Иерархия уровней обеспечения безопасности

Существуют два способа решения проблемы построения безопасных микропроцессорных информационно-управляющих систем:

1) создание и применение специализированных безопасных логических элементов, БИС, микропроцессоров и компьютеров, у которых вероятность возникновения определенного вида отказов настолько мала, что ею можно пренебречь;

2) использование коммерческих БИС, микропроцессоров и компьютеров, т. е. устройств не предназначенных специально для решения задач безопасности. В этом случае безопасность обеспечивается особенностями архитектуры системы, программным обеспечением и внешними контрольными схемами.

Первоначально в электронных системах автоматики использовался первый способ. При этом использовались электронные аналоги реле первого класса надежности. В настоящее время наиболее широко используется второй способ или комбинация обоих способов, когда функциональный блок выполняется с симметричными отказами, а контрольные схемы – с несимметричными.

Безопасность систем, построенных на элементах с симметричными отказами, обеспечивается введением различных видов избыточности. В настоящее время наиболее широко используются следующие виды избыточности: функциональная, структурная, временная и информационная.

Функциональная избыточность достигается за счет снижения эффективности функционирования и уровня автоматизации управления в случае отказа элементов системы при сохранении ее работоспособности. В этом случае элементы, выполняющие функции, не связанные с обеспечением безопасности (различные сервисные функции), при отказе основных блоков системы берут на себя выполнение основных функций. Сервисные функции в этом случае не выполняются.

При структурной избыточности используется способ параллельной обработки информации в нескольких вычислительных каналах или с помощью нескольких программ в одном вычислительном канале. Структурная избыточность бывает аппаратной и программной.

Временная избыточность достигается выделением специальных промежутков времени во время работы системы для проведения контроля за правильностью функционирования системы в целом и ее составных частей. Временная избыточность может строиться на базе генераторов внешних тестовых воздействий и средств внешнего контроля или на базе средств самотестирования и самоконтроля.

Информационная избыточность достигается многократным повторением информации, критичной к вопросам безопасности, избыточным кодированием или многоканальной передачей информации.

Наиболее широко при построении систем микропроцессорных централизаций используются функциональная и структурная избыточность. Временная и информационная избыточность применяются только вместе с другими видами избыточности для повышения достоверности контроля правильности функционирования системы.

Мероприятия по защите от отказов в безопасных системах можно проводить на пяти уровнях защиты:

1) аппаратный уровень (самый низкий) реализуется, как правило, в устройствах управления объектом, контрольных схемах, схемах сравнения и мажоритарных схемах. Защита осуществляется с помощью элементов с несимметричными отказами, отказоустойчивых и самопроверяемых схем. Самопроверяемые схемы при возникновении в них неисправностей формируют на своих выходах сигнал ошибки;

2) на информационном уровне организуется защита от ошибок информации, хранящейся в памяти и передаваемой по каналам связи и шинам микроэлектронных систем. Основными методами защиты является применение памяти с аппаратным контролем паритета и использование корректирующих кодов при хранении и передаче информации. Наиболее часто используются коды с контролем на четность, равновесные, с повторением, с суммированием, арифметические, коды Хэмминга и др. [1];

3) программном уровне безопасность обеспечивается программными средствами, защищенными от отказов. Проблема повышения безотказности и безопасности программного обеспечения (ПО) более трудна и менее изучена, чем для аппаратуры. Это связано со сложностью программных продуктов, большим разнообразием видов дефектов и их влиянием на процесс вычислений. Основными методами повышения надежности программ являются тестирование, верификация, создание самопроверяющихся программ;

4) уровне архитектуры необходимые показатели безопасности достигаются за счет использования структурного резервирования аппаратуры и ПО. В этом случае используется способ параллельной или последовательной обработки информации в нескольких вычислительных каналах, или с помощью нескольких программ в одном вычислительном канале;

5) уровне интерфейса (высшем) безопасность обеспечивается применением безопасного интерфейса с исполнительными объектами. Здесь разрабатываются специализированные безопасные устройства сопряжения с объектом управления (УСО).

На каждом из этих уровней можно осуществлять мероприятия по защите от отказов, позволяющие компенсировать последствия отказов, возникающих на более низких уровнях.

Далее рассматриваются методы и принципы обеспечения безопасности микроэлектронных СЖАТ на каждом из этих уровней.

2 структурные методы обеспечения безопасности
в микропроцессорных системах
железнодорожной автоматики

Структурные методы обеспечения безопасности являются наиболее распространенными и базируются на аппаратном и (или) программном резервировании элементов системы микропроцессорной централизации. Рассмотрим основные принципы обеспечения безопасности функционирования МИУС с использованием структурной избыточности.