Рефераты - Афоризмы - Словари
Русские, белорусские и английские сочинения
Русские и белорусские изложения
 

Обоснование безопасности периферийного устройства связи с релейной частью системы

Работа из раздела: «Коммуникации, связь, цифровые приборы и радиоэлектроника»

Курсовая работа

Обоснование безопасности периферийного устройства связи с релейной частью системы

Содержание

Список сокращений

1. Назначение и принципы построения периферийного устройства связи с релейной частью системы

2. Блок УСО

2.1 Модули сбора информации

2.2 Модули выходных усилителей

3. Блок УБКО

4. Особенности программного цикла ПУ

4.1 Сбор и обработка контрольной информации

4.2 Вывод управляющих сигналов

5. Концепция обеспечения безопасности ПУ УВК РА

6. Доказательство работоспособности ПУ

7. Доказательство безопасности ПУ УВК РА

7.1 Независимость отказов в структурно - резервированных каналах ПУ

7.2 Диагностика работоспособности ПУ и переход в защитное состояние

7.2.1 Диагностика и защитное состояние периферийных модулей

7.2.2 Диагностика СБС и переход СБС в защитное состояние

7.2.3 Переход ПУ в защитное состояние при появлении отказов или сбоев

7.3 Интенсивность потока опасных и защитных отказов ПУ

7.4 Защищенность периферийного устройства от опасных отказов

8. Характеристика средств испытаний

9. Подтверждение безопасности, результаты испытаний и экспертизы

10. Выводы по доказательству безопасности ПУ

Литература

периферийный связь усилитель сигнал

Список сокращений

БД - база данных технологических программ (ГТСС), адаптируется для каждой конкретной станции при неизменных (типовых) ТП;

БНС - безопасное необратимое состояние;

БС - блок связи;

БУБКО - блок устройства безопасного контроля;

БУСО - блок устройства связи с объектом управления;

БЦПУ - блок центрального постового устройства УВК РА;

ДПП - модуль двухпортовой памяти;

ДЧБД - динамическая часть базы данных

КБ - контрольный байт данных;

МБКО - модуль безопасного контроля и отключения;

МВУ - модуль выходных усилителей;

МДВВ - магистраль дискретного ввода/вывода;

МПЦ - микропроцессорная централизация;

МСИ - модуль сбора информации;

МСП - модуль связи с периферией;

МОЗУ - модуль оперативного запоминающего устройства;

ОЗУ - оперативное запоминающее устройство;

ОС ЖРВ - операционная система жесткого реального времени;

ОУ - объект управления;

ППП - пакет поддержки платформы (для ОС ЖРВ);

ПСК - программная система контроля;

ПУ - периферийное устройство;

РМ ДСП - рабочее место дежурного по станции;

СБС - субблок связи;

СПО ЦПУ - системное программное обеспечение ЦПУ;

СЦПУ - субблок центрального постового устройства;

ТП - технологические программы (прикладные программы);

ТС - таблица состояний;

УВК РА - управляющий вычислительный комплекс;

УС - узел связи;

УСП - узел связи с периферией;

ЦПУ - центральное постовое устройство;

Flash - постоянное запоминающее устройство.

1. Назначение и принципы построения периферийного устройства связи с релейной частью системы

Периферийное устройство связи с релейной частью системы (ПУ) обеспечивает сопряжение БЦПУ с объектами низовой и локальной автоматики станций и перегонов. В УВК РА может использоваться до четырех ПУ.

Укрупненная структурная схема ПУ представлена в Доказательстве безопасности часть 1 на рис.2.

Состав и взаимодействие блоков ПУ представлен в схеме (рис.1).

ПУ представляет собой трехканальное микропроцессорное устройство, каждый канал которого содержит СБС, УСО и УБКО. ПУ может работать в трехканальном режиме или в двухканальном режиме при выходе из строя одного любого канала ПУ.

СБС, модули УСО (МВУ и МСИ) и модуль питания (МИП) в каждом канале устанавливаются на параллельную магистраль дискретного ввода-вывода (МДВВ).

Программное управление модулями на МДВВ осуществляет СБС. Аппаратной платформой СБС является модуль МК, описание которого представлено в Доказательстве безопасности, часть 2. МК реализует функции СБС при загрузке в него исполняемого файла ЖРГА.00028-04 92 01, входящего в комплекс ЖРГА.00028-04 «ПО УСО».

Субблоки СБС в рамках блока БС имеют одно и тоже программное обеспечение и взаимодействуют между собой при гальваническом разделении, обеспечивая «мягкую» синхронизацию и обмен контрольной, управляющей и диагностической информацией. При «мягкой» синхронизации команды, реализующие одинаковые программы в различных СБС, выполняются не одновременно. Поэтому последствия внешних электромагнитных воздействий в различных каналах независимы и различны.

Это позволяет формировать результирующие данные по мажоритарному принципу при функционировании 3-х каналов и по сравнению при функционировании 2-х каналов.

Субблоки СБС взаимодействуют с соответствующими субблоками СЦПУ по интерфейсу RS-422. Инициаторами взаимодействия являются СЦПУ.

Одноименные входы МСИ по трем каналам монтажно объединены, также объединены и одноименные выходы МВУ. Это связано с отсутствием резервирования источников информации и исполнительных органов. Возможность такого объединения обеспечивается независимостью отказов в различных каналах.

Программное управление модулями МБКО осуществляется тремя (или любыми двумя) каналами ПУ по результатам анализа состояния выходов МВУ.

Питающее напряжение для сигналов на выходах МВУ формируется каждым модулем МБКО только в случае появления импульсов управления от своего канала и от хотя бы одного другого канала.

2. Блок УСО

Блок УСО (БУСО) представляет собой пассивное трехканальное устройство с внутриканальным и межканальным контролем. Программное управление БУСО осуществляет БС.

В состав БУСО входят:

модули сбора информации (МСИ);

модули выходных усилителей (МВУ);

источник питания МИП (аналогичный МИП из БЦПУ)

В одном шкафу комплекса может размещаться до 18 триад модулей МСИ и МВУ при следующих ограничениях: максимальное количество триад МСИ - 17, максимальное количество триад МВУ - 9.

2.1 Модули сбора информации

Модули МСИ предназначены для сбора дискретной информации (контрольной информации - КИ) о состоянии управляемого объекта. Сбор информации осуществляется с «тройниковых» контактов реле - датчиков.

Каждый МСИ содержит ключи групповой коммутации питания 56 тыловых и 56 фронтовых контактов, а также 56 гальванически развязанных входов, соединенных с переключающими контактами. Данные, получаемые МСИ при подачи сигналов к фронтовым контактам - сигналов 1-го направления, инверсны данным, получаемым при подачи сигналов к тыловым контактам - сигналов 2-го направления (при исправном МСИ и отсутствии дребезга контактов), что позволяет осуществить контроль сбора информации на основе использования парафазного кодирования. В целях обеспечения безопасности и безотказности каждый выход датчика подключается к входам трех модулей МСИ, расположенных в разных каналах БУСО.

На рисунке 2 представлена структурная схема приема данных, где

H, L - транзисторные ключи, с помощью которых осуществляется выработка сигналов направлений опроса датчиков (H1 и L1 - первое направление, H2 и L2 - второе направление);

X1 X56 - входы МСИ, предназначенные для сбора данных о состоянии датчиков ОУ;

RG0….RG6 - входные регистры;

ДС - контакты датчика состояния ОУ.

Из схемы видно, что на ключах 1-го направления и 2-го направления реализуются мажоритарные функции, т.е. два канала из трех могут обеспечить прием КИ.

Наличие электрических цепей «обратных связей» в каждом МСИ позволяет на программном уровне осуществлять контроль работоспособности транзисторных ключей направлений, контролировать состояние сигналов направлений.

2.2 Модули выходных усилителей

Модули МВУ предназначены для формирования сигналов, обеспечивающих включение или отключение обмоток управляющих реле ОУ. Кроме того, в МВУ формируются импульсные сигналы управления для модулей МБКО в БУБКО. Общее количество выходных сигналов управления обмотками реле в одном МВУ - 48, количество выходов управления МБКО - 3.

Схема формирования выходного сигнала и защиты от импульсных помех МВУ представлена на рисунке 3.

Транзистор Т1 получает питание от одного из модулей МБКО, и используется как ключевой элемент для формирования сигнала на выходе МВУ.

В точке «А» осуществляется объединение по принципу монтажного ИЛИ одноименных выходов МВУ, каждый из которых принадлежит одному из каналов. Такое соединение позволяет обеспечить отказоустойчивую работу по управляющим выходам.

Разделительный диод D1 служит для разделения цепи формирования управляющего сигнала данного модуля (соответственно, обратной связи ОС) от цепей формирования управляющих сигналов модулей других каналов, объединенных в точке «А» (соответственно, обратной связи ОСО). Посредством анализа сигналов в цепях ОС и ОСО осуществляется контроль состояния цепи управления и идентификация МВУ при «пробое» выходного элемента.

Защитный стабилитрон D2 предназначен для защиты выхода МВУ от импульсных помех, а также от выброса отрицательной полярности при работе на индуктивную нагрузку (обмотку реле Р).

Рисунок 3 - Схема формирования выходного сигнала и защиты от импульсных помех МВУ.

3. Блок УБКО

Блок УБКО представляет собой специализированные источники питания выходных каскадов модулей МВУ и обеспечивает отключение питания по результатам контроля состояния управляющих выходов БУСО. В состав блока УБКО входят модули безопасного контроля и отключения питания (МБКО).

В каждом модуле МБКО имеется устройство, формирующее напряжение питания выходных каскадов МВУ (Uвых). Нагрузочная способность по этому выходу МБКО рассчитана на возможность обеспечения питания для выходных каскадов одного МВУ. Таким образом, число модулей МБКО в периферийном устройстве равно числу модулей МВУ.

Основной задачей МБКО, связанной с осуществлением безопасного функционирования БУСО, является обеспечение оперативного (в течение примерно 48 мс) снятия напряжения Uвых по результатам программного контроля состояния управляющих выходов МВУ. Указанный контроль проводится за счет наличия в МВУ цепей «обратных связей» - ОС и ОСО.

Структурная схема МБКО приведена на рисунке 4.

В состав МБКО входят следующие блоки:

устройство гальванической развязки (УГР) - УГР1, УГР2, УГР3;

функциональные преобразователи (ФП) фронт, напряжение, длительность - ФП 1, ФП2, ФП3;

задающие генераторы (ЗГ) - ЗГ1, ЗГ2 ;

умножитель - УМН;

усилители мощности (У) - У1, У2;

выпрямитель - В;

устройство запуска - УЗ;

стабилизатор - СТАБ.

При включении устройства запуска (нажатие кнопки ПУСК или кнопки дистанционного управления) формируется напряжение Uпит, которое подается на каскады управления МБКО, расположенные в модулях МВУ.

Если во время нажатия кнопки запуска на входы Uвх1 и Uвх2 или Uвх1 и Uвх3 поступают токовые импульсы, то на выходе ФП1 сформируется напряжение U1 на время, равное 48 мс относительно токового импульса Uвх1, а, соответственно, на выходе ФП2 или ФП3 сформируется напряжение U2 на время равное 48 мс относительно фронта Uвх2 или Uвх3. Задающий генератор ЗГ2, напряжение питания которого - U1, вырабатывает меандр с частотой 100 кГц (fзг). Частота fзг и напряжение U2 поступают на умножитель УМН и далее на усилитель мощности У2.

Таким образом, напряжение возбуждения с частотой fзг поступает на усилитель мощности У2 на время

t = tфр1 - tфр23 48 мс ..(1),

где tфр1 - время появления фронта токового импульса Uвх1;

tфр23 - время появления фронта токового импульса Uвх23.

При выполнении перечисленных выше условий на выходе выпрямителя формируются напряжения Uвых и U3, одновременно отключается устройство запуска. Если условие (1) не выполняется более 1,5 сек, то U3 станет равным 0, что вызовет пропадание Uпит, а МБКО перейдет в режим отключения (Uвых = 0, Uпит = 0).

Используемые в МБКО методы гальванического разделения (оптронные развязки по входным сигналам, трансформаторные - по выходным напряжениям Uпит и Uвых), и преобразования (фронт, напряжение, длительность) сигналов позволили создать своего рода «динамическую» схему выработки выходного напряжения. Только при наличии последовательностей входных импульсов, имеющих определенную длительность импульсов и скважность, а также при отсутствии внутренних неисправностей элементов в МБКО создаются условия для выработки выходных напряжений.

Формирование напряжения Uвых в МБКО осуществляется на время, длительность которого не превышает 48 мс. Для возобновления процесса формирования Uвых используются сигналы импульсных последовательностей (ИП), вырабатываемых в модулях МВУ под управлением процессоров СБС.

Логика вырабатываемых импульсных последовательностей состоит в следующем.

Если результат контроля состояния управляющих выходов положителен, то на соответствующем входе МБКО появляется очередной положительный фронт (переключение из состояния логического 0 в состояние логической 1).

Если результат контроля состояния управляющих выходов отрицательный, то сигнал на соответствующем входе МБКО не изменяется (наличие постоянного уровня логического 0 или логической 1 на управляющем входе МБКО не создают условий формирования Uвых по этому входу).

На рисунке 5 на примере триады модулей МВУ и МБКО представлена схема для реализации одного выходного канала управления состоянием обмотки реле, где Р - одно из реле, принадлежащее объекту управления и предназначенное для формирования непосредственного воздействия на напольные устройства.

Особенности построения выходных каналов управления УВК РА, а также принципы взаимодействия модулей МБКО и МВУ в пределах любой триады заключаются в следующем.

Каждый модуль МБКО вырабатывает питающие напряжения Uпит и Uвых только для одного из МВУ. Процессор СБС через расположенные в МВУ «своего» канала регистры принимает участие в управлении всеми МБКО триады. На рассматриваемой схеме сигналы управления модулями МБКО условно обозначены как СВ (свой) - управление МБКО.СВ, П (правый) - управление МБКО.П, Л (левый) - управление МБКО.Л.

Необходимое условие для возобновления процесса формирования Uвых (на очередные 48 мс в каждом из МБКО) - появление положительного фронта сигнала на входе, на который поступает импульсная последовательность от МВУ «своего» канала (Uвх1), а также появление положительного фронта сигнала на входе, на который поступает импульсная последовательность от МВУ «правого» или (и) «левого» канала (соответственно Uвх2 и Uвх3).

Следовательно, при отрицательном результате контроля состояния управляющих выходов МВУ соответствующий модуль МБКО может быть отключен (не созданы условия формирования Uвых) со стороны «своего» СБС и, по крайней мере, одного из «соседних».

Общий сигнал по любому из выходных каналов управления УВК РА (на рассматриваемой схеме выход управления в каждом МВУ представлен оконечным транзистором УПР) формируется «монтажным ИЛИ» по трем сигналам, поступающим от одноименных выходов МВУ. Так как в любом из модулей выходных усилителей имеется 48 выходов управления типа УПР, то на основе каждой триады МВУ может быть создано до 48 отказоустойчивых каналов управления УВК РА.

Кроме напряжения Uвых, в каждом МБКО по тому же принципу (но с временем формирования равным примерно 1,5 сек) вырабатывается напряжение питания выходных каскадов управления МБКО (Uпит). Таким образом, при отсутствии Uпит на выходе модуля МБКО не может быть сформирована последовательность Uвх1, а, следовательно, отсутствуют условия формирования Uвых.

Первоначальное включение МБКО в рабочий режим может производиться только по внешнему сигналу включения, поступающему от кнопки, расположенной на лицевой панели модуля, или от кнопки, расположенной на пульте управления УВК РА. При поступлении указанного сигнала в МБКО формируется напряжение Uпит на время, не превышающее 1,5 сек, то есть создаются условия для появления Uвх1. В дальнейшем процесс выработки питающих напряжений может быть поддержан только за счет импульсных последовательностей на входах МБКО.

4. Особенности программного цикла ПУ

Функционирование ПУ по прямому назначению осуществляется циклически; период рабочего цикла - примерно 1 сек. Это позволяет выполнить требования к УВК РА, связанные с оперативностью управления устройствами низовой и локальной автоматики (обеспечением сбора данных от датчиков состояний и вывода управляющих сигналов).

Рабочий цикл состоит из нескольких основных циклов длительностью примерно 37 мсек; структура циклов подробно описана в ЖРГА.00028-04 13 01-1 «Описание программы».

Каждый основной цикл начинается с шага «мягкой» синхронизации, за которым выполняются программные процедуры межканального обмена, считывания контрольной информации, сбора данных, вывода управляющих воздействий, тестирования каналов БУСО и т. д.

Межканальный обмен данными и синхронизация каналов реализуется в СБС каналами двухпортового ОЗУ.

Перед входом в рабочий цикл после запуска производится полное тестирование аппаратуры СБС, постоянно повторяющееся далее в «фоновом режиме» ОС ЖРВ. При обнаружении сбоев и отказов производится попытка перезагрузки СБС с последующим уходом в БНС при неустранимых отказах. Логика запуска, перезагрузки и ухода в БНС подробно описана в ЖРГА.00028-04 13 01-1 «Описание программы».

4.1 Сбор и обработка контрольной информации

Рассмотрим организацию сбора и обработки контрольной информации (КИ).

Контрольная информация (входные данные) вводится от датчиков объекта управления через модули сбора информации (МСИ) при парафазном кодировании. При этом принимается следующее соответствие парафазного и бинарного кодов:

парафазные коды 00, 11, 01 соответствуют бинарному коду «0»;

парафазный код 10 соответствует бинарному коду «1».

В СОЗУ БС выделены следующие области памяти для хранения массивов входных данных (МД):

«ВХ» («ПР.ВХ» и «ИНВ.ВХ») - массив входных данных, формируемый в течение одного опроса по двум направлениям;

«ВХ.СВ» («ПР.СВ» и «ИНВ.СВ») - копия МД «ВХ» для передачи «правому» и «левому» СБС;

«ВХ.Л» ((«ПР.Л» и «ИНВ.Л») - копия МД «ВХ», принятого от «левого» СБС;

«ВХ.П» ((«ПР.П» и «ИНВ.П») - копия МД «ВХ», принятого от «правого» СБС;

«ОСР.1» («ПР.ОСР.1» и «ИНВ.ОСР.1»), «ОСР.2» («ПР.ОСР.2» и «ИНВ.ОСР.2»), «ОСР.3» («ПР.ОСР.3» и «ИНВ.ОСР.3») - массивы данных, формируемые на базе текущих данных (по результатам текущего опроса) массивов «ВХ.Л», «ВХ.СВ», «ВХ.П»;

«МСИ.МЭ» (ПР.МСИ.МЭ» и «ИНВ.МСИ.МЭ»), формируемый по результатам интегрирования данных в МД «ОСР…» («ОСР.!», «ОСР.2», «ОСР.3»)

Перед выполнением каждой процедуры сбора данных происходит «парафазное» обнуление МД «ВХ» (обнуление «ПР.ВХ» и установка кодов FF в «ИНВ.ВХ»).

Далее осуществляется переход к сбору входных данных, проводимому в следующей последовательности.

Устанавливается сигнал, который соответствует первому направлению опроса путем записи соответствующего кода в регистры направлений (RN) модулей МСИ. По этому сигналу происходит запись во входные регистры МСИ (RG0…RG6). После этого СБС, выбрав очередной работоспособный модуль МСИ, последовательно опрашивает его входные регистры, а полученные при этом данные записывает в соответствующие ячейки МД «ПР.ВХ».

В результате опроса всех работоспособных в канале модулей МСИ в СОЗУ СБС оказывается сформированным МД «ВХ» в части «ПР.ВХ».

Затем снимается сигнал по первому направлению опроса и устанавливается сигнал по второму направлению опроса путем записи соответствующего кода в регистры направлений (RN) модулей МСИ. По этому сигналу происходит запись во входные регистры МСИ (RG0…RG6). После этого СБС, выбрав очередной работоспособный модуль МСИ, последовательно опрашивает его входные регистры, а полученные при этом данные записывает в соответствующие ячейки МД «ИНВ.ВХ».

В результате опроса всех работоспособных в канале модулей МСИ в СОЗУ СБС оказывается сформированным МД «ВХ» в части «ИНВ.ВХ».

Таким образом, по окончании проведенных последовательно двух опросов (по направлениям 1 и 2) в массиве МД «ВХ» запоминаются данные, соответствующие контрольной информации о состоянии объекта управления, записанные в парафазном коде (текущий массив МД «ВХ»). Парафазная некорректность данных обнаруживается программно, включается в массив диагностической информации и индицируется миганием красного и зеленого светодиодов на лицевой панели соответствующего модуля МСИ.

Следующим шагом обработки КИ является взаимный обмен собранными данными между каналами УСО, в результате которого в СОЗУ каждого из СБС появляются текущие значения по трем каналам (далее: СВ - данные своего канала, Л - левого , П - правого). С учетом парафазности формируются 6 массивов: 3 в прямом коде (ПР.СВ, ПР.Л и ПР.П) и 3 в «инверсном» коде (ИНВ.СВ, ИНВ.Л и ИНВ.П). По указанным массивам последовательно вход за входом осуществляется обработка одноименных данных (то есть данных, принадлежащих одному и тому же входу, но размещенных в разных массивах) и формирование текущего массива КИ согласно Таблице 1.

При выполнении указанной программной процедуры используются следующие правила выбора результирующих кодов:

если по двум или более каналам парафазные значения принятых сигналов оказываются одинаковыми, то результирующему коду присваивается это значение (мажорирование данных путем выбора 2 из 3-х);

если значения одноименных сигналов, полученных по трем каналам, полностью отличны друг от друга, то выбор результирующего кода осуществляется следующим образом: при наличии в любом из входных наборов кода «1-1» (нарушение парафазности) результирующему коду присваивается значение «1-1», в противном случае - «0-0» (т.к. в одном из входных наборов будет обязательно присутствовать нарушение парафазности с кодом «0-0»).

Результирующие коды, получаемые в ходе выполнения указанной процедуры обработки входных данных, последовательно заносятся в соответствующий массив типа «ОСР…». Поскольку сбор входных парафазных данных, а, следовательно, и процедура их обработки производятся трижды за рабочий цикл УСО, то за один рабочий цикл обновляются все три массива типа «ОСР…» («ОСР.1», «ОСР.2», «ОСР.3»).

Конечной целью процесса сбора и обработки данных, вводимых через МСИ, является передача в БЦПУ информации о текущем состоянии объекта управления. Для передачи в БЦПУ контрольных данных в каждом канале УСО формируется массив «МСИ.МЭ» на основе текущих данных в массивах типа «ОСР….». При выполнении указанной программной процедуры используется следующее правило выбора парафазной единицы («1-0») в качестве результирующего кода для массива «МСИ.МЭ»:

если в трех массивах типа «ОСР…» парафазные значения одноименных сигналов оказываются равными «1-0», то результирующему коду присваивается это значение парафазной единицы («1-0»).

Во всех остальных случаях результирующему коду присваивается значение согласно Таблице 2, трактуемое в БЦПУ как бинарный 0.

Таблица 1 - Результаты анализа входной информации в трех каналах ПУ

Анализируемые одноименные биты входных данных

Результирующие биты

ПР.СВ

ИНВ.СВ

ПР.Л

ИНВ.Л

ПР.П

ИНВ.П

ПР

ИНВ

0

0

0

0

0

0

0

0

0

0

0

0

0

1

0

0

0

0

0

0

1

0

0

0

0

0

0

0

1

1

0

0

0

0

0

1

0

0

0

0

0

0

0

1

0

1

0

1

0

0

0

1

1

0

0

0

0

0

0

1

1

1

1

1

0

0

1

0

0

0

0

0

0

0

1

0

0

1

0

0

0

0

1

0

1

0

1

0

0

0

1

0

1

1

1

1

0

0

1

1

0

0

0

0

0

0

1

1

0

1

1

1

0

0

1

1

1

0

1

1

0

0

1

1

1

1

1

1

0

1

0

0

0

0

0

0

0

1

0

0

0

1

0

1

0

1

0

0

1

0

0

0

0

1

0

0

1

1

1

1

0

1

0

1

0

0

0

1

0

1

0

1

0

1

0

1

0

1

0

1

1

0

0

1

0

1

0

1

1

1

0

1

0

1

1

0

0

0

0

0

0

1

1

0

0

1

0

1

0

1

1

0

1

0

1

0

0

1

1

0

1

1

1

1

0

1

1

1

0

0

1

1

0

1

1

1

0

1

0

1

0

1

1

1

1

0

1

1

0

1

1

1

1

1

1

1

1

0

0

0

0

0

0

0

1

0

0

0

0

1

0

0

1

0

0

0

1

0

1

0

1

0

0

0

1

1

1

1

1

0

0

1

0

0

0

0

1

0

0

1

0

1

0

1

1

0

0

1

1

0

1

0

1

0

0

1

1

1

1

1

1

0

1

0

0

0

1

0

1

0

1

0

0

1

1

0

1

0

1

0

1

0

1

0

1

0

1

0

1

1

1

0

1

0

1

1

0

0

1

1

1

0

1

1

0

1

1

1

1

0

1

1

1

0

1

0

1

0

1

1

1

1

1

1

1

1

0

0

0

0

0

0

1

1

0

0

0

1

1

1

1

1

0

0

1

0

1

1

1

1

0

0

1

1

1

1

1

1

0

1

0

0

1

1

1

1

0

1

0

1

0

1

1

1

0

1

1

0

1

1

1

1

0

1

1

1

1

1

1

1

1

0

0

0

1

1

1

1

1

0

0

1

1

1

1

1

1

0

1

0

1

0

1

1

1

0

1

1

1

1

1

1

1

1

0

0

1

1

1

1

1

1

0

1

1

1

1

1

1

1

1

0

1

1

1

1

1

1

1

1

1

1

Таблица 2 - Результаты анализа входной информации по трем опросам МСИ

Анализируемые одноименные биты входных данных (МД ОСР)

Результирующие биты (УСО)

Результирующие биты (ЦПУ)

ПР.

ОСР.1

ИНВ.

ОСР.1

ПР.

ОСР.2

ИНВ.

ОСР.2

ПР.

ОСР.3

ИНВ.

ОСР.3

ПР.

МСИ.МЭ

ИНВ.

МСИ.МЭ

ПР

ИНВ

0

0

0

0

0

0

0

0

0

1

0

0

0

0

0

1

0

0

0

1

0

0

0

0

1

0

0

0

0

1

0

0

0

0

1

1

1

1

0

1

0

0

0

1

0

0

0

0

0

1

0

0

0

1

0

1

0

0

0

1

0

0

0

1

1

0

0

0

0

1

0

0

0

1

1

1

1

1

0

1

0

0

1

0

0

0

0

0

0

1

0

0

1

0

0

1

0

0

0

1

0

0

1

0

1

0

0

0

0

1

0

0

1

0

1

1

0

0

0

1

0

0

1

1

0

0

1

1

0

1

0

0

1

1

0

1

1

1

0

1

0

0

1

1

1

0

1

1

0

1

0

0

1

1

1

1

1

1

0

1

0

1

0

0

0

0

0

0

0

1

0

1

0

0

0

1

0

0

0

1

0

1

0

0

1

0

0

0

0

1

0

1

0

0

1

1

1

1

0

1

0

1

0

1

0

0

0

0

0

1

0

1

0

1

0

1

0

1

0

1

0

1

0

1

1

0

0

1

0

1

0

1

0

1

1

1

1

1

0

1

0

1

1

0

0

0

0

0

0

1

0

1

1

0

0

1

0

1

0

1

0

1

1

0

1

0

0

1

0

1

0

1

1

0

1

1

1

1

0

1

0

1

1

1

0

0

0

0

0

1

0

1

1

1

0

1

1

1

0

1

0

1

1

1

1

0

1

1

0

1

0

1

1

1

1

1

1

1

0

1

1

0

0

0

0

0

0

0

0

1

1

0

0

0

0

1

0

0

0

1

1

0

0

0

1

0

0

0

0

1

1

0

0

0

1

1

1

1

0

1

1

0

0

1

0

0

0

0

0

1

1

0

0

1

0

1

0

1

0

1

1

0

0

1

1

0

0

1

0

1

1

0

0

1

1

1

1

1

0

1

1

0

1

0

0

0

0

0

0

1

1

0

1

0

0

1

0

1

0

1

1

0

1

0

1

0

1

0

1

0

1

0

1

0

1

1

1

1

0

1

1

0

1

1

0

0

1

1

0

1

1

0

1

1

0

1

1

1

0

1

1

0

1

1

1

0

1

1

0

1

1

0

1

1

1

1

1

1

0

1

1

1

0

0

0

0

1

1

0

1

1

1

0

0

0

1

1

1

0

1

1

1

0

0

1

0

1

1

0

1

1

1

0

0

1

1

1

1

0

1

1

1

0

1

0

0

1

1

0

1

1

1

0

1

0

1

1

1

0

1

1

1

0

1

1

0

1

1

0

1

1

1

0

1

1

1

1

1

0

1

1

1

1

0

0

0

1

1

0

1

1

1

1

0

0

1

1

1

0

1

1

1

1

0

1

0

1

1

0

1

1

1

1

0

1

1

1

1

0

1

1

1

1

1

0

0

1

1

0

1

1

1

1

1

0

1

1

1

0

1

1

1

1

1

1

0

1

1

0

1

1

1

1

1

1

1

1

1

0

1

4.2 Вывод управляющих сигналов

Вывод управляющих сигналов организован следующим образом:

По результатам работы технологических программ в БЦПУ формируется массив управляющей информации (УИ). Соответствующая часть массива передается в ПУ и, в случае отсутствия неисправности, записывается в МВУ.

Основной причиной возможного возникновения опасного отказа - это появление «ложной 1» на выходе МВУ на время, большее 50 мсек, при наличии логического нуля в УИ. Возникновение такой ситуации может произойти по следующим причинам:

- искажение массива УИ, хранящегося в ОЗУ одного из каналов ПУ.

- искажение сигналов на управляющих выходах МВУ.

В целях обеспечения безопасности при управлении МВУ выполняются следующие действия.

Во-первых, для исключения возможности вывода искаженных данных производится межканальный обмен массивами УИ. По результатам обмена массивами данных, предназначенными для вывода в МВУ, формируются 3 массива: «МВУ.СВ» (данные, хранящиеся в своем канале), «МВУ.П» (данные, передаваемые для контроля правым каналом) и «МВУ.Л» (данные, передаваемые для контроля левым каналом), а также массив «МВУ.МЭ», получаемый путем побитного мажорирования данных массивов «МВУ.СВ», «МВУ.П» и «МВУ.Л». После формирования «МВУ.МЭ» производится последовательное сравнение с ним данных «МВУ.СВ», «МВУ.П» и «МВУ.Л». Обнаружение несовпадений между «МВУ.МЭ» и «МВУ.СВ» расценивается как ошибка памяти своего канала, и на этом основании производится попытка перезагрузки СБС своего канала.

В случае если ошибка в данных не будет обнаружена средствами своего канала, то в трехканальном режиме соседние каналы обеспечат его перезагрузку, в двухканальном режиме будет попытка перезагрузки СБС обоих каналов.

Во-вторых, для обнаружения и быстрого снятия «ложной 1» при ее возникновении на выходах МВУ на каждом основном цикле производится контроль выходов. Появление «ложной 1» может быть связано со сбоем в выходном регистре или с пробоем транзистора в выходном управляющем каскаде МВУ. С целью предотвращения перехода «ложной 1» в опасный отказ регулярно (через каждые 40 45 мс.) проводится программный контроль состояния выходных ключей УВК. Основная задача, решаемая в ходе проведения контроля - это выявление «отказавшего» МВУ и оперативное снятие питающих напряжений с его управляющих каскадов. Решению первой части задачи способствует структурное построение модулей МВУ (наличие обратных связей), а решению второй части задачи - использование программно управляемого безопасного формирователя выходного напряжения (МБКО), одним из основных достоинств которого является оперативность перехода из режима формирования напряжения в режим отключения.

5. Концепция обеспечения безопасности ПУ УВК РА

Концепция обеспечения безопасности периферийного устройства УВК РА состоит в следующем.

1.Одиночные дефекты аппаратных и программных средств не должны приводить к появлению:

- «ложных» сигналов включения исполнительных реле, управляющих напольными устройствами;

- «ложных» единиц в одноименных разрядах входных массивов данных, передаваемых в БЦПУ по различным каналам.

2.Одиночные дефекты аппаратных и программных средств должны обнаруживаться с заданной вероятностью при рабочих и тестовых воздействиях не позднее, чем возникнет второй дефект.

3. Не должно происходить накопление необнаруженных отказов хотя бы в одном канале ПУ.

4.Ошибки при приеме управляющей информации из ЦПУ (по адресам и данным) должны обнаруживаться и должны быть приняты меры для исключения опасных отказов.

При передаче управляющей информации из УСО должны быть использованы средства, обеспечивающие в БЦПУ выявление ошибок в адресации и данных.

6. Доказательство работоспособности ПУ

Предварительные и приемо-сдаточные испытания показали, что характеристики ПУ соответствуют требованиям ТЗ на УВК РА и требованиям, изложенным в дополнениях 1-4 к ТЗ на УВК РА, а в аппаратуре и программных продуктах отсутствуют систематические ошибки при эксплуатации в заданных режимах и условиях. Работоспособность ПУ, его способность обеспечивать выполнение заданных функций подтверждается актами и протоколами, представленными в Приложении В.

7. Доказательство безопасности ПУ УВК РА

Безопасность ПУ обеспечивается:

- независимостью отказов в резервированных каналах;

- исключением накопления отказов и переводом ПУ в защитное состояние по результатам диагностики при тестировании и в процессе функционирования;

- выполнением требований ТЗ по значению интенсивности опасных отказов (см. Приложение А к части1 Доказательства безопасности).

Результаты анализа структуры и испытаний аппаратно - программных средств ПУ с применением рассмотренных выше методов доказывают наличие у ПУ свойств, позволяющих обеспечить требуемый уровень безопасности.

Защищенность ПУ от опасного отказа по ошибочной адресации при обмене с БЦПУ рассмотрена в части 4 Доказательства безопасности.

7.1 Независимость отказов в структурно - резервированных каналах ПУ

Независимость отказов структурно - резервированных каналов ПУ каналов обеспечивается:

гальваническим разделением каналов ПУ между собой и с другими структурными элементами УВК РА;

конструктивным исполнением, обеспечивающим автономную экранировку СБС и модулей БУСО;

фильтрацией помех в источниках питания и в каждом модуле ПУ.

Для обеспечения независимости последствий отказов сбойного характера, вызванных внешними помехами на каналы ПУ, применен принцип «мягкой» синхронизации процессоров СБС. Программная обработка данных после взаимного обмена и контроль проводятся каждым из СБС самостоятельно. Указанные принципы синхронизации СБС и обработки данных позволяют обеспечить устойчивость ПУ к сбойным ситуациям.

Наличие в ПУ свойства независимости каналов подтверждается результатами, полученными в ходе проведения специальной экспертизы и неоднократных проверок, проведенных в рабочем порядке:

1. Результаты экспертизы КД (акт о предъявлении УВК РА на испытания по безопасности от 20.09.99г.).

2. Результаты проверки электрического сопротивления и прочности изоляции при подготовке УВК РА к испытаниям.

3. Неоднократное использование при испытаниях ПУ (это отражено в протоколах испытаний УВК РА) возможностей принудительного отключения отдельных СБС (синхронизация работающих СБС не нарушается) или включения различных СБС в работу в любой последовательности.

7.2 Диагностика работоспособности ПУ и переход в защитное состояние

Аппаратно-программное обеспечение, позволяющее проводить диагностику работоспособности ПУ (с точностью до сменного элемента) в течение каждого рабочего цикла ПУ, включает:

проверку на возможное появление отказов типа «пробой» выходных ключей (каждые 50 мс);

проверку входных данных на нарушение парафазности кода (в каждом цикле опроса датчиков, 3 раза за рабочий цикл ПУ);

тестирование памяти и периферийных модулей (в каждом рабочем цикле);

проверку на наличие отказов типа «пробой» во входных цепях МСИ, обрыва и «пробоя» в цепях направлений опроса, в том числе и по взаимным связям (в каждом рабочем цикле);

проверку на возможность включения и выключения выходных управляющих ключей в МВУ, обрывов по взаимным связям между каналами, проверку работоспособности элементов обратной связи (в каждом рабочем цикле);

программную обработку результатов тестирования, взаимный обмен данными между БС, передачу диагностирующей информации по работоспособным каналам в ЦПУ с целью формирования в РМ ДСП сообщений о неисправности (в каждом рабочем цикле).

Наличие перечисленных выше свойств подтверждается результатами испытаний, проведенных экспертами ИЛ ССБ ЖАТ. В ходе проведения испытаний, в частности, вносились неисправности электрических цепей и проверялась реакция программно - аппаратных средств ПУ на появление неисправностей. Положительное заключение экспертов по результатам испытаний зафиксировано в следующих документах: протоколы испытаний № №20/00 - Б, 4/2000 - Б, 3/2000 - Б, 12/99 - Б, утвержденные заведующим ИЛ ССБ ЖАТ.

Диагностирование ПУ при магистральном обмене с ЦПУ представлено в части 4 Доказательства безопасности.

7.2.1 Диагностика и защитное состояние периферийных модулей

Таблицы состояний модулей ПУ

По мере эксплуатации ПУ по прямому назначению могут возникать ситуации сбоев, отказов в работе отдельных его элементов. Важным обстоятельством с точки зрения безопасности УВК РА является обеспечение необратимого защитного состояния для отказавших элементов.

Управление модулями МВУ и МСИ доступно только со стороны процессора СБС «своего» канала. Для идентификации текущего состояния по периферийным модулям каждый процессор формирует, а в ходе выполнения рабочего цикла корректирует таблицу состояний (ТС). В целях повышения достоверности указанной информации запись и ее хранение осуществляется с использованием метода избыточного кодирования - коды состояний хранятся в массиве переменных типа DWORD (4 байта) и выбраны таким образом, чтобы любое однократное искажение бита кода состояния не могло привести к переводу модуля в другое допустимое состояние. Обнаружение недопустимого кода состояния модуля в таблице состояний трактуется как ошибка ОЗУ и приводит к попытке перезагрузки СБС.

Для модулей МСИ и МВУ предусмотрены следующие типы состояний:

1. Модуль данного типа не может быть установлен на данном месте по конфигурации, полученной от ЦПУ. При старте ПУ все таблицы состояний периферийных модулей заполняются кодами этого состояния.

2. Модуль должен по конфигурации присутствовать на данном месте, но в настоящий момент времени не установлен. После получения ПУ конфигурации от ЦПУ все допустимые по конфигурации ячейки ТС модулей заполняются кодом этого состояния.

3. Модуль находится в состоянии отказа по результатам тестирования.

4. Модуль работоспособен.

Код «модуль работоспособен» записывается в ячейку ТС только в случае выполнения всех следующих условий:

- соответствие типа модуля заданному по конфигурации;

- соответствие ответа модуля адресу его посадочного места;

- исправность модуля по результатам тестирования.

Для МБКО введены следующие типы состояний:

1. Модуль данного типа не может быть установлен на данном месте по конфигурации, полученной от ЦПУ. При старте ПУ все таблицы состояний периферийных модулей заполняются кодами этого состояния.

2. Модуль отключен из-за отказа соответствующего модуля МВУ.

3. Отсутствует напряжение на выходных каскадах МВУ.

4. Модуль работоспособен и включен.

Любая процедура, связанная с работой модуля по прямому назначению, проходит через операцию идентификации его состояния. Формирование кодов таблицы состояний (ТС) по каждому рабочему месту в канале БУСО происходит как при выполнении участка программы, связанного с начальным пуском, так и при выполнении рабочего цикла ПУ.

В конечной фазе выполнения программы начального пуска процессор СБС по всем периферийным модулям заносит в ТС кодировки, соответствующие ситуации «модуль не может быть установлен на данном месте».

После получения конфигурации от ЦПУ в ячейки ТС, соответствующие разрешенным по конфигурации модулям, записывается код «нет модуля». В ячейках ТС, соответствующих запрещенным по конфигурации модулям, остается код «модуль не может быть установлен на данном месте», что исключает ее и соответствующий модуль из действия всех алгоритмов управления модулями МСИ и МВУ.

По окончании начального теста (или по окончании предыдущего цикла) процессор переходит к выполнению программы управления рабочим циклом ПУ. В каждом рабочем цикле существуют процедуры, позволяющие уточнить текущее состояние периферийных модулей. При выполнении этих процедур, в частности, проверяется наличие так называемых «адресных прошивок» по модулям МСИ и МВУ.

Если «адресная прошивка» соответствует посадочному месту и типу модуля, а в ТС существует кодировка, обозначающая ситуацию «нет модуля», то принимается решение о том, что модуль заменен и работоспособен (в дальнейшем работоспособность модуля должна быть подтверждена по результатам теста).

Если «адресная прошивка» соответствует посадочному месту и типу модуля, а в ТС существует кодировка, обозначающая ситуацию «отказ модуля» или «модуль работоспособен», то следует подтверждение кода в ТС.

Если «адресная прошивка» не соответствует посадочному месту (или типу модуля), то в ТС записывается кодировка, обозначающая ситуацию «отказ» с кодом соответствующим обнаруженной ошибке адреса или типа.

Процесс перехода модулей в защитное состояние и выход из него

Каждый раз при использовании модуля по прямому назначению следует проверка его кода в ТС. Только в том случае, если кодировка обозначает работоспособность модуля, появляется возможность работы с ним. При любом другом коде происходит программное «игнорирование» модуля. Следует отметить, что наличие работоспособности по модулям МВУ не является достаточным условием для того, чтобы производить в него запись рабочих кодов управления. Для этого необходимо наличие питающего напряжения от соответствующего модуля МБКО. В противном случае в МВУ следует запись логических нулей.

В случае обнаружения неисправных модулей МСИ и МВУ в ячейки ТС, соответствующие отказавшим модулям, производится запись кода «отказ». Одновременно с этим в регистр состояния модуля записывается код «неработоспособен», что приводит к зажиганию красного светодиода на лицевой панели модуля и игнорировании команд чтения и записи регистров модуля. Возможные виды отказов, а также их обнаружение и последствия приведены в табл. 7 пп.5 - 7.

После записи в ТС модуля кода «отказ» обеспечивается БНС модуля, так как его перевод в работоспособное состояние возможен только после изъятия и замены. При этом ПО обнаруживает отсутствие модуля и записывает в ТС код «отсутствует». После этого при замене модуля новый модуль будет обнаружен, протестирован и, в случае успешного прохождения теста, переведен в работоспособное состояние с записью в ТС кода «работоспособен». Никаким другим образом не может быть осуществлен переход из состояния «отказ» в состояние «работоспособен».

В разделе 7.2.2 рассмотрены возможные случаи программного перехода СБС в защитное состояние. При выполнении процедуры перехода в защитное состояние СБС осуществляет сброс периферии (программное формирование сигнала СБРОС), что приводит к прекращению работы соответствующих модулей МБКО, МВУ, МСИ, (на лицевой панели указанных модулей зажигаются красные светодиоды). Так как со стороны данного СБС прекращается обмен с СЦПУ (БЦПУ не получает данных о наличии модулей в рассматриваемом канале), то следует, а в дальнейшем постоянно подтверждается, сообщение о выключении соответствующего канала ПУ. Другими словами, переход СБС в защитное состояние автоматически обеспечивает необратимое защитное состояние периферийных модулей в соответствующем канале БУСО. Только после замены СБС (или при его внешнем перезапуске и «ручном» запуске МБКО) данный канал ПУ может быть включен в работу.

Более сложной является процедура перевода в защитное состояние модулей МБКО, которые, как указывалось выше, управляются со стороны всех каналов БУСО. В каждом СБС ситуации отключения модулей МБКО, предназначенных для обслуживания МВУ в том или ином канале БУСО, регистрируются в таблице состояний (специальной области памяти процессора). Это позволяет любому из СБС анализировать состояния всех МБКО независимо от СБС «соседних» каналов. Таким образом, блокировка работы модуля МБКО осуществляется не только со стороны «своего» процессора СБС, но и со стороны процессоров других в других каналах. Поэтому ни один из СБС не имеет возможности запустить в рабочий режим МБКО самостоятельно. Только при наличии сигналов запуска, поступивших от двух (не менее) МВУ в триаде, сформированных при положительном результате анализа состояния выходов МВУ двумя (не менее) процессорами СБС возможен запуск МБКО в рабочий режим.

7.2.2 Диагностика СБС и переход СБС в защитное состояние

Возможные виды отказов СБС, их обнаружение и последствия приведены в табл.7 пп. 1 - 4.

На начальном участке программы по отрицательным результатам тестирования и при нарушениях в последовательности рабочего цикла (аналогично СЦПУ). СБС переходит в режим перезапуска. При этом в соответствующем канале ПУ:

- блокируются управляющие выходы МВУ (отключены все МБКО и на всех выходах МВУ устанавливается нулевое состояние),

- блокируются входы МСИ (не осуществляется сбор данных);

Перезапуск считается выполненным успешно, если СБС отработал подряд не менее 100 рабочих циклов. В ином случае осуществляется программный переход в БНС.

При частичном отказе процессора переход в защитное состояние может оказаться невозможным, в связи с чем введены меры, обеспечивающие блокировку неисправного канала со стороны других СБС.

Кроме того, если неисправный СБС поддерживает обмен с СЦПУ, то пересылаемые им данные будут отличны от пересылаемых данных по другим каналам связи. В результате начнет работать программный механизм перехода СБС в необратимое защитное состояние за счет блокировки обмена данного СБС с СЦПУ. При этом в соответствующем канале ПУ:

- блокируются управляющие выходы МВУ (отключены все МБКО и на всех выходах МВУ устанавливается нулевое состояние),

- блокируются входы МСИ (не осуществляется сбор данных);

Диагностирование и обеспечение перехода СБС в защитное состояние производится так же, как соответствующие действия в СЦПУ (см. часть 2 Доказательства безопасности).

Блокировка управляющих выходов

Блокировка управляющих выходов и, соответственно, переход в защитное состояние осуществляется для конкретных модулей МВУ. Переход в защитное состояние обеспечивается отсутствием соответствующих управляющих воздействий на отдельные модули или группу модулей МБКО за время более 50 мс и, соответственно, отсутствует питание выходных каскадов МВУ. Если за время t?1,5 c произошло восстановление формирования управляющих сигналов МБКО, то осуществляется переход к нормальному функционированию, в ином случае - переход в необратимое отключенное состояние. Выход из него возможен только при ручном вмешательстве (кнопка пуска).

Управление модулями МБКО осуществляется со стороны всех процессоров БС, производящих контроль управляющих выходов каждые 50 мс. Учитывая, что анализ результатов контроля и принятие решения по управлению модулями МБКО каждый из СБС осуществляет самостоятельно, можно сделать вывод, что любой из процессоров СБС со своей стороны вправе по результатам контроля наложить запрет на управление тем или иным модулем (модулями) МБКО. Таким образом, если два из трех процессоров СБС принимают решение о выключении МБКО в неисправном канале, то эти модули будут выключены независимо от состояния СБС в неисправном канале ПУ. Обнаружение и последствия отказа процессора в части вывода управляющих воздействий в ОУ приведены в табл. 7 п.8.

Блокировка входных данных

В рабочем цикле ПУ выполняется три процедуры сбора входных данных от ОУ. После каждой из них происходит подготовка массива данных МСИ («МСИ.МЭ») для передачи в БЦПУ. Процесс подготовки происходит в соответствии со следующим алгоритмом:

взаимный обмен массивами «МСИ.ВХ» между СБС (формирование в ОЗУ массивов данных левого своего и правого канала «МСИ.ВХ.Л», «МСИ. ВХ.СВ», «МСИ. ВХ.П»);

формирование по принципу «2 из 3-х» по 3 каналам с учетом парафазности кодирования текущего массива «МСИ.ОСР».

подготовка массива «МСИ.МЭ» для передачи в ЦПУ на основе данных, сформированных в течение трех последних процедур сбора («МСИ.ОСР 1», «МСИ.ОСР 2», «МСИ.ОСР 3»).

Для контроля правильности работы СБС по сбору входных данных от ОУ используется метод поиска константных неисправностей типа «ложная единица» в массивах «МСИ.ВХ.СВ», «МСИ.ВХ.Л» и «МСИ. ВХ.П», по отношению к которым организованы три счетчика ошибок, условно обозначенных как СЧ.МСИ.СВ (отдельный для каждого модуля), СЧ.МСИ.Л и СЧ.МСИ.П (общие, для канала в целом). Контроль проводится на основе сравнения одноименных битов данных, взятых из «МСИ.ВХ.СВ», «МСИ.ВХ.Л» и «МСИ.ВХ.П». В таблице 6 представлены комбинации кодов, в соответствии с которыми формируется конкретный результат контроля.

Таблица 6 - Результат контроля по входу.

Анализируемые одноименные биты входных данных в прямом и инверсном виде (ПР и ИНВ)

Результат

ПРСВ

ИНВСВ

ПРЛ

ИНВЛ

ПРП

ИНВП

1

0

0

1

0

1

отрицательный - наращивание СЧ.МСИ.СВ для модуля

0

1

1

0

0

1

отрицательный - наращивание СЧ.МСИ.Л

0

1

0

1

1

0

отрицательный - наращивание СЧ.МСИ.П

Любые другие комбинации состояний

положительный

При проведении последовательного побитного контроля данных получение первого же отрицательного результата приводит к наращиванию соответствующего счетчика (значение счетчика увеличивается на 3), а процедура контроля прерывается (при контроле «своих» данных происходит переход к данным следующего модуля, при контроле данных соседнего канала - контроль прерывается полностью). При положительном исходе значение соответствующего счетчика уменьшается на 1.

При достижении счетчиком СЧ.МСИ.СВ для определенного модуля значения 9 (эквивалентно возникновению ошибок типа «ложная 1» в 3 последовательных циклах сбора данных) модуль МСИ, являющийся источником ошибки, переводится в безопасное защитное состояние, его данные заполняются безопасным кодом. При достижении счетчиком СЧ.МСИ.Л (СЧ.МСИ.П) значения 12 (эквивалентно возникновению ошибок типа «ложная 1» в 4 последовательных циклах сбора данных) соседний СБС признается неисправным. В этом случае со стороны исправного СБС следует остановка процедуры управления модулями МБКО, которые расположены в неисправном канале ПУ, программное «обнуление» данных, поступивших из этого канала и исключение связи с ним.

Обнаружение и последствия отказа процессора в части сбора входных данных приведены в табл. 7 п.9.

7.2.3 Переход ПУ в защитное состояние при появлении отказов или сбоев

Работоспособное состояние ПУ - состояние, при котором ПУ осуществляет формирование сигналов управления исполнительными реле, сбор данных о состоянии объекта управления, обмен данными с БЦПУ.

Возможны следующие причины перехода ПУ в целом в защитное состояние.

Защитное состояние ПУ при неработоспособном состоянии двух или более СБС

В случаях, когда в работоспособном состоянии находится только один СБС, а остальные отключены или находятся в защитном состоянии (см. п. 7.4.1), происходит переход в защитное состояние ПУ. При этом

- отключены МБКО и на всех выходах МВУ устанавливается нулевое состояние,

- не осуществляется сбор данных,

- не осуществляется обмен данными с ЦПУ,

- производится автономное тестирование СБС.

Защитное состояние при отсутствии взаимодействия между СБС

В случаях, когда при двух (трех) работоспособных СБС отсутствуют между ними связи, происходит переход в защитное состояние ПУ. При этом

- отключены МБКО и на всех выходах МВУ устанавливается нулевое состояние,

- не осуществляется сбор данных,

- не осуществляется обмен данными с ЦПУ,

- производится автономное тестирование СБС.

Защитное состояние ПУ при отсутствии взаимодействия с ЦПУ

Переход в защитное состояние осуществляется при отсутствии связи с ЦПУ на время, превышающее длительность трех рабочих циклов. При этом:

- отключены МБКО и на всех выходах МВУ устанавливается нулевое состояние,

- не осуществляется сбор данных,

- производится межканальный обмен и автономное тестирование СБС.

Взаимодействие между ПУ и ЦПУ восстанавливается после установления связи, по крайней мере, по двум каналам

7.3 Интенсивность потока опасных и защитных отказов ПУ

Аналитический расчет интенсивности отказов ПУ приведен в Приложении А. Согласно приведенному расчету, интенсивность опасных отказов ПУ на стрелку составляет 1.04*10-11 1/час, что соответствует требованиям ТЗ.

7.4 Защищенность периферийного устройства от опасных отказов

Результаты анализа защищенности ПУ от опасных отказов при неисправностях отдельных его элементов представлены в таблице 7.

Таблица 7 - Возможные причины отказов ПУ и защита от них.

Вид отказа

Последствия отказа

Обнаружение отказа

1 Отказ источника питания в одном из каналов БУСО (проверяется в п. 5.2.16 - 5.2.17 ПМИ ПУ)

Выход из строя СБС, деградация соответствующих сторон в двух других СБС. Остановка функционирования по соответствующему каналу связи с БЦПУ и каналу БУСО (аппаратное отключение соответствующих МБКО). ПУ работает в режиме «пара».

Отказ обнаруживается БЦПУ в течение текущего цикла (формируется ДИ)

2 Отказ процессора СБС (проверяется в п. 5.2.27 - 5.2.31 ПМИ ПУ)

Выход из строя СБС, деградация соответствующих сторон в двух других СБС. Остановка функционирования по соответствующему каналу связи с БЦПУ и каналу БУСО (аппаратное отключение соответствующих МБКО). ПУ работает в режиме «пара».

Отказ обнаруживается БЦПУ в течение текущего цикла (формируется ДИ)

3 Отказ одного СБС в части узла ОЗУ (проверяется в п. ??? ПМИ ПУ)

Ошибка межканального сравнения ROM при сравнении с обоими соседними каналами, двусторонняя деградация СБС с последующим уходом на перезагрузку. Остановка функционирования по соответствующему каналу связи с БЦПУ и каналу БУСО (аппаратное отключение соответствующих МБКО). ПУ работает в режиме «пара».

Диагностика сторон оставшихся двух СБС. Передается диагностика в БЦПУ (формируется ДИ).

4 Отказ межканальной связи ДПП в одном из СБС (проверяется в п. 5.2.20 - 5.2.26 ПМИ ПУ)

Ошибка межканального сравнения ROM при сравнении с правым (левым) каналом, деградация правой (левой) стороны в СБС и деградация левой стороны у его правого соседа. ПУ работает в режиме «цепочка»

Диагностика сторон двух СБС, между которыми был отказавшие ДПП. Передается ДИ в БЦПУ.

Вид отказа

Последствия отказа

Обнаружение отказа

5. Отказ модуля МВУ (выходного элемента ПУ) (проверяется в п. 5.2.32 - 5.2.73, 5.2.111, 5.2.112-5.2.145 ПМИ ПУ)

1.Отрицательный результат теста МВУ, запись в ТС по МВУ кода, обозначающего ситуацию «отказ модуля», программное «игнорирование» модуля при выводе управляющих воздействий и управлении МБКО, отключение МБКО (горит красный светодиод на лицевых панелях МВУ и МБКО).

2. Отрицательный результат анализа состояния выходных ключей МВУ («пробой»), запись в ТС по МВУ кода, обозначающего ситуацию «отказ модуля», программное «игнорирование» модуля при выводе и управлении МБКО, отключение МБКО, запись в ТС по МБКО кода, обозначающего «выключен по пробою» (горит красный светодиод на лицевых панелях МВУ и МБКО).

Отказ МВУ по результатам тестирования обнаруживается в течение трех смежных циклов ПУ с выдачей сообщения в БЦПУ.

Отказ МВУ по «пробою» обнаруживается за время меньшее или равное 50 мс с выдачей сообщения в БЦПУ.

6. Отказ модуля МСИ (входного элемента ПУ) (проверяется в п. 5.2.74 - 5.2.110, 5.2.111, 5.2.152 - 5.2.155 ПМИ ПУ)

1.Отрицательный результат теста МСИ, запись в ТС по МСИ кода, обозначающего ситуацию «отказ модуля», программное «игнорирование» модуля при сборе входных данных, установка и в дальнейшем использование безопасных кодов в соответствующих зонах входных массивов (горит красный светодиод на лицевой панели МСИ).

2.Отказ во входной цепи (пробой или обрыв) приводит к искажению входного бита (нарушению парафазности кодирования), что рассматривается программой как безопасный код.

Отказ МСИ обнаруживается в текущем рабочем цикле с выдачей сообщения в БЦПУ.

При отказе во входной цепи программно поддерживается режим попеременного горения красного и зеленого светодиодов на лицевой панели неисправного МСИ.

Вид отказа

Последствия отказа

Обнаружение отказа

7. Отказ модуля МБКО (проверяется в п. 5.2.146 - 5.2.151 ПМИ УСО)

Отсутствует питающее напряжение в выходных каскадах управления соответствующего модуля МВУ

Отказ обнаруживается всеми работоспособными СБС в течение рабочего цикла, сообщение о наличии выключенного МБКО передается в БЦПУ

8. Отказ процессора в части сбора входных данных (проверяется в п. 5.2.156 - 5.2.157 ПМИ УСО)

Переход процессора в БНС или блокировка неисправного СБС со стороны исправных СБС и «своего» СЦПУ (аппаратно - программное выключение МБКО).

Отказ обнаруживается БЦПУ в течение трех циклов.

9. Отказ процессора в части вывода управляющих воздействий в ОУ (проверяется в п. 5.2.158 - 5.2.165 ПМИ УСО)

Выключение модулей МБКО в соответствующем канале БУБКО.

Отказ обнаруживается СБС в течение времени 50 мс, сообщение передается в БЦПУ.

8. Характеристика средств испытаний

Перечень средств, используемых при испытаниях ПУ:

имитатор входных сигналов (ЖРГА.469139.001), сборка тумблеров, позволяющая имитировать входные сигналы от 56 датчиков;

имитатор объектов управления (ЖРГА.469139.002), светодиодное табло, отображающее текущее состояние по 48 управляющим выходам;

РМ ДСМ - комплект РМ ДСП (ЖРГА. 469159.006-04) с установленным ПО «Имитатор РМ ДСП» (ЖРГА.00035-03 12 01);

клавиатура - Mitsumi PC/ATcompatible;

монитор - iiyama ProLite E431S;

модуль МСИ с ключами (2 шт.);

модуль МВУ с ключами (2 шт.);

модуль МВУ с имитатором идентифициорванного пробоя

модуль МВУ с имитатором неидентифицированного пробоя.

9. Подтверждение безопасности, результаты испытаний и экспертизы

На основании результатов проведения экспертизы и стендовых испытаний доказано соблюдение в УВК РА основного принципа концепции безопасности железнодорожной автоматики и телемеханики: одиночные дефекты аппаратных и программных средств не должны приводить систему в опасное состояние.

Подтверждением доказательства соблюдения в УВК РА основного принципа концепции безопасности железнодорожной автоматики и телемеханики являются:

1. Результаты испытаний УВК РА, приведенные в таблицах 3 и 5.

2. Технический акт от 14.06.2000 г. о готовности УВК РА - 01 к поставке на ж. д. станцию «Новый Петергоф».

3. Протоколы предварительных испытаний на безопасность УВК РА, утвержденные заведующим ИЛ ССБ ЖАТ, по ж.д. станциям Новый Петергоф, Жихарево, Назия и Орехово:

№№ 9/99 - ПО от 27. 09. 99; 1/2000 - Э; № 2/2000 - ПО от 20.01.00; № 3/2000 - Б от 20.02.00; № 4/2000 - Б от 24.04.00; № 20/00 - Б от 30.05.00, 29/2000 - Б от 19.08.2000, 31/2000 -Э от 26.09.2000; 25/01-Б от 28.06.2001; 38/01-ПО от 09.11.2001; 31/01-Э от 11.12.2001; 01/02 - ПО от 15.01.2002, 28/04-Б от 30.08.2004 г.

10. Выводы по доказательству безопасности ПУ

На основании результатов проведения экспертизы и стендовых испытаний доказано соблюдение в ПУ концепции безопасности: одиночные дефекты аппаратных и программных средств не приводят к опасным отказам и обнаруживаются с заданной вероятностью при рабочих и тестовых воздействиях не позднее, чем возникнет второй дефект;. не происходит накопление необнаруженных отказов хотя бы в одном канале ПУ.

На основании результатов экспертизы доказано выполнение требований РТМ 32 ЦШ 1115842.01 - 94 к программно-аппаратным средствам ПУ:

аппаратного резервирования;

«мягкой» синхронизации в работе вычислительных резервированных каналов;

периодического тестирования и сравнения работы вычислительных каналов;

применения мер исключающих возможность возникновения опасных отказов по управляющим выходам;

парафазного представления входной информации при вводе и хранении данных;

программной обработке диагностических данных и оперативной передаче результатов диагностики на пульт дежурного по станции;

аппаратно - программном переходе в необратимое защитное состояние при обнаружении возможности опасных отказов.

На основании результатов испытаний ПУ доказывается выполнение требований, изложенных в п. 3.1, в части аппаратного резервирования, времени тестирования каналов управления ПУ, наличия мер, исключающих возможность возникновения опасных отказов по управляющим выходам, формирования контрольных байтов, наличия аппаратно - программного механизма перехода в защитное состояние.

Согласно проведенному аналитическому расчету надежности (Доказательство безопасности, часть 1) количественные показатели надежности соответствуют требованиям ТЗ на ПУ.

- интенсивность опасных отказов ПУ (на стрелку) - 1,04 10-11 1/ час,

- интенсивность защитных отказов одного ПУ (на стрелку) - 9,19 10-7 1/ч.

- интенсивность защитных отказов 8-ми ПУ на магистрали - 9,4610-7 1/ч.

Таким образом, можно сделать вывод, что ПУ является безопасным устройством в соответствии с ОСТ 32.17-92 и ОСТ 32.18-92.

Литература

1. Правила устройства электроустановок в вопросах и ответах. Раздел 4. Распределительные устройства и подстанции; НЦ ЭНАС - Москва, 2009. - 170 c.

2. Правила устройства электроустановок в вопросах и ответах. Раздел 4. Распределительные устройства и подстанции. Пособие для изучения и подготовки к проверке знаний; НЦ ЭНАС - Москва, 2005. - 219 c.

3. Радиоприемные устройства; Радио и связь - Москва, 1984. - 272 c.

4. Радиоприемные устройства; Высшая школа - Москва, 1989. - 344 c.

5. Баркан В. Ф., Жданов В. К. Радиоприемные устройства; Советское радио - Москва, 1967. - 480 c.

6. Бобров, Н.В. Радиоприемные устройства; Энергия - Москва, 1976. - 368 c.

7. Бройде, А.М. Радиотехнические устройства; М.: Госэнергоиздат - Москва, 1949. - 232 c.

8. Буланов, Ю.А.; Усов, С.Н. Усилители и радиоприемные устройства; М.: Высшая школа; Издание 3-е, перераб. и доп. - Москва, 1980. - 415 c.

9. Гавриленко, И.И. Радиопередающие устройства; М.: Транспорт - Москва, 1977. - 368 c.

10. Головин О. В. Профессиональные радиоприемные устройства декаметрового диапазона; Радио и связь - Москва, 1985. - 288 c.

11. Головин О. В. Радиоприемные устройства. Учебник для техникумов; Горячая Линия - Телеком - , 2002. - 384 c.

12. Екимов В. Д., Павлов К. М. Радиоприемные устройства; Связь - Москва, 1975. - 480 c.

13. Ицхоки Я. С. Импульсные устройства; Дрофа - Москва, 2010. - 272 c.

14. Красноголовый Б. Н. Индикаторные устройства; Вышэйшая школа - Москва, 1970. - 224 c.

15. Лебедев В. Л. Радиоприемные устройства; Государственное издательство литературы по вопросам связи и радио - Москва, 1956. - 366 c.

16. Логвинов В. В., Фриск В. В. Схемотехника телекоммуникационных устройств, радиоприемные устройства систем мобильной и стационарной радиосвязи, теория электрических цепей; Солон-Пресс - Москва, 2011. - 656 c.

17. Окунь Е. Л. Радиопередающие устройства; Советское радио - Москва, 1973. - 400 c.

18. Орехов А. А. Радиоприемные устройства морского судна; Транспорт - Москва, 1987. - 288 c.

19. Палшков В. В. Радиоприемные устройства; Связь - Москва, 1965. - 543 c.

20. Сартасов, Н.А. Коротковолновые магистральные радиоприемные устройства; М.: Связь - Москва, 1971. - 288 c.

21. Селезнев В. П. Навигационные устройства; Государственное издательство оборонной промышленности - Москва, 1961. - 616 c.

22. Сифоров В. И. Радиоприемные устройства; Ленинградская краснознаменная Военно-воздушная инженерная академия - Москва, 1947. - 562 c.

23. Трохименко Я. К. Радиоприемные устройства на транзисторах; Техника - Москва, 1964. - 416 c.

24. Трохименко Я. К. Радиоприемные устройства на транзисторах; Технiка - Москва, 1972. - 350 c.

25. Трохименко, Ярослав Карпович Радиоприемные устройства на транзисторах; Киев: Технiка - Москва, 1964. - 416 c.

26. Чистяков Н. И., Сидоров В. М., Мельников В. С. Радиоприемные устройства; Государственное издательство литературы по вопросам связи и радио - Москва, 1959. - 896 c.

27. Чистяков, Н.И.; Сидоров, В.М. Радиоприемные устройства; М.: Связь - Москва, 1974. - 408 c.

28. Шанин А. И. Радиоприемные устройства; Государственное союзное издательство судостроительной промышленности - Москва, 1958. - 390 c.

29. Шахгильдян, В.В. Радиопередающие устройства; М.: Радио и связь; Издание 3-е, перераб. и доп. - Москва, 2003. - 560 c.

30. ред. Чистяков, Н.И. Радиоприемные устройства; М.: Связьиздат - Москва, 1958. - 896 c.

ref.by 2006—2019
contextus@mail.ru