Концепция и стратегии обеспечения безопасности

Под концепцией безопасности понимается совокупность положений, в соответствии с которыми осуществляется построение безопасной системы. Такая концепция имеет фундаментальное значение, поскольку определяет основные принципы обеспечения безопасного функционирования СЖАТ. Концепция учитывает свойства элементной базы, средства контроля, структуру и алгоритм работы системы. На основе концепции безопасности устанавливаются критерии опасных отказов.

В релейных системах обеспечения безопасности отказы подразделяются на защитные и опасные. Поэтому в основе концепции безопасности релейных систем лежит принцип использования безопасного элемента. Например, в железнодорожной автоматике таким элементом является специальное железнодорожное реле, имеющее несимметричную характеристику отказов. Это значит, что наиболее вероятными являются искажения выходной информации типа 1®0, а искажения 0®1 маловероятны. Система строится в предположении, что отказы вида 0®1 отсутствуют, а остальные отказы должны переводить систему в защитное состояние (защитные отказы). Концепция безопасности для релейных систем формулируется следующим образом: «При построении ответственных цепей необходимо использовать только фронтовые контакты безопасного реле I класса надежности».

Появление сложных микроэлектронных и микропроцессорных элементов привело к выделению нового класса отказов – маскируемых. Дефекты технических средств, которые не приводят сразу к нарушению функционирования системы, называются маскируемыми и могут быть обнаруживаемыми и необнаруживаемыми. Необнаруживаемые отказы могут приводить к накоплению неисправностей и, как следствие, к возможности появления опасных отказов.

При разработке систем на основе микропроцессорных БИС необходимо учитывать, что многие элементы используются многократно в ходе выполнения программы. Кроме того, отдельные отказы БИС (например, отказы в питающих выводах) могут приводить к искажениям в работе других БИС, к появлению новых паразитных связей между элементами. Последствия таких отказов могут проявиться в различных элементах микропроцессорных информационно-управляющих систем (МИУС), даже только косвенно связанных с источником отказа.

При разработке СЖАТ, кроме того, необходимо учитывать сбои в элементах памяти при воздействии электромагнитных помех. Такие сбои проявляются как константные неисправности.

Поэтому концепция безопасности для микроэлектронных систем такова: ”Одиночные дефекты аппаратных и программных средств не должны приводить к опасным отказам и должны обнаруживаться с заданной вероятностью при рабочих и тестовых воздействиях не позднее, чем в системе возникнет второй дефект.”

Для реализации концепции безопасности используют пять основных стратегий: безотказность, отказоустойчивость, безопасное поведение при отказах, безошибочность и помехоустойчивость.

Безотказность СЖАТ – свойство системы непрерывно сохранять работоспособное состояние в течение некоторого времени или наработки.

Стратегия безотказности подразумевает, что если в системе нет отказов, то она безопасна. Задачей стратегии безотказности является создание систем, у которых интенсивность отказов сравнима с нормируемой интенсивностью опасных отказов. В этом случае любой отказ можно считать опасным, никакой дополнительной защиты от отказов не требуется.

К основным показателям безотказности относятся: показатели невосстанавливаемых изделий (Р(t) – вероятность безотказной работы, l – интенсивность отказов, Т_о – среднее время наработки до отказа) и показатели восстанавливаемых изделий (Т _ср – средняя наработка на отказ, К _г – коэффициент готовности).

Основные пути реализации стратегии безотказности:

1) минимизация логических схем;

2) снижение интенсивностей потока отказов элементов.

Отказоустойчивость СЖАТ – свойство системы сохранять работоспособность в случае отказа ее элементов благодаря резервным возможностям. Стратегия отказоустойчивости подразумевает, что если система правильно выполняет свой алгоритм функционирования даже при наличии отказов, то она безопасна.

Отказоустойчивые системы нечувствительны к определенному числу отказов. Их еще называют a-безотказными. Это значит, что система работает правильно при наличии в ней a или менее отказов. Число a является показателем отказоустойчивости. Это качество системы резко повышает ее безотказность и безопасность, но требует введения большой избыточности в аппаратные и программные средства. Объем аппаратуры возрастает в таких системах в три и более раз. Поэтому отказоустойчивые релейные СЖАТ не разрабатывались. Для микроэлектронных СЖАТ отказоустойчивость становится одним из основных направлений развития.

Основные пути реализации стратегии отказоустойчивости:

1) резервирование;

2) диагностирование;

3) реконфигурация;

4) восстановление.

Отказоустойчивость базируется на резервировании. Остальные средства (диагностирование, восстановление и реконфигурация) только повышают ее эффективность.

В реальных МИУС, как правило, используют комплекс мер по обеспечению отказоустойчивости, причем в различных элементах и узлах системы можно использовать различные виды резервирования, отличающиеся степенью избыточности (кратностью резервирования). Используют различные методы и средства контроля, восстановления и реконфигурации.

Поэтому наиболее общим показателем отказоустойчивости является коэффициент отказоустойчивости

k _оу = T _нр / T _оу,

где Т _нр – наработка между отказами нерезервированной системы;

Т _оу – наработка между отказами отказоустойчивой системы.

В качестве дополнительных показателей отказоустойчивости можно применять полноту резервирования элементов и узлов системы, полноту и достоверность контроля, вероятность восстановления резерва и т.п.

Первые две стратегии подразумевают, что система, которая правильно выполняет свой алгоритм функционирования, безопасна. Стратегия безопасного поведения при отказах используется специально для безопасных систем и заключается в переводе системы в защитное необратимое состояние при появлении отказа. Обратный переход в работоспособное состояние исключается и производится обычно с участием человека.

Основные пути реализации стратегии безопасного поведения при отказах:

1) использование самопроверяемых схем;

2) использование элементной базы с несимметричными характеристиками отказов.

При построении безопасных систем могут использоваться несколько различных стратегий одновременно (рисунок 1.1). Например, при построении микроэлектронных и микропроцессорных систем стратегия безопасного поведения применяется совместно со стратегией отказоустойчивости. Если при возникновении отказов система исчерпала резервные возможности и в результате деградации и реконфигурации перестала быть отказоустойчивой, то при появлении еще одного отказа она должна необратимо перейти в защитное состояние.

Рисунок 1.1 – Схема взаимодействия стратегий построения СЖАТ

Безопасность технических средств в разомкнутых системах управления, регулирования и контроля сильно зависит от человеческого фактора при разработке, изготовлении и эксплуатации системы. Поэтому для создания безопасных технических средств дополнительно используют стратегию безошибочности.

Стратегия безошибочности предполагает сведение к минимуму влияния на безопасность функционирования системы человеческого фактора (ошибок человека) при разработке, изготовлении и эксплуатации системы.

Основные пути реализации стратегии безошибочности:

1) при разработке и проектировании: поэтапное выполнение работ с верификацией результатов каждого этапа; документированность каждого этапа разработки; стандартизация и унификация; контролируемость процесса разработки; автоматизация проектирования;

2) организации оперативного управления: организация дружественного интерфейса пользователя; защита от несанкционированного доступа; преемственность по отношению к эксплуатируемым в настоящее время системам; наличие обратной связи от технических средств к пользователю; рациональное распределение функций между пользователем и техническими средствами для обеспечения умеренной загрузки оператора;

3) организации технического обслуживания и ремонта: обеспечение контролепригодности системы; простота представления контрольной и диагностической информации; интеллектуальная поддержка технического обслуживания и ремонта; дублирование информации о работоспособности системы.

Но даже разработанная по всем правилам построения безопасная СЖАТ может быть неработоспособна из-за ее низкой помехозащищенности. Поэтому на всех этапах разработки микропроцессорных и микроэлектронных систем необходимо проводить мероприятия по обеспечению заданного уровня помехоустойчивости.

Помехоустойчивость – это свойство аппаратуры, обеспечивающее защищенность ее от воздействия внешних электромагнитных влияний. В последнее время помехоустойчивость современных микроэлектронных систем обеспечения безопасности приобрела особенное значение в связи со следующими причинами:

1 По сравнению с релейными системами микроэлектронная элементная база в значительно большей степени подвержена воздействию электромагнитных помех. Это связано с увеличением сложности, уменьшением габаритных размеров микроэлектронных систем, повышением плотности монтажа, быстродействия и чувствительности элементной базы.

2 Системы управления ответственными технологическими процессами работают в сложной электромагнитной обстановке. Сбои в работе микроэлектронных систем происходят на порядок чаще чем отказы. В то же время последствия от влияния помех сравнимы с последствиями от отказов аппаратных средств и ошибок программного обеспечения. Поэтому при испытаниях на ЭМС микроэлектронных систем обеспечения безопасности актуальной является проблема анализа последствий сбоев и поиска сбоев, приводящих к нарушению безопасности функционирования систем (опасных сбоев).

3 Высокая сложность таких систем предполагает наличие большого числа состояний (тактов работы). Однако одно и то же электромагнитное воздействие в различных тактах функционирования системы может привести к различным последствиям. Поэтому требуется либо находить такты работы, наименее устойчивые к воздействию электромагнитных помех и испытывать систему, находящуюся в этих состояниях, либо повышать общий уровень помехоустойчивости.

Детерминированными показателями помехоустойчивости являются: восприимчивость элементной базы к электромагнитным помехам, которая выражается в статических (например, U _пор – пороговое напряжение срабатывания) и динамических параметрах (например, Т _пор– пороговая длительность помех). Вероятностными показателями помехоустойчивости являются вероятность и интенсивность сбоев, наработка на сбой, наработка между сбоями.

Основными путями реализации стратегии помехоустойчивости являются:

· подавление электромагнитных помех в источнике возникновения;

· понижение восприимчивости к электромагнитным помехам аппаратуры МИУС;

· воздействие на паразитный канал проникновения помех.

Многообразие отказов и форм их проявления требует применения методов обеспечения безотказности и безопасности на различных функциональных уровнях СЖАТ.