Авакян А.А.
СИНТЕЗ ОТКАЗОУСТОЙЧИВЫХ ЭЛЕКТРОННЫХ СИСТЕМ
Рассмотрен избыточная вычислительная система, состоящая из 4-х трактов, с встроенной в каждый тракт системой управления избыточностью. Исходя из нормативной допустимой вероятности отказа, приводящего к катастрофической ситуации, рассчитан необходимый коэффициент полноты контроля. Описана двухуровневая система мажоритарного контроля, позволяющая реализовать управление избыточностью с заданной полнотой контроля. Описан принцип реконфигурации структуры вычислителя при отказах элементов вычислительных трактов для восстановления его работоспособности.
Актуальность проблемы вытекает из крайне жестких требований к полноте достоверности и времени контроля исправного состояния бортовых систем летательных аппаратов [1]. Например, чтобы удовлетворить требованиям отказобезопасности интенсивность возникновения функционального отказа, который может привести к катастрофической ситуации, не должна превышать величины 10-9 отказа в час. Чтобы выполнить требования по регулярности полетов, при необслуживаемом в межрегламентные периоды бортовом оборудовании, интенсивность отказов в межрегламентный период не должна превышать 10-7 отказа в час.
Выполнить перечисленные требования аппаратными средствами, без резервирования функциональных частей системы, практически невозможно. Следовательно, возникает проблема диагностирования отказов системы и реконфигурации его элементов при их обнаружении. При этом время диагностирования и парирования отказов на критичных этапах полета (взлет, посадка) не должно превышать секунды, а в ряде случаев долей секунды.
Одним из путей решения перечисленных выше проблем является путь создания отказоустойчивых электронных систем. Рассмотрим эту проблему на примере бортовых вычислительных систем. В данной работе рассматривается подход, когда отказоустойчивая вычислительная система создаётся в виде вычислительного ресурса с управляемой избыточностью.
Задача формализуется следующим образом:
Задан функционал К(Б,По,Пэ,Уш,Ув,Е) (1)
некоторого структурированного избыточного вычислительного ресурса, аргументами которого являются характеристики: Б - быстродействие, По - объем, тип, избыточность оперативной памяти, Пэ -
объем, тип, избыточность энергонезависимой памяти, Уш - скорость обмена, разрядность внутреннего интерфейса (шины), Ув - протоколы физического и логического уровней, порты, маршутизаторы, коммутаторы внешнего интерфейса, Е - номиналы, входной импеданс, избыточность источников вторичного питания.
Заданы нормативные значения характеристик безотказности на периоде применения Р(^) и периоде до планово-профилактических работ Р^э).
Задан аддитивный функционал затрат на техническую эксплуатацию, состоящий из затрат:
З (Б, По, Пэ, Уш, Ув, Е) = Зз(Я(Б, По, Пэ, Уш, Ув, Е)) + Зоф(Я(Б, По, Пэ, Уш, Ув, Е))+Зр(Я(Б, По, Пэ,
Уш, Ув, Е))+ЗоС(Я(Б, По, Пэ, Уш, Ув, Е))+Зп (Я(Б, По, Пэ, Уш, Ув,Е)) (2)
где: Зз^(В, По, Пэ, Уш, Ув, Е)) - затраты на закупку вычислительного ресурса; Зоф^(В, По, Пэ,
Уш, Ув, Е)) - на закупку обменных фондов блоков, для обеспечения регулярности полетов; Зр^(В, По, Пэ, Уш, Ув, Е)) - на ремонт отказавших устройств; ЗоС^(В, По, Пэ, Уш, Ув, Е)) - на закупку оснастки пунктов технического обслуживания; Зд^(В, По, Пэ, Уш, Ув, Е)) - на содержание обслуживающего пер-
сонала.
Из множества значений функционала (1) необходимо определить оптимальный элемент:
Кг -г—, опт -гг опт -гг опт тг опт тг опт л опт > г ^ \
ои(Б , По , Пэ , Уш , Ув , Е ) (3)
с оптимальной структурой и оптимальными значениями аргументов, которые минимизируют затраты на техническую эксплуатацию вычислительного ресурса:
Зои (Бопт, Поопт, Пэопт, Ушопт, Увопт, Еопт)=ш1п. (4)
Метод и алгоритмы решения оптимизационной задачи сводятся к минимизации функционала (4) при ограничениях на аргументы, которые формируются из нормативных требований к характеристикам: безотказности выполнения критических функций, регулярности полетов.
Все функционалы в выражениях (1) - (4) являются либо структурами, которые формализуются, либо
графами, либо логическими выражениями. Связи между функционалами являются либо алгоритмами, либо функциями. Кроме ограничений, описываемых непрерывными функциями, все функционалы (1) - (4) дискретны. Из изложенного следует, что решение задачи по нахождению оптимума (4) для системы в целом
сводится к формированию сложной математической конструкции, состоящей из системы с большим коли-
чеством функциональных уравнений. Корни такого класса систем уравнений в своем большинстве являются иррациональными числами. При решении систем уравнений методами вычислительной математики при первой итерации задаются условные корни из множества рациональных чисел с последующим приближениям к искомым корням. Поскольку формализованных методов задания корней первой итерации и интервалов между корнями последующих итераций не существуют, то решение уравнений подобного класса становится не всегда разрешимой задачей.
В данной работе предлагается следующий метод решения оптимизационной задачи. Предварительно сложная система, описываемая функционалом (1) , декомпозируется на независимые, но связанные между собой посредством своих входов и выходов подсистемы. Для каждой отдельной подсистемы определяется локальный оптимум. Среди множества локальных оптимумов определяется глобальный оптимум для всей сложной системы.
Структура избыточного вычислительного ресурса, методы контроля его состояния и реконфигурации для парирования возникающих отказов определяют значение функционала (4). Для структур с независимыми, но связанными между собой подсистемами функционал (4) становится аддитивным по отношению к простым подсистемам, которыми являются независимые вычислительные ресурсы. По этой причине ниже будут рассмотрены вопросы структурирования, контроля и реконфигурации сложных вычислительных ресурсов.
Связи между подсистемами внутри системы имеют следующие свойства:
выходы каждой подсистемы связаны только с входами других подсистем (включая вход рассматриваемой подсистемы), и других связей между элементами подсистем не существует;
при отказе любой подсистемы, приводящем к короткому замыканию на входе связанной с ней системы, образуется сопротивление практически бесконечной величины, адекватной разрыву связи;
выходами сложной системы могут быть как выходы каждой из простых систем, так и любые комбинации из выходов этих систем.
Проиллюстрируем вариант реализации избыточной вычислительной системы, состоящей из четырех независимых, но связанных между собой только через свои входы и выходы подсистем - вычислительных ресурсов. Структурная схема такой избыточной вычислительной системы приведена на рис. 1, где использованы следующие обозначения: МВУ - модуль вычислительного узда, МИМ - многофункциональный
модуль интерфейсного узла, МОВ - модуль объединения выходов.
Приведенная избыточная вычислительная система обладает следующими свойствами:
система непрерывно контролирует свое состояние с полнотой, при которой вероятность неконтролируемого отказа не превышает нормативный уровень;
возникающие отказы парируются за время не более чем за секунду без детальной локализации области отказа;
диагностический контроль с локализацией области отказа и реконфигурацией системы выполняется за конечное заданное время Тв;
система обладает многоуровневой системой мажоритарного сравнения результатов как непрерывного, так и диагностического контроля, реализованного в каждой подсистеме.
Рис. 1. Структурная схема отказоустойчивого вычислителя В основу синтеза системы были положены следующие принципы:
Узел управления избыточностью реализован во всех четырех МВУ.
Синтез вычислителя выполняется с использованием серийной, унифицированной, высокопроизводительной, высоконадежной, высокочастотной и максимально компактной элементной базы.
Высокая безотказность и способность к отложенному ремонту достигаются за счет избыточных вычислительных ресурсов и реконфигурации системы для парирования возникающих отказов.
Быстрое (практически мгновенное) парирование отказов достигается за счет сочетания мажоритарного выбора и тестового контроля элементов вычислительной системы.
Инвариантность к ранее разработанному, сертифицированному проблемному математическому обеспечению достигается за счет применения процессоров со стандартным набором команд, эмуляторов и применением широкого набора интерфейсных технологий, в том числе и детерминированного, линейного
интерфейса Ethernet - ARINC-429 [4].
Использование COTS-технологий при синтезе вычислителя [2, 3].
Вычислительная система состоит из следующих независимых, но взаимосвязанных, конструктивно съемных модулей:
4-х однотипных модулей вычислительного узла (МВУ);
4-х однотипных модулей интерфейсного узла (МИМ);
2-х однотипных модулей объединения выходов (МОВ);
2-х кроссировочных плат (КрП).
На рис. 1 видно, что все модули МВУ и МИМ связаны между собой только своими выходами и входами. Следовательно, модули вычислителя являются связанными между собой, независимо функционирующими элементами системы вычислитель. Чтобы сохранить эту независимость функционирования, как при исправных состояниях элементов избыточной системы, так и при их отказах (например, отказ элемента, приводящий к короткому замыканию, может зашунтировать связанные с ним элементы) связи элементов осуществляются через систему ключей. Ключи выполнены таким образом, что при коротком замыкании выхода любого элемента они создают высокий импеданс на входах всех элементов связанных с отказавшим.
Встроенные во все модули МВУ, МИМ, МОВ устройства контроля позволяют обеспечить следующие характеристики контролепригодности:
глубина контроля Гк - до сменного модуля-платы, достоверность контроля Дк>0,99999, полнота контроля Пк>0,98,
мониторинг температуры наиболее теплонагруженных элементов вычислителя с выдачей информации программным приложениям мониторинга и диагностики.
Как будет показано ниже, необходимый коэффициент полноты контроля, который мог бы обеспечить нормативную интенсивность отказов вычислителя в полете, не превышающую 10-9 отказов в час, значительно больше полноты, которая может быть достигнута посредством встроенных средств и тестового контроля. Более высокий коэффициент полноты контроля достигается методом мажоритарного контроля эхо-сигналов с выходов каждого из контуров вычислителя, включающих вычислительный и интерфейсный модули.
В [4] была найдена связь вероятности неконтролируемого отказа системы Рnd с характеристиками контролепригодности ее элементов в виде следующего выражения:
Р* = Рж(1 + ^г)(1 -7г)(1 +7хм)(1 ~Лы) , (5)
выражаемая отношением числа контролируемых элемен-
мажоритарного контроля
порядок:
где PN - вероятность полного отказа хотя бы одного из элементов системы, - коэффициент полноты тестового контроля, - коэффициент полноты ложного тестового контроля, - коэффициент
допустимой полноты контроля, обеспечивающей заданную вероятность неконтролируемого отказа, -
коэффициент допустимой полноты ложного контроля, обеспечивающего заданную вероятность неконтролируемого отказа.
Практика эксплуатации бортовой авионики позволяет принять следующие пессимистические оценки характеристик одного вычислительного тракта:
нижняя оценка интенсивности полного отказа (контролируемого и неконтролируемого) равна Ры=10-4 отказов в час;
верхняя оценка полноты тестового контроля, тов к общему числу элементов, равна %=0,98;
оценки коэффициентов полноты ложного тестового
Льт=Льм=0,001.
Подставив эти оценки в формулу (5) и задав вероятность неконтролируемого отказа, равную нормативной величине отказа критической функции 10-9, получаем необходимую величину полноты контроля
=0,99999.
При таком высоком значении коэффициента допустимой полноты контроля, обеспечивающей заданную вероятность неконтролируемого отказа, нельзя исключить никакой высоконадежный элемент из состава устройств, которые должны быть подвергнуты контролю.
Выше было сказано, что время контроля отказа, который может привести к катастрофической ситуации, не должно превышать одной секунды. Для выполнения таких жестких требований по полноте и времени контроля в отказоустойчивом вычислителе применена система мажоритарного сравнения сигналов, проходящих через весь тракт от входа до выхода вычислителя. В каждом мажоритарном элементе каждого МВУ выполняется сравнение всех возможных пар сигналов, прошедших через каждый тракт вычислителя. Для этого, как это показано на рис. 1, с выхода каждого модуля объединения выходов выходной сигнал, прошедший через весь тракт вычислителя, подается на вход каждого многофункционального интерфейсного модуля по специально выделенным каналам внешнего интерфейса. Для устранения возможной неоднозначности результатов мажоритарного контроля сигналов в каждом МВУ реализован мажоритарный элемент второго уровня. В нем осуществляется сравнение значений результатов мажоритарного контроля сигналов в мажоритарных элементах первого уровня. Сравнение производится для всевозможных пар мажоритарных элементов первого уровня.
Структурная схема мажоритарного элемента 1-го уровня приведена на рис. 2. Сигналы с выходных каналов N трактов поступают на вход коммутатора. Коммутатор коммутирует на вход устройства обработки данных последовательно все выходные сигналы всех N трактов.
Рассмотрим операции над сигналами. Вначале выполняется операция синхронизации сигналов. Мажоритарный элемент обрабатывает последовательности сигналов, поступающих из устройств, как синхронизированных между собой, так и не синхронизированных. В мажоритарном элементе синхронизируются друг с другом только сигналы устройств, в структуре слова которых имеется идентификатор парамет-
Рис. 2. Структурная схема мажоритарного элемента 1-го уровня.
В частности, в структуре слова, записанного в стандарте ARINC-429 [5] записывается в 10 начальных разрядах 32-х разрядного слова (рис. 3).
идентификатор параметра
1 - Ь 9 I 10 11 І - I 29 30 I 31 32
а р а п д 0 са ер рт де < 2 Код устройства Передаваемое сообщение (данные) Исправность устройства Четность слова
Рис. 3. Структура слова в стандарте ARINC-42 9
Формат 32-разрядного слова в АРИНК-429 имеет следующую структуру: разряды 1 - 8 содержат информацию о коде параметра; разряды 9, 1 0 содержат информацию о коде устройства;
разряды 11 - 2 9 содержат информацию о передаваемом сообщении;
разряды 3 0 - 31 содержат информацию об исправности устройства, в котором было сформировано сообщение (информацию о матрице состояния);
разряд 32 содержит информацию о четности сформированного слова.
После операции синхронизации выполняется операция по обработке сигналов. Вначале выполняется операция по поиску одних и тех же слов, поступивших из разных устройств, для их мажоритарного сравнения. Для отделения слов между собой информация передается посредством синхронизирующих и информационных импульсов. На рис. 4 приведена диаграмма этих импульсов в сообщениях. Наличие синхронизирующих и информационных импульсов позволяет отделять между собой слова, так как в паузах между словами синхронизирующие импульсы не передаются. Поскольку каждый импульс соответствует одному биту передаваемой информации, то период передачи одного бита, равен Т (рис. 4).
Паузу между словами П разрешается выполнять в пределах
4 Т < П < 40 Т.
Следовательно, период между словами Тс будет находится в пределах 36Т< Тс < 72Т.
Рис. 4. Диаграмма синхронизирующих и информационных импульсов в ARINC-429 ^-амплитуда импульсов) .
Принцип синхронизации сводится к совмещению сигналов с одними и тем же словами (кодами параметров), содержащими информацию о параметрах, измеренных в один и тот же момент. Поступающая на входы устройства обработки сигналов информация одной и той же последовательности параметров с N различных устройств, из-за асинхронной работы устройств, будет сдвинута по фазе. Обозначим величину этого сдвига через Т3ад.
На первом входе время задержки до начала обработки т3ад минимально и момент t началом слова. На втором входе эта задержка больше, а на третьем входе она достигла і т.е. периода передачи сообщений. При временах задержки, превышающих Тп, возникает совмещения сигналов со сдвигом на один период.
На рис. 5 приведена диаграмма совместного появления слов на входах устройства обработки данных в момент t. На первом входе время задержки до начала обработки т3ад минимально и момент t не совпадает с началом слова. На втором входе эта задержка больше, а на третьем входе она достигла периода передачи сообщений Тп. При временах задержки, превышающих Тп, возникает вероятность совмещения сигналов со сдвигом на один период. Следовательно, условием правильной синхронизации является выполнение неравенства тзад >Тп.
не совпадает с зеличины Тп, вероятность
234 1234 1234 12
Рис. 5 Диаграмма совместного появления слов на входах устройства обработки данных в момент t ("Vвх - амплитуда импульсов на входах устройств) .
Процедура синхронизации состоит из следующих операций:
Сигналы, поступающие на все входы устройства обработки, запоминаются в нем.
По коду параметра (первые 8 разрядов слова (рис. 2)) первого полного слова, поступившего с
тракта № 1 (первый вход устройства обработки), сравниваются все слова сигналов, поступивших на
остальные входы. Обозначим код первого параметра Пі.
Сигналы, поступившие с остальных трактов на входы обработки, кроме сигналов, поступивших на
первый вход, сдвигаются по фазе таким образом, чтобы первым словом сигнала стало слово с кодом
параметра Пі.
Если ни у одного из слов, поступивших на все входы устройства обработки данных, кроме первого входа, слово с параметром Пі в сигналах не обнаруживается, то в анализатор состояния устройств посылается сигнал о неисправности тракта № 1 и повторяются операции предыдущих двух и настоящего пунктов относительно тракта № 2.
Сигналы, поступившие на входы обработки, кроме сигналов, поступивших на первый вход, сдвигаются по фазе таким образом, чтобы первым словом сигнала стало слово с кодом параметра Пі.
Если ни у одного из слов, поступивших на все входы устройства обработки данных, кроме первого входа, слово с параметром Пі в сигналах не обнаруживается, то в анализатор состояния устройств посылается сигнал о неисправности тракта № 1 и повторяются операции предыдущих двух и настоящего пунктов относительно тракта № 2.
Состояние после сдвига сигналов по фазе, когда первые полные слова первых слов всех устройств имеют одинаковые коды параметров, является синхронизированным состоянием сигналов.
После выполнения операций по синхронизации сигналов выполняются операции по их обработке. Эти операции сводятся к статистической обработке тысячи измерений параметра в регрессионном фильтре. В результате обработки вычисляется доверительный интервал на остаточную дисперсию регрессии, которая чувствительна к возникающим в трактах отказам. Чтобы время одного сеанса обработки не превышало одной секунды, каждая порция из тысячи измерений формируется из 990 предыдущих измерений и 10-ти новых.
После выполнения операций обработки сигналов производятся операции по мажоритарному сравнению доверительных интервалов остаточных дисперсий, вычисленных в мажоритарных элементах первого уровня каждого тракта. В результате сравнения выявляются тракты, в которых возникли неисправности.
Кроме сравнения статистик прошедших через каждый тракт параметров выполняются операции по сравнению величин каждого значения одних и тех же параметров на выходе каждого тракта по заданному допуску на точность обработки. Такой метод мажоритарного контроля исправного состояния трактов менее чувствителен к отказам в трактах и выполняется для дублирования мажоритарного контроля.
Результаты мажоритарного контроля первого уровня записываются в 32-разрядные слова со структурой данных, представленных на рис. 6. Каждое слово содержит информацию:
о контролируемом параметре (код параметра);
о номере мажоритарного элемента конкретного вычислительного модуля (номере МВУ);
о номере контролируемого тракта (номере тракта);
П
П
аа ср ет ре дм аа р
д
о
К
й
о
р
Рис. 6. Структура слова, поступающая из мажоритарного элемента 1-го уровня.
о результатах сравнения сигналов устройств 1-2, 1-3, 1-4, 2-3, 2-4, 3-4 (0, если результат
сравнения положительный, и 1, если результат отрицательный); о результате контроля четности слова.
Результаты сравнения записываются в 15-26 разрядах слова, структура которого приведена на рис.
6.
Сигналы со словами, содержащими результаты мажоритарного контроля 1-го уровня, поступают в мажоритарный элемент второго уровня. Мажоритарный элемент второго уровня предназначен для мажоритарного сравнения результатов мажоритарного контроля первого уровня. Мажоритарный элемент второго уровня, также как и первого уровня, реализуется во всех N устройствах (в нашем примере в 4-х
МВУ).
Структура мажоритарного элемента второго уровня приведена на рис. 7
Словаваналн затор <
Разовая команда на формирование выхода системы <
Сигнал о недостоверности инфор-мацни на выходе системы
4----------
Сигнал на выдачу информации из системы с выхода исправного тракта.
Рис. 7. Структурная схема мажоритарного элемента второго уровня.
В мажоритарном элементе второго уровня сопоставляются слова с одинаковыми параметрами, поступившие с одних и тех же каналов, но с различными номерами мажоритарных элементов 1-го уровня (номере устройства). У этих слов анализируется информация о результатах сравнения сигналов с выходов устройств соответственно: 1-2, 1-3, 1-4, 2-3, 2-4, 3-4, полученных в каждом мажоритарном элементе первого уровня. Если обнаруживаются каналы с одинаковыми положительными результатами сравнения различных мажоритарных элементов 1-го уровня, то на систему реконфигурации устройств подается сигнал с информацией, содержащей номер устройства с меньшим значением. Если одинаковых положительных сравнений, установленных различными мажоритарными элементами, не обнаруживается, то с выхода мажоритарного элемента второго уровня выдается сигнал о недостоверности информации по данному параметру.
Анализатор состояний устройств вычислителя анализирует результаты мажоритарного контроля мажоритарных элементов на предмет возникновения сбоев,
перемежающихся отказов, устойчивых отказов.
Если в течение пяти циклов мажоритарного контроля отказавший тракт восстанавливается, то в память анализатора записывается информация о возникшем сбое, данном тракте и моменте его возникновения. Если восстановление происходит после четырех циклов контроля и периодически происходят процессы отказа и восстановления, то в памяти анализатора фиксируется перемежающийся отказ и момент его возникновения.
Если отказ, возникший в определенный момент, не восстановляется в течение шести и более циклов, то фиксируется устойчивый отказ с моментом его возникновения. Если по окончании полного цикла диагностического контроля отказ не обнаруживается, то фиксируется отказ элементов тракта, не охваченного диагностическим контролем. Отказ фиксируется в памяти анализатора с моментом его возникновения.
Если отказ, обнаруженный мажоритарным элементом, подтверждается диагностическим контролем, то в память анализатора вводится следующая информация: о моменте возникновения отказа, о результатах мажоритарного контроля, о результатах диагностического контроля.
При этом отказавший тракт отключается от системы мажоритарного контроля. Если отказавшим оказываются тракт под номером 4, то переименование номера не происходит. Если отказывают тракты с другими номерами, то отказавший тракт заменяется соответствующим номером 4. При этом номер 4 необходимо заменить номером отказавшего устройства.
В качестве примера рассмотрим результаты двухуровнего мажоритарного контроля параметра «крен» в четырех двухуровневых мажоритарных элементах вычислителя с управляемой избыточностью (ВУИ).
В результате обработки (фильтрации в регрессионном фильтре) 1000 измерений параметра «крен» в четырех мажоритарных элементах вычислителя ВУИ были получены доверительные интервалы на стандартное отклонение остаточной дисперсии, которые приведены в четвертом столбце табл. 1. В пятом столбце табл. 1 приведены результаты всевозможных сопоставлений (рассчитанных по формуле, приведенной в заголовке пятого столбца табл. 1) стандартных отклонений остаточных дисперсий полученных в мажоритарных элементах различных трактов. В шестом столбце табл. 1 приведены результаты сопоставления величин пятого столбца с нормой. В седьмом столбце приведены результаты мажоритарного контроля 2-го уровня. Одинаковые результаты сопоставления мажоритарного контроля первого уровня обозначены нулем, а неодинаковые - единицей.
Анализ информации шестого столбца табл. 1 показывает, что сопоставление сигналов всех трактов, за исключением первого тракта со вторым, между собой сопоставляются положительно. Следовательно, мажоритарный контроль 1-го уровня дает противоречивый результат относительно исправности второго тракта. Мажоритарный контроль второго уровня показывает, что 2-й тракт с первым и четвертым трактами сопоставляются положительно. Следовательно, имеет место ошибка при контроле в мажоритарном элементе 2-го тракта, а все четыре тракта исправны.
Таблица 1. Результаты обработки 1000 измерений параметра «крен» в 4-х регрессионных фильтрах, реализованных в 4-х МВУ
1 Мажоритарное сравнение всевозможных пар результатов мажоритарного контроля первого ур овня.
2 Если все пары имеют одинаковый положительный результат ср авнения, то выдается разовая команда на выдачу сигнала из тракта с МИМ 1.
3 Если все пары имеют одинаковый отр ицательный р е-зультатсравнения,то выдается сигнал о недостоверности информации, выдаваемом системой.
4 В остальных случаях из системы выдается информация, поступающая от исправного тракта с младшим номером.
Последовательность слов с мажоритарного элемента МВУ1
Последовательность слов с мажоритарного элемента МВУ 2
Последовательность слов с мажоритарного элемента МВУ 3
Последовательность слов с мажоритарного элемента МВУ 4
Номер трак- тов ВУИ, Т Номера сравниваемых трактов Значения доверительных интервалов на стандартное отклонение остаточной дисперсии параметра «крен» DocT |Ш - Б І Бас’ + БасІ Соотношение с нормой Результат мажоритарного контроля 2-го уровня
Т=і T=j
1 2 3 4 5 6 7
1 1 2 0,80 0,059 <0,2 0
2 1 3 0,90 0,253 >0,2 1
3 1 4 О 2 1 0,059 <0,2 0
4 2 3 0,90 0,143 <0,2 1
2 4 0,183 <0,2 0
3 4 0,143 <0,2 0
Выводы. Создание электронных систем со сверхвысокой надежностью (с интенсивностью отказов не более 10-9 отказов в час) возможно только посредством систем с управляемой избыточностью.
Разработанная автором система управления избыточностью включает:
систему тестового диагностического контроля, однозначно локализующего отказавшие области и реконфигурирующего систему для парирования отказов за конечный небольшой промежуток времени;
систему мажоритарного контроля, обеспечивающего мгновенный мажоритарный выбор исправного устройства, как при устойчивых отказах, так и при сбоях и перемежающихся отказах.
Чтобы надежность системы управления избыточностью имела такой же порядок, что и функциональная система, она встраивается в каждый из четырех трактов функциональной системы и тем самым четырежды резервируется.
При этом может возникнуть неоднозначность в процедурах контроля систем управления избыточностью встроенных в различные тракты. Для достижения однозначности результатов контроля система управления избыточностью создается многоуровневой. На втором и последующих уровнях мажоритарному контролю подвергаются результаты контроля предыдущих уровней.
ЛИТЕРАТУРА
1. Нормы летной годности самолетов транспортной категории (АП-25). - М.: Изд. Межведомственный авиационный комитет, 2004г.
2. Авакян А.А., Романенко А.Ю. Использование COST-технологий для создания эффективных интерфейсных сред бортовых комплексов авиационных и ракетно-космических систем // Тр. Межведом. науч-но-технич. конференции «Проблемы обеспечения эффективности и устойчивости функционирования сложных технических систем». - Серпухов: Изд. Серпуховского военного ин-та, 2004. Стр. 112-116.
3. Чуянов Г.А., Златомрежев В.И., Галушкин В.В., Ковернинский И.В., Екимов М.В., Егоров К.А., Лихоткина О.Ф. Исследования по оптимизации архитектур полностью интегрированных комплексов бортового оборудования (ИКБО) и в их составе интегрированных комплексов. Отчет 100.0054-001 - М.: Изд. ГосНИИАС., 2 0 03.
4. Авакян А.А., Искандаров Р.Д., Копненкова М.В. Разработка облика бортового унифицированного высокопроизводительного вычислительного модуля на основе интерфейсных средств для комплексирова-ния бортового оборудования авиационной и ракетно-космической техники. Отчет по НИР «Вычислитель». - Жуковский: Изд. НИИАО, 2004.
5. АРИНК 429 «Система передачи цифровой информации. Тип 33», 1977.