Размещено на http://www.allbest.ru/

УТВЕРЖДЕН

ЖРГА.468332.001 Д1 - ЛУ

Управляющий вычислительный комплекс для микропроцессорной централизации стрелок и сигналов

Содержание

Список сокращений

1. Назначение и принципы построения блока центрального постового устройства

2. Состав БЦПУ

3. Функционирование БЦПУ

4. Концепция безопасности БЦПУ

5. Доказательство работоспособности БЦПУ

6. Методы доказательства безопасности

6.1 Стендовые испытания

6.1.1 Лабораторные испытания

6.1.2 Предварительные испытания

7. Доказательство безопасности БЦПУ

7.1 Независимость отказов структурно-резервированных каналов БЦПУ

7.2 Диагностика работоспособности БЦПУ и переход в защитное состояние

7.2.1 Диагностика процессора CPU 686 (686E) и перевод в защитное состояние субблока ЦПУ (СЦПУ)

7.2.2 Диагностирование каналов RS-422

7.2.3 Диагностирование искажений данных на флэш-диске

7.3 Безопасное необратимое состояние

7.4 Логика обработки отказов и перехода в безопасное необратимое состояние (БНС)

7.5 Защищенность БЦПУ при различных видах отказов

8. Характеристика средств испытаний

9. Выполнение концепции безопасности БЦПУ

Выводы

Список сокращений

БД - база данных;

БНС - безопасное необратимое состояние;

БС - блок связи;

БЦПУ - блок центрального постового устройства УВК РА;

ДЧБД - динамическая часть базы данных;

ЗИП - запасные инструменты и принадлежности;

КД - конструкторская документация;

ОЗУ - оперативное запоминающее устройство;

ОС РВ - операционная система реального времени;

ППП - пакет поддержки программ;

ПУ - периферийное устройство;

РМ ДСП - рабочее место дежурного по станции;

СБС - субблок связи;

СОЗУ - субблок ОЗУ;

СПО - системное программное обеспечение;

СЦПУ - субблок центрального постового устройства;

ТП - технологические программы (прикладные программы);

ТПО - технологическое программное обеспечение;

УВК РА - управляющий вычислительный комплекс;

УС - узел связи;

УСО - устройство связи с объектом;

УСП - узел связи с периферией;

ЦПУ - центральное постовое устройство;

ЭВМ - электронно-вычислительная машина;

Flash - постоянное запоминающее устройство.

1. Назначение и принципы построения блока центрального постового устройства

Блок центрального постового устройства (БЦПУ) служит для реализации алгоритмов централизации и автоблокировки, а также для управления периферийными устройствами УВК РА с целью обеспечения высокой пропускной способности станций и прилегающих перегонов при выполнении требований по безопасности. БЦПУ организован как трехканальное мажоритарно- резервированное вычислительное устройство. В нем используется системное программное обеспечение ЦПУ (СПО ЦПУ), обеспечивающее выполнение технологических программ (ТП), взаимодействие с периферийными устройствами (ПУ) и рабочим местом дежурного по станции (РМ ДСП).

При функционировании УВК РА блок БЦПУ с периодом 1 сек. обменивается данными с РМ ДСП и всеми ПУ. Контрольная информация получается от ПУ и собирается в массив контрольной информации (МКИ). На основе МКИ и команд от РМ ДСП технологические программы в соответствии с алгоритмами централизации и автоблокировки вырабатывают массив управляющей информации (МУИ), соответствующие части которого передаются в ПУ.

Кроме входных данных БЦПУ получает информацию об отказах и сбоях всех ПУ.

МКИ и МУИ проверяются путем сравнения их по трем каналам БЦПУ. Контроль БЦПУ производится также путем периодического тестирования. В случае отказа одного канала функционирование продолжается. После его горячей замены функционирование БЦПУ восстанавливается в трехканальном режиме безударно.

Связь БЦПУ с РМ ДСП обеспечивает ввод команд управления от дежурного по станции и возможность визуального отображения хода управления станционными объектами на мониторах РМ ДСП.

2. Состав БЦПУ

В состав БЦПУ входят три идентичных субблока ЦПУ (СЦПУ), реализующих трехканальную структуру. СПО ЦПУ основано на операционной системе жесткого реального времени AvRTOS-16. Каждый субблок выполнен в виде модуля контроллера МК, реализованного в конструктиве «Евромеханика 6 U» (глубина 220 мм), и мезонина CPU 686E. Подробно конструктивное исполнение представлено в Доказательстве безопасности, Часть 1, раздел 5.

Модуль контроллера содержит:

1) мезонин CPU 686 (CPU 686E) формата микроРС, включающий:

- микропроцессор Geode^TM GXLV 200 МГц (или GX1 300 МГц);

- СОЗУ (DRAM) 32 Mb;

- сторожевой таймер с программным включением/выключением, с фиксированным временем срабатывания 1,6 с;

- FLASH-диск - 8 Mb с возможностью наращивания до 144 Mb);

-флэш ПЗУ (SEPROM), три старших байта которого используются для хранения счетчика перезагрузки и кодов причин двух последних перезагрузок.

2) Узел RS 422, содержащий 4 канала последовательного интерфейса RS-422 с гальваническим разделением (напряжение пробоя 2,5 кВ).

3) Узел ОЗУ (ОЗУ), содержащий двухпортовую память 2 Кb с гальваническим межканальным разделением (напряжение пробоя до 2,5 кВ).

4). Узел связи с периферией (УСП), реализующий байтовую магистраль обмена (используется только в СБС).

5) Узел связи с узлом ОЗУ другого субблока (УС), формирующий байтовую магистраль обмена.

СЦПУ получает электропитание от модуля МИП, который выполнен в конструктиве «Евромеханика 6U» глубиной 220 мм. Он содержит источник стабилизированного питания U=5В и имеет два исполнения: с I ?10 А и I ?20 А.

Структурная схема субблока ЦПУ представлена на рисунке 1.

Рисунок 1 - Структурная схема субблока ЦПУ.

На рисунке 2 представлена структурная схема БЦПУ. В его состав входят три идентичных субблока ЦПУ, каждый из которых имеет собственный источник питания МИП. Взаимодействие между субблоками осуществляется через двухпортовую память (ОЗУ) через средства гальванического разделения. Связь с БС и РМ ДСП осуществляется по интерфейсу RS-422.

Размещено на http://www.allbest.ru/

Рисунок 2 - Схема структуры БЦПУ.

3. Функционирование БЦПУ

После включения питания в БЦПУ выполняется программа начального пуска, по которой в системное ОЗУ (СОЗУ) загружается исполняемый файл, включающий системное программное обеспечение (СПО ЦПУ), технологическое программное обеспечение (ТП) и базу данных (БД).

Необходимость специального Загрузчика с флэш диска процессора CPU686 вызвана тем, что предустановленная ДОС процессора после загрузки исполняемого файла стирается в СОЗУ, и контроль целостности исполняемого файла на флэш диске невозможен.

После загрузки тестируется каждый субблок, проверяется их взаимодействие, а также взаимодействие с РМ ДСП и БС. При положительном результате тестирования БЦПУ переходит в штатный режим работы, при котором функционирование осуществляется циклично (время цикла Т?1с.).

Последовательность выполнения основных функций БЦПУ представлена на Рис. 4. После приема из ПУ массивов КИ (входных переменных - Х) и диагностических сообщений с целью их проверки и получения входных данных для ТП методом «два из трех» или два из двух» («выравнивание» на Рис. 4) происходит межканальный обмен. Затем осуществляется программная реализация алгоритмов централизации и автоблокировки с выработкой МУИ (выходных логических переменных - Y). Для сравнения выходных логических переменных также производится межканальный обмен. Результаты сравнения транслируются в каждый СЦПУ для выявления отказавшего канала. Затем по принципу «два из трех» осуществляется вывод в ПУ МУИ. Независимо от основного цикла в фоновом режиме постоянно тестируется каждый СЦПУ.



Размещено на http://www.allbest.ru/

Рисунок 3 - Последовательность выполнения основных функций БЦПУ.

Описание функционирования БЦПУ с учетом диагностики и перевода в безопасное состояние представлено в разделе 7 данной части.

Взаимодействие БЦПУ с периферийными устройствами на магистрали представлено в Доказательстве безопасности, часть 4.

4. Концепция безопасности БЦПУ

В связи с тем, что БЦПУ обеспечивает реализацию алгоритмов управления на базе МКИ, получаемых из УСО, и формирование в качестве результатов МУИ, передаваемых в ПУ, концепция обеспечения его безопасности определена следующим образом:

1. Одиночные дефекты аппаратных и программных средств БЦПУ не должны приводить к появлению ложных единиц (единица соответствует сигналу включения исполнительных реле) в одноименных разрядах МУИ, передаваемых в ПУ по различным каналам.

2. Ошибки при приеме КИ из ПУ и формировании МУИ (по адресам и данным) в БЦПУ должны обнаруживаться и должны быть приняты меры для исключения опасных отказов (ложных единиц в данных массивах).

3. Не должно происходить накопление необнаруженных отказов хотя бы в одном канале БЦПУ.

5. Доказательство работоспособности БЦПУ

Предварительные и приемо-сдаточные испытания показали, что характеристики БЦПУ соответствуют требованиям ТЗ на УВК РА и требованиям, изложенным в дополнениях к ТЗ на УВК РА, а в аппаратуре и программных продуктах отсутствуют систематические ошибки при эксплуатации в заданных режимах и условиях. Работоспособность БЦПУ, его способность обеспечивать выполнение заданных функций подтверждается следующими документами.

- Акт о предъявлении УВК РА на испытания по безопасности, утвержденный Генеральным директором АО «Радиоавионика» 20.09.99г. и согласованный с представителями ГТСС и ПГУ ПС. Этот документ был подготовлен по результатам проверки экспертами ПГУ ПС функционирования УВК РА по прямому назначению.

- Протокол N1/2000 - Э от 10.01.2000 предварительных испытаний (ПИ), утвержденный Заведующим испытательной лаборатории ПГУ ПС.

- Технический акт о завершении испытаний УВК РА на электромагнитную совместимость и безопасность, утвержденный Генеральным директором АО «Радиоавионика» 14.06.2000г. и согласованный с представителями ГТСС и ПГУ ПС.

- Протокол № СВС - 21 от 13.08.99г. предварительных испытаний электрического сопротивления и электрической прочности изоляции опытного образца УВК РА, утвержденный Генеральным директором АО «Радиоавионика».

- Протокол № СВС - 22 от 19.08.99г. предварительных испытаний на виброустойчивость опытного образца УВК РА, утвержденный Генеральным директором АО «Радиоавионика».

6. Методы доказательства безопасности

При доказательстве безопасности УВК РА были использованы экспертные и расчетные методы, испытания на машинных моделях, на стендах и в условиях эксплуатации.

6.1 Стендовые испытания

6.1.1 Лабораторные испытания

В ходе разработки программно - аппаратных средств УВК РА разработчиками проводились лабораторные испытания БЦПУ, связанные с проверкой его работоспособности и возможностью выполнения заданных требований по безопасности.

Результаты лабораторных испытаний программно-аппаратных средств представлены в следующих протоколах:

- Протокол 08/2006 лабораторных испытаний межканального сравнения кодов и констант (ROM памяти);

- Протокол 09/2006 лабораторных испытаний кодека Рида-Соломона;

- Протокол 12/2006 лабораторных испытаний локального загрузчика;

6.1.2 Предварительные испытания

Предварительные испытания УВК РА на безопасность

Типовые испытания

7. Доказательство безопасности БЦПУ

7.1 Независимость отказов структурно-резервированных каналов БЦПУ

Независимость отказов структурно - резервированных каналов (СЦПУ) обеспечивается:

гальваническим разделением субблоков между собой и с другими структурными элементами УВК РА;

конструктивным исполнением, обеспечивающим автономную экранировку субблоков;

фильтрацией помех в источниках питания и в каждом модуле СЦПУ.

Для обеспечения независимости последствий отказов сбойного характера, вызванных внешними помехами на каналы БЦПУ, применен принцип «мягкой» синхронизации процессоров. Программная обработка данных после взаимного обмена и контроль проводятся каждым из СЦПУ самостоятельно. Указанные принципы синхронизации СЦПУ и обработки данных позволяют обеспечить устойчивость БЦПУ к сбойным ситуациям.

Наличие в БЦПУ свойства независимости каналов подтверждается результатами, полученными в ходе проведения специальной экспертизы и неоднократных проверок, проведенных в рабочем порядке:

1.Результаты экспертизы КД (акт о предъявлении УВК РА на испытания по безопасности от 20.09.99г.).

2. Результаты проверки электрического сопротивления и прочности изоляции БЦПУ.

3.Неоднократное использование при испытаниях БЦПУ (это отражено в протоколах испытаний УВК РА) возможностей принудительного отключения отдельных СЦПУ (синхронизация работающих СЦПУ не нарушается) или включения различных СЦПУ в работу в любой последовательности.

7.2 Диагностика работоспособности БЦПУ и переход в защитное состояние

Диагностирование БЦПУ осуществляется с целью выявления сбоев и отказов в программно-аппаратных средствах. Диагностирование БЦПУ производится при тестировании и проверке правильности функционирования по прямому назначению. Тестирование обеспечивает диагностику аппаратных средств постоянно в фоновом режиме (в рамках каждого СЦПУ). Период диагностирования - не хуже 1 секунды. Проверка правильности функционирования по прямому назначению охватывает как аппаратные, так и программные средства. Она осуществляется автономно за счет избыточного кодирования и за счет межканального сравнения данных (в рамках БЦПУ).

В случае негативных результатов диагностики осуществляется перевод отдельных СЦПУ или БЦПУ в целом в защитное (безопасное) состояние. В случае позитивных результатов диагностики продолжается функционирование и восстанавливается уровень отказоустойчивости после замены отказавших устройств.

В настоящем разделе рассматривается автономное диагностирование и диагностирование при межканальном сравнении (в рамках БЦПУ) с переводом, по необходимости, в защитное состояние.

Диагностирование БЦПУ при обмене с ПУ представлено в Доказательстве безопасности, часть 4.

7.2.1 Диагностика процессора CPU 686 (686E) и перевод в защитное состояние СЦПУ

Диагностирование процессора осуществляется автономно и путем межканального сравнения:

Автономное диагностирование включает периодическое тестирование с целью выявления постоянных отказов аппаратуры, проверку недопустимых ситуаций при сбоях и проверку контрольных соотношений при избыточном кодировании в случае сбоев и отказов.

Периодическое тестирование аппаратуры процессора осуществляется как фоновый процесс ОС ЖРВ с минимальным приоритетом. Период диагностирования - не хуже 1 секунды. При этом тестируется сам процессор, СОЗУ, таймер, контроллер прерываний и рабочие области программ. При отрицательном результате тестирования производится перезагрузка СЦПУ и переход в БНС при третьей перезагрузке подряд.

Подробно организация диагностирования процессора и перевод СЦПУ в защитное состояние представлены в документе «Описание программы» для СПО ЦПУ.

Недопустимые ситуации могут возникать из-за искажений данных ОС ЖРВ в ОЗУ. К ним относятся:

- работа с произвольной областью памяти при некорректном указании адреса или номера задачи ОС ЖРВ;

- коллизия директив ОС ЖРВ, понимаемая как исполнение директивы для задачи, находящейся в состоянии, не допускающем выполнение этой директивы;

- «зависание» задачи ОС ЖРВ в состоянии ожидания события, которое никогда не произойдет; аналогично этой ситуации надо рассматривать ситуацию потери задачи из очередей ОС ЖРВ;

- нехватка ресурсов (памяти или времени процессора) для выполнения задачи ОС ЖРВ и невозможность ее выполнения в заданное время; аналогично надо рассматривать клинчи - требования задачами ресурсов друг друга и невозможность их выполнения;

- недетерминированное поведение задач ОС ЖРВ в результате каких-либо событий или выполнения директив;

- нарушение основного требования жесткого реального времени - отсутствие завершения предыдущего запуска задачи к моменту ее очередного запуска;

- переполнение стеков задач ОС ЖРВ, «наложение» стеков друг на друга и прочие некорректности со стеками, приводящие к фатальным последствиям;

- обработка некорректных параметров директив ОС ЖРВ и выполнение соответствующих некорректных действий;

- ситуации, требующие «снятия» или прекращения выполнения задач ОС ЖРВ ввиду невозможности дальнейшего их корректного выполнения;

- работа с искаженными в результате сбоев блоками управления задачами ОС ЖРВ.

Например, коллизии директив в ОС ЖРВ исключены за счет архитектурных принципов построения ОС ЖРВ: всегда производится контроль параметров директив и контроль допустимости самой директивы для задачи, состояние которой всегда однозначно определено. Переход задачи из одного состояния в другое всегда проверяется на допустимость. Попытка недопустимого перехода всегда трактуется как тяжелый сбой (эквивалентный искажению СОЗУ) и приводит к немедленной перезагрузке СЦПУ.

В некоторых случаях принятие решения при обнаружении недопустимой директивы возлагается на внешние системные программы (СПО ЦПУ). В частности, невозможно повторно запустить задачу директивой запуска задачи «Rqst», если она еще не завершена. Такая ситуация диагностируется по коду возврата директивы, она может быть допустимой (проверка активности задачи основного цикла), может и нет, тогда СПО ЦПУ принимает решение.

Все константные области памяти ОС ЖРВ контролируются контрольным суммированием и межканальным сравнением. Все динамические области управления задачами и стеки задач контролируются на допустимость кодов и ссылок в очередях. Период диагностирования - не хуже 1 секунды.

Средства, обеспечивающие исключение недопустимых ситуаций, в том числе перевод в защитное состояние, представлены в документах «Описание программы» для микроядра ОС ЖРВ и для Пакета Поддержки Платформы 686x.

Проверка контрольных соотношений при избыточном кодировании осуществляется с целью диагностирования двухпортовой памяти, в которой с целью повышения безопасности применяется так называемый «геометрический код». Пакет передаваемых данных как массив байтов условно разбивается на строки битов и представляется в виде прямоугольной матрицы. Для каждой строки и для каждого столбца подсчитываются биты нечетности. Эти биты передаются вместе с массивом, а при приеме проводится аналогичная процедура подсчета битов нечетности и сравнение их с полученными битами.

Отрицательный результат диагностирования по строкам и столбцам матрицы диагностируется как сбой обмена с соседним СЦПУ. При множественных сбоях обмена с двумя соседними СЦПУ - следует переход к перезагрузке.

Диагностирование путем межканального сравнения при обмене через ДПП осуществляется для проверки входных данных от ПУ, выходных данных, получаемых от технологических программ, констант, программных кодов и динамической части базы данных ТП (ДЧБД).

При отрицательном результате проверки входных данных от ПУ осуществляется подстановка предыдущих данных, или запись безопасных (нулевых) данных. При неоднократных неудачах источник данных необратимо блокируется, для снятия блокировки необходима перезагрузка или замена СБС или СЦПУ.

При первом же несравнении МКИ или ДЧБД происходит переход СЦПУ из рабочего состояния в исходное (состояние после загрузки) или перезагрузка. Допускается не более трех перезагрузок.

Диагностирование кодов и констант в СОЗУ процессора осуществляется циклическим межканальным сравнением. За один основной цикл ЦПУ (1 секунда) сравнивается около 16 Кбайт. Если принять максимальный размер области кодов и констант 400 Кбайт, то полное сравнение займет примерно 25 секунд. В случае несравнения сторона СЦПУ переводится в исходное состояние после загрузки (деградация) и сравнение начинается заново. При множественных несравнениях (до 5 деградаций) двух строн СЦПУ производится перезагрузка.

Чтобы набралось 5 деградаций при сравнении (считаем, что в одном из СЦПУ имеется искажение области кодов и констант, не обнаруживаемое автономными средствами контрольного суммирования), необходимо в худшем случае 5 * 25 секунд, или 125 секунд. После 5 деградаций обеих сторон СЦПУ сделает попытку перезагрузки, в случае неудачи будет вторая попытка перезагрузки и после третьей неудачной перезагрузки - уйдет в БНС. Общее время принятия решения в этом случае составит 375 секунд.

ДЧДБ межканально полностью сравнивается один раз за секунду. При горячем включении третьего СЦПУ к работающим двум производится полное копирование ДЧБД из рабочих СЦПУ в третий СЦПУ.

7.2.2 Диагностирование каналов RS-422

Диагностирование каналов RS-422 производится непосредственно при их функционировании. Аппаратура канала RS-422 обеспечивает побайтный контроль четности, программно обеспечивается контроль четности передаваемых данных как 32-х разрядных слов. При этом любые однократные, двукратные и трехкратные искажения битов будут гарантированно обнаружены. Аналогично будут выявлены все искажения нечетной кратности и опасными могут быть только искажения кратности 4, 6 и далее.

Согласно РТМ ЦШ 1115842.02-94, при расчете вероятности ложного приема сообщений искажения, кратность которых превышает два, могут не рассматриваться как маловероятные. Тем не менее, вероятность ложного приема сообщения при четырехкратном искажении не превышает 10 ^-12.

7.2.3 Диагностирование искажений данных на флэш-диске

Необходимость специального Загрузчика вызвана тем, что предустановленная ДОС процессора после загрузки исполняемого файла стирается в СОЗУ, и контроль целостности исполняемого файла на флэш диске невозможен. При этом в исполняемом файле на диске могут накапливаться искажения, проявление которых возможно при перезагрузке, вызванной, например, провалом питания.

Загрузчик на диске представлен командным файлом и тремя исполняемыми файлами. Эти файлы сопровождаются их копиями, закодированными Кодеком кода Рида - Соломона ЖРГА.00036-02 12 01. Этот код (239-255) обеспечивает исправление до 8 искаженных байт на каждый блок из 255 байтов. Работа Загрузчика начинается с декодирования кодовых копий рабочих файлов и сравнения с имеющимися на диске. При обнаружении искажений загрузка прекращается. При успешном сравнении начинается декодирование и загрузка целевого исполняемого файла, который хранится на диске в виде двух закодированных копий. При обнаружении исправимых искажений файл запускается с параметром - флагом ошибок, который передается затем по каналам диагностической информации. При количестве исправлений 3 и более загрузка прекращается, чем парируется возможное накопление искажений файлов на диске процессора при длительных сроках эксплуатации УВК РА.

7.3 Безопасное необратимое состояние

Функционирование БЦПУ возможно только при наличии двух или трех исправных СЦПУ. Только тогда выдаются данные в ПУ, в ином случае БЦПУ переводится в безопасное необратимое состояние (БНС). При постоянных отказах и многократных сбоях в БНС переводятся отдельные СЦПУ. Логика обработки отказов и причины перевода в БНС представлены в разделе 7.4.

В данной версии ПО функция «SysBeautifulDeath» организует БНС, называемое первым. Оно реализуется в СЦПУ простым зацикливанием при запрещенных прерываниях, сброшенном контроллере прерываний и заблокированном сторожевом таймере. Немаскируемое прерывание получает новый вектор, приводящий к этой же функции. Выход из такого состояния возможен только путем отключения и последующего включения питания СЦПУ.

По результатам диагностики, как было отмечено выше, осуществляется перезагрузка исполняемого файла. При определенном числе перегрузок должно быть исключено продолжение функционирования. Проблема ограничения количества перезагрузок решается введением второго БНС на основе счетчика числа перезагрузок, размещенного в собственной флэш-памяти процессора. При успешном старте и начале нормального функционирования при многократном положительном результате диагностирования счетчик перезагрузок сбрасывается в ноль. При превышении счетчиком допустимого значения (три) производится уход в первое БНС, что исключает возможность функционирования. Тем самым реализуется БНС, называемое вторым БНС. Выход из второго БНС выключением питания невозможен, поскольку счетчик во флэш-памяти сохраняется.

Вывод из второго БНС осуществляется путем переключения специального микротумблера на СЦПУ, блокирующего чтение кода прошивки. Микротумблер не доступен, когда СЦПУ установлен в шкаф БЦПУ. В связи с этим процедура вывода из второго БНС состоит в следующем: вынуть СЦПУ из шкафа, включить микротумблер, установить СЦПУ в шкаф, ожидать первый БНС (во время первого БНС счетчик перезагрузок будет сброшен в ноль), изъять СЦПУ из шкафа, выключить микротумблер и установить СЦПУ обратно в шкаф.

По результатам обмена СЦПУ между собой, а также обмена с БС и сравнения копий пакетов выявляется неисправный СЦПУ. Исправные СЦПУ, а также БС устанавливают соответствующий избыточный код признака отказа. Этот признак является условием, исключающим обращение к отказавшему СЦПУ (к двухпортовой памяти со стороны других СЦПУ и к каналу обмена по интерфейсу RS-422 со стороны соответствующих субблоков БС).

Таким образом, защитное состояние отказавшего СЦПУ обеспечивается блокировками в трех субблоках, независимость отказов в которых позволяет считать практически необратимым введенное защитное состояние.

7.4 Логика обработки отказов и перехода в БНС

ЦПУ переводится в БНС в зависимости от типов возникающих в нем отказов (сбоев).

К первому типу относятся отказы, при которых невозможна корректная загрузка или (и) имеются ошибки в адресе прошивки и флэш-памяти процессора. При возникновении таких отказов СЦПУ или не запускается, или сразу переходит в первый БНС.

Ко второму типу относятся отказы, связанные с искажениями содержимого ОЗУ, отрицательные результаты тестирования процессора, отказ таймера и т.п. При возникновении отказов второго типа производится перезагрузка. В случае повторения ошибок при трех перезагрузках СЦПУ переводится во второй БНС.

К третьему типу относятся (постоянные) отказы и сбои, которые позволяют продолжить функционирование на оставшихся резервных аппаратных средствах до замены СЦПУ из ЗИПа. Так, при постоянных отказах двухпортовой памяти одного СЦПУ нарушается непосредственное взаимодействие его с соседним СЦПУ (в исправном состоянии через двупортовую память осуществляется двухстороннее взаимодействие, а в случае отказа происходит деградация одной стороны), происходит переход в режим работы, так называемый, «цепочка», а взаимодействие реализуется через исправный СЦПУ.

При обработке сбоев используется так называемая (m - N) логика, которая работает по принципу «не более m несравнений (сбоев) за N циклов». Для каждого несравнения запоминается условный номер цикла, и через N циклов сбой «забывается». Традиционная логика «три сбоя подряд эквивалентны постоянному отказу» в ЦПУ неприменима, поскольку чередующиеся сбои могут в этом случае происходить неограниченно долго. В (m - N) логике отсутствует этот недостаток.

Основной цикл ЦПУ состоит в получении от ПУ контрольной информации (КИ) о состоянии напольных объектов, выработке управляющей информации (УИ) и отсылки ее в ПУ. Логика (m - N) работает отдельно для каждого СБС, как источника КИ. Для КИ выбраны величины (3 - 10), т.е. не более 3-х сбоев за 10 циклов. Реакция на 3-й сбой - команда перезагрузки СБС как источника искаженной КИ. Величина m=3 выбрана по согласованию с разработчиками технологических программ (ГТСС), исходя из возможности 3 секунды работать на "старой" контрольной информации. Величина N=10 выбрана из соображений фиксации сбоев типа "сбой - нормально - сбой...".

Для управляющей (выходной) информации (УИ) применяется (m - N) логика с такими же (симметричность диагностирования) параметрами 3 - 10,. Кроме того, УИ после ее формирования межканально сравнивается в составе ДЦБД. Реакция в случае несравнения - деградация СЦПУ.

При обмене данными между СЦПУ производится контроль искажений в передаваемых данных за счет использования контрольных «геометрических» кодов. Обмен повторяется трижды. Допускается не более 3-х ошибок такого типа, после чего фиксируется деградация. Деградация фиксируется для пары СЦПУ, поскольку при ошибках в обмене невозможно локализовать неисправность.

Каждый СЦПУ имеет два счетчика деградаций (для каждого соседа). Если одного соседа нет или с ним невозможен корректный обмен, а второй сосед работает нормально, то рассматриваемый СЦПУ функционирует по прямому назначению только с исправным соседом. Термин «деградация» выбран исходя из того, что нормальная работа с соседом может начаться только после полного прохождения всех тестов, в том числе межканального сравнения кодов и констант, а так же сравнения (или приема) ДЧБД. Последовательно проходя все тесты, СЦПУ каждой своей стороной (независимо!) эволюционирует до функционирования по прямому назначению. При возникновении сбоев межканального обмена соответствующая сторона (левая или правая) деградирует до исходного состояния.

Очевидно, что деградации только одной стороны не является поводом для прекращения работы СЦПУ - ухода на перезагрузку или в БНС. Но деградация двух сторон должна приводить к уходу на перезагрузку, так как может быть вызвана искажениями или различиями в кодах и константах. Компромисс между отказобезопасностью и отказоустойчивостью достигается применением (m - N) логики, где m = 5, а N = 200, т.е. не более 5 левых и 5 правых деградаций за 200 циклов.

7.5 Защищенность БЦПУ при различных видах отказов

Результаты анализа защищенности БЦПУ при различных видах отказов приведены в таблице 1.

Таблица 1 - Результаты анализа защищенности БЦПУ при различных видах отказов

Вид отказа	Последствия отказа	Обнаружение отказа
Отказ источника питания в одном из СЦПУ	Выход из строя СЦПУ, деградация соответствующих сторон в двух других СЦПУ. БЦПУ работает в режиме «пара».	Диагностика сторон оставшихся двух СЦПУ.
Отказ ОЗУ (ДПП) в одном из СЦПУ	Деградация правой стороны в СЦПУ и деградация левой стороны у его правого соседа. БЦПУ работает в режиме «цепочка»	Диагностика сторон двух СЦПУ, между которыми был отказавшие ДПП.
Отказ узла связи с ОЗУ другого субблока (УС) в одном из СЦПУ	Деградация левой стороны в СЦПУ и деградация правой стороны у его левого соседа. БЦПУ работает в режиме «цепочка»	Диагностика сторон двух СЦПУ, между которыми был отказавший УС.
Остановка процессора СЦПУ	Выход из строя СЦПУ, деградация соответствующих сторон в двух других СЦПУ. БЦПУ работает в режиме «пара».	Диагностика сторон оставшихся двух СЦПУ.
Отказ RS-422	Продолжение работы. Будет потеряна одна из связей между БЦПУ и ПУ или РМ ДСП.	Диагностика обмена и состояния абонентов СЦПУ.
Отказ флэш - диска	Без последствий до следующей перезагрузки, при которой СЦПУ не запустится. При этом последствия аналогичны отказу процессора или источника питания.	Не обнаруживается до очередной перезагрузки. При перезагрузке СЦПУ не запускается.

Примечание - Защищенность БЦПУ при отказах, связанных с взаимодействием с ПУ, представлена в Доказательстве безопасности , часть 4.

8. Характеристика средств испытаний

Перечень типовой испытательной аппаратуры, используемой при проведении испытаний ПО на ЭМС и представлен в Доказательстве безопасности, часть 1, раздел 10:

Перечень средств, используемых при испытаниях ЦПУ:

РМ ДСМ- комплект РМ ДСП (ЖРГА. 469159.006-04) с установленным ПО «Имитатор РМ ДСП» (ЖРГА.00035-03 12 01);

-клавиатура- Mitsumi PC/ATcompatible;

-монитор- iiyama ProLite E431S;

9. Выполнение концепции безопасности БЦПУ

При одиночных дефектах аппаратных и программных средств исключение появления ложных единиц в одноименных разрядах выходных управляющих массивов, передаваемых в ПУ по различным каналам, обеспечивается независимостью отказов в СЦПУ и средствами диагностики.

Обнаружение ошибок при приеме входных контрольных массивов из ПУ и формировании выходных управляющих массивов осуществляется за счет диагностирования программно-аппаратных средств. Исключение опасных отказов (ложных единиц во входных контрольных массивах и управляющих выходных массивах) производится за счет перевода отдельных СЦПУ и БЦПУ в целом в защитное состояние.

Исключение накопления необнаруженных отказов осуществляется за счет диагностики и перевода СЦПУ и БЦПУ в целом в безопасное отключенное состояние. постовой флэш испытательный аппаратура

Выводы

На основании результатов проведения экспертизы и стендовых испытаний доказано соблюдение в БЦПУ концепции безопасности: одиночные дефекты аппаратных и программных средств не приводят к опасным отказам и обнаруживаются с заданной вероятностью при рабочих и тестовых воздействиях не позднее, чем возникнет второй дефект;. не происходит накопление необнаруженных отказов хотя бы в одном канале БЦПУ.

На основании результатов экспертизы доказано выполнение требований РТМ 32 ЦШ 1115842.01 - 94 к программно-аппаратным средствам БЦПУ:

1) аппаратного резервирования;

2) «мягкой» синхронизации в работе вычислительных резервированных каналов;

3) периодического тестирования и сравнения работы вычислительных каналов;

4) применения мер, исключающих возможность возникновения опасных отказов в выходных управляющих массивах;

5) применения мер, исключающих возможность возникновения опасных отказов во входных контрольных массивах;

6) программной обработке диагностических данных и оперативной передаче результатов диагностики в РМ ДСП и вышестоящие системы;

7) аппаратно - программном переходе в необратимое защитное состояние при обнаружении возможности опасных отказов.

На основании результатов экспертизы и испытаний БЦПУ доказывается выполнение требований, изложенных в п. 3.1.1.1 Доказательства безопасности Часть 1:

- автоматического выявления и локализации, возникающих в процессе функционирования сбоев и отказов;

- реконфигурации при соответствующих отказах с целью продолжения функционирования по прямому назначению;

- световой индикации, позволяющей локализовать возникшую неисправность с точностью до модуля;

непрерывной круглосуточной работы;

- возможности восстановления работоспособности в полном объеме при появлении отказов - за время, не превышающее 2-х часов.

Согласно аналитическому расчету надежности (Доказательство безопасности, часть 1) количественные показатели надежности соответствуют требованиям ТЗ на БЦПУ:

- интенсивность опасных отказов БЦПУ - 1,14 10^-12 1/ час,

- интенсивность защитных отказов БЦПУ - 7,12 10^-8 1/ч.

Таким образом, можно сделать вывод, что ПУ является безопасным устройством в соответствии с ОСТ 32.17-92 и ОСТ 32.18-92.

Размещено на Allbest.ru

...