7. Синтез схем дискретных устройств с исключением опасных отказов

7.1. Понятие об опасном отказе

В своей классической постановке проблема синтеза надежных автоматов из ненадежных элементов не связана с качественным анализом искажений в алгоритме функционирования автомата, которые происходят при возникновении отказов. Предполагается, что все отказы равноправны, т. е. что их последствия при воздействии на объекты управления одинаковы. Однако для систем железнодорожной автоматики и телемеханики (СЖАТ) это предположение несправедливо. Особенность СЖАТ состоит в том, что они обеспечивают безопасность движения поездов. Поэтому некоторые их отказы могут приводить к опасным (аварийным) ситуациям.

Рассмотрим, например, конечный автомат КА, управляющий лампой зеленого огня светофора (рис, 7.1).

Рис. 7.1. Схема управления лампой зеленого огня светофора

Отказы схемы КА могут приводить к двум последствиям: лампа z ошибочно горит, т. е. горит в то время, когда не должна гореть при исправной схеме; лампа z ошибочно не горит, т. е. не горит в то время, когда должна гореть при исправной схеме. С точки зрения влияния на безопасность движения поездов эти два отказа неравноправны. Первый отказ может привести к аварийной ситуации (например, к приему поезда на занятый путь) и с точки зрения безопасности не допускается. Второй отказ может вызвать задержку поезда и нарушить график движения. Это, естественно, нежелательно, но с точки зрения безопасности допускается. Итак, отказы в схемах СЖАТ следует делить на опасные и неопасные (защитные) и схемы строить так, чтобы предотвратить в них в первую очередь возникновение опасных отказов. Еще в 30-х годах нашего столетия профессор Н. В. Лупал сформулировал фундаментальный принцип построения схем железнодорожной автоматики: наиболее вероятные повреждения в схеме должны приводить к наименее опасным последствиям.

Проблема обеспечения безопасности есть одна из разновидностей общей проблемы обеспечения надежности. Под надежностью СЖАТ понимают их способность обеспечить во времени бесперебойное и безопасное управление движением поездов в заданных режимах и условиях применения, технического обслуживания и ремонта.

Безопасность есть свойство системы не давать опасных отказов в течение заданного времени при определенных условиях эксплуатации. Возникновение защитного отказа (рис. 7.2) нарушает надежность (работоспособность) системы, но не нарушает безопасность. При появлении опасного отказа нарушаются и безопасность, и работоспособность.

Рис. 7.2. Схема связи между состояниями схем систем железнодорожной

автоматики и телемеханики

Количественные характеристики безопасности систем аналогичны количественным характеристикам надежности. Основными из них являются вероятность безопасной работы P_б и интенсивность опасных отказов λ_о.

7.2. Опасные отказы в комбинационных схемах

Мы определили опасный отказ как отказ, который может привести к опасным последствиям (авариям или большим материальным потерям). Однако это только содержательное определение, поэтому рассмотрим формальное (математическое) определение опасного отказа.

Предположим сначала, что конечный автомат (см. рис. 7.1) есть комбинационная схема (рис. 7.3), которая реализует функцию .

Рис. 7.3. Комбинационная схема управления лампой

Лампа z горит, если f = 1. Пусть, например, . Таблица 7.1 является таблицей истинности функцииf (столбец f).

Таблица 7.1

На рис. 7.4 приведены схемы ее реализации.

Рис. 7.4. Схемы реализации функции на контактах (а) и элементах И, ИЛИ, НЕ (б)

Функция f определяет наборы входных переменных, при поступлении которых лампа должна гореть (разрешенные наборы): f = {0, 2, 4, 6, 7}, а функция (см. табл. 7.1) – наборы, при поступлении которых лампа не должна гореть (запрещенные наборы):f = {1,3, 5}. Ложное горение лампы при некоторых запрещенных наборах может привести к аварийной ситуации. Назовем такие наборы опасными. Пусть, например, опасными являются наборы 1 и 3.

Функцией опасного отказа f_оп назовем функцию, равную единице на тех запрещенных наборах, на которых ложное включение управляемого объекта является опасным.

В рассматриваемом примере имеем f_оп = {1, 3} =(см. табл. 7.1). Всегда имеет место равенство

f·f_оп = 0. (7.1)

Во многих случаях на практике f_оп = , т. е. ложное включение объекта опасно на всех запрещенных наборах.

Пример 7.1. Рассмотрим условия включения разрешающего показания входного светофора Н при приеме на путь 1 станции (рис. 7.5) и найдем функцию опасного отказа.

Рис. 7.5. План станции

Открытие светофора Н возможно только при одновременном выполнении следующих условий:

а) нажата кнопка х₁ светофора Н;

б) свободен от подвижного состава стрелочный участок, включающий в себя стрелку 1 (пусть переменная х₂ формируется датчиком свободности стрелочного участка);

в) свободен путь приема I (х₃);

г) стрелка 1 находится в плюсовом положении (х₄);

д) отсутствует установка встречного маршрута на путь I (х₅). Указанные условия определяют функцию, выражающую условия открытия светофора Н: .

Очевидно, что условия б–д есть условия безопасности и их нарушение недопустимо. В то же время открытие светофора без нажатия кнопки х₁ (в результате, например, неисправности кнопки), но при соблюдении условий б–д, не является опасным. Поэтому

.

Перейдем теперь к рассмотрению вопроса о влиянии отказов элементов комбинационной схемы на ее работу (на примере схем рис. 7.4). В контактных схемах возможны два вида отказов: незамыкание контакта (отказ типа 1→0) и короткое замыкание (сваривание) контакта (отказ типа 0→1). У логических элементов также возможны два вида отказов:

– отказ, приводящий к замене на выходе элемента сигнала логической 1 на сигнал логического 0 (отказ типа 1→0); таким отказом является, например, короткое замыкание (пробой) транзистора в схеме элемента НЕ (рис. 7.6);

– отказ, приводящий к замене на выходе элемента сигнала логического 0 на сигнал логической 1 (отказ типа 0→1), например обрыв цепи эмиттера или входа в схеме элемента НЕ.

Рис. 7.6. Схема элемента НЕ

Данные виды отказов называют также константными отказами, так как с логической точки зрения в результате их возникновения происходит замена логической функции, реализуемой отказавшим элементом, на логические функции «константа 0» или «константа 1». Например, обрыв контакта Х3 в схеме, приведенной на рис. 7.4, а, приводит к замене функции «отрицание», реализуемой данным контактом, на функцию «константа 0» (рис. 7.7, а). К аналогичной замене функций приводит короткое замыкание транзистора элемента НЕ в схеме рис. 7.4, б (рис. 7.7, б).

Рис. 7.7. Схемы с неисправностью типа 1→0

Таким образом, физические дефекты контактов и логических элементов вызывают искажения реализуемых ими логических функций. То же самое происходит и со всей логической схемой. Наличие в ней неисправных элементов приводит к искажению логической функции, реализуемой схемой. Например, неисправные схемы на рис. 7.7 вместо функции (см. табл. 7.1) реализуют функцию. Функцию, реализуемую неисправной схемой с отказомN_i, обозначим .

Определение 7.1. Отказ N_i в комбинационной схеме называют опасным, если

. (7.2)

Для неопасных отказов выполняется условие

. (7.3)

Рассмотренные отказы контакта и элемента НЕ неопасны, так как&. Это означает, что на опасных наборах 1 и 3 лампаz не включается.

Пусть в схемах (см. рис. 7.4) произошло короткое замыкание (сваривание) контакта Х3 и обрыв цепи эмиттера транзистора элемента НЕ (см. 7.6). Это приводит к замене функции «отрицание», реализуемой контактом (рис. 7.8, а) и элементом НЕ (рис. 7.8, б) на функцию «константа 1». Неисправные схемы реализуют функцию .

Рис. 7.8. Схемы с неисправностью типа 0→1

Так как &, то данные отказы являются опасными. Это означает, что на опасных наборах 1 и 3 происходит ложное включение лампыz.

Как итог данного пункта сформулируем задачу синтеза безопасной комбинационной схемы: построить схему так, чтобы при всех отказах ее элементов, с вероятностью возникновения которых следует считаться, на выходе схемы не появлялся сигнал логической 1 вместо сигнала логического 0, т. е., чтобы выполнялось условие (7.3).

Комбинационную схему, которая удовлетворяет указанному условию, будем называть h₁-надежной. Возможна постановка задачи синтеза и h₀-надежной схемы в том случае, если опасным является ложное невключение объекта.