О защите от ошибок и оперативный контроль промышленных систем управления и автоматизации

Допуск ошибок предполагает наличие такой архитектуры системы и средств ПО промышленных систем управления, при которых с высокой вероятностью возможно продолжение правильных вычислений при наличии машинных сбоев и (или) ошибок ПО. Неформальное определение правильности выполнения набора программ мож­но задать следующим образом:

программы (и их данные) не изменяются и не останавливаются в случае ошибок:

• результаты работы программ не подвержены влиянию ошибок ПО промышленных систем управления;
• время реализации программ не превышает заданного предела;
• объем памяти, доступный программе, укладывается в указанные пределы.

Для получения не допускающей ошибки системы, необходимо выполне­ние следующих условий:

• взаимосвязь между компонентами и их объединение в систему обеспечены проверенными средствами систем промышленной автоматизации;
• система организована таким образом, что она защищена от ожидаемых внешних воздействий систем промышленной автоматизации;
• количественную оценку надежности системы производят на основании известных или предсказываемых оценок отказов для компонент или их взаи­мосвязей.

«Допускающий ошибки» подход увеличивает надежность системы путем использования конструктивных средств, которые позволяют появляться ошибкам без нарушения при этом правильного выполнения программы. До­пуск ошибок не устраняет потребности в надежных компонентах, а пред­ставляет средство размещения ресурсов надежности за счет использования избыточности. При этом получают систему, предсказываемая надежность ко­торой такова, что ее нельзя достичь, используя «чистый» не допуск ошибок, или надежность которой соответствует надежности «чистой» не допускающей ошибки системы при более низкой итоговой стоимости реализации.

Система, допускающая ошибки, должна обладать следующими свойст­вами:

• состоять из набора компонент аппаратуры и ПО промышленных систем управления;
• не содержать конструктивных ошибок или защищена от их разрушитель­ного действия во время выполнения программ;
• выполнять свой набор программ правильно при наличии машинных сбоев.

Допуск ошибок при сбоях в работе промышленных систем управления. Защитную избыточность обе­спечивающую допуск ошибок при машинных сбоях, характер которых указан заранее, можно получить при выполнении следующей процедуры конструи­рования систем промышленной автоматизации:

• устанавливают вычислительные требования и уточняют архитектуру сис­темы при начальном предположении, что сбоев в работе не будет;
• классы сбоев, допустимые при конструировании, идентифицируют, и для каждого класса указывают размер допуска;
• для каждого вида избыточности (аппаратурной, программной, временной) выбирают наиболее эффективные по стоимости средства для каждого класса сбоев, и архитектуру системы модифицируют с учетом этой избыточности;
• оценку размеров допуска ошибок, обеспечиваемого формами защитной избыточности, производят аналитическими и экспериментальными средствами;
• для проверки всех форм избыточности используют процедуры контроля (где это применимо, характеристики допуска ошибок расширяют так, чтобы можно было воздействовать на периферийные системы, связанные с ЦВМ или управляемые ЦВМ).

Разработаны три критерия оценки характеристик сбоев промышленных систем управления:

• продолжительность — случайная, т. е. непостоянная, и постоянная (единственная);
• размер — локальный (независимый) и распределенный (связанный);
• значение — определенное и неопределенное (переменное).

Системный подход к классификации случайных сбоев промышленных систем управления состоит из трех этапов:

1. предполагаемые классы случайных ошибок идентифицируются в со­ответствии с их значением;
2. зависящие от времени параметры (максимальная продолжительность; статистически распределенное время происхождения событий) постулируются для каждого класса случайных сбоев;
3. для каждого класса случайных сбоев определяется удовлетворитель­ное восстановление, и количественная мера вероятности восстановления получается на основании анализа и эксперимента.

Аппаратурная избыточность промышленных систем управления включает все компоненты, введенные в систему с целью обеспечения допуска ошибок в предположении о возможности сбоев в работе системы. По методам введения аппаратурную избыточность можно разбить (на основании функций модулей) на две группы: статическая и динамическая. Статическую избыточность также называют «за­маскированной» избыточностью. Все избыточные копии должны быть постоян­но готовы к работе.

При методе введения динамической избыточности допускается появление вызванных сбоями ошибок на выходе модулей.

Программная избыточность включает в себя все до­полнительные программы, сегменты, команды и микропрограммы, которые не понадобятся в машине с бессбойной аппаратурой. Можно выделить три ос­новные формы программной избыточности:

• увеличение (резкое) объема памяти под критические программы и дан­ные систем промышленной автоматизации;
• диагностика программы на различных программных и микропрограммных уровнях систем промышленной автоматизации;
• специальные свойства выполняемых программ, реализующих рестарт систем промышленной автоматизации.

Временная избыточность. Основными формами этой избыточ­ности являются рестарт программ после обнаружения ошибки и повторное выполнение для исключения ошибки.

Схема программного допуска ошибок промышленных систем управления обладает двумя важными свойст­вами:

• алгоритм схемы включает в себя общее решение задачи перехода к ис­пользованию запасной компоненты и передачу управления выбранной за­пасной компоненте;
• организационная структура ПО допуску ошибок построена так, что дополнительно привлекаемое ПО для выполнения ошибок и запасное ПО дублирования функций главной компоненты не увеличат сложности системы, а скорее повысят общую надежность систем промышленной автоматизации.

Конструирование самоконтролирующегося ПО промышленных систем управления. Самоконтролирующееся ПО систем промышленной автоматизации можно использовать для определения программных ошибок, для локали­зации и предотвращения распространения программных ошибок, для облег­чения возможностей исправления ошибок и подтверждения полноты (целост­ности) системы. Средства самоконтроля используются в программе для функциональной проверки. Функциональные проверки могут предусматривать определение бесконечных циклов, неверных окончаний циклов, незаконных и неверных ветвей.

Методы самоконтроля систем промышленной автоматизации можно разделить на аналитический и конструктивный. Аналитический, в первую очередь, затрагивает тестирование и обоснование программ с целью увеличения их надежности. Он включает в себя традиционные способы отладки программ, средства доказательства правильности программ, различные средства автоматического тестирования. Конструктивный метод использует набор надежных программных средств для разработки надежного ПО, которые принято называть структурным программированием. Подключает в себя средства, использующие подход «сверху—вниз» и фор­мальные спецификации, а также средства кодирования с использованием про­стых управляющих структур.

С помощью средств самоконтроля систем промышленной автоматизации выполняют проверку функциональную, управления последовательностью и данных процесса.

Функциональная проверка промышленных систем управления. Функциональные аспекты процесса можно проверить, варьируя заданным на выходе соответствием входному набору. Методы существенно зависят от внутренней логики прове­ряемой функции. Например, если выход является решением системы урав­нений, его правильность проверяют подстановкой в уравнения.

Проверка управления последовательностью. Ошибки в управлении последовательностью называются ошибками управле­ния. Причины возникновения ошибок систем промышленной автоматизации можно разделить на следующие груп­пы: выполняется бесконечный цикл; цикл выполняется неверное число раз; выбирается незаконная ветвь (несуществующее в программном графе ребро), что приводит к незаконному входу в другой модуль; выбирается неверная ветвь.

Для защиты от бесконечного или неправильного числа выполнений цикла используются счетчики.

Одним из наиболее распространенных методов защиты систем промышленной автоматизации от незаконного попадания в модуль (минуя вход) является установление пароля на его входе (последующей проверкой на выходе. Применение этого метода наиболее эффективно при использовании структурного программирования. В структуре if — then — else могут возникнуть следующие ошибки! выбор ошибочной ветви, т. е. выполнение ветви А вместо ветви В; незаконный вход, т. е. вхождение в конструкцию, минуя входную точку. Для контроля ошибок в управлении последовательностью расщепляют узел принятия решения на два последовательно соединенных узла и добавляют избыточные блоки. Предикат Р имеет смысл отрицания предиката Р.

В структурах while — do, repeat — until возможны следующие ошибки в потоке управления систем промышленной автоматизации:

• незаконный вход;
• бесконечное или неправильное выполнение числа циклов.

Если известно точное количество выполнений цикла, структура легко превращается в самоконтролируемую добавлением избыточных блоки. Счетчик СК используется как пароль для защиты от незаконного входа. Счетчик С двумя контрольными точками (одна внутри и одна вне цикла) используется для проверки бес­конечного или неправильного числа выполнений.

Проверка данных промышленных систем управления. Можно производить проверку данных по следующим аспектам: целост­ность значений; целостность структуры; характер значений.

Целостность значений данных систем промышленной автоматизации можно легко за­щитить путем проверки контрольных сумм кодов (команд и данных). Полезны также раз­личные средства защиты памяти (такие, как регистры перемещений, система ключ — замок, проверка связ­ки файлов, страничная организация, сегментация и т. д.).

Целостность структур промышленных систем управления проверяется введением избыточного связывания. Например, в связных спи­сках вводятся дополнительные указатели на конец списка. Могут использоваться двуссылочные связ­ные списки вместо односсылочных. При работе с эле­ментом структуры (вставка, вычеркивание) можно сделать проверку на наличие связи в противоположном направлении. Харак­тер значений данных обычно проверяют сравнением с максимально и мини­мально допустимыми значениями либо самих данных, либо их приращений.