РАЗДЕЛ 2
РАЗРАБОТКА МОДЕЛЕЙ ОЦЕНКИ НАДЕЖНОСТИ И ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННО-УПРАВЛЯЮЩИХ СИСТЕМ С УЧЕТОМ ОШИБОК КОНТРОЛЯ
2.1. Модель состояний ИУС
Построим общую модель ИУС, учитывая, что в работе исследуются системы, поддерживающие безопасность комплекса в целом (например, системы аварийной защиты). Тогда можно считать, что ИУС содержит устройство (подсистему) контроля (УК), идентифицирующие состояние объекта контроля и управления (ОКУ), и устройство (подсистему) управления (УУ), переводящее его при необходимости в безопасное состояние (рис. 2.1). Между УК, УУ и ОКУ осуществляется обмен информацией.
Рис. 2.1. Общая модель ИУС
Общую модель ИУС целесообразно дополнить компонентной схемой (рис. 2.2). Ядром ИУС являются программно-технические комплексы (ПТК), включающие в себя технические средства (ТС) и программное обеспечение (ПО). Кроме ПТК, ИУС также включает датчики (входят в состав УК) и исполнительные механизмы (входят в состав УУ).
Отметим, что выполнение функция контроля и управления может поддерживаться оператором (на рис. 2.1, 2.2 не показан), поскольку он может принимать решение в зависимости от состояния системы.
Множество состояний MS, в которых может находиться любая система, определяется в соответствии с [12, 13] и включает:
Рис. 2.2. Компонентная схема ИУС
MS = {SИ, MSНИР =, MSЧР=,
MSНРБ =, MSНРО =} , (2.1)
где SИ - исправное состояние;
MSНИР, MSЧР, MSНРБ, MSНРО - множества неисправных работоспособных, частично работоспособных, неработоспособных безопасных и опасных состояний соответственно, для любых пар различных элементов, для которых справедливо S S= 0;
MSР = SИ МНИР, MSНР = MSНРБ MSНРО - множества работоспособных (полностью работоспособных) и неработоспособных (частично неработоспособных) состояний соответственно;
nНИР, nЧР, nНР - мощности соответствующих множеств.
Информация об истинном состоянии (ИС, Si), ОКУ I0 поступает в УК, которое формирует данные о распознанном состоянии (РС, ) объекта Ik, по которым УУ выдает управляющие сигналы Iu (рис. 2.1), определяющие его переход в устанавливаемое состояние (УС, ). Состояния , , , принадлежат множествам MS0, M0, M0 соответственно, которые идентичны по составу элементов и имеют равную мощность.
Каждое из этих множеств имеет также тупиковое состояние S (, , ), соответствующее ситуации, когда информация на выходах ОКУ, УК и УУ либо отсутствует, либо является неидентифицируемой с точки зрения возможных состояний этих средств, т.е.
MS0 = MS, M0 = M, M0 = M , (2.2)
где MS, M, M - множества допустимых состояний ОКУ, УК, УУ (т.е. состояний введенных при построении модели, исходя из множества допустимых отказов этих средств).
В рассматриваемом случае
Card MS0 Card M0 Card M0 . (2.3)
Это объясняется тем, что идентификация истинных состояний ОКУ может проходить с меньшей разрешающей способностью, достаточной для решения задачи контроля в данной системе, а подмножеству распознаваемых состояний может соответствовать одно устанавливаемое состояние.
Состояния из множеств MS0, M0, M0 изменяются во времени. Истинное состояние в момент времени t - (t) распознается в момент времени t+?k, т.е. распознанное состояние, формируемое УК - это состояние (t+?k). Устанавливаемое состояние формируется УУ в момент времени (t+?k+?u) - (t+?k+?u). В течение времени ?o происходит изменение состояния ОКУ. Цикл контроля и управления есть сумма времен:
Tку = ?k+?u+?o = +?kn +?o . (2.4)
При этом ?kn = ?k+?u должно быть не больше допустимого времени ?kuДОП.
Для объекта контроля и управления может быть выделено также множество потенциально опасных состояний MS= , из которых наиболее вероятен переход в одно из состояний ?M. Вероятность перехода может определяться качественным путем. Например, к потенциально опасным могут быть отнесены состояния, для которых существуют элементы, отказ которых ведет к переходу в опасное состояние. Элементы множества MS входят в подмножества множеств MS, MS, MS:
MS= MSMSMS , (2.5)
где MS= MS MS ;
MS= MSMS ;
MS= MSMS .
Графическая модель состояний ИУС представлена на рис. 2.3.
Таким образом, состоянием ИУС будем называть кортеж
(t) = <(t), (t+?k), (t+?k+?u)> , (2.6)
где (t)? MS0, (t+?k) ? MSk, (t+?k+?u) ? MSu.
Обычно:
. (2.7)
Устройства контроля и управления, как и объекты контроля и управления могут находиться в разных технических состояниях (исправном, неисправном, работоспособном, частично работоспособном, неработоспособном, безопасном и опасном), образующих множество MSk и MSu соответственно. Состояния SMSk и SMSu, так же как и состояния и , могут быть привязаны ко времени t+?k и t+?k+?u соответственно.
Рис. 2.3. Модель состояний ИУС
Следует подчеркнуть, что пары состояний и S( и S) взаимосвязаны, поскольку в случае отказа УК и/или УУ нарушается соответствие между состояниями SMS0 и ?M0(?M0 и ?M0).
Множество состояний ИУС MSs в момент времени t представляет собой декартово произведение множеств состояний объекта, устройства контроля и устройства управления:
MSs(t)=MS0(t) ? MSk(t+?k) ? MSu(t+?u) . (2.8)
Множество состояний системы образует, таким образом, трехмерное пространство состояний (рис. 2.4).
Рис. 2.4. Пространство состояний ИУС
Очевидно, что множества
MS(t)={}; (2.9)
MS(t)={, i=}; (2.10)
MS(t)={, i=} (2.11)
определяют исправное, неисправное работоспособные и частично работоспособные состояния ИУС. Совпадение индексов для элементов кортежей множеств MS(t) и MS(t) указывает на безошибочное функционирование УК и УУ.
В общем случае множество неисправных работоспособных состояний ИУС описывается выражением
MS=MS\ MS, (2.12)
где MS= {}, j=.
Аналогично, полное множество част