- •Конспект лекций
- •190402 – «Автоматика, телемеханика и связь на железнодорожном транспорте»
- •1. Общие сведения
- •1.1. Характеристика дискретных элементов
- •1.2. Контактные и бесконтактные дискретные элементы
- •1.3. Классификация дискретных устройств
- •2. Функции алгебры логики
- •2.1. Определение и задание функций алгебры логики
- •2.2. Функции алгебры логики одной и двух переменных и их реализация
- •2.3. Базис: конъюнкция, дизъюнкция, инверсия
- •2.4. Нормальные формы функций алгебры логики
- •2.5. Минимизация функций алгебры логики. Метод Квайна – Мак-Класки
- •2.6. Геометрический метод минимизация функций алгебры логики
- •2.7. Минимизация функций алгебры логики методом карт Карно
- •3. Анализ и синтез комбинационных устройств
- •3.1. Анализ комбинационных дискретных устройств
- •3.2. Синтез комбинационных дискретных устройств
- •3.3. Примеры синтеза специальных комбинационных схем
- •3.4. Анализ релейных схем на графике
- •4. Структурный синтез дискретных устройств с памятью
- •4.1. Общая структура дискретного устройства с памятью
- •4.2. Виды элементов памяти
- •4.3. Анализ дискретных устройств с памятью
- •4.4. Этапы синтеза дискретного устройства с памятью
- •4.5. Системы счисления. Двоичная система счисления
- •5. Логическое проектирование цифровых схем
- •5.1 Асинхронные и синхронные триггеры
- •5.2. Синтез счетчиков
- •6. Синтез надежных дискретных устройств
- •6.1. Методы повышения надежности дискретных устройств
- •6.2. Резервирование контактных схем
- •6.3. Избыточные устройства с восстанавливающими органами
- •6.4. Надежные комбинационные схемы
- •7. Синтез схем дискретных устройств с исключением опасных отказов
- •7.1. Понятие об опасном отказе
- •7.2. Опасные отказы в комбинационных схемах
- •7.3. Методы построения безопасных комбинационных схем
- •7.4. Логические элементы безопасных систем железнодорожной автоматики и телемеханики
- •7.5. Принципы построения надежных и безопасных дискретных систем
7.5. Принципы построения надежных и безопасных дискретных систем
Рассмотрев основные идеи и методы синтеза надежных и безопасных дискретных устройств, в заключение сформулируем основные принципы построения систем железнодорожной автоматики и телемеханики (СЖАТ) и тенденции их развития.
Этапы развития СЖАТ. Элементная база, которая использовалась для построения СЖАТ, определила этапы их развития. На первом этапе существовали механические системы, когда логические зависимости и условия безопасности обеспечивались за счет механического взаимодействия между стрелочными и сигнальными рукоятками и рычагами. Второй этап характеризуется внедрением релейных систем. В 1934 г. была построена релейная электрическая централизация на станции Гудермес. В 1936 г. введена в эксплуатацию первая отечественная релейная система диспетчерской централизации временного кода на участке Люберцы – Куровская. Релейные системы по сравнению с механическими позволили существенно расширить функциональные возможности СЖАТ, увеличить пропускную способность железных дорог, повысить безопасность движения. Третий этап развития начинается в 60-х годах в связи с использованием в устройствах СЖАТ полупроводниковой и вычислительной техники. Была разработана система частотной диспетчерской централизации (1961 г.) с применением транзисторов. В 1967 г. введена в эксплуатацию система бесконтактного маршрутного набора (станция Резекне). Применение бесконтактной техники позволяет повысить быстродействие и надежность аппаратуры, уменьшить ее размеры, сократить использование дефицитных материалов (медь, серебро). Современный этап развития СЖАТ, который начался с середины 80-х годов, определяется использованием микроэлектронной и микропроцессорной техники с высокой степенью интеграции. Новое качество микропроцессорных систем состоит в программной реализации алгоритмов управления. Кроме того, применение БИС и СБИС практически снимает проблему избыточности, которая является неразрешимой в релейной технике. В развитии современных СЖАТ наблюдаются следующие тенденции. Происходит функциональное усложнение систем, когда им придаются все новые функции, причем это функции не только по выработке управляющих воздействий на объекты, но и функции по информационному обеспечению эксплуатационного штата, формированию банка данных, автоматизации процесса составления документов и др. Это приводит к резкому структурному усложнению систем, их размеры (число элементов) увеличиваются в десятки раз. Усложнение аппаратуры и передача функций от человека к системам автоматики увеличивают цену отказа. Если искажение безопасных алгоритмов в результате отказов вообще недопустимо, то искажение информации или документации (при обмене данными или при выводе данных из памяти) также могут приводить к значительным потерям. Поэтому требования к надежности и живучести систем увеличиваются. Единственный путь удовлетворения этих требований – создание избыточных устройств на базе микроэлектронной и микропроцессорной техники. Но при этом возникает еще одна проблема – проблема обслуживания. Чем сложнее система и чем выше степень интеграции элементной базы, тем сложнее поиск неисправностей, тем выше должна быть степень квалификации обслуживающего персонала. Поэтому сложная система должна быть контролепригодной (легко обслуживаемой). В перспективе, и это основная тенденция развития, стоит задача создания высоконадежных необслуживаемых систем.
Итак, можно перечислить следующие основные качественные характеристики СЖАТ: надежность, безопасность, живучесть, отказоустойчивость, контролепригодность, помехоустойчивость. Рассмотрим основные методы достижения этих свойств.
Надежность СЖАТ. Этот параметр определяет способность устройств автоматики обеспечивать во времени бесперебойное и безопасное управление движением поездов в заданных режимах и условиях применения, технического обслуживания и ремонта.
Надежность нарушается, если система неправильно реализует алгоритм управления или если она отключается, когда в этом нет необходимости. Существуют два основных метода повышения надежности. Это повышение надежности элементной базы, применяемой для построения системы, совершенствованием технологии ее изготовления. Известно, например, что с возрастанием степени интеграции микросхем их надежность увеличивается. Второй метод состоит в обеспечении отказоустойчивости аппаратуры. В последнем случае отказы системы делятся на опасные, защитные и маскируемые. Маскируемые отказы не нарушают работоспособности системы.
Основными показателями надежности являются вероятность безотказной работы P(t), вероятность отказа Q(t) и интенсивность отказов λ(t). При разработке новых систем количественные значения этих показателей устанавливаются обычно экспертно на основании опыта эксплуатации существующих устройств. Так, например, на совещании экспертов стран-членов СЭВ по теме «Централизация стрелок и сигналов на микропроцессорах» (Румыния, 1984 г.) в качестве показателя надежности этой системы определена величина Qз – вероятность того, что в системе в течение заданного интервала времени τа произойдет защитный отказ при условии, что в начале интервала система была исправна. Величина Qз = λзτа (где λз – интенсивность защитных отказов, τа – период диагностирования системы). Эксперты определили, что должно выполняться неравенство Qз ≤ 10–5.
Безопасность СЖАТ. Это свойство устройств автоматики не давать опасных отказов. Указанная выше группа экспертов определила в качестве показателя безопасности величину Qоп – вероятность того, что в системе в течение заданного интервала времени τа произойдет опасный отказ при условии, что в начале интервала система была исправна. Эта величина Qоп = λопτа (где λоп – интенсивность опасных отказов). При этом принято, что Qоп ≤ 10–11.
Концепция построения безопасной системы зависит от свойств элементной базы. Если используются элементы с несимметричными отказами, эту концепцию можно сформулировать так: все неисправности, с вероятностью возникновения которых необходимо считаться, не должны приводить к опасным отказам. Эта концепция использовалась при построении существующих СЖАТ на реле первого класса надежности и достаточно подробно рассмотрена в 7 главе.
Более сложно решается задача безопасности при использовании элементов с симметричными отказами. К ним относится вся современная микроэлектронная и микропроцессорная техника. Несмотря на то, что современные аппаратные средства более надежные, они не настолько надежны, что их отказы можно игнорировать. Общая концепция в этом случае, принятая большинством специалистов, формулируется так: одиночные дефекты аппаратных и программных средств не должны приводить к опасным отказам и должны обнаруживаться на рабочих или тестовых воздействиях не позднее, чем в системе возникает второй дефект. Обнаружение отказов обеспечивается либо сигнализацией отказов, либо переводом системы в защитное состояние. Это может происходить на рабочих воздействиях (в момент первого же искажения алгоритма работы) или на тестовых воздействиях, которые периодически подаются на вход системы. Если период диагностирования равен τа, то время между моментами возникновения первого и второго отказов должно быть больше τа. С этой точки зрения, необходимо уменьшать период тестирования аппаратуры.
Отличительной особенностью современных релейных СЖАТ является то, что они строятся в виде устройств, описываемых монотонными ФАЛ. Рассмотрим метод синтеза безопасных схем в том случае, если в наборе h1-надежных элементов отсутствует h1-надежный элемент НЕ или у реле отсутствует h1-надежный размыкающий (тыловой) контакт. Такая ситуация часто встречается на практике, поскольку из трех элементов И, ИЛИ, НЕ наиболее трудно добиться надежности у элемента НЕ. Это связано с тем, что обрыв входной цепи элемента НЕ обычно приводит к отказу типа 0→1 на его выходе. Что касается железнодорожных реле первого класса надежности НМШ и РЭЛ, то у них отсутствует h1-надежный тыловой контакт, так как не исключено их короткое замыкание.
Решение данной проблемы состоит в получении такой схемы автомата, которая не содержит элементов НЕ или размыкающих контактов реле. Такая реализация автомата называется монотонной. Она описывается монотонными функциями алгебры логики.
Монотонные реализации часто применяют при построении схем железнодорожной автоматики и телемеханики на реле НМШ и РЭЛ. При этом выполняется следующее правило: все ответственные цепи, обеспечивающие безопасность движения поездов, строятся только на замыкающих контактах реле. Если возникает необходимость использования размыкающих контактов, то это делается с дополнительной проверкой их исправной работы, например, резервированием (см. раздел 6.2).
Отличительной особенностью современных СЖАТ, построенных на базе микропроцессорной техники, является программная реализация алгоритмов управления. В связи с этим рассмотрим понятие опасного отказа в программных реализациях дискретных устройств.
Возникает вопрос: что такое отказы программы? При записи программы на некотором языке (например, на языке Ассемблера) используются три основные группы символов: предметные, функциональные и предикатные. Предметные символы определяют данные, с которыми работает программа (операнды). Функциональные символы определяют арифметические или логические команды (типа ANA, ORA, СМА и др.). Предикатные символы соответствуют командам условного перехода (команды типа JZ, JNZ и др.). Предикат, в отличие от функции, принимает только два значения – да и нет.
Отказы программы возникают в двух случаях: в результате ошибок при написании программы и в результате дефектов аппаратных средств при ее выполнении. И в том и в другом случае формальной моделью отказов программы является искажение символов ее языка. Подобно тому как физические неисправности схемы автомата моделируются ложными переходами символов его состояний, так и отказы программы могут моделироваться ложными переходами (искажениями) предметных, функциональных и предикатных символов.
Анализ дефектов программ (ложных переходов предметных, функциональных и предикатных символов) позволяет сделать два основных вывода. Первый вывод заключается в том, что понятие опасного отказа программного обеспечения практически совпадает с понятием опасного отказа аппаратного обеспечения. Это есть следствие того, что управляющая программа эквивалентна, с функциональной точки зрения, конечному автомату (они реализуют один и тот же класс алгоритмов). Поэтому можно дать следующее определение.
Определение 7.2. Отказ программы называют опасным, если при его возникновении для управляющего алгоритма выполняется условие (7.2).
Второй вывод состоит в том, что, с точки зрения последствий отказов, программное обеспечение значительно «богаче» аппаратных средств. Многие отказы управляющих программ не имеют соответствующих аналогов в аппаратуре и построение безопасных программ сложнее.
Живучесть СЖАТ. Это свойство устройств автоматики сохранять работоспособность в случае отказа их элементов за счет снижения эффективности функционирования и уровня автоматизации управления. Данное свойство очень важно для обслуживаемых систем непрерывного действия с длительным сроком службы. Такими являются СЖАТ, которые работают днем и ночью в течение многих лет. Живучесть достигается благодаря введению различных уровней автоматизации. При отказе аппаратуры высшего уровня часть ее функций берет на себя человек. В этом случае снижается эффективность системы (например, уменьшается пропускная способность движения поездов), но сохраняется ее работоспособность.
Отказоустойчивость СЖАТ. Под этим параметром понимают свойство устройств автоматики сохранять работоспособность в случае отказа их элементов без снижения эффективности функционирования.
Показателем отказоустойчивости является α – число элементов, при отказе которых система продолжает работать правильно. Обычно на практике ограничиваются числом α = 1, так как даже в этом случае требуется трехкратная избыточность аппаратуры (см. пункт 6.3). Существуют два подхода к обеспечению отказоустойчивости. Первый состоит в маскировке отказов, когда система нечувствительна к отказам. Сюда относятся методы резервирования, мажоритарный метод и др. (см. главу 6). Второй подход состоит в организации самовосстановления (саморемонта) системы. В этом случае, наоборот, система строится чувствительной к отказам. Отказ обнаруживается, и происходят автоматическое отключение неисправного элемента (блока) и замена его на исправный (реконфигурация системы). Для обнаружения отказов используются методы встроенного и внешнего контроля, методы самопроверяемости аппаратуры.
Контролепригодность СЖАТ. Это свойство устройств автоматики, обеспечивающее упрощение процессов технического обслуживания, поиска неисправностей и ремонта. Практически все системы обладают в той или иной мере этим свойством. Например, к мероприятиям, обеспечивающим контролепригодность, относятся: блочное построение систем, наличие индикации на пульте управления, возможность визуального контроля состояния аппаратуры и др. Релейные системы имеют в определенном смысле «естественную» контролепригодность, так как работу реле легко контролировать. Однако системы, построенные на микроэлектронной базе, этим качеством не обладают, и его надо обеспечивать специальными методами.
Основным методом является построение систем с автоматическим обнаружением отказов. Введение избыточности позволяет так построить дискретное устройство, что отказы переводят его в специальное ошибочное или защитное состояние. В результате этого становится возможным организовать сигнализацию отказов.
Основным показателем контролепригодности является время восстановления Тв – время, в течение которого обнаруживается и устраняется неисправность. Для СЖАТ это время складывается из следующих составляющих:
Tв = tо + tnp + tу,
где tо – время оповещения об отказе;
tnp – время прибытия к отказавшему объекту;
tу – время устранения отказа.
В среднем по сети дорог время Tв = 60-80 мин, причем сумма tпр + tу составляет из них от 60 до 80%.
Помехоустойчивость СЖАТ. Это свойство устройств автоматики, обеспечивающее защищенность от воздействия внешних электромагнитных помех. Устройства СЖАТ работают в условиях сложной электромагнитной обстановки, которая определяется прежде всего влиянием тягового тока и грозовых разрядов. С внедрением микроэлектронной техники проблема помехоустойчивости осложняется, поскольку эта техника по сравнению с релейной обладает существенно большей чувствительностью. Применяют три основных метода борьбы с электромагнитными влияниями: фильтрация сигналов во входных и выходных цепях системы; экранирование аппаратуры и линий связи; логическая защита дискретного устройства от сбоев вследствие помех, за счет отказоустойчивости и самовосстановления.