интенсивность опасных отказов
где: dz(t) — условная вероятность опасного отказа за время dtпри безотказной работе за период (0,t);
средняя наработка до опасного отказа
параметр потока опасных отказов woп(f), представляющий отношение математического ожидания числа опасных отказов восстанавливаемой системы за произвольно малую наработку к значению этой наработки.
4. Способы передачи ответственных команд
Диспетчерское управление движением поездов сохраняется при любом состоянии комплекса устройств ДЦ. Однако при некоторых отказах в устройствах ЭЦ или АБ, контролирующих условия безопасности движения поездов, возникает необходимость в передаче по телемеханическому каналу ответственных приказов, условия исполнения которых не могут быть проверены отказавшими устройствами.
К таким командам относят: управление пригласительными сигналами; перевод стрелок без контроля состояния стрелочно-путевого участка; искусственное размыкание секций; аварийная смена направления движения на перегоне; другие подобные команды вспомогательного режима управления.
При передаче любой команды под воздействием искажающих факторов могут происходить следующие события:
подавление команды с условной средней вероятностью
где: Pi— вероятность передачи i-гo из М сообщений; Pi0— вероятность подавления i-го сообщения.
Трансформация одной команды в другую с условной средней вероятностью
где:
— вероятность трансформации i-го сообщения в j-e.С позиций безопасности угрозу представляет трансформация любой команды в ответственную или одной ответственной в другую.
При независимых ошибках такая вероятность может быть определена по выражению Бернулли
где: k— число переходов 0→1; q— число переходов 1→0;l — число нулевых символов; т— число единичных символов.
Для ответственных команд недопустима также возможность их возникновения при отсутствии передачи из помех или отказа аппаратуры.
Вероятность возникновения ложной команды из помех может оцениваться как
Таким образом, при передаче ответственных команд необходимо исключать ложные команды с требуемой вероятностью
где: Роо — вероятность опасного отказа системы.
Требуемая защита от трансформаций и возникновения команд из помех может достигаться использованием известных помехоустойчивых методов передачи информации.
Наибольшие технические трудности представляет выбор защитных мероприятий от опасного отказа аппаратуры при передаче ответственных команд.
Безопасность передачи можно обеспечить в следующих случаях:
система ТУ-ТС в момент передачи исправна и функционирует по установленному алгоритму;
система ТУ-ТС при любом отказе переходит в защитное состояние, т.е. является несимметричной по состояниям на выходах системы в случае отказа. Это означает несопоставимые вероятности между состояниями выходов «включено» и «выключено».
Системы ДЦ, находящиеся в эксплуатации на железнодорожном транспорте, предусматривают передачу ответственных команд с проверкой исправного состояния устройств. Это относится к системам с аппаратной реализацией функций и компьютерным реализациям.
Обеспечение необходимого уровня безопасности движения достигается соблюдением следующих правил:
решение о возможности передачи ответственной команды принимается двумя лицами (диспетчером участка и старшим диспетчером);
посылка ответственной команды возможна только при одновременных согласованных действиях двух лиц;
передача команды осуществляется в два этапа;
на первом этапе посылается предварительная команда с целью проверки исправного состояния устройств и их функционирования по установленному алгоритму с правильной адресацией;
при исправном состоянии устройств прямого и обратного каналов посылается исполнительная команда в тот же адрес;
при правильном приеме исполнительной команды в установленное предварительной командой время ожидания проводится их совместная реализация.
Однако для передачи ответственных команд имеются схемные решения, обеспечивающие и несимметричность по отказам.
Так, на дискретных компонентах по специальным правилам была выполнена бесконтактная система телемеханики с распределительным методом селекции ЦРС (1969 г.).
В системе ЦРС при отказе типа «обрыв» или «короткое замыкание» любого компонента происходил переход системы в защитное состояние. Достигалось это соблюдением следующих принципов схемотехники:
все бесконтактные элементы функционируют в циклическом режиме с временем цикла существенно меньшим времени реакции исполнительных реле ЭЦ;
в каждом цикле функционирования каждый элемент переводится из одного устойчивого состояния в другое и обратно, чем подтверждается его работоспособность;
при отказе любого компонента функциональный элемент или узел переходит в устойчивое состояние;
функциональные узлы гальванически разделены и их взаимодействие проводится не потенциальными, а импульсными сигналами;
для защиты от случайных переходов элементов из одного состояния в другое при воздействии помех или отказе состояния выходов системы меняются только по определенной накопленнойсовокупности цикловых сигналов. Выбором времени накопления достигается требуемая вероятность ошибки на выходе системы.
С переводом системы на интегральные схемные компоненты принципы достижения несимметричности по отказам на выходах остаются такими же.
Система передачи ответственных команд (СПОК) является примером обеспечения безопасности движения в ДЦ за счет дополнительной аппаратуры, выполненной с учетом принципов достижения несимметричности по отказам на выходах системы при использовании программируемых элементов компьютерной техники с симметричными отказами.
Использована в СПОК известная двухканальная структура с последующим сравнением результатов вычислительных каналов (ВК) аппаратной схемы с несимметричными отказами и релейным интерфейсом с исполнительными устройствами ЭЦ.
Два независимых ВК со сравнением результатов ифоновым тестированием позволяют обнаруживать независимые отказы и исключать возможность их накопления переводом системы в защитное состояние.
Поскольку СПОК является дополнением к любой компьютерной системе ДЦ, то общими являются АРМ ДНЦ и каналообразующие средства.
Для ответственных команд на пульте ДНЦ предусматриваются специальные кнопки, опрашиваемые независимыми контроллерами 1 и 2 (рис. 14). При несовпадении результатов сравнения состояния кнопок происходит отключение центрального устройства схемой контроля контактами реле первого класса надежности и включаются световая и звуковая сигнализации отказа. То же самое происходит при несовпадении результатов приема информациис ЛП из-за неисправности или помех.
Для защиты отложных команд в СПОК предусмотрено помехоустойчивое кодирование с большим кодовым расстоянием между разрешенными комбинациями и двукратная передача команды спроверкой исправного состояния прямого и обратного трактов передачи по следующему алгоритму.
1. Предварительная команда, одинаково принятая на ЛП контроллерами 1 и 2, подтверждается передачей с ЛП на ЦПквитирующего сообщения.
2. При одинаковом приеме этого сообщения на ЦП обоими контроллерами формируется команда запуска исполнения наЛП.
Одинаково принятая на ЛП контроллерами 1 и 2 команда запуска реализуется через безопасный интерфейс устройствами ЭЦ.
Для контроля исправного состояния СПОК при отсутствии ответственных команд проводится периодическое тестирование устройств.
Для контроля исполнения ответственных команд на АРМ ДНЦ обычная индикация системы ДЦ дополняется еще индикацией со стороны средств СПОК.