ВВЕДЕНИЕ
Міністерство освіти і науки України
Національний аерокосмічний університет ім. М.Є. Жуковського
“Харківський авіаційний інститут”
ТОКАРЄВ Віктор Іванович |
УДК 621.039: 681.5.09
МОДЕЛІ ТА МЕТОД ЗАБЕЗПЕЧЕННЯ НАДІЙНОСТІ
ІНФОРМАЦІЙНО-УПРАВЛЯЮЧИХ СИСТЕМ АЕС
З ВИКОРИСТАННЯМ БАГАТОВЕРСІЙНИХ ТЕХНОЛОГІЙ
05.13.06 – автоматизовані системи управління та
прогресивні інформаційні технології
АВТОРЕФЕРАТ
дисертації на здобуття наукового ступеня
кандидата технічних наук
Харків – 2005
Дисертацією є рукопис.
Робота виконана в Національному аерокосмічному університеті ім. М.Є. Жуковського "Харківський авіаційний інститут", Міністерство освіти і науки України.
Науковий керівник: | заслужений винахідник України,
доктор технічних наук, професор
Харченко Вячеслав Сергійович,
Національний аерокосмічний університет ім. М.Є. Жуковського "Харківський авіаційний інститут",
завідуючий кафедрою комп’ютерних систем і мереж.
Офіційні опоненти: | доктор технічних наук, професор
Фурман Ілля Олександрович,
Харківський національний технічний університет сільського господарства ім. Петра Василенка,
завідуючий кафедрою автоматизації та комп’ютерних технологій;
кандидат технічних наук, старший науковий співробітник
Виноградська Світлана Василівна,
Державний науково-технічний центр ядерної та радіаційної безпеки,
начальник лабораторії відділу аналізу безпеки управляючих та інформаційних систем АЕС, м. Київ.
Провідна установа: | Харківський Національний університет радіоелектроніки, кафедра автоматизації проектування обчислювальної техніки, Міністерство освіти і науки України, м. Харків.
Захист відбудеться “8” _квітня_ 2005 р. о _14_ годині на засіданні спеціалізованої вченої ради Д64.062.01 у Національному аерокосмічному університеті ім. М.Є. Жуковського "Харківський авіаційний інститут" за адресою: 61070, м. Харків, вул. Чкалова, 17, радіотехнічний корпус, ауд. 232.
З дисертацією можна ознайомитись у бібліотеці Національного аерокосмічного університету ім. М.Є. Жуковського "Харківський авіаційний інститут".
Автореферат розісланий “28” _лютого_ 2005 р.
Вчений секретар
спеціалізованої вченої ради ___________ М.О. Латкін
ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ
Актуальність теми дослідження. Серед потенційних техногенних джерел порушення глобальної безпеки одним з найбільш значимих є АЕС. Наслідки катастрофи на Чорнобильській АЕС 26 квітня 1986 року призвели до кардинальної зміни теоретичних і практичних підходів до забезпечення як безпеки АЕС, так і техногенної безпеки у цілому. При цьому під безпекою (англомовний термін safety) розуміють властивість системи, яка обумовлена здатністю досягати прийнятних рівнів ризику для здоров'я людей, бізнесу, майна або навколишнього середовища. Стосовно до технічних комплексів критичного використання (ТККВ) необхідно аналізувати й оцінювати їхню надійність і безпеку як комплексну властивість, оскільки безпека в першу чергу визначається відсутністю відмов, що можуть порушити нормальну експлуатацію ТККВ, тобто призвести до переходу в небезпечний стан (аварійний, критичний або граничний). Найбільш небезпечними є відмови із загальної причини (ВЗП), під якими маються на увазі відмови двох або більш компонентів системи, викликаних однією причиною.
Однією з основних сучасних тенденцій розвитку ТККВ є динамічно зростаюче за обсягом та сферами впровадження інформаційних технологій. Їхній бурхливий розвиток спричинив кардинальні зміни у розробці і виробництві інформаційно-управляючих систем (ІУС) АЕС. В даний час на ІУС покладені функції, що безпосередньо впливають на безпеку АЕС, найбільш важливою з яких є аварійний захист реакторної установки. Порушення виконання таких функцій може привести до аварій з різними за вагою наслідками.
Слід зазначити, що нові ІУС можуть, з одного боку, підвищити безпеку АЕС за рахунок впровадження більш сучасних і ефективних рішень, удосконалення процесів розробки й експлуатації, а з іншого, – викликати нові, не розглянуті раніше, дефіцити безпеки, які пов'язані зі специфічними особливостями ІУС та їхніх компонентів. Так, наприклад, частка відмов комп'ютерних систем ТККВ, обумовлених дефектами програмного забезпечення (ПЗ) постійно зростає і за різними оцінками складає від 20 до 80%.
У зв'язку з цим важливого значення набуває рішення питань, пов'язаних з розробкою методів створення ІУС, стійких до відмов технічних засобів (ТЗ) і ПЗ, у тому числі, і до ВЗП, а також з оцінкою надійності таких систем. Аналіз методів підвищення надійності ІУС показав, що найбільш діючим методом боротьби з ВЗП є застосування принципу N-версійного проектування (версійної надмірності), запропонованого А.Авіженісом та розвинутого потім у працях Ж._К. Лапрі, Б. Літтлвуда, Л. Стрижині, Ф. Саглієтті та інших.
Теоретичне обґрунтування багатоверсійних ІУС (БВС) для ТККВ, дослідження їх базових архітектур і елементів багатоверсійних технологій було проведено у роботах В.С. Харченка та його учнів. Багатоверсійна система була розглянута як надлишкова система, у якій резервні канали реалізуються з використанням різних програмно-апаратних версій. Однак, у відомих роботах не повною мірою вирішений ряд досить важливих питань, пов'язаних з:–
удосконаленням методів аналізу функціонування реальних БВС з урахуванням усієї множини збоїв і відмов їхніх компонент;–
розробкою моделей надійності одно- та багатоверсійних ІУС, які враховують збої ТЗ і ПЗ, відносні, групові й абсолютні дефекти та їхній вплив на відмови і збої БВС, а також дослідженням відповідних показників безвідмовності і готовності системи;–
розробкою методів оцінки і вибору варіантів одно- та багатоверсійних структур з урахуванням специфіки ІУС АЕС.
Тому, актуальною науковою задачею є розробка методів оцінки, забезпечення надійності та вибору структур інформаційно-управляючих систем, важливих для безпеки АЕС, з використанням багатоверсійних технологій.
Зв’язок роботи з науковими програмами, планами, темами. Дослідження виконувалися у Національному аерокосмічному університеті ім. М.Є.Жуковського “ХАІ” (м. Харків), а також у ЗАТ “Радій” (м. Кіровоград) у відповідності з державними планами НДР, програмами і договорами: –
“Розробка науково-методичних основ й інформаційних технологій оцінки та забезпечення відмовостійкості та безпеки комп'ютеризованих систем аерокосмічних комплексів, інших комплексів критичного застосування” (Національний Аерокосмічний університет ім. М.Є. Жуковського “ХАІ”, №Г503-42/2003, № U003502, 2003);–
“Інтегроване інструментальне середовище підтримки експертизи і незалежної верифікації програмного забезпечення систем критичного застосування” (Сертцентр АСУ Держцентрякості ДКЯРУ, наказ № 69 від 12.07.2002);–
“Розробка науково-методичного забезпечення відмовобезпеки цифрових систем контролю та керування АЕС при використанні програмованих ВІС”, шифр “Надійність –Д” (НПВМП “АСУ ХАІ”, Д2/2002, №0104U003502, 2003);–
Комплексною програмою модернізації та підвищення безпеки енергоблоків атомних станцій (розпорядження Кабінету міністрів України № 504-р від 29.08.2002 р.);–
Програмою проведення вузлової заміни підсистем АСУ ТП енергоблоків з ВВЕР-1000 та ВВЕР-440 на 2000-2010 рр.
Роль автора у зазначених науково-технічних програмах і НДР, у яких дисертант був безпосереднім виконавцем, полягає в розробці моделей, методів, інструментальних засобів моделювання, оцінки та вибору варіантів побудови ІУС при використанні багатоверсійних технологій.
Мета і задачі. Метою дисертаційної роботи є підвищення надійності інформаційно-управляючих систем, важливих для безпеки АЕС, на основі удосконалення методів оцінки і забезпечення стійкості до відмов апаратних і програмних засобів з використанням багатоверсійних технологій.
Для досягнення поставленої мети вирішуються такі задачі:
1) аналіз архітектур ІУС, важливих для безпеки АЕС, а також методів і засобів забезпечення надійності таких систем;
2) удосконалення моделей надійності одноверсійних структур ІУС;
3) розробка моделей надійності багатоверсійних структур ІУС;
4) удосконалення методу оцінки і вибору варіантів структур ІУС.
Об’єкт дослідження – процеси розробки і функціонування інформаційно-управляючих систем, важливих для безпеки АЕС та інших критичних галузей, в умовах збоїв і відмов їх засобів.
Предмет дослідження – моделі функціонування інформаційно-управляючих систем, важливих для безпеки АЕС, в умовах виникнення збоїв і відмов технічних засобів і прояву дефектів програмного забезпечення, методи оцінки і підвищення їхньої надійності на етапі розробки з використанням багатоверсійних технологій.
Методи дослідження. При дослідженнях використовувались методи системного аналізу, аналітичного моделювання (комбінаторно-імовірнісний метод і апарат теорії марковських процесів), теорії графів, теорії імовірностей і математичної статистики.
Наукова новизна отриманих результатів:
1) вперше одержано:–
моделі надійності багатоверсійних структур ІУС, що на відміну від відомих враховують збої і відмови версій, які обумовлені відносними, груповими й абсолютними дефектами, і дозволяють обчислити імовірності станів з різними рівнями безпеки.
2) удосконалено:–
моделі надійності одноверсійних структур ІУС, які описують можливі стани системи, що ураховують різну кількість та види відмов і збоїв технічних засобів і програмного забезпечення, та дозволяють одержати аналітичні залежності для розрахунку показників безвідмовності невідновлюваних і готовності відновлюваних систем.–
метод оцінки і вибору варіантів структур ІУС, що базується на комплексному підході до рішення задач аналізу, синтезу і верифікації структур і дозволяє обґрунтовувати багатоверсійну технологію розробки систем.
Практичне значення одержаних результатів полягає у розробці:–
аналітичних залежностей, структурних схем, алгоритмів і рекомендацій, спрямованих на підвищення надійності і безпеки ІУС АЕС;–
методик оцінки надійності (безвідмовності та готовності) різних типів ІУС, які базуються на запропонованих моделях і дозволяють визначити показники надійності залежно від параметрів каналів і кількості версій;–
принципів системотехнічної реалізації та конкретних рішень відмовостійких одноверсійних та багатоверсійних ІУС;–
елементів інформаційної технології підтримки вибору варіантів структур відновлюваних ІУС залежно від вимог до надійності.
Результати досліджень впроваджені у:–
ЗАТ “Радій” при розробці програмно-технічного комплексу (ПТК) системи аварійного і попереджувального захисту реактора ВВЕР_(ПТК АЗ_ПЗ) і ПТК автоматичного регулювання, розвантаження й обмеження потужності реактора й прискореного попереджувального захисту (ПТК АРМ_РОМ_УПЗ) (акт реалізації від 29.10.2004 р.);–
Сертцентрі АСУ Держцентрякості Державного комітету ядерного регулювання України при розробці інструментальних засобів і нормативно-методичних матеріалів для проведення експертизи та сертифікації ІУС АЕС (акт реалізації від 19.08.2004 р.);–
навчальному процесі Національного аерокосмічного університету ім. М.Є. Жуковського “ХАІ” (акт реалізації від 24.09.2004 р.).
Достовірність нових наукових положень і висновків дисертаційної роботи підтверджується:
– зведенням запропонованих аналітичних моделей до відомих при підстановці граничних значень вхідних параметрів – ймовірностей безвідмовної роботи та ймовірності відсутності дефектів проектування, рівних одиниці;
– обґрунтованістю припущень, прийнятих при розробці структурних схем надійності (ССН), аналітичних моделей оцінки надійності, виходячи з досвіду проектування й експлуатації ІУС АЕС та експериментальних даних відомих фірм про відмови таких пристроїв та їх елементної бази;
– збігом отриманих результатів з результатами розрахунку надійності ПТК АЗ_ПЗ, виконаними відповідно до методики, яка викладена у стандарті Міністерства оборони США MIL-HDBK-217 “Прогнозування надійності електронного устаткування” (Military Handbook. Reliability Prediction of Electronic Equipment);
– результатами практичного використання розроблених моделей і методик при проектуванні та експлуатації ІУС АЕС.
Особистий внесок здобувача полягає у розробці нових моделей та методів оцінки та вибору варіантів побудови ІУС при використанні багатоверсійних технологій, що забезпечують вирішення поставлених у дисертації задач. Всі основні результати отримані автором особисто. У роботах, опублікованих у співавторстві, особистий внесок здобувача становить: у роботі [1] автором запропоновано модель оцінки надійності та безпеки систем з багаторівневою деградацією; у роботі [2] надано пропозиції щодо розробки та використання багатоверсійних технологій для забезпечення відмовостійкості ІУС; у роботі [3] запропоновано моделі одноверсіних резервованих систем з урахуванням програмних відмов; у роботі [4] – основні процедури методу вибору структур при використанні одно- та багатоверсійних технологій проектування; у роботі [5] – модель відмов при дослідженні живучості ІУС; у роботі [6] - елементи методу вибору параметрів резервованих систем в умовах екстремальних впливів; у роботі [7] проведено аналіз впливу дефектів програмних засобів на надійність ІУС; у роботі [8] запропоновані графо-подійні та марковські моделі багатоверсійних систем; у роботі [9] узагальнено результати розвитку сучасних технологій забезпечення відмовостійкості з використанням багатоверсійності; у роботі [10] запропоновано моделі аналізу відмов у резервованих системах з урахуванням засобів контролю.
Апробація результатів. Результати досліджень апробовано на міжгалузевому семінарі “Критичні комп’ютерні технології та системи” на кафедрі комп'ютерних систем і мереж Національного аерокосмічного університету ім. М.Є. Жуковського “ХАІ” (м. Харків, 2002-2004 р.), а також на науково-технічних конференціях: “Сучасні інформаційні та електронні технології” (м. Одеса 2003 р.), “Інформаційні технології: наука, техніка, технологія, освіта, здоров’я” (м. Харків, 2003 р.), “Мікропроцесорні системи в задачах автоматизації виробництва” (м. Хмельницький, 2003 р.), “Перспективні інформаційно-управляючі системи на залізничному, промисловому й міському транспорті” (м. Алушта, 2003 р.).
Публікації. Основні результати дисертації відображені у 10 роботах, серед яких 7 статей у наукових журналах і збірниках наукових праць, що включені до переліку фахових видань ВАК України, а також 3 тези доповідей у збірниках матеріалів наукових конференцій.
Структура й обсяг дисертації. Дисертація має вступ, чотири розділи і висновки. Повний обсяг дисертації складає 233 сторінки, у тому числі: 64 рисунка на 46 окремих сторінках, 34 таблиці на 35 окремих сторінках, список з 108 використаних літературних джерел на 12 сторінках.
ОСНОВНИЙ ЗМІСТ РОБОТИ
У вступі обґрунтовується актуальність теми дисертаційної роботи. Сформульовано мету роботи, наукову задачу. Надано коротку характеристику роботи, сформульовано основні наукові результати та їх новизну. Обґрунтовано практичну цінність роботи.
У першому розділі дисертації викладаються результати аналізу стану питання, зокрема такі.
Порушення працездатності ІУС АЕС може призвести до аварій та катастроф. Роботи з модернізації ІУС були широко розгорнуті на АЕС України у 90_х рр. і продовжуються у теперішній час. Результатом модернізації ІУС є впровадження комп'ютеризованих систем на сучасній елементній базі з інтенсивним використанням ПЗ, розроблених з урахуванням вимог національних і міжнародних нормативних документів.
Особливості структури ПТК для ІУС АЕС розглянуті на прикладі програмно-технічного комплексу системи аварійного і попереджувального захисту реактора (ПТК АЗ-ПЗ), який був розроблений ЗАТ “Радій” (м. Кіровоград) для атомних реакторів АЕС типу ВВЕР_1000. Зараз ПТК АЗ-ПЗ впроваджений і успішно функціонує на усіх АЕС України, включаючи нові енергоблоки Рівне–4 і Хмельницький–2.
Методи і засоби, які забезпечують надійність ІУС АЕС, можуть бути умовно розділені на три групи:–
методи і засоби забезпечення надійності технічних засобів;–
методи і засоби забезпечення надійності програмного забезпечення;–
організаційні методи і засоби із забезпечення захисту від помилкових дій персоналу, як при розробці, так і під час експлуатації.
На сучасному етапі розвитку ІУС, важливих для безпеки АЕС, великого значення набуває вирішення питань, пов'язаних із розробкою методів створення систем, стійких до відмов ТЗ і ПЗ, у тому числі, і до ВЗП, а також з оцінкою надійності таких ІУС. Аналіз методів підвищення надійності ІУС показав, що найбільш дієвим методом боротьби з ВЗП є застосування принципу багатоверсійності (диверсності, різноманітності) або версійної надмірності. Проведені дослідження дозволили визначити задачі дисертаційної роботи. Загальна наукова задача декомпозується на ряд часткових задач, пов'язаних з аналізом (розробкою та вдосконаленням моделей надійності одноверсійних і багатоверсійних структур ІУС) і синтезом (вдосконаленням методу оцінки і вибору варіантів структур ІУС з урахуванням специфіки АЕС).
У другому розділі вдосконалені моделі надійності одноверсійних структур ІУС. Новий клас моделей ґрунтується на одночасному застосуванні математичного апарату графів переходів, комбінаторних подійних моделей і теоретико-множинних моделей. Таким чином, моделі, які найбільш докладно описують відмови і збої ІУС, складаються з двох частин: з графу переходів з урахуванням тільки станів відповідно до стійких відмов, їхнього розрізнення і джерел (ПЗ, ТЗ) і з подійної моделі з урахуванням усіх видів збоїв. У свою чергу, у третьому розділі для БВС ці моделі побудовані на основі теоретико-множинних моделей (діаграм Вейтча).
Послідовність побудови моделей для ІУС з різними архітектурами і з різним ступенем деталізації представлена в табл. .
Таким чином, опис моделей ІУС може бути представлений у вигляді вектора, кожний з елементів якого означає ту або іншу ознаку моделі. Для перших п'яти елементів вектора (урахування збоїв, урахування розрізнення відмов і збоїв, урахування відмов і збоїв ТЗ і ПЗ, урахування неідентичності каналів, дослідження показників надійності) значення “+” означає, що модель не враховує таку ознаку, значення “–” означає, що модель враховує дану ознаку. Кількість каналів і версій системи може змінюватися від 1 до 3, при цьому у рамках системної моделі розглянуті тільки такі багатоверсійні архітектури, у яких кількість каналів дорівнює кількості версій. Для типу моделі застосовані наступні позначення: “Г” – граф переходів, “В” – діаграма Вейтча (теоретико-множинна модель), “П” – комбінаторна подійна модель.
Таблиця
Послідовність побудови моделей надійності одно- і багатоверсійних структур ІУС
№ з/п | Урахування збоїв | Урахування розрізнення відмов (збоїв) | Урахування відмов і збоїв ТЗ і ПЗ | Урахування неідентичності каналів | N каналів (1,2,3) | N версій (1,2,3) | Тип моделі (Г,В,П)
1 | +––– | 1 | 1 | Г
2 | +– | +– | 1 | 1 | Г
3 | +– | +– | 2 | 1 | Г
4 | +– | +– | 3 | 1 | Г
5– | +– | + | 2 | 2 | В
6––– | + | 2 | 2 | Г
7– | +– | + | 2 | 2 | Г
8 | +–– | + | 2 | 2 | Г
9 | + | +– | + | 2 | 2 | Г
10– | + | + | + | 2 | 2 | Г
11 | + | + | + | + | 2 | 2 | П
12 | +– | +– | 2 | 2 | Г
13 | + | + | +– | 2 | 2 | Г
14– | +– | + | 3 | 3 | В
15––– | + | 3 | 3 | Г
16– | +– | + | 3 | 3 | Г
17 | +–– | + | 3 | 3 | П
18 | + | +– | + | 3 | 3 | П
19 | + | + | + | + | 3 | 3 | П
Подальші дослідження у розділах 2 і 3 виконуються відповідно до послідовності, визначеній у табл. 1. Для кожної з ІУС була реалізована така послідовність оцінки показників надійності (ПН):
1) аналіз графів переходів між станами ІУС і побудова укрупненого графу, якій враховує тільки події, що впливають на готовність системи;
2) одержання аналітичних залежностей, розрахунок значень ПН і візуалізація результатів моделювання для невідновлюваного варіанта системи, яка досліджується;
3) одержання аналітичних залежностей, розрахунок значень ПН і візуалізація результатів моделювання для відновлюваного варіанта системи, яка досліджується.
При моделюванні визначалися наступні показники надійності:
1) для невідновлюваного варіанта системи:–
імовірності безвідмовної роботи системи і її компонент (технічних засобів і програмного забезпечення);–
імовірності беззбійної роботи системи і її компонент;–
імовірності відмов системи і її компонент;–
імовірності збоїв системи і її компонент;
2) для відновлюваного варіанта системи:–
імовірності перебування системи в різних станах;–
коефіцієнт готовності системи;–
коефіцієнт оперативної готовності системи.
Базова модель ІУС представлена на рис. 1. Система має чотири різних стани:–
0 – працездатний стан;–
1 – збій, що не впливає на готовність системи;–
2 – збій, що впливає на готовність системи;–
3 – збій, що переходить у стан відмови.
Рис. 1. Граф переходів системи з урахуванням збоїв (базова модель)
Результати моделювання свідчать, що навіть для відновлюваної системи для досягнення заданих вимог щодо надійності необхідно забезпечити вкрай високу надійність програмних і апаратних компонентів. Враховуючи сучасні технології виробництва елементної бази, розробки програмного забезпечення, а також технічного обслуговування ІУС, слід зазначити, що інтенсивності відмов, збоїв і відновлення компонентів ІУС не можуть бути поліпшені за об'єктивними причинами. Таким чином, для ІУС і ПТК, важливих для безпеки АЕС, обов'язковим є застосування резервування, у тому числі і для програмних компонентів (тобто необхідне застосування багатоверсійних технологій). Чисельні значення показників надійності, використовуваних у процесі моделювання надані у табл. 2.
Таблиця 2
Чисельні значення показників надійності
Технічні засоби | Програмне забезпечення
інтен-сивність відмов ТЗ | інтен-сивність збоїв ТЗ | інтенсивність відновлення ТЗ після відмов | інтенсив-ність від-новлення ТЗ після збоїв | інтен-сивність відмов ПЗ | інтен-сивність збоїв ПЗ | інтенсивність відновлення ПЗ після відмов | інтенсивність відновлення ПЗ після збоїв
В TЗ
1/год | З TЗ
1/год | В TЗ
1/год | З TЗ
1/год | В ПЗ
1/год | З ПЗ
1/год | В ПЗ
1/год | З ПЗ
1/год
10–5 | 10–4 | 1 | 100 | 10–6 | 10–4 | 10–2 | 100
Третій розділ присвячений розробці моделей надійності багатоверсійних структур ІУС. Граф переходів між станами системи з обліком усіх зазначених у табл. 1 факторів може мати досить велику розмірність і складність (до 59 станів для двохверсійної системи і до 615 станів для трьохверсійної системи).
Тому, складні моделі з великою кількістю станів було запропоновано розбити на дві частин: графову та комбінаторну (подійну). На граф переходів виносяться тільки стійкі стани системи, які відповідають відмовам (див. рис. 2). Усі збої враховуються за допомогою комбінаторної подійної моделі. Ця модель складається з декількох частин, кожна з яких відповідає окремій вершині графа переходів (див. рис. 3).
Рис. 2. Загальний граф переходів для трьохверсійної системи
(“0” – працездатний стан відповідної версії, “1” – непрацездатний стан версії)
а) подійна модель для стану S000 (три канали працездатні)
б) умовні позначки для подійних моделей
Рис. 3. Фрагмент подійної моделі трьохверсійної системи
Для багатоверсійних систем необхідно враховувати феномен відносних, групових і абсолютних відмов (збоїв), наявність яких може привести до істотного зниження показників надійності. Абсолютні відмови приводять до повної відмови програмного забезпечення (одночасна відмова усіх версій), а відносні відмови приводять до відмови однієї з версій. Групові відмови (розглядаються для трехверсионной системи) приводять до відмов двох версій.
Таким чином, використання декількох версій ПЗ може призвести до потенційного розширення бази для виникнення ВЗП. Дана обставина має парадоксальний характер, оскільки принцип багатоверсійності є методом зниження імовірності ВЗП, джерелом яких в одноверсійних ІУС є програмне забезпечення.
Для оцінки ступеня кореляції між програмними версіями (та версіями каналів системи взагалі) використовуються так звані метрики диверсності. Визначення чисельних значень метрик диверсності є окремою задачею, вирішення якої у даній роботі не надається. При розрахунку показників надійності багатоверсійних систем використовують спеціальні коефіцієнти збоїв (відмов).
У третьому розділі для оцінки інтенсивностей відмов і збоїв двохверсійного ПЗ використані наступні метрики диверсності: коефіцієнт абсолютних відмов (збоїв) ПЗ; коефіцієнт відносних відмов (збоїв) ПЗ. У той же час, наявність абсолютних відмов і збоїв ПЗ знижує ефект від застосування версійної надмірності до рівня одноверсійної дубльованої системи.
Для невідновлюваного варіанту двохверсійної системи імовірність безвідмовної та беззбійної роботи розраховується за формулою
де Ка – коефіцієнт абсолютних відмов (збоїв) ПЗ;
Кв – коефіцієнт відносних відмов (збоїв) ПЗ; індекси для інтенсивностей відмов і збоїв () позначені згідно з табл. .
Для відновлюваних систем значення коефіцієнту готовності складають: нерезервована система – Кг ,999888; одноверсійна дубльована система – Кг 0,999899; двохверсійна система (без урахування абсолютних відмов та збоїв) – Кг ,99999999. Проведене дослідження показало, що застосування двохверсійної системи дозволяє парирувати відмови та і збої як технічних засобів, так і програмного забезпечення. Ця властивість дозволяє істотно поліпшити чисельні значення показників надійності, як для невідновлюваного, так і для відновлюваного варіантів системи. Однак у випадку існування абсолютних відмов ефект від реалізації версійної надмірності знижується, і значення коефіцієнта готовності наближається до величини Кг ,999899 (значення для одноверсійної дубльованої системи).
Результати порівняльного аналізу залежності коефіцієнта оперативної готовності від часу для чотирьох варіантів реалізації відновлюваних систем надані на рис. 4.
Слід зазначити, що для реальних ІУС АЕС час спрацьовування систем аварійного захисту дуже малий і тому значення коефіцієнту оперативної готовності не суттєво зменшується по відношенню до коефіцієнту готовності.
Рис. 4. Результати моделювання коефіцієнта оперативної готовності
для різних типів систем
У четвертому розділі вдосконалено метод оцінки і вибору варіантів структур ІУС, який містить у собі процедури, що задають:–
послідовність побудови моделей і оцінки показників надійності структур ІУС;–
послідовність вибору варіантів структур ІУС (див. табл. 3);–
підхід до аналізу отриманих результатів і вибору рішень щодо системотехнічної реалізації ІУС, у тому числі із застосовування багатоверсійних технологій.
Апробація методу оцінки і вибору варіантів структур ІУС була здійснена для ПТК системи аварійного і попереджувального захисту реактора ВВЕР_(ПТК АЗ_ПЗ). Застосування цього методу дозволило забезпечити виконання вимог технічного завдання щодо надійності ПТК АЗ_ПЗ за допомогою вибору адекватного типу диверсності та багатоверсійної технології. Для усунення дефіцитів безпеки, пов'язаних із проявом відмов із загальної причини, а також для дотримання принципу різноманітності (диверсності) при виконанні функцій аварійного захисту ядерного реактору ВВЕР_на ЗАТ “Радій” за безпосередньою участю автора було розроблено два незалежних комплекти ПТК АЗ-ПЗ, у структурі яких реалізований цей принцип. У ПТК АЗ-ПЗ обґрунтований і застосований принцип апаратної диверсності, відповідно до якого в основному і у диверсному комплектах ПТК АЗ-ПЗ використана різна елементна база (різні типи елементів як від однієї фірми-виробника, так і від різних фірм-виробників). Структурна схема надійності (ССН) ПТК АЗ_ПЗ наведена на рис. 5.
Таблиця 3
Послідовність оцінки і вибору варіантів структур ІУС
Задача аналізу | Задача синтезу | Задача верифікації
(“вузького синтезу”)
Побудова ССН для ІУС, яка аналізується | Вибір базової ССН | Побудова ССН для проекту ІУС, який верифікується
Вибір моделі, що відповідає отриманої ССН
У разі потреби – модифікація обраної моделі
У випадку складної ССН, яка не може бути описана тільки однією з розроблених моделей, замість двох попередніх етапів виконуються наступні:
- декомпозиція ССН “знизу-вгору”;
- вибір моделей, які відповідають отриманої ССН;
- у разі потреби – модифікація обраних моделей;
- побудова багатофрагментної моделі ІУС
Аналіз і вибір чисельних значень ПН для компонентів ТЗ і ПЗ
Для багатоверсійних систем – облік відносних, групових і абсолютних дефектів (аналіз і вибір чисельних значень відповідних коефіцієнтів для інтенсивностей відмов і збоїв)
Визначення ПН ІУС “знизу-вгору” на основі обраних моделей
Аналіз отриманих ПН–
Аналіз впливу ПН компонентів на ПН ІУС на основі аналізу чутливості–
Для багатоверсійних систем – аналіз впливу відносних, групових і абсолютних дефектів на ПН ІУС на основі аналізу чутливості (даний етап може бути об'єднаний з попереднім)–
Вибір граничних значень показників надійності компонент ІУС, які забезпечують виконання умови ПНi, i 1,...,N: ПНi ПНiзавдане
В основному і диверсному комплектах ПТК АЗ-ПЗ залишаються без змін: основні структурні і системотехнічні рішення; ПЗ верхнього і нижнього рівня, за винятком частини ПЗ, яке виконує функції коректування уставок; схеми і способи зовнішніх вхідних і вихідних підключень; міжканальні зв'язки у комплектах.
Принципи системотехнічної реалізації ІУС було отримано шляхом трасування від сформульованих у першому розділі загальних методів і засобів забезпечення надійності ІУС. Це дозволило перейти до розробки конкретних схем блоків для ПТК АЗ_ПЗ. На рис. 6 приведена структурна схема блоку формування сигналів захисту БФЗ_, який включає пристрій на базі програмованої логічної інтегральної схеми (ПЛІС) і безпосередньо виконує функції формування сигналів управління, які ініціюють спрацьовування аварійного або попереджувального захисту.
Рис. 5. Структурна схема надійності ПТК АЗ_ПЗ
Застосування багатоверсійних технологій доцільно, в першу чергу, у системах, які виконують керуючі функції безпеки технічних комплексів критичного використання. Слід зазначити, що стандарти з вимогами до використання принципу диверсності у комп'ютерних ІУС мають місце тільки у галузі атомної енергетики. В інших критичних галузях застосування багатоверсійних технологій не є обов'язковим. Крім того, перед ухваленням остаточного рішення про вибір типу диверсності повинні бути, у тому числі за допомогою запропонованих процедур, ретельно проаналізовані всі переваги і недоліки такого підходу стосовно до конкретних умов з урахуванням аспекту збільшення складності і вартості при розробці, виробництві та експлуатації.
Рис. 6. Функціональна схема блоку формування сигналів захисту БФЗ_програмно-технічного комплексу
системи аварійного і попереджувального захисту реактора ВВЕР_(ПТК АЗ_ПЗ)
ВИСНОВКИ
1. Надійність інформаційно-управляючих систем є найбільш важливою властивістю для забезпечення вимог до безпеки в процесі функціонування технічних комплексів критичного використання. У зв'язку з цим важливого значення набуває рішення питань, пов'язаних з розробкою методів створення інформаційно-управляючих систем, стійких до відмовлень технічних засобів і програмного забезпечення, а також з оцінкою надійності таких систем.
У дисертації поставлена і вирішена актуальна наукова задача розробки методів оцінки, забезпечення надійності та вибору структур інформаційно-управляючих систем, важливих для безпеки АЕС, з використанням багатоверсійних технологій.
2. Запропоновані моделі надійності багатоверсійних структур ІУС, які, на відміну від відомих, враховують збої і відмови версій, що обумовлені відносними, груповими й абсолютними дефектами, і дозволяють обчислити імовірності станів з різними рівнями безпеки.
3. Удосконалені моделі надійності одноверсійних структур ІУС, які описують можливі стани системи, що ураховують різну кількість та види відмов і збоїв технічних засобів і програмного забезпечення, та дозволяють одержати аналітичні залежності для розрахунку показників безвідмовності невідновлюваних і готовності відновлюваних систем.
4. Удосконалений метод оцінки і вибору варіантів структур ІУС, який базується на комплексному підході до рішення задач аналізу, синтезу і верифікації структур і дозволяє обґрунтовувати багатоверсійну технологію розробки систем.
5. Практичне значення отриманих результатів полягає у розробці: аналітичних залежностей, структурних схем, алгоритмів і рекомендацій, спрямованих на підвищення надійності і безпеки ІУС АЕС; методик оцінки надійності (безвідмовності та готовності) різних типів ІУС, які базуються на запропонованих моделях і дозволяють визначити показники надійності залежно від параметрів каналів і кількості версій; принципів системотехнічної реалізації та схем технічних засобів відмовостійких одноверсійних та багатоверсійних ІУС; елементів інформаційної технології підтримки вибору варіантів структур відновлюваних ІУС залежно від вимог до надійності. Рішення дисертаційних задач дозволило на 20-30 відсотків знизити ймовірність відмов ІУС, а також підвищити готовність відновлюваних систем на 5-10 відсотків.
6. Результати досліджень впроваджені у ЗАТ “Радій” (при розробці програмно-технічних комплексів для АЕС), у Сертцентрі АСУ Держцентрякості Державного комітету ядерного регулювання України (при розробці інструментальних засобів і нормативно-методичних матеріалів для проведення експертизи та сертифікації ІУС), у навчальному процесі Національного аерокосмічного університету ім. М.Є. Жуковського “ХАІ”.
7. Подальше використання результатів можливе і доцільне для автоматизації процесу прийняття рішень при розробці ІУС технічних комплексів критичного використання, а також для створення інформаційних технологій підтримки процесів розробки та експлуатації ІУС, важливих для безпеки АЕС.
8. Далі дослідження доцільно проводити в напрямку розвитку інформаційних технологій розробки та верифікації структур ІУС АЕС, компонентів програмного забезпечення та технічних засобів, включаючи програмно-апаратні засоби, створені за допомогою програмованих логічних інтегральних схем (так званих ПЛІС-технологій).
СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ
1. Харченко В.С., Токарев В.И., Черепахин Д.А. Метод оценки живучести и безопасности невосстанавливаемых систем с многоступенчатой деградацией с использованием Д-матриц // Радиоэлектронные и компьютерные системы.– 2003.– № .– С. 56-63.
2. Харченко В.С., Токарев В.И. Проектирование отказоустойчивых и живучих компьютерных систем управления на основе концепции “3М” // Вісник Технологічного університету Поділля.– 2003.– № 3.– С. 29-32.
3. Харченко В.С., Скляр В.В., Токарев В.И. Модели отказобезопасных структур цифровых систем контроля и управления // Системи обробки інформації.– Харків: ХВУ.– 2003.– Вип. .– С. 200-205.
4. Скляр В.В., Токарев В.И. Метод оценки и выбора вариантов структур информационных и управляющих систем // Моделювання та інформаційні технології.– Київ: Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАНУ.– 2004.– Вип. .– С. 184–187.
5. Харченко В.С., Мухаметов З.Г , Токарев В.И. Имитационная модель для исследования живучести и выбора параметров многоярусных резервированных структур // Системи обробки інформації.– Харків: ХВУ.– 2003.– Вип. .– С. _.
6. Харченко В.С., Мухаметов З.Г., Токарев В.И. Метод оценки и выбора живучих структур многоярусных резервированных систем обработки информации АСУ // Моделювання та інформаційні технології.– Київ: Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАНУ.– 2003.– Вип. 22.– С. _.
7. Харченко В.С., Скляр В.В., Гордеев А.А., Токарев В.И., Герасименко А.Д., Белый Ю.А. Использование метрик Холстеда при оценке безопасности критического программного обеспечения // Радиоэлектронные и компьютерные системы.– 2003.– № . – С. _.
8. Харченко В.С., Скляр В.В., Токарев В.И. Графо-событийный анализ отказоустойчивости многоверсионных систем с учетом различных типов дефектов программных средств // Труды 11-ой Международной научно-практической конф. “Информационные технологии: наука, техника, технология, образование, здоровье” (MicroCAD ).– Харьков: НТУ “ХПИ”, 2003. – С. 708.
9. Харченко В.С., Токарев В.И. Эволюция свойств и модели отказобезопасных компьютерных систем контроля и управления // Труды 4-ой Международной научно-практической конф. “Современные информационные и электронные технологии” (СИЭТ 2003).– Одесса: ОНПУ, 2003.– С. 105.
10. Харченко В.С., Токарев В.И., Шурыгин О.В. Анализ влияния ошибок контроля на безопасность резервированных систем управления критическими объектами // Інформаційно-керуючі системи на залізничному транспорті.– 2003.– № 5.– 41-42.
АНОТАЦІЯ
Токарєв Віктор Іванович. Моделі та метод забезпечення надійності інформаційно-управляючих систем АЕС з використанням багатоверсійних технологій. – Рукопис.
Дисертація у формі рукопису на здобуття вченого ступеня кандидата технічних наук зі спеціальності 05.13.06 – автоматизовані системи управління і прогресивні інформаційні технології. Національний аерокосмічний університет ім. М.Є. Жуковського “Харківський авіаційний інститут”, Харків, 2004.
Проведений аналіз особливостей інформаційно-управляючих систем (ІУС) АЕС, структур програмно-технічних комплексів, які складають їх основу і методів та засобів забезпечення надійності ІУС АЕС. Розроблено моделі надійності одноверсійних та багатоверсійних структур ІУС, які враховують різну кількість та види відмов і збоїв технічних засобів і програмного забезпечення, враховують збої і відмови версій, що обумовлені відносними, груповими й абсолютними дефектами, і дозволяють одержати аналітичні залежності для розрахунку показників безвідмовності невідновлюваних і готовності відновлюваних систем. Удосконалено метод оцінки і вибору варіантів структур ІУС, який базується на комплексному підході до рішення задач аналізу, синтезу і верифікації структур і дозволяє обґрунтовувати багатоверсійну технологію розробки систем. Отримані результати застосовано для програмно-технічного комплексу аварійного та попереджувального захисту ядерних реакторів ВВЕР–1000, які використовуються на АЕС України. Це дозволило обґрунтувати системотехнічні рішення та забезпечити виконання вимог щодо принципу диверсності (різноманітності).
Ключові слова: інформаційно-управляюча система, програмно-технічний комплекс, безпека АЕС, модель надійності, багатоверсійна технологія.
АННОТАЦИЯ
Токарев Виктор Иванович. Модели и метод обеспечения надежности информационно-управляющих систем АЭС с использованием многоверсионных технологий.– Рукопись.
Диссертация в форме рукописи на соискание ученой степени кандидата технических наук по специальности 05.13.06 – автоматизированные системы управления и прогрессивные информационные технологии. Национальный аэрокосмический университет им. Н.Е. Жуковского “Харьковский авиационный институт”, Харьков, 2004.
Диссертационная работа посвящена разработке моделей и методов оценки и обеспечения надежности информационно-управляющих систем (ИУС), важных для безопасности АЭС, в том числе, разработанных с использованием многоверсионных технологий.
Проведен анализ принципов построения ИУС АЭС. Особенности структуры программно-технических комплексов (ПТК) для ИУС АЭС рассмотрены на примере ПТК системы аварийной и предупредительной защиты реактора (ПТК АЗ–ПЗ), который был разработан ЗАО “Радий” (г. Кировоград) для атомных реакторов АЭС типа ВВЭР_. Проведен анализ методов и средств обеспечения надежности ИУС АЭС.
Разработаны и исследованы модели надежности одноверсионных структур ИУС: базовой модели, модели нерезервированной ИУС, модели дублированной ИУС, модели троированной ИУС. Для каждой из указанных выше систем получены: граф переходов с учетом всех возможных состояний, обусловленных различными отказами и сбоями аппаратных и программных средств; укрупненный граф переходов, учитывающий события, влияющие на готовность системы; аналитические зависимости для показателей безотказности невосстанавливаемого варианта системы; аналитические зависимости для показателей готовности восстанавливаемого варианта системы; численные значения показателей надежности и графические зависимости от времени.
Разработаны и исследованы модели надежности многоверсионных структур ИУС: модель двухверсионной ИУС без учета абсолютных отказов, модель двухверсионной ИУС с учетом абсолютных отказов, модель трехверсионной ИУС с отказами разных типов. Сложные модели с большим количеством состояний были разделены на две части: графовую и комбинаторную (событийную). В графе переходов описываются только устойчивые состояния системы, соответствующие отказам. Все сбои учитываются при помощи комбинаторной событийной модели. Эта модель состоит из нескольких частей, каждая из которых соответствует определенной вершине графа переходов.
Разработан метод оценки и выбора вариантов структур ИУС, включающий в себя процедуры: построения моделей и оценки показателей надежности структур ИУС; оценки и выбора вариантов; анализа и верификации полученных результатов и выбора решений по системотехнической реализации ИУС, а также по применяемым многоверсионным технологиям.
Научная новизна и практическая ценность полученных результатов заключается в следующем. Впервые разработанные модели надежности многоверсионных структур ИУС в отличие от известных учитывают сбои и отказы версий, обусловленные относительными, групповыми и абсолютными дефектами, и позволяют вычислить вероятности состояний с разными уровнями безопасности.
Усовершенствованные модели надежности одноверсионных структур ИУС описывают возможные состояния системы, учитывающие разное количество и виды отказов и сбоев технических средств и программного обеспечения, а также позволяют получить аналитические зависимости для расчета показателей безотказности невосстанавливаемых и готовности восстанавливаемых систем.
Усовершенствованный метод оценки и выбора вариантов структур ИУС основывается на комплексном подходе к решению задач анализа, синтеза и верификации структур ИУС и позволяет обосновать многоверсионную технологию разработки систем.
Разработанные модели и метод обеспечения надежности составляют научно-методическую основу для создания отказоустойчивых ИУС АЭС, а также их составляющих (программно-технических комплексов, технических средств, программного обеспечения).
Разработанные процедуры выбора структур ИУС ориентированы на конечного пользователя и дают возможность из множества выбирать структуру с заданной надежностью при выполнении требования по диверсности. Разработанные аналитические модели позволяют проводить оценку надежности одно- и многоверсионных ИУС.
Полученные теоретические положения доведены до конкретных аналитических зависимостей, структурных схем, алгоритмов и рекомендаций, принципов схемотехнической реализации, направленных на повышение надежности и безопасности ИУС АЭС.
Новые научные положения и выводы были использованы при разработке программно-технических комплексов для ИУС АЭС: ПТК системы аварийной и предупредительной защиты реактора ВВЭР_(ПТК АЗ_ПЗ) и ПТК автоматического регулирования, разгрузки и ограничения мощности реактора и ускоренной предупредительной защиты (ПТК АРМ_РОМ_УПЗ). В настоящее время указанные ПТК внедрены и успешно функционируют на всех АЭС Украины, включая новые энергоблоки Ровно–4 и Хмельницкий–2.
Ключевые слова: информационно-управляющая система, программно-технический комплекс, безопасность АЭС, модель надежности, многоверсионная технология.
ABSTRACT
Tokarev Viktor Ivanovich. Models and a method of reliability assurance of Nuclear Power Plants
