Надёжность и безопасность АСОИ

Оглавление. МАГ.ИВТ.09.04.01.

Надёжность и безопасность АСОИ

Лекция1. Компьютерные технологии в системах автоматизации и управления. Основные понятия теории надежности.

 

Системы автоматизации и управления

Надежность и производительность средств автоматизации

Основные понятия теории надежности. Типы отказов

Два основных результата теории надежности.

Экспериментальная база теории надежности

Лекция2. Меры надежности (безотказности). Изменение интенсивности отказов во времени

 

Меры надежности (безотказности). Связь между ними

Изменение интенсивности отказов во времени для электромеханических систем и элементов, для ПО

Теория надежности и эксперимент

Особенности расчета надежности и резервирования ПО

Лекция 3. Расчет надежности системы по надежности составляющих её элементов

 

Надежностная схема соединения элементов.

Последовательная надежностная схема соединения элементов в системе

Параллельная надежностная схема соединения элементов в системе

Инженерный подход к уровню надежности СТС

Три пути повышения надежности ЦВМ и сетей ЦВМ и других средств автоматизации и управления.

Надежность персонала АСУ

Л екция 4. Резервирование, как метод повышения надежности систем автоматизации.

 

Основные характеристики методов резервирования

Включение резервного оборудования замещением. Холодное и горячее резервирование.

Сравнительный анализ схем резервирования по ВБР. Относительное время t

Горячее резервирование троированием с восстанавливающими органами (с мажоритарными элементами).

Горячее резервирование троированием с резервированными мажоритарными органами

Лекция 5. Надежность вычислительных сетей и стандартизация процессов взаимодействия систем .

Стандартизация процессов взаимодействия систем.

Влияние топологии вычислительных сетей на их надежность

Надежность и безопасность сети с топологией шина

Методы повышения надежности передачи информации в сетях. Обнаружение ошибок передачи информации

Лекция 6.Программное обеспечение резервных устройств и параллельные вычисления системной ЦВМ. Функциональное резервирование и роль ПО системной ЦВМ.

Программное обслуживание резервных устройств и параллельные вычисления системной ЦВМ

Функциональное резервирование

Условия реализации функционального резервирования

Использование функционального резервирования при штатной работе СТС

Параллельные вычисления. Технология Open МP. Закон Амдела

Лекция 7. Надежность ПО

Особенности расчета надежности и резервирования ПО

Отказы ПО (Ошибки в ПО)

Анализ обнаруживаемых в ПО ошибок и необходимость его проведения Классификация ошибок ПО

Лекция 8. Марковские случайные процессы- случайные дискретные процессы с непрерывным временем.

Уравнения Колмогорова.

Марковский случайный процесс проявления ошибок в ПО.

Случайный процесс «гибели и размножения», как модель проявления ошибок в ПО

Лекция 9. Гипотеза Джелинского - Моранды. Случайный процесс типа ЮЛА – ФАРРИ проявления ошибок в ПО

Гипотеза Джелинского - Моранды.

Случайный процесс типа ЮЛА – ФАРРИ проявления ошибок в ПО

Выражение для вероятности отсутствия ошибок в ПО

Лекция10. Аппроксимации экспериментальных данных по динамике проявления ошибок для создания математической модели надёжности ПО.

Непрерывная математическая модель надежности ПО.

Контроль надежности ПО в процессе отладки и эксплуатации

Число проявившихся ошибок на интервале времени времени Dt

 

Лекция 11. Метод наименьших квадратов для аппроксимации экспериментальных данных по количеству проявившихся в ПО ошибок.

Метод наименьших квадратов для аппроксимации экспериментальных данных по количеству проявившихся в ПО ошибок

Численный метод решения системы нормальных уравнений

Оценка момента завершения отладки по наблюдению за процессом проведения ошибок

Лекция 12. Надежность и безопасность. Контроль работы системы и ПО.

Безопасность системы и её меры. Безопасность и безотказность (надежность)

Иерархия защиты при конструировании ПО.

Низкоуровневая и высокоуровневая защита от ошибок в программах. Устойчивые к ошибкам программы

Виды контроля работы ПО. Контроль работы ПО встроенными средствами без прекращения его функционирования

Эталоны для контроля работы ПО

Низкоуровневые средства обнаружения ошибок функционирования

Исключительные ситуации (Исключения).Утверждения

Лекция 13.Методы обработки возможных ошибок, обнаруженных во входных и выходных данных Аварийная защита. Три сценария аварийной защиты

Методы обработки возможных ошибок

Что важней устойчивость к ошибкам или корректность работы?

Принципы аварийной защиты.

Политика безопасности системы. Перечень нештатных ситуаций. Три сценария аварийной защиты

Роль ПО в аварийной защите. Ядро безопасности

Надежность и безопасность автоматизированных систем обработки информации(НИБАСОИ)

Л1.

Компьютерные технологии в системах автоматизации и управления. Основные понятия теории надежности.

 

 

В современных системах автоматизации и управления основным техническим средством обработки информации, управления системами, выполнения научно-технических расчетов, моделирования для прогноза поведения системы на будующие времена, вычисления задающих и управляющих воздействий является встроенный в систему компьютер. Использование ЦВМ сулит большие преимущества в использовании сложных и эффективных алгоритмов управления.

В дальнейшем мы чаще будем употреблять термины встроенная в систему ЦВМ, цифровое управляющее устройство, так как термин к омпьютер у большинства людей ассоциируется с персональными компьютерами, которые практически стали «бытовыми приборами». Мы же рассматриваем технические средства управления, в которых цифровое управляющее устройство, будучи ЦВМ, подчас конструктивно имеет мало общего с персональным компьютером.

Рассмотрим классическую типовую схему системы управления с ЦВМ в качестве устройства управления( рис. 26).

 

Рис. 26. Типовая схема управления с ЦВМ в качестве управляющего устройства

 

Современная реализация этой схемы содержит периферийные ЦВМ(микроконтроллеры), встроенные в исполнительные органы и датчики.

Периферийные ЦВМ объединены в единую локальную вычислительную сеть вместе с системной ЦВМ, решающей системные задачи по полученной от периферийных ЦВМ информации. При этом задача коммуникаций между структурными элементами системы решается данной ЛВС стандартными для выбранной сетевой технологии методами, что упрощает аппаратные решения и изменения состава аппаратуры, используемой в системе, при её модернизации.

Применительно к системам управления такая управляющая вычислительная сеть позволяет логически разделить обработку информации по датчикам, оснащенным встроенными ЦВМ, системной ЦВМ и по исполнительным органам (ИО), также имеющими в своём составе ЦВМ. Эти встроенные ЦВМ кроме задачи системной коммуникации решают задачи предварительной обработки информации с датчиков для транспортировки её в сжатом виде в центральную системную ЦВМ для решения задач управления системой.

Рис. 27 Современная сетевая структура управления СТС с периферийными ЦВМ, встроенными в аппаратуру системы

 

При этом в данной структуре обязательно имеется системная ЦВМ, решающая задачи управления системой в целом. Остальные ЦВМ решают задачи той аппаратуры и тех подсистем, в которые они встроены, а также проводят обработку внутренней контрольной информации для определения состояния устройств датчиков и ИО и принятие решений по восстановлению их работоспособности. Эти ЦВМ иногда называют периферийными или локальными.

С учетом того, что ПО ЦВМ сети в совокупности определяет алгоритм функционирования системы и эффективность решения ею целевых задач подобная управляющая вычислительная сеть является системообразующим элементом СТС.

Для системной управляющей ЦВМ также иногда применяют логическое разделение вычислительных ресурсов между несколькими ЦВМ, что связанно с нехваткой производительности одной ЦВМ и необходимостью масштабирования производительности.

Все чаще автоматизированные и автоматические системы попадают в разряд критических. Т.е. их работоспособность оказывает абсолютное и определяющее влияние на работу систем и организаций, в составе которых они функционируют. Успешная работа автоматизированной системы зависит от надежности её информационной структуры, ключевыми средствами которой являются ЦВМ и сети ЦВМ.

В возможности вычислительных систем работать бесперебойно и безотказно 24 часа в сутки заинтересованы не только пользователи сравнительно небольших систем реального времени, охранных систем, но и пользователи распределенных банковских систем, территориально разнесенных систем управления и т. п.

Причина широкого применения компьютерных технологий связана с тем, что в системах компьютерного управления автоматизированными и автоматическими системами можно обеспечить обработку информации по сложным и эффективным алгоритмам при этом сравнительно легко вносятся новые стратегии автоматизации. Действительно можно легко изменять характер функционирования без переоснащения и перепроектирования всей системы - полностью изменив образ действий того же самого компьютера, заменив ему программное обеспечение. Именно эти возможности развития, наряду с надежностью и возможностями обработки информации по сложным и эффективным алгоритмам предопределили бурный рост компьютерных технологий автоматизации и управления.

 

Классификация систем автоматизации и управления

 

Системы автоматизации и управления делятся на два больших класса: системы автоматического управления (САУ) и автоматизированные системы управления (АСУ). В САУ управление объектом или системой осуществляется без непосредственного участия человека автоматическими устройствами. Это, как правило, замкнутые системы с обратной связью, но имеются и чисто программные системы управления. Основные функции САУ: автоматический контроль и измерения, автоматическая сигнализация, автоматическая защита, автоматические пуск и остановка различных двигателей и приводов, автоматическое поддержание заданных режимов работы оборудования, автоматическое регулирование, автоматическое управление СТС от встроенных компьютеров по вычисляемым в процессе работы критериям для достижения поставленных целей;

Надежность и производительность средств автоматизации

Если рассмотреть характеристики качества работы системы автоматизации и её ядра - вычислительной машины или сети таких машин с точки зрения пользователя, то после характеристик качества выполнения функциональной задачи можно выделить ещё три важнейшие характеристики:

Надежность.

Производительность,

Безопасность,

Действительно, большинство инженерных решений, примененных для разработки аппаратуры, логики и ПО сетей направлены на достижение требуемого или приемлемого уровня этих характеристик. При этом эти основные характеристики оказываются завязанными между собой. Так надежность передачи может быть повышена методами, снижающими производительность, тоже самое можно сказать и о безопасности и т.п.

 

 

Основные понятия теории надежности. Типы отказов

 

Теория надежности – научная дисциплина, изучающая закономерности возникновения отказов и восстановления работоспособности аппаратуры, ПО, систем и исследующая эффективность различных мероприятий по повышению безотказности и уменьшению времени восстановления аппаратуры, ПО и систем.

Элементы, ПО и системы могут находиться в двух состояниях: работоспособном и неработоспособном.

Работоспособное состояние(исправное состояние) – это такое состояние системы(ПО), в котором она выполняет заданные функции, сохраняя значения заданных параметров в пределах оговоренных технической документацией на систему (ПО).

Неработоспособное состояние – хотя бы одна функция, один параметр не в норме, оговоренной технической документацией.

Событие перехода из работоспособного состояния системы в неработоспособное будем называть отказом (ошибкой ).

Все чаще автоматизированные системы попадают в разряд критических. Т.е. их работоспособность оказывает абсолютное и определяющее влияние на работу систем и организаций, в составе которых они функционируют. Поэтому понятие безопасность следует сразу же за понятием надежность, так как всех интересует ответ на вопрос, что же произойдет с системой, окружающей средой и персоналом, если отказ все же произойдет?

Наш курс рассматривает как надежность систем автоматизации, вычислительных машин, так и надежность решения «транспортной» задачи передачи информации. При этом вопросы безопасности и аварийной защиты мы рассматриваем как сопутствующие данному рассмотрению. При этом мы сосредоточимся в основном на аппаратном аспекте надежности, привлекая при необходимости основные понятия надежности ПО.

Надежность – сложное свойство, которое характеризуется безотказностью, готовностью (для ремонтируемых систем), живучестью и долговечностью. Теория надежности появилась во второй половине 20 века, когда появились разнообразные системы, насыщенные электроникой, содержащей огромное количество элементов. Эти системы часто отказывали просто из за того, что вероятность безотказной работы системы падает с ростом числа элементов в ней. Потребовалось создание научной базы для конструирования подобных систем надежными. Среди причин, вызвавших появление теории надежности можно отметить также ужесточение режимов функционирования систем (температуры, механические нагрузки, влажность, радиация, помехи).

Переход системы из работоспособного состояния, когда система функционирует в соответствии с документацией, удерживая все параметры и характеристики в рамках отраженных в документации, в неработоспособное состояние, когда хотя бы один параметр не соответствует норме документации называется отказом.

Отказ может наступать внезапно (скачкообразно), а может наступать постепенно с ухудшением (деградацией) характеристик, вплоть до выхода их за границы, объявленные нормой в ТД. Пример последнего – накопление ошибки округлений в ПО при наличии требований к заданной точности вычислений. Когда накопленная ошибка превышает допустимую величину, происходит отказ.

Внезапные отказы связаны со скачкообразным изменением параметров, что может быть вызвано обрывами в электрических цепях, поломками, ошибками в задании исходных данных ПО.

Характерно, что в обоих случаях отказ наступает в случайные моменты времени. Стало быть, описания отказов должны базироваться на теории случайных (стохастических) процессов.

Сбой – кратковременный, самоустраняющийся отказ. Работоспособное состояние системы после сбоя устанавливается самопроизвольно без вмешательства извне. Особенность сбоев вычислительной техники состоит в том, что само восстанавливается только работоспособное её состояние, но искаженная в результате кратковременного нарушения работоспособности информация самопроизвольно не восстанавливается и необходимы целенаправленные мероприятия на её восстановление для восстановления работоспособности системы.

Пример со счетчиком импульсов, когда в результате сбоя пропускается один из них (на счетчике неверный результат), но сам счетчик остается работоспособным. Поэтому требуются специальные методы для обнаружения искажений информации. Привычное тестирование ничего не дает – аппаратура исправна.

Физическая причина сбоев аппаратуры- внешние ионизирующие излучения(радиация), низкая устойчивость к броскам и просадкам питающего напряжения, разбросы характеристик в цепочках параллельно работающих элементов.

Выражение сбой программы, которое иногда можно услышать по поводу внезапной потери ею работоспособности с самовосстановлением работоспособности при последующих ее пусках, с этой точки зрения не верно. Причина этого явления – ошибка, проявившаяся при редких сочетаниях исходных данных в том числе временных условий исполнения. В этом случае надо искать ошибку и не «прятаться» за словом сбой.

Лекция7. Надежность ПО

Наряду с ВБР мерой отказоустойчивости должна быть вероятность сохранения целостности информации в системе, которая может нарушаться вследствие возникшего отказа или сбоя, а также вероятности парирования возмущений на систему, возникающих в момент восстановления работоспособности системной ЦВМ.

Вопросы обеспечения информационной устойчивости составляют основное содержание понятия отказоустойчивости.

Таким образом, отказосбоеустойчивость сложных технических систем реализуется при наличии в системе следующих свойств [3]:

1) избыточности аппаратуры и в определённой мере ПО,

2) наличие средств встроенного контроля и диагностики для обнаружения и диагностики отказов и сбоев, а точнее нарушения целостности информации.

3) наличия или сохранения «правильной» информации процессов управления для загрузки её в подключаемые резервные элементы при парировании сбоев или отказов аппаратуры системы.

При этом практическая реализация свойств 2) и 3) всегда сопровождается возмущениями на фазовые координаты и параметры системы, которые прикладываются к системе в момент возобновления правильного её функционирования. После восстановления работоспособности эти возмущения, связанные со старением информации в системе из-за отсутствия управления в течение некоторого времени, не должны приводить к потере устойчивости системой, то есть должны быть отработаны системой.

Величина возмущений фазовых координат и параметров системы зависит от принятого способа сохранения «правильной» информации в системе, а также от времени необходимого для распознавания нарушения целостности информации и времени извлечения «правильной» информации для её последующего использования. Таким образом, анализ информационной устойчивости системы должен сопровождаться исследованием её динамической устойчивости.

Задача обеспечения устойчивости динамических систем многообразна и существует несколько определений устойчивости и условий её достижения: устойчивость к начальным возмущениям, устойчивость при постоянно действующих возмущениях, техническая устойчивость и т.п. Учитывая это и то, что имеется связь между информационной и динамической устойчивостью рассматривается задача устойчивости системы к начальным возмущениям. Так как реальные СТС всегда нелинейны, то при достижении величины возмущений определенных значений возможна потеря устойчивости с переходом системы в новые устойчивые состояния.

Для получения условия информационной устойчивости рассмотрим два состояния сложной технической системы.

1) Состояние В – начало восстановления работоспособности системы после прошедшего отказа (сбоя) характеризуется временем t_В и совокупностью фазовых координат Х_В(t) и параметров системы Р_В(t).

2) Состояние С характеризуется ближайшим к t_В временем t_С и «правильной» совокупностью фазовых координат Х_С(t) и параметров системы Р_С(t) системы

 

При этом t_В - t_С ³ t_обн + t_загр. , где

t_обн – время, необходимое для обнаружения искажения информации;

t_загр. – время, необходимое для извлечения и перезагрузка правильной информа

Чем больше D t.= t_В.- t_С., тем больше в общем случае DC, тем большие начальные возмущения действуют на систему в точке t_В. Некоторое уменьшение DC возможно путем прогноза C _С(t) и Р_С(t) на момент времени t_В.

Различные методы сохранения целостности - «правильности» информации в системе обеспечивают соответственно различную вероятность сохранения устойчивости системы (различную вероятную величину возмущений на фазовые координаты системы) в момент восстановления управления.

 

Лекция 13 Обнаружение искажения информации. Методы автоматического восстановления правильной информации в системе .

Обнаружение искажения информации

 

Искажения информации наиболее просто обнаруживаются при её хранении или при передаче по линиям передачи данных. Методы обнаружении таких искажений нами рассмотрены. В устройствах, преобразующих информацию, например в процессоре ЦВМ, эти искажения обнаружить гораздо сложней. Так как алгоритмы встроенного контроля и диагностики реализуются и информация в системах преобразуются во встроенных ЦВМ, то вопросы информационной устойчивости сложных систем целесообразно рассматривать применительно к встроенным в сложные технические системы ЦВМ, как к критическому в смысле достижения информационной устойчивости звену.

Обнаружение отказов или сбоев, приводящих к искажению информации, может базироваться на обнаружении их последствий системными средствами - они проявятся через какой-то интервал времени в виде отклонений фазовых координат системы за допустимую при нормальном функционировании системы область. В результате команда на подключение резерва, загрузки в него «правильной» информации или на реконфигурацию будет получена с большой задержкой, когда продолжать работу нельзя и надо думать уже об аварийной защите системы, если она ещё возможна.

Поэтому целесообразно обнаружение искажений информации не связывать с ожиданием проявления ошибочных состояний системы. С этой целью часто применяется сравнение на аппаратном или программном уровне двух или более однородных результатов, полученных в управляющей вычислительной системе по одним и тем же исходным данным по одному и тому же алгоритму, либо по различным алгоритмам, но решающим одну и ту же задачу. Используется также аппаратный либо тестовый самоконтроль устройств системы или их взаимный контроль путем обмена контрольной информацией. Возможности современных вычислительных средств позволяют эффективно использовать моделирование будущих отдаленных состояний в качестве средств, определяющих искажение информации в текущий момент. Данные методы обнаружения искажений информации обладают существенно меньшим запаздыванием, чем первый, то есть обнаружение нарушения целостности информации может произойти до того как они или их последствия стали различимы в поведении системы.

Где же взять «правильную» информацию в системе после обнаруженного её искажения?

При решении вопроса защиты информации процессов управления от последствий сбоя или отказа для продолжения работы системы после парирования отказа возможен вариант с «откатом» - возвратом процесса к точке, где целостность информации была обеспечена. Для возможности " отката" нужно запоминать и хранить информацию о состояниях процесса в потенциальных точках возврата - контрольных точках.

Также возможен вариант с «пропуском» - продолжением процессов управления после восстановления работоспособности по текущей информации в точке устранения неисправности или сбоя. Это справедливо для случаев процессов без памяти.

Возможен вариант «исправления» информации путем замены неверной информации в устройствах системы на правильную из заведомо работоспособных и параллельно работающих устройств. Возможно исправление информации из системы более высокого уровня иерархии.

Методы аппаратного мажорирования (голосования) при исполнении каждой машинной операции в троированной ЦВМ системы, а также избыточного отказоустойчивого кодирования при хранении и передачи информации обеспечивают использование избыточности, обнаружение ошибки, восстановление правильной информации в течение одной машинной операции на аппаратном уровне и не требует ни «отката» ни «пропуска».

 

Стратегии безопасности компьютерных технологий.

Концепции, лежащие в основе обеспечения безопасности ПО, имеют несколько базовых идей, которые сосуществуют и развиваются.

1. Начиная с появления ОС, развивается концепция изоляции всех от всех – разграничения друг от друга пользователей, файлов, процессов и устройств ЦВМ, даже если оборудование позволяет совместное использование ресурсов ЦВМ и их взаимодействие произвольным образом. Выступая в роли посредника между ПО и аппаратным обеспечением, ОС работает таким образом, что прямой доступ к аппаратному обеспечению возможен только для нее. Принцип изоляции предотвращает распространение возможной ошибки из одной части ПО в другие «информационные отсеки».

2.Мы не можем создать большую абсолютно защищенную ОС или ПО. Но можем создать небольшое защищенное ядро безопасности, принимающее все решения, касающиеся защиты ОС и ПО. Таким ядром для ПО является программа управления в нештатных ситуациях – программа «Аварийной защиты». Всё остальное ПО будет относиться к более сложной обработке и будет действовать на менее защищенных уровнях.

3.Контроль периметра (пограничный контроль на входе, выходе ПО) способствует решению проблемы безопасности. В конце концов, если вы не можете преодолеть контроль на входе системы, вы не проникаете внутрь системы и не нарушаете безопасность ее функционирования. Аналогично, контроль на выходе препятствует всевозможным утечкам информации. Однако, работа ПО в принципе требует, чтобы определенная информация попадала внутрь системы и ПО и выходила из системы и ПО, преодолевая межсетевые экраны. Но если какая-то информация должна и просто обязана попадать и выходить из ПО (иначе зачем оно нужно), то вместе с ней рано или поздно будет проходить нежелательная информация, мимикрирующая под полезную.

4.Своевременное обнаружение вторжений и оперативная реакция на них решает проблему безопасности на следующем уровне. Конечно, системы, обнаруживающие вторжения (СОВ), реагирующие на них, пока не настолько хороши, чтобы остановить попытки организации новых атак, но необходимость обхода СОВ осложняет и удорожает проведение атак и делает менее вероятным их успех.

5.Шифрование решает проблему информационной безопасности достаточно эффективно. В настоящее время развивается подход, когда защищаются собственно данные, а не элементы информационной инфраструктуры, участвующие в получении, хранении, и передачи данных – «информационные замки». При этом необходимо обязательное шифрование данных на всем пути их продвижения. Однако, для комплексного применения СОВ, фильтров межсетевых экранов, необходимо расшифровывать трафик на уровне межсетевых экранов, а затем после контроля на экране, обработки СОВ, но перед передачей трафика дальше, нужно его опять зашифровать. На это уходит время. Кроме того, наличие участков трафика, не прикрытых шифрованием, - это дополнительная уязвимость.

6.Виртуализация один из методов решения проблемы безопасности. Идея поместить все по отдельности в свои виртуальные компьютеры и исполнять ПО в виртуальном компьютере, контролируя системным ядром безопасности исполняемое ПО, не нова. Эта идея возникла и реализовывалась еще более 30 лет назад на мэйнфреймах и была забыта, когда появились персональные компьютеры, и, всем показалось, что виртуальные машины не нужны, когда установка физических перестала представлять проблему. Виртуальные машины – это реализация идеи изоляции на новом уровне. При взаимодействии виртуальных машин также нужно защищать это взаимодействие межсетевыми экранами, СОВ и т.п.

7.Контроль целостности ПО, а также данных должен базироваться на подсчете Контрольной суммы или/и с использованием информационной обратной связи. Поскольку алгоритмы такого контроля известны и не используют секретного ключа, то для предотвращения искажений целостности ПО и данных с перерасчетом Контрольной суммы, методы контроля необходимо сопровождать цифровой подписью.

Реализация «мягкого останова» системы

В общем случае " откат" для дальнейшей работы системы после сбоя или отказа можно осуществлять в другое устойчивое состояние системы путем «мягкого» её останова. Дополнительные устойчивые состояния системы, возможные хотя бы для части наиболее значимых её фазовых координат, и методы перевода в них должны быть определены при проектировании системы. Например, для КА дополнительному устойчивому состоянию соответствует движение по орбите ИСЗ без угловой ориентации его связанных осей.

" Мягкий останов" должен обеспечивать, как можно более организованное и приближенное к штатному выключение аппаратуры системы, что препятствует развитию аварийной ситуации и обеспечивает отсутствие необратимых последствий от отказа для системы, окружающей среды и информации.

Обнаружение нарушения целостности информации и её восстановление в сложной технической системе может занимать определенное время. Ещё большее время может занимать восстановление работоспособности и рестарт системы, например, путем внесения изменений в программное обеспечение. Использование аварийной защиты " с мягким остановом" позволяет сочетать быструю реакцию системы на отказ с подключением к диагностике и восстановлению работоспособности системы эксплуатирующего персонала или системы более высокого уровня иерархии.

 

Лек.14. ВВФ, воздействующие на технические средства систем автоматизации и управления.

 

Интенсивность отказов элементной базы существенно зависит от действующих на элементы внешних возмущающих факторов (ВВФ), технологии изготовления, качества примененных материалов.

На ЦВМ, аппаратуру сетей и средств автоматизации и управления, работающих в офисной среде также воздействуют внешние возмущающие факторы такие как температура с учетом разогрева элементов вследствие тепловыделения при работе, влажность, электрические помехи и наводки т.п. При этом ЦВМ и другие средства автоматизации и управления должны не терять работоспособности.

Движущиеся объекты управления и СУ движущихся объектов, для работы в составе которых также имеются ЦВМ и сети, промышленные средства автоматизации работают в условиях воздействий небезопасной физической среды, сильно отличающихся от офисной.

Прежде всего эти средства работают в условиях повышенных или пониженных температур, повышенной влажности, повышенных механических вибраций и ударов, радиации. С другой стороны ЦВМ ЛВС данного типа используются в системах реального времени чаще всего критичных по применению. Для таких систем надежность - первейшее свойство и необходима защита от неблагоприятных воздействий, могущих привести к отказу ЦВМ, узлов систем автоматизации и управления или ЛПИ.

Для того, чтобы построить защиту от этих неблагоприятных физический полей, необходимо построить модели их воздействия на СТС и ЦВМ, в том числе на элементы ЛВС, а также определить параметры этих моделей. В частности определить интенсивность воздействий, приходящих на устройства ЛВС, а также интенсивности воздействий, приходящие на элементы внутри этих устройств, так как именно на данные элементы заданы их производителями допустимые уровни воздействий ВВФ, которые по большей части подтверждены испытаниями.

Реальные физические поля внешних возмущающих факторов воздействуют на объект, на котором установлена аппаратура ЛВС и ЦВМ. Периметр или корпус этого объекта и, например, системы терморегулирования, установленные на нем, частично защищают аппаратуру от ВВФ, снижая их уровень, приходящий на каждый прибор в зависимости от места его установки внутри объекта. В свою очередь корпуса и элементы конструкции уже отдельных приборов снижают уровень ВВф приходящих на элементы, установленные внутри корпусов. Поэтому необходимы теоретические расчеты и экспериментальные замеры уровней интенсивности ВВФ, доходящих до элементов.

Эти интенсивности должны быть сопоставлены с характеристиками элементов, которые должны выдерживать эти воздействия. Данные модели и их параметры определяются расчетно-теоретическими методами, но обязательно подтверждаются экспериментальными данными, полученными как в специально поставленных экспериментах, так и по результатам эксплуатации (не всегда удачными) системы.

Ниже эта физическая защита будет рассмотрена подробнее. Значения ВВФ, которые выдерживают ЭРИ, определенные подобным образом, помещаются в ТУ на них. Отсюда очень важно наличие подробного и достаточно добросовестного ТУ на устанавливаемые в средства автоматизации и управления элементы, чего не бывает для контрафактных элементов. Поэтому при конструировании надежных ЦВМ, ЛВС, датчиков и исполнительных органов выбор элементной базы не только определяется её функциональными возможностями, но и допустимым и требуемым уровнем ВВФ.

Неблагоприятные температурные условия приводят либо к перегреву электронных компонент и выходу их из строя, либо к недопустимым температурным деформациям, приводящим к разрушению плат, разрыву проводников и т.п. Защита в основном сводится к применению методов отвода или подвода тепла.

Вибрации и удары приводят к разрушению конструктивных элементов электронной аппаратуры, обрыву и механическому разрушению БИС, источников питания и т.п. Защита в основном сводится к помещению аппаратуры в прочные подрессоренные корпуса

Искусственные и естественные ионизирующие излучения приводят к отказам и сбоям электронной аппаратуры, особенно с элементной базой высокой степени интеграции.

В случае аэрокосмических применений большая угроза надежности электронной аппаратуры и следовательно безопасности полета исходит от потока электронов и протонов естественных радиационных поясов Земли, солнечных и галактических космических лучей. Воздействие этих ионизирующих излучений приводит к воздействию на БИС эффектов ионизации, структурных повреждений материалов, а также к локальному выделению тепла.

К основным радиационным эффектам относятся:

1) Деградация характеристик БИС вследствие накопления поверхностных и объёмных радиационных повреждений.

2) Возникновение мощных импульсных электрических разрядов вследствие электростатического пробоя изолирующих материалов.

3) Одиночных сбоев БИС от отдельных высокоэнергетических ядерных частиц (высокоэнергетических протонов и ТЗЧ), что связанно с несанкционированным переключением триггеров и искажений бит информации.

Схема выбора элементов с учётом требований надёжности для критичных СТС

 

ВВФ Испытательные средства

Давление, влажность, температура термокамеры, барокамеры,

12345678910Следующая ⇒

Поделиться: