Публикация научных статей.
Вход на сайт
E-mail:
Пароль:
Запомнить
Регистрация/
Забыли пароль?
Международный научно-исследовательский журнал публикации ВАК
Научные направления
Поделиться:
Статья опубликована в №14 (октябрь) 2014
Разделы: Техника
Размещена 15.10.2014.

Исследование показателей безопасности систем МПЦ

Гужва Георгий Валентинович

Украинская государственная академия железнодорожного транспорта, г. Харьков

Студент

Кустов Виктор Федорович, кандидат технических наук, профессор кафедры «Автоматика и компьютерное телеуправление движением поездов» Украинской государственной академии железнодорожного транспорта (УкрГАЖТ)


Аннотация:
Статья посвящена проблеме замены релейных систем СЦБ на железнодорожном транспорте современными аналогами, а также приведен пример расчета показателей функциональной безопасности микропроцессорных систем централизации при различных структурных и качественных параметрах системы.


Abstract:
The article deals with the replacement of relay systems for railway signaling modern counterparts, as well as an example of calculating the functional safety of the centralization of microprocessor systems for various structural and qualitative parameters of the system.


Ключевые слова:
железная дорога; микропроцессорная централизация; резервирование; периодический контроль; функциональная безопасность

Keywords:
railroad; microprocessor centralization; redundancy; periodic monitoring; functional safety


УДК 62
Введение
Сегодня актуальной проблемой на магистральном и промышленном железнодорожном транспорте является замена релейных систем управления стрелками и сигналами более совершенными аналогами. Релейные системы железнодорожной автоматики и телемеханики, которые в настоящее время эксплуатируются на значительной части станций и перегонов железных дорог, не способны обеспечить выполнение всех современных требований. Большая часть этих систем была введена в эксплуатацию в 50 - 80 годах и к настоящему моменту морально и физически устарела [1]. В связи с естественным старением, существенно снизился уровень эксплуатационной готовности [2, 3] таких систем за счет увеличения интенсивности отказов.
Следует отметить, что любой отказ системы сигнализации, централизации и блокировки (СЦБ) на станции или перегоне может привести к значительным потерям, как финансовым (в самом легком случае – задержка поездов), так и человеческим (в случае, если отказ являлся «опасным» или же человеческий фактор привел к трагедии).
Кроме того, следует отметить, что к настоящему моменту значительно сокращено производство основного элемента релейных систем СЦБ – реле первого класса надежности, к тому же, их стоимость по сравнению с 80-ми годами выросла в несколько раз. В подобных условиях значительно усложняется формирование запаса сменных элементов и поддержка существующих систем в надлежащем состоянии: часто вышедшее из строя реле заменить новым невозможно по причине его отсутствия, а ремонт далеко не всегда возвращает элементу первоначальные характеристики. Строительство новых станций с использованием релейных систем СЦБ в этих условиях не представляется рентабельным.
Современные системы СЦБ построены на основе микроэлектронной техники. Это позволяет значительно сократить площади, которые требуются для размещения самой системы, а также значительно расширить функциональные возможности: в микропроцессорных системах централизации (МПЦ) есть возможность внедрения таких сервисных функций, как протоколирование оперативной поездной ситуации и действий обслуживающего персонала в реальном времени, самодиагностика системы, вывод информации с определенных контрольных точек на монитор электромеханика с рекомендациями касательно действий в той или иной ситуации, что повысит эксплуатационную готовность системы за счет уменьшения времени устранения отказов, и т.п.
Однако при разработке микропроцессорных систем автоматизации не следует забывать о том, что выполнение функции по обеспечению безопасности движения поездов в релейных системах достигалось за счет особенностей реле первого класса надежности. Эти реле являются элементами с так называемым несимметричным отказом: при неисправности или исчезновении нормативного входного воздействия эти элементы гарантированно будут находиться в определенном состоянии. В отличие от реле, транзисторы, которые являются основным компонентом микроэлектронной техники, являются элементами с симметричным отказом: спрогнозировать состояние транзистора в случае отказа невозможно. Таким образом, решать проблему безопасности при использовании МПЦ необходимо иными методами.

Таким образом, актуальность работы определяется существующей проблемой замены релейных систем управления движением поездов на микропроцессорные. Одна из основных проблем внедрения новых систем - доказательство их функциональной безопасности.
Цель работы: исследовать параметры функциональной безопасности микропроцессорных систем управления стрелками и сигналами.
Задача: на примере МПЦ станции Инженерная (г. Севастополь) исследовать влияние на функциональную безопасность системы таких факторов, как интенсивность опасных отказов, время периодического контроля, наличие резервирования.
Использованы методы исследования: аналитический, сравнения.

При проектировании МПЦ следует помнить основную концепцию безопасности устройств СЦБ: любой одиночный отказ не должен приводить к опасному отказу всей системы и должен быть обнаружен и устранен до того, как в системе наступит следующий отказ [1, 5].
Выполнение концепции безопасности в микропроцессорных системах достигается за счет избыточности системы: структурной и информационной. Однако тот факт, что система действительно обеспечивает безопасность движения поездов на должном уровне, требует проведения целого комплекса работ, направленных не только на определение безопасного функционирования системы во всех режимах работы, в том числе при воздействии различных мешающих факторов (например, при воздействии электромагнитных помех), но и на определение обеспечения должного уровня безотказности, так как любой «защитный» отказ может создать условия для «опасного» посредством недопустимого снижения функциональной безопасности системы централизации [4, 8].
В данной статье рассмотрено исследование показателей безопасности систем централизации на примере системы МПЦ станции Инженерная, разработанной ООО «НПП САТЭП».
Доказательство безопасности систем автоматики регламентируется методикой, которая распространяется на технические средства и комплексы технических средств управления, контроля и регулирования движения на железнодорожном транспорте (КТС). Методика устанавливает требования к КТС, отказы и повреждения которых могут привести к нарушению безопасности движения поездов, опасному влиянию на людей и окружающую среду, а также крупным материальным потерям [6].
Можно выделить такие основные методы доказательства безопасности:
- экспертных оценок;
- расчетный метод;
- расчетно-экспериментальный метод;
- экспериментальный метод.
Эти методы перечислены в порядке их применения на протяжении жизненного цикла системы [1, 9].
Экспертный метод позволяет приблизительно оценить функциональную безопасность системы с минимальными затратами времени и ресурсов. Этот метод обычно применяется на начальных этапах проектирования при отсутствии точных данных о параметрах безопасности и безотказности комплектующих элементов. В связи с недостаточной точностью оценки этот метод не может быть единственным доказательством безопасности функционирования системы, однако его применение необходимо, поскольку в ряде случаев экспертная оценка может показать ненужность применения других, более дорогостоящих методов исследования, и про необходимость доработки всей системы МПЦ. Выводы экспертов базируются на опыте разработки и эксплуатации аналогичных систем МПЦ и другой информации.
Расчетные методы используются разработчиками для обоснования предполагаемого уровня функциональной безопасности. При этом следует учитывать, что на разных этапах разработки системы результаты расчетов могут быть разными. Результаты расчетов являются основой для выбора той или иной резервированной структуры, а также обоснования мероприятий по диагностике программных и аппаратных средств системы. Для выполнения расчетного доказательства безопасности системы необходимо иметь точные данные о показателях безопасности компонентов системы, а также определить работоспособное, неработоспособное, защитное, опасное и неопасное состояние, а также все возможные опасные и защитные состояния системы. Расчет проводится на основании структурной или принципиальной схемы системы, а также структуры программных компонентов. Для удобства расчета составляются расчетно-логические схемы объекта (касательно защитных и опасных отказов расчет производится отдельно). При этом степень детализации системы может отличаться на разных этапах проектирования в зависимости от целей расчета. Кроме того, для определения показателей функциональной безопасности объектов составляют графы их состояний, по которым определяют вероятности пребывания объектов в каждом из состояний, а также вероятности безотказной и безопасной работы в целом. Общая методика расчета основана на принятии гипотезы про элементарный поток отказов объектов. Выполнение расчета требует соблюдения условий соблюдения стационарности потока отказов, отсутствия последействия (независимости отказов друг от друга) и ординарности (вероятность одновременного возникновения двух отказов равна нулю).
Расчетно-экспериментальный метод базируется на испытании отдельных элементов или блоков объекта, по которым отсутствует информация о показателях безопасности и безотказности.
Экспериментальный метод определения функциональной безопасности включает в себя имитационные испытания на машинных моделях, стендовые испытания исследуемой системы, испытания системы в условиях эксплуатации, а также сбор данных в процессе эксплуатации системы.
Таким образом, при безусловных преимуществах микроэлектронной техники, она имеет ряд особенностей, которые необходимо учитывать на всех стадиях разработки и эксплуатации системы. В первую очередь, проблемой при разработке является доказательство безопасности таких систем, а также обоснование достоверности результатов расчета и испытаний. Кроме того, следует помнить, что при внедрении и разработке систем МПЦ не следует ожидать снижения стоимости системы или энергопотребления. При меньшей цене элементной базы цена системы остаётся эквивалентной цене релейной системы, за счет расходов на разработку программного обеспечения и доказательство безопасности функционирования системы.
Как уже было сказано, в этой статье будет проведен расчет показателей безопасности системы ПМЦ станции Инженерная (г. Севастооль), что является одним из примеров применения расчетного метода доказательства безопасности.
Целью исследования показателей безопасности системы МПЦ является определение диапазона изменения интенсивностей опасных отказов и времени периодического контроля элементов системы и структурных изменений системы, при которых вероятность опасных отказов за каждый час работы отвечает требованиям 3-го и 4-го уровня функциональной безопасности [7].
 В состав исследуемой системы входит:
-автоматизированные рабочие места дежурного по станции (АРМ ДСП) - 2 шт;
-автоматизированное рабочее место электромеханика СЦБ (АРМ ШН) - 1 шт;
-сетевые коммутаторы D-Link - 2 шт;
-электронно-вычислительные машины зависимостей (ЭВМЗ) - 3 шт;
-контроллеры связи типа КСЗ / 1 - 24 шт .;
-стрелочные контроллеры типа МКСТ-ПТ - 23 шт;
-светофорные контроллеры типа МКСВ-М и МКСВ-П - 38 шт;
-контроллеры типа КЛС-2 - 10 шт;
-контроллеры путевых датчиков типа МКРД-1 - 124 шт;
Все элементы системы, кроме АРМ ШН и ЭВМЗ, объединены попарно в функциональные узлы с решающим элементом «И» для повышения функциональной безопасности системы. ЭВМЗ зарезервированы по мажоритарной схеме «два из трех». МКСТ-ПТ, МКСВ-М, МКСВ-П имеют на 1 плате по 2 контроллера, их резервирование также выполнено по схеме «И». АРМ ШН не резервируется, отказ этого элемента не приводит к отказу всей системы в целом: этот элемент предназначен только для оперативного диагностирования системы и протоколирование ее состояния и не принимает непосредственного участия в управлении движением поездов.
Поскольку отказ любого из функциональных узлов, кроме АРМ ШН, приведет к отказу всей системы в целом, соответствующая расчетно-логическая схема будет иметь вид:


Рис. 1 - РЛС ФБ исследуемой системы

Рис. 1 - РЛС ФБ исследуемой системы

При проведении расчета показателей безопасности необходимо оценить полноту и достоверность исходных данных, адекватность и точность используемых моделей, обоснованность допущений, принимаемых и зависимость от них полученных выводов и рекомендаций.
При определении показателей безопасности большинства систем и устройств железнодорожной автоматики и телемеханики (ЖАТ) можно считать, что время наработки до отказа распределено по экспоненциальному закону. Требования к точности и достоверности расчетов [9]:
- при использовании выбранного метода необходимо учитывать допущения и ограничения;
- учет отказов контрольных элементов;
- учет ошибок проектирования и изготовления;
- степень независимости отказов и сбоев в резервированных элементах изделий ЖАТ.
- требования к квалификации персонала, выполняющих расчеты и правила проверки результатов расчетов.
При расчетах сначала характеризуется используемая математическая модель.
Показатели функциональной безопасности определяются расчетным методом на основании справочных данных надежности устройств, входящих в состав системы управления, и соответствующих расчетных формул. Требования безотказности и функциональной безопасности определяются техническим заданием на разработку технических средств с учетом ГСТУ-4178.
Расчет проводится на базе структурной схемы объекта, спецификации его элементов согласно утвержденной методики доказательства функциональной безопасности [6].
Расчет функциональной безопасности МПЦ ведется с учетом следующих факторов и предположений:
-каждый уровень МПЦ состоит из одинаковых элементов (промышленных ЭВМ, контроллеров и т.д.), поэтому их интенсивность отказов одинакова (например, для ЭВМЗ: λн.ЭВМ1 = λн.ЭВМ2 = λн.ЭВМ3 = λн.ЭВМ);
-программное обеспечение каждой ЭВМ и каждого контроллера считается абсолютно безопасным (безопасность программного обеспечения доказывается исключительно на основе испытаний);
-все решающие элементы считаются абсолютно безопасными;
-в расчетах интенсивность отказов каждого канала любого функционального узла изменяется в пределах 10-9 ... 10-7 1 / ч;
-закон распределения опасных отказов элементов системы экспоненциальный.
- расчетное время эксплуатации системы 26 лет.
В начале исследования рассчитаем параметры безопасности для случая, когда резервирование и периодический контроль отсутствует.
 Рассчитаем количество часов эксплуатации для каждого года:

``Tech(Te)=Te*(366*0.25+365*0.75)*24 `                                                                               
                                                                                   
где Tech(Te) - количество часов работы системы;
Те - количество лет эксплуатации системы.
Для расчета вероятности опасного отказа всей системы необходимо определить вероятность безотказной работы и вероятность опасного отказа одного канала:

`P(Te,i)=exp[-1(lambda(i)*Tech(Te))]`                                                                                         

`Q(Te,i)=1-P(Te,i)`                                                                                                                   
где PTe, i - вероятность безотказной работы одного канала системы за каждый час работы при сроке эксплуатации Те и при данных условиях эксплуатации;
QTe, i - вероятность опасного отказа одного канала системы за каждый час работы при сроке эксплуатации Те и при данных условиях эксплуатации.
При отсутствии резервирования система управления повторяет существующие релейные системы. В этих условиях для нахождения вероятности опасного отказа достаточно перемножить вероятности безопасной работы каждого контроллера и полученный результат вычесть из единицы.

Рисунок 2 - Зависимость вероятности опасного отказа за каждый час системы при отсутствии резервирования
Рис.2  - Зависимость вероятности опасного отказа за каждый час работы системы при отсутствии резервирования

По результатам можно сделать вывод, что при отсутствии резервирования система не удовлетворяет никаким стандартам по безопасности систем управления.
При расчете параметров безопасности системы для условий нормального резервирования и отсутствия периодического контроля расчет вероятности опасного отказа для каждого функционального узла выполняется по первым двум формулам  для узлов с решающим элементом «И» и мажоритирующим решающим элементом соответственно. Расчет вероятности безотказной работы производится по второй паре формул.

`Q2x2(Te,i)=Q(Te,i)^2 `                                                                                                              

`Q2x3(Te,i)=3(Q(Te,i))^2-2(Q(Te,i))^3`                                                                              

`P2x2(Te,i)=1-Q2x2(Te,i)`                                                                                                   

`P2x3(Te,i)=1-Q2x3(Te,i) `                                                                                                   

где Q2x2(Te,i)- вероятность опасного отказа функционального узла с решающим элементом «И» за срок эксплуатации Те и при данных условиях эксплуатации;
Q2x3(Te,i)- вероятность опасного отказа функционального узла с мажоритирующим решающим элементом срока эксплуатации Те и при данных условиях эксплуатации;
P2x2(Te,i)- вероятность безотказной работы функционального узла с решающим элементом «И» за срок эксплуатации Те и при данных условиях эксплуатации;
P2x3(Te,i)- вероятность безотказной работы функционального узла с мажоритирующим решающим элементом срока эксплуатации Те и при данных условиях эксплуатации.
Вероятность безотказной работы системы, если ее расчетно-логическая схема является последовательной, в общем случае определяется перемножением вероятностей безотказной работы каждого элемента. Поэтому вероятность безотказной работы и опасного отказа данной системы определяется по формулам:
`Pob(Te,i)=(P2x2(Te,i))^142*P2x3(Te,i)` `Qob(Te,i)=1-Pob(Te,i)`                        (8) 
где Pob(Te,i)- вероятность безотказной работы системы за срок эксплуатации Те и при данных условиях эксплуатации;
Qob(Te,i)- вероятность опасного отказа системы срока эксплуатации Те и при данных условиях эксплуатации.
Рисунок 3 – Зависимость вероятности опасного отказа от времени

Рисунок 3 – Зависимость вероятности опасного отказа системы за каждый час работы от времени

По результатам расчетов  можно определить, что при максимальной интенсивности отказов одного канала функционального узла системы через 20 лет эксплуатации в условиях отсутствия периодического контроля вероятность опасного отказа системы составит 4 * 10-6 (откажет 4 * 10-2 из 10000 реализованных функций, или 4 из 1000000) при минимальной интенсивности отказов одного канала, и 4 * 10-2 (откажет 100 из 10000 функций) при использовании низкокачественной элементной базы.

Расчет при условии наличия периодического контроля проводится с учетом тех же исключений и допущений, однако добавляется ещё одно условие: время периодического контроля изменяется в пределах 10…10000 часов.

При таких условиях необходимо рассчитать интенсивности отказов для каждого функционального узла:

`lambda2x2(i)=2(lambda(i))^2*Tpk` 

` lambda2x3(i)=6(lambda(i))^2*Tpk `

Где λ2х2(i) - интенсивность отказов функционального узла с решающим элементом «И» при данных условиях эксплуатации при периоде контроля Tpk;

λ2х3(i) - интенсивность отказов функционального узла с мажоритирующим решающим элементом при данных условиях эксплуатации при периоде контроля Tpk.

Учитывая экспоненциальный закон распределения опасных отказов элементов системы, находим вероятности безотказной работы каждого функционального узла:

`P2x2(Te,i)=exp[-1(lambda2x2(i)*Tech(Te))]`

`P2x3(Te,i)=exp[-1(lambda2x2(i)*Tech(Te))]`

Далее расчет проводится аналогично предыдущим случаям.

Рисунок 4 - Худшие условия
Рис. 4 - Зависимость вероятности опасного отказа за каждый час работы системы при максимальной интенсивности опасных отказов и максимальном периоде контроля

Рисунок 5 - Лучшие условия
Рис. 5 - Зависимость вероятности опасного отказа за каждый час работы системы при минимальной интенсивности опасных отказов и минимальном периоде контроля


На рисунке 6 приведено сравнение зависимостей изменения вероятности опасного отказа в системе от времени для различных периодов контроля и средней интенсивности отказов. Из рисунка видно, что при изменении времени периодического контроля характер изменения вероятности не меняется, но меняются значения вероятности.

Рисунок 6 - СравнениеРис. 6 - Зависимость вероятности опасного отказа системы от времени периодического контроля

Предположим, что на каком-либо из этапов внедрения системы было исключено резервирование одного из функциональных узлов, который непосредственно участвует в управлении движением поездов на станции. В данном случае это функциональный узел контроллеров МКСТ-ПТ. Тогда формула для расчета общей вероятности безотказной работы системы имеет вид:

`Pob(Te,i)=(P(Te,i))^23*(P2x2(Te,i))^119*P2x3(Te,i)`

Далее расчет производится аналогично предыдущим случаям.

Рисунок 7 - Нет резервирования 1 узлаРис. 7 - Зависимость вероятности опасного отказа за каждый час работы при минимальной интенсивности отказов, минимальном периоде контроля и отсутствии резервирования одного из узлов

По результатам расчета видно, что отсутствие резервирования одного функционального узла приводит к резкому ухудшению параметров безопасности всей системы. В этом случае через 20 лет эксплуатации в условиях минимальной интенсивности отказов вероятность опасного отказа системы будет составлять примерно 5 * 10-3.

Следует отметить, что теоретически возможно не только «нерезервирование» одного из функциональных узлов, но и многоканальное резервирование одного или нескольких узлов, или всей системы в целом. Однако подобный метод обеспечения безопасности обычно на практике не применяется: ​​значительно возрастают капитальные вложения в строительство, система становится слишком громоздкой и аппаратно избыточной, возрастает сложность поддержания системы в исправном состоянии.

Выводы

Итак, по результатам теоретических исследований можно отметить:

1) Одноканальные системы на микроэлектронной элементной базе не удовлетворяют стандартам безопасности систем управления движением поездов.

2) Условия эксплуатации и элементная база прямо влияют на функциональную безопасность системы.

3) Время периодического контроля также влияет на функциональную безопасность, но эта зависимость является не линейной, а экспоненциальной.

4) При отсутствии резервирования одного из функциональных узлов функциональная безопасность системы резко ухудшается.

В заключение следует отметить, что недостатки аппаратуры возможно частично компенсировать за счет периодического контроля и наоборот, благодаря чему можно достичь необходимого уровня функциональной безопасности системы при удовлетворительных условиях материальных вложений. Возможно даже получить на порядки лучшие показатели, чем у релейных систем.

Библиографический список:

1. Сапожников В. В., Сапожников Вл. В., Гавзов Л. В. и др. Безопасность железнодорожной автоматики и телемеханики. Статистические данные, экспертные оценки и нормы безопасности // Автоматика, телемеханика и связь. – 1993. № 10.
2. ГСТУ 2860-94. Надёжность техники. Термины и определения. – Киев: Госстандарт Украины, 1995. – 91 с.
3. ГОСТ 27.002-89 «Надёжность в технике. Основные понятия. Термины и определения». – М.: Изд.-во стандартов, 1990. – 130с.
4. Сапожников В. В., Сапожников Вл. В., Талалаев В. И. Сертификация и доказательство безопасности систем железнодорожной автоматики. – М.: Транспорт, 1997. – 288 с.
5. ГСТУ 2863-94. Программа обеспечения надежности. Общие требования. – Киев: Госстандарт Украины, 1995. – 185с.
6. Методика доказательства функциональной безопасности комплексов управления и регулирования движения поездов. Утверждено приказом Государственной администрации железнодорожного транспорта Украины от 17.08.2001 р. № 452-Ц. – 106 с.
7. ГСТУ 4178. Комплексы технических средств систем управления и регулирования движения поездов. Функциональная безопасность и надежность. Требования и методы испытаний – Киев: Госпотребстандарт Украины, 2003. –32 с.
8. Методы построения безопасных микроэлектронных систем железнодорожной автоматики и телемеханики / Под ред. Вл.В. Сапожникова – М.: Транспорт, 1995. – 272 с.
9. ГСТУ 2862-94. Надёжность техники. Методы расчета показателей надежности. Общие требования– Киев: Госстандарт Украины, 1994. – 37с.




Рецензии:

15.10.2014, 13:22 Каменев Александр Юрьевич
Рецензия: Вопросы обеспечения безопасности движения поездов на станциях, реализуемые техническими средствами микропроцессорной централизации, остаются крайне актуальными на сегодняшний день. Исследование безопасности внедряемой системы является неотъемлемым этапом этого обеспечения. Статья оперирует вопросами применения аналитического метода исследования безопасности, с применением современного математического аппарата. Статья обдадает достаточно корректными выводами, основанными на анализе графических зависимостей, а следовательно - и элементами научной и технической новизны. Сатья имеет актуальное значение, рекомендуется к печати.



Комментарии пользователей:

Оставить комментарий


 
 

Вверх