Безопасногоэлемента.

Безопасныелогическиеэлементы:

ЛЭ

x y yимеет двасостояния:0 или1.

Исправныйлогический элементвыполняетдва перехода01,10.

Отказлогическогоэлементаприводиткложным(нефункциональным)переходам:

• ложныйпереход01

• ложныйпереход10.

Логические элементы,у которыхвероятностиложных (нефункциональных) переходовравнымеждусобойназываютсяэлементамиссимметричнымиотказами,остальные–снесимметричными.

В основе концепции безопасностирелейныхсистем ЖАТ лежит принцип использованиябезопасногоэлемента-реле,имеющегонесимметричнуюхарактеристикуотказов,т.е.принеисправностинаиболеевероятнымиявляютсяискажениятипа10,аискажения01маловероятны.Система строится в предположении, что эти отказы отсутствуют, а другие (необязательны одиночные) должны переводить ее в защитное состояние, т.е. используется стратегиябезопасногоповедения.

При построении микроэлектронных СЖАТ стратегия безопасного поведения применяетсясовместно со стратегией отказоустойчивости. Если при возникновении отказов система исчерпаларезервные возможности деградации и реконфигурации перестала быть отказоустойчивой, то припоявленииещеодногоотказаонадолжнанеобратимоперейтивзащитное(отключенноеотобъектовуправления)состояние.Концепциябезопасностивэтомслучаетакова:одиночныедефектыаппаратныхипрограммныхсредствнедолжныприводитькопаснымотказамидолжны обнаруживаться с заданной вероятностью при рабочих и тестовых воздействиях непозднее,чемвсистемевозникнетвторойдефект.

Одиночныйотказможетбытьзащитным,накоплениеотказовможетпривестикопасному

отказу.

Даннаяконцепциявыполняетсязасчетпримененияразнообразныхметодов.Эти

методыреализуютдвапутиповышениянадежности (рис.2):маскировкуиобнаружениеотказов.

Маскировкаотказовдаетвозможностьсистемеуправленияработатьправильноприналичии в ней некоторого числа неисправностей внутренних элементов(система не "чувствует"свои неисправности). Это свойство обеспечивается постоянным резервированием. Недостаткоммаскировки отказов является возможность накопления со временем внутренних неисправностей врезультатечегосистемапотеряет своирезервныеспособности.

Обнаружение отказов, наоборот, требует выявления возникающих неисправностейкакможнобыстрее.Этопозволяетлибовыключитьсистемуизработы,либоподключитьхолодный резерв (резервирование замещением).Обнаружение отказов достигается с помощьюприменения специальных контролирующих средств ("сторожей").Индикация о возникновениинеисправностейвэлементахилиблокахпозволяетвэтомслучаесущественноулучшитьпоказателиремонтопригодностисистем.Наибольшийэффектсточкизренияповышениябезотказности,безопасностииремонтопригодностиполучаютприодновременномприменении

принциповмаскировкииобнаруженияотказов,чтоиделаетсяприразработкебольшинствасовременных микроэлектронныхСЖАТ.

Внастоящеевремядлявсехразрабатываемыхсистемнановойэлементнойбазенеобходимопроводитьдоказательствобезопасности(рис.3).ДоказательствобезопасностисистемЖАТосуществляетсясцельюпроверкивыполненияфункцийпообеспечениюбезопасности системой и отдельными элементами и их соответствия задаваемымкачественным иколичественнымтребованиямбезопасности.

МетодыдоказательствабезопасностисистемиустройствЖАТвзависимостиотстадииихсоздания(этапразработки, испытаний илиэксплуатации)

• экспертныеметоды;

• расчетныеметоды;

• испытаниянамашинныхмоделях;

• стендовыеиспытания;

• испытаниясистемывусловияхэксплуатации;

- сборстатистических данных об отказах в процессе эксплуатации.Результатомданныхмероприятийявляетсядокумент"Доказательствобезопасности",

вкоторомвписьменной форме обосновывается,что устройство или системаявляютсябезопаснымивсоответствии снормативнымидокументами.

Документ"Доказательствобезопасности"являетсяобязательнымдляпроведениядальнейшейсертификации системиустройствСЖАТнабезопасность.

СбориобработкастатистическойинформацииобезопасностиСЖАТ(рис.3)проводится в течение всего жизненного цикла системы. С одной стороны, полученные данныеслужат для оценки надежности и безопасностиуже созданной системы, с другой стороны–служат исходными данными для определения требований по надежности и безопасности вновьразрабатываемых системЖАТ.