УДК 681.324:519.613
К.Е. ГЕРАСИМЕНКО, В.И. ХАХАНОВ
ПОВЫШЕНИЕ ТЕСТОПРИГОДНОСТИ КРИТИЧЕСКИХ СИСТЕМ УПРАВЛЕНИЯ
Разрабатывается и тестируется на прикладных примерах метод повышения тестопри-годности оборудования защит из состава управляющей системы безопасности АЭС. Отличительной особенностью метода от существующих [1-16] является использование функциональных элементов защит, построенных на базе арифметических операций, без использования логических операций и операций отношения. Это позволяет контролировать работоспособность данных элементов по их реакции на изменения входного непрерывного сигнала от канала ввода в АЦП через все элементы защит, в которых используется данный сигнал, до дискретного выходного элемента, формирующего команду защиты на конкретный исполнительный механизм. Данный метод позволяет обеспечить контроль и диагностирование целого ряда неисправностей типа «несрабатывание», относящихся к категории скрытых в существующих реализациях оборудования защит, которiе используют логические операции и операции отношения.
1. Введение
Одним из основных показателей, характеризующих надежность оборудования защит из состава управляющих систем безопасности (УСБ) атомных электростанций (АЭС), является вероятность правильного выполнения дискретной функции по формированию последовательности команд защитных действий с учетом наличия отказов типа "несрабатывание". Критерием такого вида отказа является отсутствие команды защиты при наличии «исходного» события, т.е. при появлении на входах оборудования защит УСБ любой совокупности данных, которая должна вызвать формирование команды.
Для введения в специфику языка, определенного стандартами, техническими условиями, эволюцией технической диагностики, как науки, занимающейся развитием теории и практики восстановления работоспособности вычислительных систем, рассмотрим следующие понятия и определения [17].
Модель - структура элементов и/или процессов, с определенной степенью адекватности описывающая объект и/или явление. Логический анализ - процесс определения логического состояния линий объекта, или его компонентов при наличии или отсутствии неисправностей в условиях существования частичной неопределенности в компонентах: модель, входные воздействия, реакции.
Техническое состояние - совокупность исправного и всех неисправных состояний. Логическое состояние характеризуется значениями сигналов на линиях объекта при наличии или отсутствии неисправностей. В качестве объекта исследования выступает вычислительная система, компьютер, цифровое устройство и их модели, описанные в виде конечных автоматов. Эквивалентным является понятие - объект тестирования - Unit Under Test (UUT). Компоненты UUT: логические элементы, интегральные микросхемы, примитивные элементы. Последние характеризуются наличием таблицы переходов (истинности) и отсутствием структуры. Объект тестирования - изделие или его составные части, техническое состояние которых подлежит определению. Диагностирование - процесс определения технического состояния с заданной точностью.
Дефект - каждое отдельное несоответствие изделия требованиям нормативной документации. Повреждение - вид дефекта, определяемый событием, заключающимся в нарушении исправного состояния при сохранении работоспособного. Несущественный дефект - событие, заключающееся в нарушении работоспособного состояния при сохранении состояния правильного функционирования. Отказ - событие, заключающееся в нарушении состояния правильного функционирования. Техническое состояние объекта - совокупность исправного и множества наперед заданных неисправных состояний. Исправным называется состояние объекта, при котором он соответствует всем требованиям нормативно-технической документации. Неисправным называется состояние объекта при наличии в
нем дефекта. Работоспособным называется состояние объекта, при котором он может выполнять свои функции при наличии повреждения. Состояние объекта, при котором он может выполнять свои функции при наличии несущественного дефекта, называется состоянием правильного функционирования. Состояние неправильного функционирования определяется объектом, имеющим отказ. Если объект имеет катастрофические отказы или морально устарел на данный момент времени, его техническое состояние определяется как предельное или не подлежащее техническому обслуживанию. Контроль (проверка) -определение технического состояния объекта с точностью до исправного (работоспособного) и множества неисправных (неработоспособных).
2. Постановка задачи исследования
Ввиду того, что отказ типа «несрабатывание» для УСБ в целом может быть причиной возникновения нештатной ситуации или аварии, разработка методов контроля и диагностирования, позволяющих выявлять такого рода отказы, является актуальной задачей и предметом различного рода исследований и конструкторских решений. В общем случае к отказам УСБ данного типа могут приводить комбинации как однотипных (отказы по общей причине), так и разнотипных видов скрытых неисправностей в резервированных компонентах УСБ, имеющих временную корреляцию [1-9].
Применительно к типовой структуре УСБ, наличие скрытых неисправностей на несрабатывание означает, что в элементах оборудования защит (электронных компонентах, блоках, программном обеспечении), реализующих алгоритмические функции, скрытая неисправность типа «несрабатывание» гарантировано может быть обнаружена не в момент ее возникновения, а только при появлении комбинации входных сигналов, соответствующих срабатыванию защиты.
Данная проблема актуальна для всех типов оборудования, реализующего дискретные функции, независимо от используемой элементной базы и принципов построения: аналоговые приборы на транзисторах или реле, программно-логические интегральные схемы (ПЛИС), микропроцессоры с инструкциями в виде программного кода.
Цель исследования - существенное уменьшение времени подготовки тестовых данных для совместного (concurrent) анализа в рабочем режиме логических схем управления критическими системами.
Задачи: 1) Обзор существующих методов совместного тестирования систем управления критическими объектами. 2) Разработка моделей и методов совместного тестирования систем управления. 3) Верификация совместного тестирования систем управления моделями критических объектов.
3. Модели процесса тестирования
Предлагаются технологичные и эффективные процесс-модели тестирования диагностирования функциональных нарушений в цифровых системах [18-19]. Используются регистровые или матричные (табличные) структуры данных, которые ориентированы на параллельное выполнение логических операций при поиске дефектных компонентов систем управления критическими объектами.
Проблема синтеза или анализа компонентов произвольной структуры может быть сформулирована в виде взаимодействия на основе симметрической разности (хог-операции на булеане) в кибернетическом пространстве ее модели F с входными воздействиями T и реакциями L: f(F,T, L) = 0 ^ FATAL = 0 .
Киберпространство - совокупность взаимодействующих по метрике информационных процессов и явлений, использующих в качестве носителя компьютерные системы и сети. В частности, компонент пространства представлен k-мерным вектором (кортежем) a = (a1,a2,.. ,aj,...,ak), aj = {0,1} в двоичном алфавите. Нуль-вектор есть k-мерный кортеж, все координаты которого равны нулю: aj = 0, j = 1,k. Метрика в кибернетического (двоичного) пространства определяется единственным равенством, которое формирует нуль-вектор для xor-суммы расстояний dj между ненулевым и конечным числом точек
n
(объектов), замкнутых в цикл: р = © dj = 0.
i=1
Расстояние (по Хэммингу) между двумя объектами (векторами) а и Ь определяется в
к
виде производного вектора: ^ = ¿(а,Ь) = aj © Ь . Иначе: метрика в векторного логического
двоичного пространства есть равная нуль-вектору хог-сумма расстояний между конечным числом точек (вершин) графа, образующих цикл. Сумма п-мерных двоичных векторов, задающих координаты точек цикла, равна нуль-вектору. Данное определение метрики оперирует отношениями, что позволяет сократить систему аксиом с трех до одной и распространить ее действие на любые конструкции п-мерного киберпространства. Классическое задание метрики для определения взаимодействия одной, двух и трех точек в векторном логическом пространстве является частным случаем в -метрики при 1 = 1,2,3 соответственно:
^ = 0 о- а = Ь; М = <и © а2 = 0 о ¿(а,Ь) = ¿(Ь,а);
© а2 © а3 = о о ¿(а,ь) © ¿(ь,с) = ¿(а,с).
Метрика в кибернетического многозначного пространства, где каждая координата вектора (объекта) определена в алфавите, составляющем булеан на универсуме примитивов мощностью р: aj = {а1,а2,...,аг,...,ат}, т = 2Р , есть равная 0 -вектору (по всем координатам) симметрическая разность расстояний между конечным числом точек, образующих п
цикл: р = д ^ = 0 • Равенство пустому вектору симметрической разности покоординатного
1=1
теоретико-множественного взаимодействия подчеркивает равнозначность компонентов (расстояний), формирующих уравнения, где единственная координатная операция ¿^М^+у, используемая, например, в четырехзначной модели Кантора, определяется соответствующей Д -таблицей:
д 0 1 х 0
0 0 х 1 0
1 х 0 0 1
х 1 0 0 х
0 0 1 х 0
п 0 1 х 0
0 0 0 0 0
1 0 1 1 0
х 0 1 х 0
0 0 0 0 0
и 0 1 х 0
0 0 х х 0
1 х 1 х 1
х х х х х
0 0 1 х 0
а 0 1 х 0
а 10 0 х
Здесь также приведены таблицы истинности для других базовых теоретико-множественных операций, далее используемых по тексту. Число примитивных символов, образующих замкнутый относительно теоретико-множественных координатных операций алфавит, может быть увеличено. При этом мощность алфавита (булеана) определяется выражением т = 2р , где р - число примитивных символов. Введенная метрика представляет не только теоретический интерес, но имеет и практическую направленность на обобщение и классификацию задач технической диагностики путем создания модели хог-отношений на множестве из четырех основных компонентов. Процедуры синтеза тестов, моделирования неисправностей и поиска дефектов можно свести к хог-отношениям на графе (рис. 1) полного взаимодействия четырех вершин (функциональность, устройство, тест, дефекты)
а = {Б,и,т,ь}.
Такой граф порождает четыре базовых треугольника, которые формируют 12 практически полезных триад отношений, формулирующих задачи технической диагностики:
Т © Б © Ь = 0 Т © Ь © И = 0 Т © Б © И = 0 Б © Ь © И = 0
1)Т = Б © Ь 2) Б = Т © Ь 3)Ь = Т © Б 4) Т = Ь © И 5) Ь = Т © И 6)И = Т © Ь 7) Т = Б © И 8) Б = Т © И 9) И = Т © Б 10) Б = Ь © И 11) Ь = Б © И 12) И = Б © Ь
Введение вершины и в граф взаимодействия компонентов технической диагностики расширяет функциональные возможности модели, появляются новые свойства полученной системы. Введение в структуру новой вершины должно иметь весомые аргументы в пользу ее целесообразности. Что касается представленного на рис. 1 графа, содержательно все задачи можно классифицировать в группы следующим образом. Группа 1 - теоретические эксперименты (на модели функциональности), без устройства: 1) Синтез теста по модели функциональности для заданного списка неисправностей. 2) Построение модели функциональности на основе заданного теста и списка неисправностей. 3) Моделирование неисправностей функциональности на заданном тесте. Группа 2 - реальные эксперименты (на устройстве), без модели функциональности: 4) Синтез теста путем физической эмуляции дефектов в устройстве. 5) Определение списка неисправностей устройства при выполнении диагностического эксперимента. 6) Верификация теста и дефектов в эксперименте на реальном устройстве. Группа 3 - тестовые эксперименты (верификация), без дефектов: 7) Синтез теста путем сравнения результатов моделирования модели и реального устройства. 8) Синтез функциональности по реальному устройству и заданному тесту. 9) Верификация теста и модели функциональности относительно реального устройства с существующими неисправностями. Группа 4 - эксперименты в процессе функционирования, на рабочих воздействиях: 10) Проверка правильности поведения реального устройства на существующих или заданных дефектах. 11) Проверка работоспособности устройства относительно существующей модели в процессе функционирования. 12) Верификация функциональности и списка дефектов относительно поведения реального устройства.
Наиболее популярными задачами из перечисленного выше списка являются: 1, 3, 5, 8, 9. Можно ввести и другую классификацию типов задач, которая дает возможность определить на графе О = (Б,И,Т,Ь) все концептуальные пути решения целевых проблем: синтеза тестов, определения модели функциональности, генерирования модели дефектов и проектирования устройства. Все конструкции, представленные в отношениях, обладают замечательным свойством обратимости. Компонент, вычисляемый с помощью двух других, может быть использован в качестве аргумента для определения любого из двух исходных. Потому здесь можно говорить о транзитивной обратимости каждой триады отношений на полном графе, когда по двум любым компонентам всегда и однозначно можно восстановить или определить третий. При этом формат представления каждого компонента должен быть одинаковым по форме и размерности (векторы, матрицы). На основе предложенной метрики и моделей тестирования далее рассмотрены более подробно методы диагностирования дефектов или функциональных нарушений. Модель поиска функциональных нарушений в системе использует уравнение пространства ^Б, Т,Ь,И) = 0 ^ Б © Т © Ь © И = 0, которое трансформируется к виду Ь = (Т © Б) © (Т © И). Диагностирование дефектов (функциональных нарушений) сводится к сравнению результатов модельного (Т © Б) и натурного (Т © И) экспериментов, которое формирует список функциональных нарушений Ь,
присутствующих в объекте диагностирования. Формула-модель процесса поиска блока Б; с функциональными нарушениями сводится к выбору решения посредством определения
Р
хог-взаимодействия между тремя компонентами: Ь = Б; ^ [(Т © Б;) © (Т © И;)] = 0.
1=1
Одним из эффективных и технологичных подходов решения проблемы тестирования является метод сигнатурного анализа. Его математическая основа - получение остатка (сигнатуры) от деления сколь угодно длинной конечной двоичной последовательности на
определенное двоичное число (образующий полином). Практическое решение такой задачи сводится к использованию регистра сдвига с обратными связями из разрядов 7,9,12,16, которые заведены совместно с линией Х, являющейся входом сигнатурного анализатора, на сумматор по модулю 2, как показано на рис. 2.
>х*
—^—а—е—л1—8—а1—то—и—тз-тз-т^—та-те
—Ti^iiiiiISSSSSSfi
i
Ё]
LcJ LhJ Lb-
Рис. 2. Структура сигнатурного анализатора После подачи двоичной последовательности на вход X полученный код-сигнатура состояний разрядов регистра с вероятностью Р=0,9998 отображает исходный входной вектор произвольной длины. Триггеры регистра априорно должны быть обнулены. Идентификация двоичного вектора длиной не более 216 выполняется с вероятностью P=1. Для удобства 16-разрядная двоичная сигнатура записывается в шестнадцатеричном алфавите (0,1,...,9,A,C,F,H,P,U) четырьмя символами, которые служат паспортом для каждого вывода микросхемы или внешних контактов разъема при выполнении тестового диагностирования. Сигнатура контакта, полученная в виде реакции на заданный тест без наличия в схеме неисправностей, называется эталонной. Если в реальном объекте экспериментальная сигнатура на контакте не равна эталонному значению, то рассматриваемый контакт или его предшественники подозреваются неисправными. Количество полных циклов подачи теста для поиска дефекта с использованием сигнатурного анализа в худшем случае может быть равно числу контрольных точек для снятия зондом анализатора экспериментальных сигнатур, расположенных на логическом пути от неисправного выхода до входа. Для уменьшения времени цикла подача теста осуществляется на частотах, близких к рабочим реального ЦУ. Понятие сжатой двоичной последовательности можно использовать в качестве входного слова для входов логических элементов цифровой системы управления. В данном случае имеется структура, представленная на рис. 3, где аналоговые сигналы от датчиков T = (T\,T2,...,Ti,...,Tn) критической системы преобразуются блоком ADC (Analog Digital Coder) в цифровой код произвольной, но фиксированной длины.
Рис. 3. Структура проверки исправности
Затем двоичные последовательности сжимаются в сигнатуры T = (S1,S2,...,Si,...,Sn), которые подаются на входы логического устройства управления (CS - Control System). При этом достигается вероятность Р = 0,9998, что две различные последовательности будут иметь одинаковые сигнатуры на различных входах или на двух соседних тактах. Платой за быстродействие такой системы контроля является аппаратурная избыточность в виде системы сигнатурных анализаторов на всех входах CS. При этом состояния выходов CS
определяются на алфавите A = {0,1,X = (S1,S2, ..,Sj,.. ,Sm)}, где Sj - шестнадцать битов
двоичного слова, которые интерпретируются как мантисса, определенная в открытом интервале [0 < Sj < 1]. Таким образом, естественные флуктуации аналоговых датчиков трансформируются в шестнадцатеричные сигнатуры, которые подаются на логическую схему, где каждая (входная, выходная) переменная есть регистровая, фиксирующая практически любые изменения на аналоговых терминалах, что дает возможность контролировать работоспособность логической структуры управления критическими объектами. Следует также добавить, что неоднородность битовой информации в сигнатуре (слове) позитивно влияет на активизацию выходов, что дает возможность практически в каждом цикле съема информации из терминальных устройств отслеживать работоспособность системы управления критическими объектами.
4. Технологии тестирования систем управления критических объектов
Существующие методы решения данной проблемы, описаны в [10-14] и сводятся к
проверке работоспособности элементов оборудования защит путем контроля их реакции на специальные тестовые воздействия, поскольку использование данных о рабочих воздействиях от объекта, как правило, недостаточно. Данные методы реализуют контроль работоспособности на срабатывание либо отдельных блоков и устройств, участвующих в реализации функции защит, либо всего оборудования защит или его части (как минимум инициирующей части защит). Методы обоих типов имеют ряд существенных ограничений и недостатков, подробно рассмотренных и проанализированных в [15].
При этом основное ограничение вытекает из самой структуры элементов оборудования защит («сравнение с эталоном», «и», «или», «2 из 4-х»), построенных на базе дискретных функций, с выходом, определяемым только двумя состояниями 0 (режим ожидания) или 1 (срабатывание защиты). Это в принципе не позволяет обеспечить выполнение непрерывного контроля работоспособности данных элементов на срабатывание. Метод, предполагающий изменение структуры элементов защит, как средство повышения эффективности контроля (проверки) и диагностирования скрытых неисправностей на несрабатывание, предложен в [15, 16]. Основная идея данного метода - функциональный элемент защит на базе арифметических операций формирует значение на всем диапазоне от 0 до 1. При этом в нем отсутствуют какие-либо ветвления (условные переходы), определяющие отличия режима ожидания от режима срабатывания защит. Функция работает одинаково в обоих из этих режимов, что позволяет непрерывно контролировать работоспособность соответствующего функционального элемента. Все функции, которые используются в элементах, строятся на базе арифметических операций (сложение, вычитание, умножение, деление), без применения логических операций и операций отношения, за исключением выходных пороговых элементов формирования команд на исполнительные механизмы (ИМ), что связано с физическими принципами работы приводов ИМ.
В настоящей статье представлены результаты дальнейшего исследования метода, предложенного в [15, 16], в части его теоретического обоснования.
5. Модель процесса совместного тестирования
На рис. 4 представлена концептуальная схема контроля и диагностирования оборудования защит УСБ на базе функциональных элементов, использующих арифметические операции. Здесь ОД - функция на базе арифметических операций; fd(x) - функция на базе логических операций и операций отношения; Мт-Мах - диапазон изменения значения технологического параметра; 0-1 - диапазон изменения значений в элементах на базе арифметических операций; 0/1 - дискретные значения (0 или 1) в элементах на базе
логических операций и операций отношения; (----) - цифровые каналы передачи данных и
команд; (--) - нецифровые каналы передачи данных и команд. Основная идея метода -
использование в диагностическом оборудовании (В) идентичных ему защит (А) функциональных элементов (блоков), реализованных в программном коде. При этом как в оборудование защит, так и в диагностическое оборудование поступают функционально-идентичные входные данные (переменные). С помощью арифметических операций обеспечивается возможность вычисления рассогласования по каждой выходной переменной в каждом функциональном блоке, при этом различие сигналов вычисляется в самом диагностическом оборудовании.
Рис. 4. Концептуальная схема контроля и диагностирования оборудования защит УСБ
Теоретическое обоснование метода может быть сведено к следующим ключевым моментам: 1) разработка базовых функциональных элементов, использующих арифметические операции и позволяющих комбинировать все остальные типы элементов, применяемые в алгоритмах защит; 2) обоснование наличия реакции каждого функционального элемента (изменение его выходного значения) при изменении любого входного непрерывного сигнала, в пределах разрешающей способности АЦП, имеющего корреляцию с данными функциональными элементами по условиям проектных алгоритмов (т.е. обоснование «прохождения» изменения от канала ввода в АЦП через все элементы защит, в которых участвует данный сигнал, до дискретного выходного элемента, формирующего команду защиты на конкретный исполнительный механизм).
Для функциональных элементов сравнения с эталоном («>=», «<=»), использующих операции отношения, реализация с применением арифметических операций может быть представлена в форме линейной функции вида:
(х -Р2) (Р2 - х)
у = ах + Ь , «>=»: у =-, «<=»: у = -
(Р1 - Р2)
(Р2 - Р1)
а = -
Ь = -
Р2
(Р1 - р2^ (Р1 - Р2)
, х еЯ,у е Я0-1 =[0;1],
где а, Ь - коэффициенты масштабирования (постоянные); Р1 - пороговое значение (эталона); Р2 - предел диапазона измерения, противоположный знаку эталона.
1
Для функциональных элементов «не», «и», использующих логические операции, реализация с применением арифметических операций может быть представлена как линейная функция следующего вида:
«не»: у = 1 - х, «и»: у = (1/ п)*(х1 + Х2 +.....+ хп),
х1,....,хп,у е Я0-1 =[0;1].
Все остальные функциональные элементы, использующие логические операции («или», «2 из 4»), могут быть скомбинированы при помощи базовых «не» и «и».
С учетом линейности базовых функциональных элементов, применяющих арифметические операции, аналитическое выражение, описывающее состояние любого 1-го элемента в алгоритме защит, может быть представлено как:
У1 = а0 + а1х1 + а2х2 +.... + anХn, (1)
где х. - значение внешних входных переменных (входные непрерывные сигналы); у. -значение выхода 1-го элемента в алгоритме защит (промежуточного, внутри алгоритма или выходного, в форме выходной команды на механизм).
С учетом зависимости от времени выражение (1) может быть переписано так:
У1 № = а0 + а1 х1 (1) + а2х2(1) +... + апхп (1). (2)
С учетом (2) «прохождение» (отклик) изменения по входным непрерывным сигналам между моментами времени 1-1 и 1 на выходе любого функционального элемента может быть представлено так:
Ау1 (1) = а0 + а1 Ах1 (1) + а2 Дх2(1) +.... + ап Ахп(1). (3)
В случае изменения между моментами времени 1-1 и 1 значения только одного входного непрерывного сигнала из п всех возможных (изменения по остальным входным сигналам равны 0) выражение (3) может быть преобразовано в следующий вид:
Ау. (1) = ак Ахк(1) , Ах1 (1) = Ах2(1) =......= Ахк-1(1) =
(4)
Ахк +1(1) =..........= Ахп(1) = 0.
Формула (4) описывает аналитическое выражение для зависимости между величиной
изменения входного непрерывного сигнала Ахк и соответствующего ему изменения выхода функционального элемента, имеющего корреляцию с данным входом по условиям проектного алгоритма защит УСБ. Последнее теоретически подтверждает возможность контроля и диагностирования всех функциональных элементов оборудования защит УСБ за счет наличия реакции («отклика») данных элементов (изменение их выходов) при изменении значений соответствующих входных сигналов, в том числе за счет наличия постоянно присутствующих «технологических» и «электрических» шумовых колебаний.
Проведем анализ предлагаемого метода на примере одной из 4-канальных защит САОЗ в соответствии с рис. 5 при наличии неисправности в элементе оборудования, реализующем функцию мажоритарной обработки "2оо4" (2 из 4-х).
Строки схемы, относящиеся к части А, соответствуют значениям переменных в оборудовании защит, а аналогичные строки (с подстрокой рассогласования) в части В соответствуют значениям этих же переменных, но в диагностическом оборудовании. При этом рассматриваемая неисправность в элементе мажоритарной обработки "2оо4" (2 из 4-х) характеризуется формированием выходного значения, не соответствующего входным значениям от 4-х каналов (значение на выходе 0,6256995 меньше номинального 0,8256995, т.е. того, которое должно быть при соответствующей комбинации входных значений). Данный тип неисправности может привести к отказу оборудования защит типа «несрабатывание по требованию» при наличии исходного события и поэтому является наиболее критичным в
части влияния на безопасность. Как следует из рис. 5, признак неисправности "fault" сформирован до наступления исходного события, по результату рассогласования значений выходных переменных функционального блока мажорирования "2оо4" ( 2 из 4-х) в оборудовании защит (А) с одной стороны и оборудовании диагностирования (В) - с другой.
TQ30P04B1
О',2507ООС1(ЮО
Set point
О,S
TQ30P05B1
0,2398400000
Set point
0,3
TQ30P06B1
0,200 ЮООООО
Set point
0,3
TQ30P07B1
0,2372000000
Set point
0,3
0,8655660000
0,7894660000
0.8670000000
0,7906660000
Set point TQ33S33
0,6306995 « 1 1 0
оборудование оащит
T030P04B1 Set point
1 I 0",2597000000 0,3 0.8656660000
mill -1 | |r| | 0,000 | ">" | 0,010 | Normal I
TQ30P05B1 Set point
2 | 0,2398400000 0.3 0,7994660000
min -1 | ' | 0,000 | ">" | 0,010 | Normal ]
T030P06B1 Set point
3 I 0,2601000000 0.3 0,8670000000
min -1 | ' | 0,000 | ">" | 0,010 | Normal ]
TQ30P07B1 Set point
4 | 0,2372000000 l.j. 0.3 0,7906060000
min ■1 I i'j I 0,000 | ">" I 0,010 I Normal ]
-.Знамени* функционально идентичной пари переменных в оборудовании защит (А)>1 в диагностическом оборудовании (В)
Логичес'Кий элемент сравнения с технологической уставкой
Знамение ра'сссгласован
Значение уставки рассогласования Кг
Приснаки состояния (результат сравнения г[ и )<[) Normal ■ исправное. Fault ■ неисправное
Рис. 5. Диагностирование неисправности типа «несрабатывание» в элементе "2оо4" ( «2 из 4-х») оборудования защит УСБ (4-канальная защита САОЗ по давлению >0,3 кгс/см2)
6. Заключение
Разработанный метод повышения тестопригодности оборудования защит, использующий функциональные элементы на базе арифметических операций, характеризуется такими особенностями:
1) Обеспечивает проверку и диагностирование следующих видов скрытых неисправностей типа «несрабатывание»: дефекты функциональных элементов, характеризуемые несоответствием значений входных и выходных переменных проектному или конструкторскому алгоритму функционирования (с учетом предыстории входных, выходных значений, в случае наличия «памяти» в алгоритме функционального элемента); неисправности связей между функциональными элементами, характеризуемые отсутствием или искажением данных между источником и приемником.
2) Повышение тестопригодности обеспечивается за счет использования в функциональных элементах оборудования защит только арифметических операций (сложение, вычитание, умножение, деление) без применения логических операций и операций отношения.
3) Метод обеспечивает контроль прохождения любого изменения значения входного сигнала, в пределах разрешающей способности используемых АЦП, от входа через все функциональные элементы («сравнение с эталоном», «и», «или», «2 из 4»), в которых
участвует данный сигнал, до дискретного элемента управления исполнительным механизмом.
4) Предложена сигнатурная структура контроля работоспособности логической схемы управления критическими объектами, основанная на преобразовании естественных флук-туаций аналоговых датчиков в шестнадцатеричные сигнатуры, подаваемые на логическую схему, где каждая (входная, выходная) переменная есть регистровая, активизирующая практически любые изменения от входов до выходов.
Список литературы: 1. Безопасность атомных станций. Информационно-управляющие системы / М. А. Ястребенецкий, В.Н. Васильченко, С.В. Виноградская и др. К.: Техника, 2004. 470 с. 2. Instrumentation and control systems important to safety in Nuclear Power Plants: Nuclear Energy Series / International Atomic Energy Agency. Vienna: IAEA, 2002. No. NS-G-1.3. 91 p. 3. Safety of Nuclear Power Plants: Design, Safety Standards Series / International Atomic Energy Agency. Vienna: IAEA, 2000. No. NS-R-1. 125 р. 4. Software for Computer Based Systems Important to Safety in Nuclear Power Plants: Safety Standards Series / International Atomic Energy Agency. Vienna: IAEA, 2000. No. NSG-1.1. 150 р. 5. International Electrotechnical Commission (IEC) 60880 - 2004, Nuclear Power Plants — Instrumentation and Control Systems Important to Safety — Software Aspects for Computer-Based Systems Performing Category A Functions. 6. International Electrotechnical Commission (IEC) 60987 - 2007, Nuclear Power Plants -Instrumentation and Control Important to Safety - Hardware Design Requirements for Computer-Based Systems. 7. Institute of Electrical and Electronic Engineers (IEEE) 7-4.3.2 , Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations. 8. Макдональд Д. Промышленная безопасность, оценивание риска и системы аварийного останова: Пер. с англ./ Д. Макдональд. М.: ИДТ, 2007. 409 с. 9. Смит Д. Безотказность, ремонтопригодность и риск: Пер. с англ. / Д. Смит. М.: ИДТ, 2007. 432 с. 10. НП 306.2.141-2008. Общие положения безопасности атомных станций. К: ГКЯРУ, 2008. 42 с. 11. Protecting against common cause failures in Digital I&C Systems of Nuclear Power Plants: Nuclear Energy Series / International Atomic Energy Agency. Vienna: IAEA, 2009. No. NP-T-1.5. 65 p. 12. Ястребенецкий М.А. Информационные и управляющие системы АЭС Украины: результаты и проблемы / М.А. Ястребенецкий // Проблемы обеспечения безопасности информационных и управляющих систем АЭС // Сб. науч. тр. Одесса: «Астропринт», 2010. С. 9-19. 13. Modern Instrumentation and Control for Nuclear Power Plants: Technical Reports Series / International Atomic Energy Agency. Vienna: IAEA, 1999. No. 387. 629 p. 14. Application of the Single Failure Criterion: Safety Series / International Atomic Energy Agency. Vienna: IAEA, 1990. No. 50-P-1. 134 p. 15. Герасименко К.Е. Методы непрерывного контроля и диагностирования оборудования управляющих систем безопасности энергоблоков АЭС по функции защит / К.Е. Герасименко // Радюелектронш i комп'ютерш системи. 2010. №3 (44). С. 152-156. 16. Герасименко К. Е. Использование непрерывных функций в элементах оборудования защит АЭС для диагностирования неисправностей типа «несрабатывание по требованию» / К.Е. Герасименко // Радь оелектронш i комп'ютерш системи. 2011. №1 (49). С. 29-33. 17. БондаренкоМ.Ф., Кривуля Г.Ф., Рябцев В.Г., Фрадков С.А., Хаханов В.И. Проектирование и диагностика компьютерных систем и сетей. К.: НМЦ ВО. 2000. 306 с. 18. Хаханов В.И., Литвинова Е.И., Чумаченко С.В., Гузь О.А. Логический ассоциативный вычислитель // Электронное моделирование. 2011. № 1(33). С. 73-89. 19. Hahanov V., Wajeb Gharibi, Litvinova E., Chumachenko S. Information analysis infrastructure for diagnosis // Information an international interdisciplinary journal. 2011. Japan. Vol.14. № 7. Р. 2419-2433.
Поступила в редколлегию 16.12.2011 Герасименко Константин Евгеньевич, заведующий отделом информационно-управляю -щих систем ЧАО «СНПО "Импульс"». Научные интересы: техническая диагностика цифровых систем управления объектами с повышенными требованиями к безопасности. Адрес: Украина, 93405, Северодонецк, пл. Победы 2, тел. 60194. E-mail: [email protected].
Хаханов Владимир Иванович, декан факультета КИУ ХНУРЭ, д-р техн. наук, профессор кафедры АПВТ ХНУРЭ. Научные интересы: техническая диагностика цифровых систем, сетей и программных продуктов. Увлечения: баскетбол, футбол, горные лыжи. Адрес: Украина, 61166, Харьков, пр. Ленина, 14, тел. 70-21-326. E-mail: [email protected].