Введение переключения при наличии одной неисправной ВМ перед стартом позволило практически вдвое снизить вероятность отказа УВК в полете по сравнению с мажоритирован-ной системой. Введение переключателя каналов (ПК) резерва ВМ в состав УВК выдвинуло очередную задачу. Как использовать введенную избыточность в виде ПК для повышения надежности УВК в полете при старте в мажоритированном варианте, т. е. в том случае, когда к моменту старта все три ВМ исправны и структура с мажоритаром может работать достаточно эффективно. Возникает вопрос, как перейти после возникновения первого отказа (отказа в одной из трех ВМ) от мажорити-рованной структуры к структуре с ПК. Для решения этой задачи необходимо оперативно в процессе полета выявить отказавшую ВМ и выработать команду на ПК для подключения к выходу одной из двух исправных ВМ, т. е. дополнительно к ПК требуется ввести еще избыточность в виде средств оперативного контроля (СОК), дающих команду на переключение ВМ в процессе основной работы УВК. Задачу контроля можно решить, сравнивая информацию трех ВМ между собой, и считать отличающуюся по выходной информации ВМ неисправной, если информация двух других совпадает. Структурная схема УВК с ПК и СОК приведена на рис. 7.10. БУВК с переключением каналов ВМ по сигналам СОК в простейшем случае строится на основе схем сравнения выходной информации всех машин между собой. Бракуется ВМ, у которой хотя бы в одном разряде выходная информация не совпадает с информацией двух других ВМ. Если выдача информации на ИО идет в последовательном коде, то схема контроля по затратам оборудования будет невелика. Рис. 7.10. Структура УВК с переключением каналов ВМ по сигналам системы оперативного контроля 8. [Методы оценки надежности и выбора вариантов реализации в условиях неопределенности Методика исследования вариантов и выбора оптимального методом имитационного моделирования В виду сложной архитектуры УВК с изменяемой в процессе работы структурой аналитические и, в частности, асимптотические методы расчета показателей надежности применить затруднительно. Особенно сложны оценки аналитическими методами систем с восстановлением после случайных сбоев в работе, а также сбоев, вызванных направленным противодействием. Решение вопроса о выборе оптимального варианта архитектуры УВК осложняется тем, что выбор должен приниматься в условиях неопределенности относительно реальной (эксплуатационной) интенсивности отказов элементов системы, с учетом длительного этапа хранения, в результате которого меняется суммарная интенсивность отказов. Направленные противодействия также достаточно неопределенны по моментам и последствиям воздействия. Разработана методика, на базе которой возможна оценка надежности и выбор оптимального варианта УВК методом имитационного моделирования [16]. Методика охватывает несколько этапов. Схема исследования вариантов реализации показана на рис. 8.1. На первом этапе исследования производится анализ функционального состава и структуры варианта УВК, режимов Проектирование аппаратуры систем автоматического управления _______________для работы в экстремальных условиях_______________ функционирования системы, приведение информации к виду, пригодному для дальнейшего использования. Рис. 8.1. Схема методики исследования На втором этапе исследования производится оценка вероятности отказа исследуемого варианта системы методом статистического моделирования. Многократно моделируется работа системы и находится вероятность отказа системы в каждом испытании. Если Qt — вероятность отказа системы в /-м испытании, а N — число испытаний, то вероятность отказа системы рассчитывается по формуле: — _N. Q = ^q:}/n. 1=1 Среднеквадратическое отклонение вероятности отказа системы находится по формуле: Пу ~ ^q=^Qi1/N-Q . N 1-1 В качестве критерия сравнения надежности вариантов целесообразно использовать отношение вероятностей отказа в заданном интервале работы, что обусловлено тем, что вероятность безотказной работы или однозначно связанная с ней вероятность отказа системы в заданном интервале времени является основной надежностной характеристикой УВС, задаваемой в техническом задании. Переход к относительным оценкам (отношению вероятностей отказов вариантов систем) позволяет исключить ошибки, связанные с недостоверностью знаний об абсолютных значениях интенсивностей отказов, продолжительности интервала времени работы, и позволяет выбрать область предпочтения вариантов при изменении остальных параметров систем. Решение, принятое по данному критерию, устойчиво к изменению интенсивности отказов в реально возможных диапазонах интенсивностей отказов элементов. Формализованное описание варианта УВК зависит от степени его декомпозиции. В общем случае система состоит из п элементов: А2,

Вопросы оптимального распределения ресурсов рассмотрим на примере многомашинного БУВК, содержащего в своем составе несколько идентичных вычислителей (бортовых вычислительных машин).

В современных САУ задачи, решаемые БУВК, можно разбить на два уровня:

• 1) Задачи абсолютной важности — это задачи стабилизации и навигации, невыполнение которых означает полное невыполнение САУ своих целевых функций, так как приводит к потере управления изделием и ни о какой точности не может быть речи.
• 2) Задачи относительной важности, решение каждой из которых повышает вероятность выполнения целевой задачи, а именно — вероятности доставки полезной нагрузки с требуемой точностью, т. е. решение задач относительной важности повышает точностные характеристики работы САУ.

Таким образом, Е (ц) — векторная функция, зависящая от состава решаемых задач абсолютной и относительной важности. Введем обозначения весомости задач:

т|₀ — задача абсолютной важности;

ц , Л₂> Л₃> ••• Л_п ^— задачи относительной важности, где т|. — относительный вклад каждой задачи в повышение вероятности выполнения задачи.

При распределении задач целесообразно с наибольшей надежностью решать задачи абсолютной важности (т. е. г|₀), невыполнение этих задач, как уже было отмечено, приводит к потере объектом управления. Таким образом, при снятии с решения задач абсолютной важности т|₀ вектор Е (ц.) = О и, следовательно, целевая функция В = Р (t) • Е (т|.) = 0.

Для решения дополнительных задач т|., повышающих вероятность выполнения задания (т. е. повышающих точность выведения), необходимо увеличивать производительность БУВК, для чего в его состав добавляют дополнительные вычислительные машины (модули).

Современные БУВК САУ PH строятся по магистрально-модульному принципу, когда к общей магистрали подключается необходимое количество вычислительных модулей (ВМ) или модулей каналов обмена (МКО). На рис. 6.2 приведена структурная схема БУВК.

Внешние подсистемы

Рис. 6.2. Структура магистрально-модульного БУВК

Управление взаимодействием модулей между собой и контроль их исправности осуществляет центральный модуль управления (ЦМУ) или, как его обычно называют, системный модуль (СМ), который представляет собой также вычислительную машину, аппаратурные затраты которой минимизированы для обеспечения надежности, например разрядность уменьшена до 16 (вместо 32-разрядной шкалы ВМ, от которых требуются высокоточные вычисления). СМ решает, как правило, задачи логического характера и от него не требуется высокой производительности при решении функциональных задач управления, поэтому в ряде случаев для повышения надежности его реализуют как вычислитель с мажоритацией на уровне блоков процессор — запоминающее устройство — блок управления магистралью [13].

СМ управляет трехкратно резервированной магистралью, к которой через свои устройства связи с магистралью (УСМ) подключены остальные модули ВМ и МКО.

Количество ВМ определяется требуемой производительностью и степенью резервирования. Количество МКО определяется составом периферийных подсистем, при этом МКО, работающие на одно направление, как правило, дублируют.

Описанная структура БУ В К позволяет в пределах заданных ограничений на его массу, габариты и энергопотребление включать (перераспределять) в процессе работы в зависимости от состава задач на каждом участке полета необходимое количество модулей, работающих или в режиме параллельного счета функциональных задач, или в режиме резервного счета.

С целью максимизации целевой функции В = Р (t) • Е (ц) необходимо рационально назначать в процессе работы ВМ или в режим параллельного счета с целью повышения алгоритмической эффективности ^(ц), или в режим резервного счета с целью повышения надежности, т. е. величины P(t).

Из-за возможных отказов ВМ в процессе работы возникает задача динамически находить оптимальное распределение ресурсов для каждого участка полета и каждого состояния ис-48

правности ВМ. Очевидно, что эта задача не может быть решена заранее перед началом работы САУ, так как поток отказов ВМ носит случайный характер и задачу динамического распределения ресурсов можно решить только в полете. Показано, что задача оптимального распределения ресурсов может быть решена на борту в СМ с помощью модификации метода динамического программирования [14].

Таким образом, современные БУВК — это сложные системы, динамически реконфигурируемые в процессе полета, с гибкой структурой, но с фиксированным составом определенных модулей и связями между ними.

БУВК — это сложная система с гибкой архитектурой, распределение задач и резерва в которой на каждый момент полета заранее неизвестно. Эта гибкость архитектуры позволяет, в отличие от известных способов повышения надежности путем резервирования, решить задачу максимизации технической эффективности БУВК, определяемой через вероятность выполнения задачи САУ, а не решать частную задачу повышения надежности аппаратуры той или иной подсистемы САУ.

Таким образом, при оценке качества разрабатываемой вычислительной системы целесообразно от частных критериев (таких как быстродействие, емкость запоминающих устройств, энергопотребление, масса и габариты) перейти к комплексному показателю — оценке качества через критерий верхнего уровня, а именно вероятности выполнения задания САУ, а частные критерии перевести в ранг ограничений.

Перечень вопросов для самоконтроля

• 1. Почему использование критерия технической эффективности предпочтительнее оценки качества БУВК по частным критериям надежности?
• 2. Каковы основные составляющие критерия технической эффективности?
• 3. В чем заключается сложность решения задачи оптимизации технической эффективности БУВК в процессе полета?

• 4. Возможно ли, по Вашему мнению, создание надежной аппаратуры из ненадежных элементов применением резервирования?
• 5. Какова роль культуры производства в обеспечении качества и надежности изготавливаемой аппаратуры?
• 6. В чем отличие оценки надежности по вероятности безотказной работы и по вероятности отказа на заданном интервале работы?
• 7. Как определяется кратность резервирования?
• 8. В каких случаях применение скользящего резервирования оправдано?
• 9. Какова роль надежности ПКИ при изготовлении аппаратуры?
• 10. Какими методами обеспечивается высокая культура производства?
• 11. Как, по Вашему мнению, предпочтительно сравнивать надежность вариантов повышения надежности (по отношению вероятностей безотказной работы или вероятностей отказа на заданном интервале работы)?

7.1 1ринципы обеспечения и повышения надежности аппаратуры

В работах по созданию аппаратуры САУ можно выделить два состава тесно связанных работ:

• 1) Работы, которые выполняются с целью исключения каких-либо отказов в РЭА. Под отказом здесь будем понимать несоответствие объекта какой-либо норме ТУ. Введем термин «дефект», который означает, что в данном образце РЭА (модуле, блоке или приборе) есть какие-то несоответствия действующей КД, которая подразумевает, что все комплектующие полностью соответствуют нормам ТУ на них, выдержаны все требования технологических процессов изготовления [15].
• 2) Работы по обеспечению нейтрализации отказов, возникающих в эксплуатации.

Дефект — это локальное отклонение в каком-либо ЭРИ (например, БИС, дискретном компоненте — резисторе, конденсаторе, диоде и т. п.), приводящее к его неправильному функционированию.

Производственный дефект — это нарушение в связях между ЭРИ, вызванное, например, окислением некачественных паек выводов, нарушение целостности или замыкание цепей в печатных платах. Дефекты могут быть «заложены» в аппаратуру в процессе изготовления (установка дефектных ЭРИ, некачественный монтаж) и могут возникать или проявляться в процессе работы (так называемые скрытые дефекты, которые не выявляются в процессе приемо-сдаточных испытаний аппаратуры).

В дальнейшем, говоря о безотказности аппаратуры, будем иметь в виду, что проявления дефектов нет. Например, нарушение изоляции между проводниками печатной платы может вызывать появление токов утечки, но не приводить к нарушению функционирования объекта, хотя возникает так называемый «нережим» работы элементов в схеме электрической. Для аналоговой техники это приводит к нарушению точностных характеристик, так как дефект приводит к параметрическим отказам — «уходам». Для цифровой техники такое «замыкание» может и не приводить к заметным отклонениям в работе в силу наличия порогов, потому что сигнал имеет характер не непрерывный, а дискретный, так как значение логических «О» и «1» разнесены надостаточно большую величину. Например, для КМОП интегральных микросхем эта разность порогов близка к напряжению в величине напряжения питания, в связи с чем небольшое отклонение уровня сигнала (на 10—15% от идеального) при дефекте в печатной плате может остаться незамеченным при выполнении функций. В этом случае только «глухое» замыкание цепей может привести к функциональному отказу, хотя и здесь начинают сказываться величины выходных сопротивлений источников (передатчиков) сигналов и более сильный исправный источник может «передавить» другой, более слабый дефектный. В этом случае работа не нарушится, т. е. возникает, казалось бы, парадоксальная ситуация — дефект есть, а отказа нет, хотя прибор, с точки зрения КД, неисправен, так как нарушены требования норм к сопротивлению изоляции печатных плат.

Введя нестрогое понятие дефекта в дальнейшем при обсуждении вопросов обеспечения надежности будем, в первую очередь, иметь в виду отсутствие фактических и потенциальных дефектов при выпуске аппаратуры с завода-изготовителя.

Под потенциальным будем понимать дефект, который не проявился при ПСИ, но может в дальнейшем привести к нарушению работоспособности объекта. Этот вид дефектов в промышленности известен как «непропай» или «холодная» пайка. С течением времени вследствие нарушения омического контакта из-за окисления или изменения структуры припоя (его кристаллизации) может возникнуть потеря контакта — катастрофический отказ, т. е. грубое нарушение функционирования прибора (объекта).

Кроме того, причиной перехода потенциального дефекта в реальный на приведенном примере может быть не только фактор времени, но и механические воздействия (например, вибрация или удары). Из-за разных коэффициентов теплового расширения материалов повышение температуры также может привести к нарушению контакта и, следовательно, к потере связи, т. е. обрыву цепи.

Рассмотрим основные принципы обеспечения надежности, т. е. исключения дефектов любого вида при проведении ПСИ выпускаемой производством аппаратуры.

Рассматривая и анализируя дефекты, проявляющиеся на практике в аппаратуре САУ, можно выделить две основные группы причин наличия дефектов в РЭА:

• — установка неисправных или потенциально дефектных ЭРИ;
• — ошибки, допускаемые рабочими при монтаже в процессе производства (производственные дефекты).

Очевидно, что применение неисправных или потенциально дефектных ЭРИ также вызвано причинами производственного характера, только не на заводе-изготовителе РЭА, а на заводе-изготовителе ЭРИ.

Таким образом, вопросы организации работ на производстве являются крайне важными для всех этапов изготовления РЭА, начиная с этапа производства материалов для изготовления ЭРИ. Качество исходных материалов особенно важно при изготовлении полупроводниковых структур. Структурное совершенство и «чистота» исходного материала существенно определяют электрофизические свойства полупроводникового прибора (диода, транзистора) и его состояние во времени, особенно при воздействии ИИ.

Таким образом, шутка «начинать с копки руды» имеет серьезный практический смысл в микроэлектронике и прибоПроектирование аппаратуры систем автоматического управления _______________для работы в экстремальных условиях_______________ ростроении. Ранее уже частично отмечалась весомость разных факторов, представленных в виде пирамиды (рис. 6.1), в обеспечении надежности. Рассмотрим их повторно, имея в виду, что важным фактором в создании качественной аппаратуры САУ является уровень производства, как микроэлектронного, так и приборного.

В среде разработчиков аппаратуры для бортовых САУ есть шутка, что самым главным ограничением на создание функционально совершенной аппаратуры, например БУ В К, с безграничными вычислительными ресурсами и высокой надежностью являются не ограничения на массу, габариты и энергопотребление РЭА, а ограничения, связанные с требованиями се-рийнопригодности для изготовления на современных заводах.

Рассмотрим повторно принципы пирамиды по приоритету.

Простота технических решений предполагает, что при разработке КД закладываются технические решения, которые могут быть реализованы в производстве на современном уровне техники. Простота технических решений предполагает, что КД ориентирована на максимальную автоматизацию процессов изготовления и контроля по возможности без участия (или с минимальным участием) человека в производственном процессе. Таким образом, КД должна быть ориентирована на конкретное производство.

Как правило, создание принципиально новых решений и внесение их в КД требует тщательной подготовки производства и его переоснащения, что реально не всегда можно сделать из-за финансовых и сроковых ограничений.

Применение надежных ЭРИ, поступающих от проверенных и известных поставщиков. При этом целесообразно ограничить как номенклатуру ЭРИ, так и количество поставщиков, что дает возможность по результатам применения вести планомерную работу по повышению качества ЭРИ.

Культура производства — это, в первую очередь, оснащенность технологическими линейками с максимальным уровнем автоматизации.

Отработка технических решений. Данная работа начинается с этапа создания ТЗ, в котором требования не должны быть занижены для совершенствования технического уровня САУ, но требования не должны быть чрезмерно высокими, чтобы обеспечить их реализуемость при современном уровне развития техники. В среде разработчиков говорят: «Существует два способа загубить на корню любую разработку — предъявить или чрезмерные, или заниженные требования». В результате выполнения таких требований ТЗ будет создано изделие с низкими техническими характеристиками.

Отработка технических решений активно ведется на этапе технических предложений с использованием математического и физического (макеты) моделирования. Макетирование является важной частью работ, так как на этом этапе легче проверить, например, нагрузочные режимы работы ЭРИ, которые существенным образом определяют надежность РЭА.

Для обеспечения качества важным является проведение полноценной проверки на опытных и экспериментальных образцах РЭА, а именно качественное проведение автономных и комплексных лабораторных испытаний (ЛОИа и ЛОИк) с необходимой коррекцией КД по результатам испытаний.

В процессе ЛОИа проверяются электрические режимы работы аппаратуры в различных климатических условиях (температура, влажность, атмосферное давление), а также устойчивость и прочность аппаратуры к воздействию механических нагрузок (вибрации, удары, акустика).

Самостоятельным видом являются испытания на радиационную стойкость, как подсистем, так и САУ в целом. Несмотря на дороговизну этих испытаний, радиационные отработочные испытания (РОИ) составляют важный этап во всем комплексе испытаний.

Обеспечение 100%-го выпускного контроля аппаратуры, для чего для каждого уровня (ЭРИ, микромодули (узлы), блоки, модули) и, наконец, САУ в целом создается специальная контрольно-испытательная аппаратура (КИА).

Возвращаясь к началу пирамиды, отметим, что при выборе решений сразу закладывается «контролепригодность» на всех уровнях, и, если есть необходимость и возможность, в аппаратуру вносится избыточность (дополнительное оборудование) для контроля (в простейшем случае это могут быть технологические выходы (разъемы), на которые поступают сигналы с промежуточных связей соответствующего прибора). В объеме испытаний при ПСИ присутствуют не только проверки в нормальных условиях, но работа проверяется в расширенном диапазоне климатических и механических воздействий. Нормы выбираются таким образом, чтобы испытания не носили разрушающего характера. По этой причине при ПСИ не проводят прямых испытаний на радиационную стойкость и механические воздействия, выходящие за пределы механической прочности РЭА. Уровень прочности определяется при ЛОИа.

Для выявления скрытых (потенциальных) дефектов параметрического характера проводят испытания в диапазоне изменения температур и напряжений питания прибора.

Выпускные испытания делятся на два этапа:

• — заводские, когда проверка идет в процессе производства на рабочих местах;
• — предъявительские, когда приемку (испытания) ведет представитель отдела технического контроля (ОТК) или представитель заказчика (ПЗ).

Таким образом, испытания проходят в три стадии: заводские, приемо-сдаточные ОТК (ПСИ_0ТК) и приемо-сдаточные ПЗ (ПСИ_пз).

Каждый прибор в качестве финальной операции ПСИ проходит проверку в составе комплекса аппаратуры САУ, для чего создаются специальные стенды со своей контрольно-испытательной аппаратурой (КИА_сду).

По результатам выявления дефекта на любом этапе ПСИ проводится анализ причин возникновения дефекта и вырабатываются мероприятия, направленные на их устранение. Это может быть доработка КД, изменение техпроцессов сборки, обучение (переподготовка производственного персонала).

При повторяющихся дефектах какого-либо типа ЭРИ разрабатываются мероприятия по устранению дефектов, выявленных в данном типе ЭРИ (серии ЭРИ); при неэффективности мер по повышению качества ЭРИ может быть проведена радикальная переработка КД, направленная на замену данного типа ЭРИ за счет изменения схемы электрической или переход на аналог, выпускаемый другой фирмой (предприятием).

Как уже отмечалось, эти принципы являются основой обеспечения надежности. Учитывая существенное влияние температуры окружающей среды на параметры ЭРИ, при конструировании вводят меры по обеспечению теплоотвода от тепловыделяющих элементов, что особенно важно, например, для источников вторичного электропитания. Простейшим решением является пассивный теплоотвод, который обеспечивается введением массивных металлических оснований (радиаторов) для установки ЭРИ.

Учитывая отсутствие в невесомости конвекции для сброса тепла, необходимо обеспечить непрерывный тепловой контакт радиаторов с холодной массой, которой может быть металлическая плита, выходящая на теневую сторону КА (так называемый кондуктивный теплоотвод за счет соединений металлических деталей конструкции).

Кроме пассивного теплоотвода может быть активный. В простейшем случае это установка вентиляторов, создающих принудительную циркуляцию воздуха и перенос тепла от теплонагруженных узлов и блоков к более холодным, т. е. выравнивание температуры по всей массе приборов САУ и массе конструкционных (крепежных) элементов приборного отсека. В ряде аппаратуры вводят устройства охлаждения, основанные на эффекте Пелье, суть которого состоит в том, что на границе соединения двух металлов за счет контактной разности потенциалов возникает разделение на «холодные» с малой энергией и «теплые» носители заряда, причем последние при приложении разности потенциалов к концам металлов будут уноситься от места спая, вызывая его охлаждение. Этот метод широко используется в оптикоэлектронных приборах. Примером является установка фотоприемной

ПЗС-матрицы аппаратуры астронавигации на холодное основание. Без холодильника уровень шумов в ПЗС-приборах таков, что делает их практически неработоспособными.

Более радикальной и затратной является установка прямых холодильных установок (компрессоров с прокачкой охлаждающей жидкости, например 40 %-го водного раствора этилового спирта, через систему охлаждения и радиаторы).

Для некоторых узлов, например кварцевых задающих генераторов (КЗГ), не столько важна низкая температура, сколько ее стабильность. Поэтому КЗГ часто помещают в термостат, имеющий подогрев, периодическое включение которого обеспечивает поддержание температуры в узком диапазоне. Это позволяет получить требуемую точность счета реального времени или просто стабильность частоты, которая требуется для работы некоторых узлов приборов.

Кроме температурных комфортных условий надежная работа РЭА связана с нейтрализацией механических воздействий. В частности, для исключения влияния вибраций приборов к конструкции объекта их прикрепляют через амортизаторы.

Для защиты от внешних электромагнитных излучений вводят экранирование, для чего приборы помещают в металлический корпус. Как уже отмечалось, экраны можно вводить для защиты от ИИ, хотя последнее решение достаточно «дорого» по массе или объемам РЭА САУ и не всегда приемлемо, так как минимизация массы и габаритов РЭА для изделий РКТ является одним из базовых требований.

В связи с жесткими ограничениями на габаритно-массовые характеристики (ГМХ) РЭА введение внешних экранов всегда проблематично, поэтому принимают конструкторские решения на уровне блоков, которые делают с необходимым уровнем механической прочности, например печатные платы наклеивают на металлический корпус, что дополнительно обеспечивает отвод тепла от ЭРИ.

Таким образом, конструкторские решения играют важную роль в обеспечение надежной работы РЭА.

Для повышения устойчивости к внешним ЭМИ, кроме внешнего экранирования, разводку цепей на печатных платах и конструкцию кабелей связи выполняют таким образом, чтобы минимизировать эффект «приемной антенны» (например, отсутствие свободных, т. е. неподключенных к выходу передатчика (источника сигнала) цепей, установка фильтров в цепи, подверженные внешним наводкам).

Для обеспечения устойчивости к ИИ проводят тщательный выбор комплектующих ЭРИ (см. рис. 7.1) и материалов конструкции (особенно изолирующих), вводят так называемое «теневое» экранирование, когда более чувствительные приборы, например БУВК или БИНС, помещают в «тени» элементов конструкции массивных приборов. Примером таких экранирующих приборов являются химические источники тока (ХИТ), т. е. ампульная батарея, аккумуляторы.

Рис. 7.1. Градация ЭРИ по уровням стойкости к ИИ

«Теневой» эффект может дать релейный коммутационный прибор, имеющий большую массу реле, устойчивых по своей природе к ИИ, особенно к импульсному.

От пассивных мер повышения надежности (снижение температуры, амортизация, экранирование) можно переходить к структурным методам. На примере БУВК одной из САУ PH рассмотрим структурные методы повышения надежности. В первую очередь это резервирование. Структура многомашинного резервированного БУВК приведена на рис. 7.2.

В рассматриваемом БУВК к общей трехканальной магистрали подключены п вычислительных машин (ВМ). В начальный момент за каждой из ВМ закреплен определенный круг задач. Например, за ВМ1 — задачи стабилизации и расчет параметров движения по информации, поступающей с датчиков подсистемы инерциальной навигации. За ВМ2 и ВМЗ могут быть закреплены задачи обработки информации подсистемы спутниковой коррекции (ПСК), за ВМ4 и ВМ5 — задачи обработки информации подсистемы оптической коррекции. ВМл — свободная машина, которая при отказе любой из ВМ с первой по пятую может взять на себя решение их задач.

Рис. 7.2. Структура многомашинного магистрально-модульного УВК 60

В данном примере мы имеем случай ненагруженного скользящего резерва. Очевидно, что с точки зрения затрат оборудования вариант системы со скользящим резервом предпочтительнее варианта с дублированием каждой из вычислительных машин (ВМ1, ВМ2, ВМЗ, ВМ4 и ВМ5). Для обеспечения подключения резервной ВМ к решению задач отказавшей магистрали подключено общесистемное запоминающее устройство, в которое каждая из ВМ производит циклический «сброс» информации, необходимой для восстановления вычислительного процесса при подключении другой ВМ к решению данной задачи. Принцип формирования резервных массивов информации представлен на рис. 7.3.

|РЕЗ|-1

I

PE3i

Рис. 7.3. Формирование резервных массивов информации

В магистрально-модульной структуре легко может быть реализовано горячее резервирование, для чего возможно объединение ВМ в тройки, которые синхронно решают одну и ту же задачу. Сравнивая циклическую информацию (результаты решения промежуточных задач) трех машин между собой, всегда

Проектирование аппаратуры систем автоматического управления _______________для работы в экстремальных условиях_______________ можно определить ВМ, дающую результат, отличающийся от результатов, рассчитанных двумя другими ВМ.

В этом случае результаты расчета отличающейся (неисправной) ВМ не используются, а берутся расчетные данные одной из двух исправных ВМ, а забракованная машина переводится в режим восстановления путем записи в ее память массивов из памяти правильно работающей.

Как отмечалось ранее, в такой структуре возможно перераспределение задач с назначением любой ВМ или в режим резервного счета с другими, или в режим решения самостоятельной задачи. Такой принцип резервирования требует тщательной совместной работы разработчиков алгоритмов управления, разработчиков УВК и программистов, создающих системные программы, организующие взаимодействие ВМ между собой, а также все обмены по магистрали, включая задачи контроля передачи данных. При таком подходе осуществляется переход от фиксированной структуры УВК к вычислительной системе, адаптивной к отказам и вычислительным перегрузкам.

Адаптация обеспечивается перераспределением вычислительных ресурсов операционной системой. Непосредственное решение задач перераспределения ресурсов в режиме управления изделием требует значительных (не менее 30 %) затрат времени и неприемлемо для систем, работающих в реальном масштабе времени.

Для БВК, как правило, определен состав обязательных (основных) и дополнительных задач на каждом участке работы. Оптимальное распределение ресурсов может быть найдено заранее и введено в память ЭВМ как табличные данные для работы операционной системы.

При подготовке таблиц распределений в качестве критерия оптимальности использована целевая функция технической эффективности, представляющая собой вероятность выполнения задания системой управления и включающая характеристики как решаемых задач, так и надежности аппаратуры. 62

Если дополнительные задачи вносят аддитивный (по мере их добавления) вклад в общую вероятность выполнения задания системой, то функция технической эффективности B(Jf) будет иметь вид: запоминающее устройство информации из правильно работающей машины.

Для решения задачи оптимального распределения ресурсов в процессе полета необходимо решать задачу максимизации функции технической эффективности:

5(T)=fi₀(x₀)(l + Xn,/’(x,))_>

/=1

где X = (х₀, X',..., х_к) — вектор распределения машин по задачам; ^о(^хо) ~ вероятность выполнения задания при решении основных задач;

х₀ — количество машин, решающих основные задачи;

х,. — количество машин, решающих z-ю задачу;

т|. — вклад z-ой задачи в общую вероятность выполнения задания, т. е. весомость задачи;

Р. (х) — вероятность безотказной работы группы вычислительных машин;

к — количество дополнительных задач.

Оптимальным будет распределение X*, для которого

В(Х*) = шах В(Х)

Ys‘-^N 1=0

Здесь N — количество вычислительных машин, которые могут быть установлены без нарушения ограничений на массу и габариты аппаратуры.

Данная задача может быть решена градиентными методами, недостатком которых является необходимость проверки результата на то, что найден глобальный максимум. Рассмотрим модификацию метода динамического программирования, применение которого исключает получение локальных максимумов.

Нахождение оптимального распределения необходимо для дополнительных задач, так как основные задачи (управление и стабилизация) могут быть представлены как одна обобщенная. При поиске оптимума методом динамического программирования требуется получить рекуррентное соотношение. С этой целью формулировка задачи оптимизации представлена в виде:

к

max B(x_Q,...,x_k) = max Хч,^(х,) •

^^Xi-N

i=0 <=0

Для рассматриваемого случая

к max _х max {_л max В(х,.)} =

i=0 i=0

к

= max {п*Л(х*)+ max

Введем функцию: тогда это соотношение можно переписать в виде:

AW= max A^W + f^N-x,)}

Хь — U,1,Z,...S/V

Полученная формула является рекуррентной и позволяет найти оптимальное распределение вычислительных ресурсов методом динамического программирования.

Особенностью предложенного метода является то, что решаться могут не все задачи. Часть задач, имеющих меньшие вероятности, может быть не поставлена на решение. Все задачи можно упорядочить в соответствии с их весомостями: > Г|₂ > Г|₃ >... > т]_г

Так как величины ц. являются независимыми, то любые две задачи можно заменить эквивалентной. Для распределения ресурсов в процессе работы можно использовать модификацию метода динамического программирования [13], которая позволяет последовательно, по шагам, снижать размерность. Объединяя две любые задачи на первом шаге можно сократить число задач от к до {к — 1), на втором — до (к — 2) и т. д. При упорядоченных весомостях т|. > т| _/+1 объединение целесообразно начинать с младших номеров.

Алгоритм поиска оптимального распределения следующий.

• 1. Для первой и второй задач строится матрица эквивалентных эффективностей Р_|(х₁,х₂) = т|₁^(х₁)+г|₂Р₂(х₂) = 'г|*Р*(х_|+х₂). Элементы матрицы В _f (х₍ ,х₂) являются композицией весомостей этихзадач и вероятностей безотказной работы групп ВМ, обеспе-чивающихихрешение,повсем возможным 3Ha4eHnaMXjHx₂ при х₁ + х₂ < N. Получаем матрицу значений В, (Xj + х₂). Введем обозначение: к_х = х, + х₂.
• 2. В полученной матрице выбирается доминирующая последовательность из всех возможных значений Е_х (к_х) и составляется вектор Bj* (к_х) для к_х = 1,2,..., N.
• 3. Строится матрица значений для второй эквивалентной задачи г|₂*, которая образуется компонентой третьей задачи ц₃ и первой эквивалентной задачи r| j*. Элементами матрицы будут значения r|₂* Р (к₂), где к₂ = к_х+ х_у
• 4. В полученной матрице выбирается доминирующая последовательность для к₂ = 1, 2,..., N.
• 5. Процесс продолжается до включения последней задачи или до момента, когда включение новой задачи практически не дает приращения технической эффективности.

Полученные расчетами на инструментальных ЭВМ с использованием имитационного моделирования для расчета оценок вероятностей безотказной работы аппаратуры (Р (х)) оптимальные распределения вводятся в память БЦВС в виде таблиц, с которыми в основном режиме работает бортовая операционная система.

Для организации обмена с внешними подсистемами по ГОСТ 52070—2003 в состав БУВК введены модули каналов обмена. Эти модули, в отличие от ВМ, дублированы для каждого направления, т. е. для каждой подсистемы. Дублирования каналов обмена достаточно для демпфирования возникновения неисправности в рабочем модуле, отказы в работе канала обмена достаточно просто обнаруживаются как факт непро-хождения обмена с периферийной подсистемой. При обмене массивами по магистрали может быть организован высокоэффективный контроль правильности передачи — все массивы, приготовленные к передаче, охватываются контрольной суммой (А^), рассчитанной по двойной шкале относительно разрядности передаваемых слов. Так, например, при передаче 16-разрядных слов сумма записывается как 32-разрядное слово, т. е. два 16-разрядных, которые присоединены к передаваемому массиву и расположены строго в определенном месте, например два первых или два последних слова.

В случае нарушения логики обмена или искажения данных, обнаруженных по К^, данное взаимодействие (обмен) повторяется каналом обмена. В случае повторения ошибки к взаимодействию подключают второй (резервный) канал обмена. Дублирование в данном случае оправдано, так как дает незначительное увеличение оборудования в силу того, что контроль осуществляется не аппаратурными, а программными средствами: канал обмена — вполне «интеллектуальное» вычислительное устройство, содержащее собственный процессор с памятью программ и данных.

В качестве примера повышения надежности рассмотрим резервирование релейных команд, выдаваемых УВК. Пусть, например, требуется создать цепь передачи (связи) шины А и В. Подключение шины А к шине В может потребоваться, например, при подаче питания на какое-то устройство от источника питания, выход которого является шиной А, а вход питания устройства — шиной В, если поставить реле, которое замыканием своего контакта подключит питание от шины А ко входу шины В (рис. 7.4).

Рис. 7.4. Пример коммутации шины питания

В случае отказа такого реле команда на включение питания не выполнится, и устройство останется обесточенным, т. е. неработоспособным. В результате этого будет неработоспособна САУ в целом.

В таких случаях прибегают к резервированию реле и их контактов по принципу 2 из 3-х, что предполагает установку дополнительно к рабочему двух резервных, причем контакты соединяют таким образом, что исключается ложное срабатывание. Для этого делают три параллельных цепи, в каждой из которых последовательно соединены контакты двух разных реле, т. е. образуются пары трех реле (Pl, Р2, РЗ) следующим образом (рис. 7.5).

Рис. 7.5. Пример трехканального резервирования реле с организацией выборки 2 из 3-х на контактах реле

Описанный принцип хорошо зарекомендовал себя на практике, так как обеспечивается достаточно надежное подключение, есть три параллельные цепи и в то же время исключено ложное срабатывание при ошибке в работе одного из реле, которая вполне может возникнуть при механических воздействиях.

Если на контактах реле принцип мажоритации (т. е. выбора большинства, например, 2 из 3-х) решается относительно просто, то резервирование вычислительных машин таким способом представляет определенные трудности. Тем не менее, первые УВК до середины 60-х годов строились именно по этому принципу, для чего устанавливались три синхронно и синфазно работающие вычислительные машины. Причем необходимость именно синхронности и синфазности создавала серьезные проблемы, так как требовался единый задающий генератор — источник формирования синхросигналов (тактирующих синхроимпульсов). Естественно, что отказ такого задающего генератора делал неработоспособным УВК в целом. Эта серьезная техническая задача была решена достаточно удачно к началу 70-х годов (в 1968—1969 гг.).

При установке трех вычислительных машин их выходная информация, передаваемая на ЦАП и далее на исполнительные устройства объекта управления, подвергалась мажоритации, для чего в состав УВК вводится специальный узел — задающий генератор (ЗГ), обеспечивающий синхронную и синфазную работу каналов резерва. Слабым местом такой структуры (рис. 7.6) является не только генератор, но и узел мажоритации (УМ), на выходе которого собираются сигналы трех независимых цифровых вычислительных машин (ЦВМ), что может приводить к взаимной блокировке при определенных видах неисправностей в УМ.

Несмотря на значительную (двукратную) избыточность (необходимо вместо одной ЦВМ ставить три и вводить общее оборудование — ЗГ и УМ), такой вид резервирования был достаточно распространен в САУ изделиями РКТ, так как обеспечивал принцип сохранения работоспособности САУ при возникновении одной неисправности в вычислительной машине.

Рис. 7.6. Структура резервированного БУ В К с мажоритацией выходных сигналов вычислительных машин

Очевидно, что в такой структуре после возникновения первой неисправности в одной из ЦВМ любая неисправность в любой из двух оставшихся ЦВМ приводила к отказу БУ В К, так как после возникновения первой неисправности вероят ность второго отказа становилась не независимой, а возрастала потому, что отказ мог возникнуть в любой из двух ЦВМ, а это по сравнению с интенсивностью отказов одной ЦВМ приводило к возрастанию интенсивности отказа в 2 раза.

По мере получения опыта работы со структурами с выборкой «2 из 3-х» был сделан следующий шаг по совершенствованию резервирования БУВК, а именно переход в трехканальной структуре от системы с узлом мажоритации к системе с переключением каналов (ПК) по результатам контроля выходной информации схемой сравнения (СС). Структура такой системы представлена на рис. 7.7.

Рис. 7.7. Структура троированного У В К. с переключением выходной информации ВМ по результатам контроля схемой сравнения

Введем обозначения машин по кольцу следующим образом: при отказе ВМ1 к выходу подключается ВМ2; при отказе ВМ2 подключается ВМЗ; при отказе ВМЗ подключается ВМ1. Условно порядок переключения показан на рис. 7.8.

Рис. 7.8. Порядок переключения резерва ВМ

Обозначим ВМ1 через ВМ., тогда ВМ2 — ВМ._+р а ВМЗ — ВМ. , т. е. при присвоении индекса iлюбой ВМ предыдущая по кольцу будет ВМ. , последующая по кольцу переключения — ВМ.₊₁, При обозначении выходной информации ВМ через U., U._+v U.! запишем в терминах булевой логики описание работы УМ:

^вих.ум = [(tCi AiA,)v(a, л^,)у(а_/+, лс/,..,)] v

где U. — выходная информация ВМ.;

U_t — инверсная выходная информация ВМ.;

^вых ум ^— выходная информация УВК после блока мажоритарной выборки (узла мажоритации);

а — логическое «И», v — логическое «ИЛИ».

Приведем логическую формулу схемы сравнения, вырабатывающей сигнал неисправности z-ой ВМ при несовпадении ее информации с двумя другими. Обозначим сигнал неисправности ВМ. через Я, тогда

Н, = [(U_M ли,.,)vU,]

Выявить вторую отказавшую ВМ в этом случае нельзя, так как нет критерия достоверности, а именно — совпадения сигналов двух ВМ, хотя сам факт возникновения отказа в одной из двух оставшихся исправными ВМ может быть зафиксирован, но его нельзя использовать, так как нет диагностики с точностью до ВМ. В этом случае для диагностики второй отказавшей ВМ необходимы дополнительные критерии, например встроенные средства аппаратурного, оперативного контроля (СОК) или программно-логического контроля (например, сторожевой таймер). Очевидно, что отказ первой отказавшей ВМ диагностируется с вероятностью, практически равной «1», если не учитывать самой схемы сравнения, чем обычно пренебрегают в связи с малыми аппаратурными затратами на ее реализацию по сравнению с оборудованием ВМ. На практике эти затраты не превышают 10 % от аппаратуры ВМ.

Всегда возникает вопрос, есть ли необходимость переключаться на один канал в мажоритируемой структуре после появления первой неисправности, т. е. что выгоднее — оставить мажоритацию при наличии неисправности в одной из ВМ или провести переключение. Для принятия решения по выбору варианта резервирования целесообразно провести сравнение надежности этих вариантов по их вероятности безотказной работы (ВБР) на оставшемся интервале времени работы. Сравнение ВБР целесообразно заменить на сравнение вероятностей отказа, что предпочтительнее, так как можно просчитать, во сколько раз одна вероятность отказа больше (меньше) другой, что при сравнении с ВБР не будет таким наглядным, так как оба значения ВБР на практике близки к «1». Поэтому целесообразно вести сравнение через отношение вероятностей отказов.

На практике возникает вопрос, как сравнивать оценки надежности вариантов резервирования, если достоверные значения интенсивности отказов будут известны только по результатам эксплуатации, а решение необходимо принять на этапе разработки. Таким образом, возникает задача принятия решения в условиях неопределенности относительно интен-72

сивности отказов X (/). Обозначим суммарную интенсивность отказов УВК (т. е. всех ВМ и всех средств управления резервом (МЭ, ПК, СОК и т. д.)) через L_Q = 2 X. (/), где X. (/) — интенсивность отказов z-ro модуля (ВМ, или МЭ, или ПК, или СОК ит. д.).

Приведем формулу для расчета ВБР мажоритированной структуры при отказе одной из ВМ. Обозначим вероятность возникновения отказа УВК в целом через 0_увк (/), вероятности отказа одной ВМ — вм (Г), тогда

б_увк(0 = 1-Р(0,

«ВМ (0=1 -Р(0,

где Р (/) — вероятность безотказной работы УВК в целом до момента /;

р (/) — вероятность безотказной работы одной ВМ до момента t.

Для трех ВМ, подключенных к выходу через мажоритар, вероятность безотказной работы до момента t будет Р (Z) = = р³ + 3p²q, соответственно Q (/) = q³ + 3q²p, т. е. система работает правильно, если исправны все три ВМ, что отражается компонентом р³; система работает правильно, если отказала одна любая ВМ, а две остальные исправны, что отображает компонент 3p²q.

После возникновения отказа в одной из ВМ вероятность отказа системы при дальнейшей работе в оставшемся интервале т резко возрастает. Вероятность отказа в интервале т можно записать в виде Q (т) = 2-q (t), т. е. отказ любой из двух оставшихся исправными ВМ на момент t в интервале т приведет к отказу системы в целом. Мажоритированная система достаточно устойчива к одному отказу в интервале t, если на момент начала работы исправны все элементы, т. е. все три ВМ.

Если к моменту начала работы есть хоть одна неисправная ВМ, надежность системы на рабочем интервале невысока, так как вероятность того, что отказ возникнет в любой одной из двух исправных ВМ в два раза выше, чем вероятность отказа одной из ВМ.

Эта ситуация привела к созданию системы с переключением каналов перед началом работы, если обнаруживался отказ в одной из ВМ, так как в работу целесообразно отправить систему, где к выходу подключена одна исправная ВМ, а две другие не используются. Если отказ перед стартом в одной из ВМ обнаруживался с помощью средств КИА, которая проводит проверки САУ в целом и УВК в частности, то по командам КИА проводится переключение на исправную ВМ. Структура УВК с переключением каналов резерва ВМ приняла вид, представленный на рис. 7.9.

к ИО

Рис. 7.9. Структура трехканального УВК

с переключением каналов по сигналам, поступающим из КИА