НВ), а также МВ оцениваются, а выигрыш, в зависимости от формулировки, выражается в стоимост-

ных единицах, единицах показателей качества, функции полезности и т.д.

Итак, задача, фактически, сводится к выбору между ИВ и МВ для конкретного компонента программной архитектуры, причем на предварительном этапе ничего не известно о шансах на успех ИВ, что соответствует выбору при полной неопределенности. В работе анализируются правила выбора из нескольких альтернатив для случаев, когда результат или выигрыш зависит от конкретного выбора; для конкретного выбора известен выигрыш по всем альтернативам; вероятность конкретного выбора неизвестна.

Рассмотрены, обсуждены и реализованы основные методы выбора при полной неопределенности — правила максимина и максимакса, правило Лапласа или равной вероятности, применяемые на данном этапе процедуры. Критически проанализированы оптимистичность и пессимистичность, а также сильные и слабые стороны каждого из указанных подходов. Несмотря на применение экспертных оценок вероятностей (как метода преодоления влияния полной неопределенности) и соответствующего метода интервального анализа, а также функции полезности, поиск хорошей альтернативы является исключительно трудной задачей, причем для указанных методов существуют классы ситуаций, в которых назначается противоестественный или бессмысленный выбор при полном отсутствии ин формации о возможных исходах. Несомненно, что такая ин формация способна дать значительный эффект при решенш поставленной задачи.

Разработан следующий метод повышения знаний о конеч ном состоянии гарантоспособного компонента архитектур! ПО, который становится возможным, благодаря организации составе средств сопровождения модельного блока прототипо компонент (Бл), реализующего основные функции компонент при погружении в среду моделирования функций управления

ехнолгическим процессом или АСУ ТП в целом. Естественно, этой ситуации значительно повышается риск для ИВ, хотя в бщем случае не представляется возможным получить полную нформацию, т.к. существует два источника неопределенности, оторые выражаются вероятностью Р(Бл[ИВ] / НС), что соот-етствует вероятности того, что исследование с помощью мо-ельного блока приводит к выбору ИВ при условии, что в дей-гвительности этот вариант окажется неудачным, и Р(Бл[ИВ] / С) — вероятность того, использование модельного блока при-одит к выбору ИВ при условии, что он действительно оказы-ается удачным.

Использование формулы Байеса и ее частных случаев яв-яется основным при получении матожидания (М) дохода при спользовании модельного блока для выбора предпочтитель-ого варианта (объема) вводимой архитектурной избыточно-ти. При этом возможно определение «чистой стоимости» при азличных затратах на моделирование и отладку программ, беспечивающих различные уровни надежности предсказания арантоспособности компонент.

Итак, имеется т альтернативных вариантов надежност-

г/ (N>3) Т/ (N>3) Т/ (N>3)

ои архитектуры к/ к2 ,..., У,„ в ситуации, имею щей возможных состояний 5/, , вероятности которых рав-

ы Р(81), а значения выигрышей от выбора аль-

ернативы в состоянии задается матрицей выигрышей с цементами 0=1,..., п; 1=1,..., т). Необходимо выбрать аль-ернативу (вариант реализации архитектурной избыточности) с [аксимальным матожиданием (М) выигрыша. При полной ин-юрмации, рассчитав М дохода при выборе каждой альтернаты и выбрав максимальнозначимую, вычислим М дохода от олной информации

п п

М= IР^ ( шах Уу) - гпах I Р(

Таким образом, если применение модельного блока (Бл) прототипов обеспечивает полную информацию для определения объема вводимой избыточности в архитектуру ПО АСУ ТП, то всегда можно рекомендовать альтернативу, максимизирующую выигрыш. Рекомендуемые в результате этого применения альтернативы Бл[У|] связаны с состояниями Я/, причем в практике инженерного программирования рекомендация Бл [ V,] основана на неполной информации о состояниях 5} (где для нашего случая Бл[У|] соответствуют МВ, ИВ или НВ, а 5, суть НС и БС). Тогда общая формула для М дохода при решении задачи выбора варианта мультиверсионности из Бл[У;], (/=7,..., т) имеет вид:

т п

М{Бл[У!], Бл[У2],..., Бл[Ут])=1: Р(Бл[У;]) [ IЩ! Бл[УД) у&-]

¡=1 7=/

В соответствии с вышесказанным разработана процедура определения дохода от информации, в результате реализации которой определяется объем вводимой архитектурной избыточности ПО АСУ ТП и обеспечивается наилучшее соотношение между затратами на применение модельного блока прототипов и доходами от результатов этого применения и полученной при этом информации. Здесь же отметим, не касаясь случая, когда значением М можно пренебречь, что, вычислив М получаем «грубую» верхнюю оценку допустимых затрат и I этих пределах определяем оценочную стоимость С* наиболее обещающей компоновки модельного блока. Вычислив «чистук стоимость» по каждому Бл[У;], выбираем наиболее предпочти тельный вариант избыточного исполнения компонента.

Указанная процедура позволяет решать ключевые про блемы, нашедшие свое отражение в рамках парадигмы гаран тоспособных вычислений и касающиеся, в первую очередь, во просов о том, какие средства необходимо затратить на фазе ис-

тедования осуществимости гарантоспособного (связанного с збыточностью исполнения) компонента, на анализ альтерна-гвного варианта объема вводимой архитектурной избыточного, на анализ риска при конкретизации требований, на вери-икацию и подтверждение, прежде чем приступить к эксплуа-щии эффективной по надежности программной архитектуры СУ ТП, и т.д.

В четвертой главе диссертации представлены инстру-ентальные программные средства системы формирования га-антоспособной программной архитектуры АСУ ТП, включая Диалоговую систему оценки архитектурной надежности про-раммного обеспечения», которая реализует также и экспресс-нализ эффективности функционирования архитектуры ПО.

Экспресс-анализ позволяет по имеющимся требованиям ля разрабатываемого программного обеспечения АСУ ТП, ценить эффективность его работы и рассчитать характеристи-и надежности за небольшое время. Получаемые характери-гики позволяют сравнить различные варианты архитектуры, а встроенные графики указывают разработчикам системы пути птимизации архитектуры ПО.

Система реализована с помощью новейших средств раз-аботки программ, что обеспечило ее должной гибкостью, на-ример, возможностью включения автоматизированной мето-ики экспресс-анализа в комплекс автоматизированных редств разработки программного обеспечения АСУ ТП.

Система создана с использованием среды визуального рограммирования Borland С++ Builder (версия 4.0) фирмы Borland International Inc. Работа проводилась при помощи спомогательных утилит Winsight 32, System Monitor и др. При роектировании структуры программы использовался объект-о-ориентированный подход.

На рисунке 2 показан пример исследуемой архитектуры

для программной подсистемы АСУ ТП. В этой архитектуре процессы используют функции и примитивы и взаимодействуют через сообщения. Функции используют данные и структуры. Процессы, функции, примитивы, данные, структуры и сообщения находятся на различных архитектурных уровнях в модели. В этой архитектуре все компоненты одного типа (то есть процессы, функции, примитивы, данные, структуры и сообщения) используют одинаковую связь и применяют шаблоны.

О.

Процессы

Функции

^~~^Примитивы

УРОВЕНЬ 6

УРОВЕНЬ 5

УРОВЕНЬ 4

О

Данные УРОВЕНЬ 3

О

Структуры УРОВЕНЬ 2

О

Сообщения

УРОВЕНЬ 1

Рис 2. Архитектура подсистемы ПО

Для сравнения в автореферате представлены только дв; варианта архитектуры. В таблицах 1 и 2 приведены значени: параметров, использованных при анализе.

Таблица 1.

Значения параметров варианта архитектуры А

Уровни Архитектуры Число коми. Вероятн. сбоя ком п. Условн. вер. Сбоя на разных ур-ях Вр. доступа, анализа, восстановления Время использования компонента

Процессы 7 0,1 0,0 5 100

Функции 399 0,2 0,8 7 80

Гримитивы 138 0,05 0,4 12 90

Данные 202 0,12 0,5 12 25

Структуры 49 0,05 0,2 11 40

Сообщения 34 0,05 0,1 14 60

Таблица 2.

Значения параметров варианта архитектуры В

Уровни Архитектуры Число комп. Вероятн. сбоя комп. Условн. вер. Сбоя на разных ур-ях Вр. доступа, анализа, восстановления Время использования компонента

Процессы 7 0,1 0,0 5 100

Функции 215 0,35 0,9 12 90

Примитивы 63 0,1 0,5 18 110

Данные 278 0,1 0,4 10 20

Структуры 49 0,05 0,2 11 40

Сообщения 34 0,05 0,1 14 60

Анализ результатов проводится пользователем системы в соответствии с диалоговыми окнами и графической информацией (диаграммы средних времен простоя и появления сбоя в различных архитектурных решениях, диаграммы коэффициентов готовности системы и средней стоимости разработки различных архитектур). С помощью диалоговой системы в диссертации проведен сравнительный анализ двух вариантов архитектур программного обеспечения АСОУП, что представлено ниже на диаграммах.

34 ООО ООО 32 ООО ООО ХОСС ООО 29 ООО ООО 26 000 ООО 24 ООО ООО 22 ООО ООО 20 000 000 18 СОО ООО 16 ООО ООО 14000 000 12 000 000 Ю ООО 000 вооосаз 6 000 ООО 4000 900 2 ООО ООО

9 500 8 000 7 500 7 ООО 6600 6 000 5500 5 ООО 4500 4 ООО 3500 3030 2 £00 2000

(б 290 [

1 6 460 (

Отметим, что разработанная диалоговая система экспресс-анализа гарантоспособных архитектур АСУ ТП прошла тестовые испытания и может применяться как отдельно, так и в составе более крупных диалоговых систем, которые реализуют комплексные задачи проектирования программных архитектур Более того, система может применяться в организациях, занимающихся созданием большого программного обеспечение (комплексов программ АСУ ТП) требующего тщательной разработки архитектуры и оценки ее надежности, а также пр* проектировании других систем автоматизации производства работающих в режиме реального времени. Система может быть

¡пользована также и в учебном процессе для обучения проек-[ровщиков комплексов программ.

Система является гибкой по отношению к возможности [есения изменений в программный код, например, увеличе-ш характеристик надежности архитектуры ПО. Возможности «ого рода изменений данной системы обсуждены в диссерта-ш.

В заключении сформулированы основные выводы и ре-льтаты, полученные в диссертации.

Приложения содержат исходные данные и результаты 1боты системы формирования гарантоспособной архитектуры СУ ТП.

Основные результаты и выводы по работе:

В диссертации решена актуальная задача формирования фантоспособной программной архитектуры автоматизиро-шных систем управления технологическими процессами. В роцессе исследований получены следующие основные ре-/льтаты.

1. Создана система формирования гарантоспособной про-эаммной архитектуры АСУ ТП, в основу которой положены редложенные автором математические модели надежностного рограммирования АСУ ТП и алгоритмы формирования про-эаммных архитектур открытых информационно-управляющих гстем.

2. Разработано модельное, алгоритмическое и программ-ое обеспечения автоматизированных средств формирования фантоспособной программной архитектуры АСУ ТП с учетом дно- и многофункционального состава задач системы управ-ения и многоуровневой архитектуры программного обеспече-ия.

3. Разработан метод определения объема вводимой архи тектурной избыточности при исполнении гарантоспособные программных компонент АСУ ТП. Предлагаемый метод при меним для анализа риска и для выработки решения в условия? неопределенности.

4. Разработан и автоматизирован экспресс-анализ архи тектурной надежности информационных технологий в АС^ ТП.

5. Средствами разработанной автоматизированной систе мы решена задача формирования гарантоспособной программ ной архитектуры системы управления перевозочным процес сом на Красноярской железной дороге.

Результаты выполнения реальных проектов подтвердил} эффективность и универсальность разработанной системы i методики автоматизированного экспресс-анализа для обеспечения надежности систем управления автоматизированные технологическим оборудованием.

Основные положения и результаты диссертации опуб ликованы в следующих работах:

1. Антамошкин А.Н., Привалов A.C., Шиповалов Ю.Г. и др Программа по комплексу проектных работ для обеспечение устойчивой эффективной деятельности красноярской железной дороги// Вестник ассоциации выпускников КГТУ, Вып 2, Красноярск: КГТУ, 1998, С. 61-73.

2. Коптев В.М., Проценко В.В., Привалов A.C. Техническа} диагностика в эксплуатации и обслуживание железнодорожного транспорта, как действенное средствс повышения экономической эффективности// Сборник статей и материалов по 100-летию КЖД "Ресурсосберегающие технологии, перспективное оборудование и аспекты системь управления Красноярской железной дорогой", НИИ СУВПТ

и НИИ ИПУ: Красноярск, 1999, с. 123-129,

. Kovalev I., Privalov A. and Shipovalov Ju, Optimization Reliability Model for Telecommunications Software Systems//' In: Modelling, Measurement and Control, B, AMSE Periodicals, Vol.4-5, 2000, Pp. 47-52).

. Kovalev I., Privalov A. and Shipovalov Ju. Optimization Models for Reliability of Telecommunications Software Systems// Abstracts of International Conference on Modelling and Simulation, May, 17-19, Universidade de Santiago de Compastela (Spain) 1999, P. 31.

. Евстигнеев В.Ф., Привалов A.C., Ступина A.A. Мультивер-сионные модели формирования многофункциональных информационно-программных комплексов систем эксплуатации искусственных сооружений// Сборник статей и материалов по 100-летию КЖД "Ресурсосберегающие технологии, перспективное оборудование и аспекты системы управления Красноярской железной дорогой", НИИ СУВПТ и НИИ ИПУ: Красноярск, 1999, с. 283-295. Ковалев И.В., Попов А.А, Привалов А.С. Оптимальное проектирование мультиверсионных систем управления// Доклады НТК с международным участием «Информационные технологии в инновационных проектах».- Ижевск: ИжГТУ, 2000, с. 24-29.

. Попов А.А, Привалов А.С. Бинарная модель отказоустойчивой системы программного обеспечения// Доклады НТК с международным участием «Информационные технологии в инновационных проектах».- Ижевск: ИжГТУ, 2000,с. 77-83.

Kovalev I., Privalov A. Multicriteria Problem in Decision-Making Support Systems for Deriving the Optimal Structure of N-Version Software// Abstracts of Int.Conf'. "Entscheiden 2000" of the working group "Decision Theory and Practice", Darmstadt (Germany), 2000, P. 14.

9. Давыдов И.П., 11рииалов А.С., Ступина А.А. Технолог; надежностного программирования задач автоматизаш управления в технических системах. - Красноярск: НИ СУВНТ и НИИ I11IV. 2000. - 182 с.

i 'ривалов Алексей Сергеевич

Система формирования гарантоспособной программной архитектуры для АСУ ТП

Автореферат

Подписано к печати 1 1 02.2000 Формат 60x84/16

Уч. i-пд. л. 1,5 ! ираж 100 экз. Заказ № 6

Oiпечатано в НИИ СУВ.П1, 660028. ! Красноярск. \л. Баумана. 20-и