Концепция безопасности микропроцессорных систем
Поможем в ✍️ написании учебной работы
Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

Под концепцией безопасности понимается совокупность положений, в соответствии с которыми осуществляется построение безопасной системы. Безопасная система должна удовлетворять заданному уровню безопасности. Уровень безопасности определяется предельными значениями показателей безопасности. Показатели безопасности составляют количественную характеристику свойств безопасности.

Концепция безопасности имеет фундаментальное значение, поскольку на ее основе устанавливаются критерии опасных отказов. Для реализации концепций безопасности используют три стратегии – безотказность, отказоустойчивость и безопасное поведение при отказах. Первые две стратегии подразумевают, что система, которая правильно выполняет свой алгоритм функционирования, безопасна. Безотказность достигается за счет применения высоконадежных элементов, отказоустойчивость – за счет резервирования элементов системы.

Стратегия безопасного поведения при отказах используется специально для безопасных систем и заключается в переводе системы в защитное необратимое состояние при появлении отказа (рис. 3.11). При этом обратный переход в работоспособное состояние исключается (маловероятен) и осуществляется искусственно (обычно с участием человека). Примером является искусственное размыкание маршрутов в системах ЭЦ.

В основе концепции безопасности релейных систем железнодорожной автоматики лежит принцип использования безопасного элемента. Таким элементом является реле I класса надежности, у которого интенсивность отказов вида 0 ® 1 на несколько порядков меньше интенсивности отказов вида 1 ® 0. При этом система строится в предположении, что эти отказы невозможны, а все другие отказы (не обязательно одиночные) должны переводить ее в защитное состояние, то есть используется стратегия безопасного поведения.

При построении микроэлектронных СЖАТ стратегия безопасного поведения используется совместно со стратегией отказоустойчивости. Если при возникновении отказов система исчерпала свои резервные возможности и в результате деградации и реконфигурации перестала быть отказоустойчивой, то при появлении еще одного отказа она должна необратимо перейти в защитное (отключенное от объектов управления) состояние.

Концепция безопасности микропроцессорных систем, которая используется в большинстве случаев, состоит в следующем: одиночные дефекты аппаратных и программных средств не должны приводить к опасным отказам системы и должны обнаруживаться на рабочих или тестовых воздействиях не позднее, чем в системе возникнет второй дефект [3.8].

На рис. 3.12 приведена классификационная диаграмма, показывающая основные методы обеспечения безопасности в соответствии с указанной концепцией. Безопасность достигается за счет резервирования аппаратных и программных средств, организации внутрипроцессорного и межпроцессорного контроля и за счет безопасного поведения при отказах.

Резервирование аппаратных средств состоит в применении многоканальных систем с жесткой или мягкой синхронизацией каналов. Сравнение результатов обработки информации в п каналах осуществляется с помощью безопасных схем сравнения. В многопрограммных системах выполняется резервирование программного обеспечения. Наилучшие результаты по безопасности в этом случае дают принципы N-версионного программирования, применяемые на уровне алгоритмов и программ.

Задачу обнаружения отказов решают внутри и межпроце6ссорный контроль. Обнаруживать отказы требуется с максимально возможной глубиной и как можно быстрее. Наиболее эффективно внутрипроцессорный контроль осуществляется тестированием системы в отведенные для этого промежутки времени или применением принципов самоконтроля (самопроверяемости) и сигнатурного анализа. Межпроцессорный контроль состоит во взаимной проверке работы процессоров на уровне системных шин, памяти и выходов (контроль с сильными связями). При контроле с умеренными связями осуществляется проверка выходов. Применяется также вариант, когда один процессор реализует вычисления, а другой их проверяет (контроль со слабыми связями).

Безопасные структуры МПЦ

Приведенные на рис. 3.12 методы обеспечения безопасности реализуются с помощью целого ряда безопасных структур, которые применяются или могут быть применены для построения МПЦ. В данном разделе рассмотрим основные из них.

Одноканальная система с одной программой (рис. 3.13) может быть применена при организации достаточно полной проверки микроЭВМ с помощью самопроверяемых средств внутреннего контроля ССВК и при наличии безопасных выходных схем БВС для включения управляемых объектов УО. При возникновении отказа ССВК формирует сигнал Y, с помощью которого система может быть переведена в защитное состояние по входу Ф (например, отключено питание), и (или) выходы Z отключаются от УО с помощью БВС. Безопасность данной структуры зависит от эффективности способов самопроверки. Тестовые программы должны повторяться достаточно часто. Прикладные программы не должны иметь ошибок при загрузке. Целесообразно применение самопроверяемого программного обеспечения.

Одноканальная система с дублированной программой (рис. 3.14) использует две различные и независимые программы П1 и П2 для реализации одних и тех же функций. Эти две версии программы выполняются поочередно на одном комплекте аппаратуры. Результаты выполнения программ  и  сравниваются внешней безопасной схемой сравнения БСС. Такой принцип построения системы называется диверситетом. Его идея состоит в том, что две версии (или N версий при N-версионном программировании) программы будут иметь различную реакцию при возникновении отказов аппаратных средств или наличии ошибок в программном обеспечении. Уровень безопасности зависит от степени различия двух программ. Целесообразно, чтобы программы были написаны разными бригадами программистов и по разным алгоритмам (версиям). В качестве примера можно указать на две версии программы расчета булевых функций, рассмотренные в разделе 3.3 (метод непосредственного вычисления и метод бинарных программ).

Дублированная система со слабыми связями (рис. 3.15) состоит из двух микроЭВМ, в которых процессоры и программы могут быть неодинаковыми. Процессор микроЭВМ1 реализует основные вычисления, а микроЭВМ2 их проверяет. Для этого осуществляется обмен информацией по шине W. Синхронизация каналов необязательна. Контроль работы микроЭВМ1 осуществляется благодаря наличию тестовых программ, параллельными вычислениями и сравнением результатов. При обнаружении ошибки микроЭВМ2 формирует сигнал Y и выходы микроЭВМ1 отключаются от УО.

Дублированная система с умеренными связями (рис. 3.16) включает в себя две одинаковые микроЭВМ с одинаковыми программами. Работа обоих каналов синхронизирована. Результаты обработки информации сравниваются на уровне выходов  и  с помощью БСС. Эта одна из наиболее распространенных на практике безопасных структур. Минимальная кратность необнаруживаемых отказов в ней равна двум – по одному отказу в каждой микроЭВМ, которые одинаковым образом искажают выходные сигналы  и . Прикладные программы должны быть свободны от ошибок при загрузке. Одиночные отказы не опасны.

В дублированной системе с сильными связями (рис. 3.17) используют одинаковые программы в двух одинаковых микроЭВМ, но в отличие от предыдущего случая контроль работы двух каналов осуществляется не только на уровне выходов, но и на уровне шин и памяти. Работа каналов синхронизирована. В наиболее эффективном случае осуществляется потактовая проверка совпадения сигналов  и  на внутренних контрольных точках с помощью БСС1. При возникновении ошибки сигнал Y воздействует на БСС2 и отключает УО, а также переводит оба канала в защитное состояние по входам Ф. Структура обладает высоким уровнем безопасности. Проблему могут составить одинаковые программные ошибки в каналах.

Дублированная система с тестированием и с сильными связями (рис. 3.18) содержит в дополнение к предыдущей структуре генератор тестов ГТ и мультиплексор МКС и применяется, если множество входных воздействий Х не обеспечивает необходимую «глубину» проверки каналов обработки информации. В этом случае в процессе рабочего функционирования периодически выделяются отрезки времени, в течение которых с помощью мультиплексора сигналы Х отключаются от входов системы, и к последним подключается генератор тестов. Результаты тестирования обоих каналов сравниваются БСС1. При обнаружении ошибки система переводится в защитное состояние. Данный принцип используется также тогда, когда система большую часть времени рабочего функционирования находится в ждущем режиме (при этом сигналы Х длительное время не изменяются).

Самопроверяемая дублированная система S (рис. 3.19) состоит из двух каналов, построенных в виде самопроверяемых устройств [3.9]. Сигналы контроля  и  формируемые ССВК1 и ССВК2, сравниваются ССВК3. Последняя вырабатывает сигнал ошибки Y. Минимальная кратность необнаруживаемых отказов равна четырем – по два отказа в каждом канале, которые не обнаруживаются ССВК и одинаковым образом искажают выходные сигналы  и . Самоконтроль каналов может быть аппаратным и программным. Возможно использование независимых программ в каждом процессоре.

Троированная мажоритарная система (рис. 3.20) имеет три независимых канала обработки. Работа каналов синхронизирована и сравнивается с помощью безопасного мажоритарного элемента БМЭ. Данная структура, так как и дублированная (см. рис. 3.16), используется наиболее часто. Безопасность ее сравнима с безопасностью дублированной системы, но отказоустойчивость выше.

Реконфигурируемая структура с дублированием двухканальных систем S (рис. 3.21) содержит четыре микроЭВМ. МикроЭВМ1 и микроЭВМ2 образуют дублированную систему С1 с сильными связями (рис. 3.17), две другие микроЭВМ – дублированную систему С2 с умеренными связями (рис. 3.16). Алгоритм работы устройств контроля состоит в следующем. Нормально к УО через устройство переключения УП подключены выходы системы С1. Система С2 находится в «горячем» резерве. Если произошел отказ в системе С1, это фиксируется БСС3 и происходит воздействие на УП. УО отключаются от выходов С1 и подключаются к выходам С2. Происходит реконфигурация системы S в дублированную структуру с умеренными связями. Система С1 не используется по назначению до ее восстановления. Данная структура имеет по сравнению с дублированием избыточность в два раза больше, что обеспечивает более высокие показатели безотказности и безопасности.

Реконфигурируемая мажоритарная структура (рис. 3.22) отличается от обычной мажоритарной системы (рис. 3.20) тем, что каждая из трех микроЭВМ контролируется ССВК. Нормально система работает по мажоритарному принципу. При возникновении отказа в одной из микроЭВМ соответствующая ССВК вырабатывает сигнал контроля Y. Происходит отключение выходов этой микроЭВМ и преобразование данной структуры в дублированную структуру (рис. 3.16).

Рассмотренные структуры и принципы построения безопасных систем часто используются и в сочетании, дополняя друг друга. Базовыми при этом являются дублированная (рис. 3.16) и троированная (рис. 3.20) структуры.

Рассмотрим двухканальную структуру с сильными связями безопасного микропроцессорного блока типа SIMIS [3.10], разработанного фирмой SIEMENS (Германия) (рис. 3.23). Он содержит две идентичные микроЭВМ с общим тактовым генератором ТГ, работающие в условиях жесткой синхронизации, безопасное устройство сравнения БСС и блок питания БП. Безопасность блока SIMIS основана на непрерывном контроле совпадения результатов обработки информации в шинах данных, адресной и управления обеих микроЭВМ. Тестовые программы не обладают приоритетом и запускаются в паузах между основными программами. В течение заданного времени обнаружения отказов они обеспечивают вывод в БСС содержимого всех ячеек памяти и результатов реализации функций микропроцессоров типа Intel 8080.

В блоке SIMIS применяют компаратор БСС (рис. 3.24). Каждая пара сравниваемых битов  и  обеспечивает открытие усилителя на транзисторах VT1–VTп, питаемого через диодный мост от прямого и инверсного выходов D-триггеров. Последние образуют буферные регистры данных, в которые заносятся мгновенные состояния шин данных или выходных сигналов, вырабатываемых микроЭВМ. При несовпадении контролируемых битов усилитель не формирует контрольный сигнал КС, который в этом случае не дает разрешение на формирование очередных тактовых импульсов Т1 и Т2 генератора ТГ (см. рис. 3.23). Блок SIMIS при этом или перезапускается с контрольной точки или отключается.

Первые установки, построенные на базе блока SIMIS, начали внедряться на железных дорогах Германии с 1980 г. В частности, так построены системы МПЦ, эксплуатируемые на городской железной дороге Франкфурта-на-Майне (1986 г.) и на высокоскоростной линии Мангейм–Штутгарт (1988 г.).

В Японии применяется двухканальная структура безопасной микропроцессорной системы m SMILE (рис. 3.25) [3.5].

Два процессора CPU, работающие по одинаковой программе, синхронизируются задающим генератором. Данные, передаваемые по внутренним шинам IB, сравниваются поразрядно в каждом цикле с помощью быстродействующего безопасного компаратора FSC. Нормально компаратор формирует на выходе импульсные сигналы, которые через усилитель AMP и выпрямитель RF включают реле постоянного тока R. При рассогласовании в работе процессоров импульсный сигнал не выдается, реле R обесточивается и отключает питание U с выходных схем FOC. Последние состоят из безопасных схем И, которые сравнивают одноименные выходные сигналы процессоров в шинах IB и образуют выходные сигналы системы Z. Если выходные сигналы процессоров не совпадают или возникает неисправность самой схемы FOC, последняя переключается в защитное состояние, отключая выходы Z. Входная схема INC имеет избыточную структуру и ее безопасность обеспечивается методами программного диагностирования.

Трехканальная структура безопасной микропроцессорной системы SMILE (Япония) (рис. 3.26) строится по схеме тройного резервирования с включением в информационные каналы трех микропроцессоров CPU мажоритарных блоков MVR [3.11]. Синхронизатор WDT с тройным резервированием обеспечивает синхронную работу микропроцессоров. Информация, передаваемая по шинам при каждом обращении к оперативному RAM и постоянному ROM запоминающим устройствам или устройствам ввода INC и вывода FOC, проверяется поразрядно с частотой f = 1 МГц в каждом машинном цикле. Несоответствие в работе микропроцессоров корректируется по мажоритарному принципу, но неустранение отказа может привести к двойному повреждению. Для исключения последствий таких повреждений сигналы на входах и выходах блоков MVR во всех трех каналах сравниваются с помощью быстродействующего безопасного компаратора FSC, воздействующего на блок управления режимами работы МСС.

Компаратор FSC (рис. 3.27) содержит регистры PSR с параллельным вводом данных из информационных шин А и В и последовательным выводом, работа которых синхронизируется блоком управления СВ. С помощью реверсивного сдвигового регистра BSR компаратор может поразрядно сравнивать 16-разрядные слова в каждом машинном цикле. Такое сравнение проводится между каждыми двумя парами микропроцессоров. Схема компаратора предусматривает отключение неисправного выхода от регистра BSR и выключение электромагнитного реле постоянного тока R, когда не совпадает информация в шинах А и В или отказывает сам компаратор. Для сравнения каждого входа или выхода любых двух мажоритарных блоков MVR (см. рис. 3.26) из трех необходимо установить шесть комплектов FSC. Неисправный микропроцессор обнаруживается с помощью логической схемы, после чего переходят от режима тройного резервирования к двухканальному, т.е. осуществляется реконфигурация системы в соответствии с рис. 3.22.

Первые системы SMILE были введены в эксплуатацию на железных дорогах Японии в 1985 г. На их основе построены системы МПЦ, электронной блокировки поездов на перегоне, автоматической локомотивной сигнализации непрерывного типа на высокоскоростной магистрали Синкасен, переездной сигнализации.

Дата: 2018-11-18, просмотров: 1591.