Достоверность передачи сообщений и надежность систем
Достоверность передачи сообщений и надежность систем
1. Помехи и помехоустойчивость систем
Любые сигналы телемеханических систем состоят из той или иной совокупности импульсов, передаваемых по каналу связи. Правильное опознание сигналов на приемной стороне означает верный (достоверный) прием переданного сообщения. Это возможно в том случае, если принимаемые импульсы искажены не настолько, чтобы приемное устройство не различило импульсных признаков сигналов логических 1 и 0. При передаче кодовой комбинации достоверный прием возможен, если число ошибок в опознании сигналов 1 и 0 не превысило корректирующих возможностей кода.
Причин, ведущих к ошибкам в определении импульсных признаков принимаемых импульсов, достаточно много, но они могут быть разделены на две группы
аппаратурные искажения, вызванные нестабильностью параметров элементов устройств;
искажения сигналов помехами в канале связи. В конечном счете безразлично, отчего произошла ошибка в приеме телемеханических каналов, однако выявление ее истинных причин необходимо для правильного выбора защитных мер при проектировании и регулировании устройств, тем более что последствия от искажений сигналов могут быть существенно различны. Например, при приеме телемеханического сигнала из-за ошибок в опознании символов может не произойти реализации команды (защитный отказ) или выполнится другая команда (трансформация команды). Более того, при отсутствии какой-либо передачи сигнала помехи могут воздействовать на приемник и воспроизвести сигнал (ложная команда).
Таким образом, процесс приема сигналов в любой системе телемеханики имеет вероятностный характер, т.е. всегда вероятность правильного приема
= 1 — = 1 – ( + )
где Рош — вероятность ошибочного приема Рзо — вероятность защитного отказа; — вероятность трансформации команды.
Системы телемеханики по назначению делятся на три катего- рии. Железнодорожные системы телемеханики относятся к категории 1 по достоверности и имеют еще ряд других специфических требований.
В соответствии с ГОСТ 26.205 — 83 по достоверности передачи комплексы (кроме устройств телеизмерения с аналоговыми сигналами) должны соответствовать требованиям, приведенным табл.1 для каждой из функций отдельно при наличии в канале связи нормального флуктуационного шума и при отношении амплитуды сигнала к эффективному значению шума на входе приемного устройства, равном семи.
При использовании стандартных каналов связи и отсутствии устройствах телемеханики встроенной аппаратуры таких каналов требования таблицы должны выполняться при вероятности искажения элементарного сигнала 10 и независимых ошибках.
Таблица
Вероятностная характеристика
Вероятность события Р, не более, в зависимости от категории комплекса
1
2
3
Вероятность трансформации Команды контрольной информации ТС знака буквенно-цифровой информации или отсчета кодового телеизмерения
Вероятность отказа от исполнения посланной команды (допускается повторение передачи до 5 раз)
Вероятность потери контрольной информации ТС при спорадической передаче (допускается повторение передачи до 5 раз) команды
Вероятность образования ложной команды или контрольного сообщения при отсутствии передачи или ее прекращении
Мешающие факторы, существующие при передаче сигналов ТМ, могут вести к следующим искажениям исходного импульса (рис. 1, а) искажения фронтов импульсов (рис.1, б), смещение, изменение крутизны и тому подобные краевые искажения (рис.1, в); изменения длительности импульсов и пауз (рис. 1, г); дробление одного импульса на части без изменения (рис. 1, д) и с изменением (рис. 1, е) параметров или появление дополнительных импульсов в паузе ( рис. 1, ж).
Указанные внешние искажения импульсов являются чаще всего результатом наложения внешних помех или определяются фазочастотными характеристиками канала передачи телемеханических сигналов. Фазочастотные искажения вызываются неодинаковыми условиями прохождения гармонических составляющих по каналу из-за наличия в нем большого числа сосредоточенных и распределенных реактивных сопротивлений, которые существенно зависят от частоты.
Искажения сигналов по фазе и частоте могут оказаться линейными, т.е. без дополнительных частотных составляющих в спектре принимаемого сигнала, и нелинейными, что зависит от характера сопротивлений в канале передачи. При правильном проектировании системы телемеханики влияние фазочастотных характеристик канала на принимаемые сигналы может быть сведено к минимуму.
Главной причиной искажения телемеханических сигналов являются внешние помехи чем меньше их влияние на приемные устройства, тем выше достоверность передачи. Но поскольку разработчики систем телемеханики не могут влиять на уровень внешних помех, они повышают помехоустойчивость систем.
Если в канале связи кроме напряжения передатчика телемеханических сигналов существуют какие-либо другие напряжения, то все они в той или иной мере действуют на вход приемника и, следовательно, являются помехами. Реакция приемника на сигнал с помехами зависит от характера их взаимодействия. Различают два вида такого взаимодействия
амплитуды сигнала S(t) и помех (t) складываются, т. е. x(t) = = S(t) + (t). В этом случае помехи являются аддитивными;
результирующая амплитуда равна произведению амплитуд сигнала и помехи, т.е. x(t) = S(t) (t) . Помехи являются мультипликативными. Они могут вызываться изменениями коэффициентов усиления и параметров канала связи.
Для систем телемеханики характерными являются аддитивные помехи, которые по характеру действия во времени на вход приемника принято разделять на импульсные и флуктуационные.
Если переходные процессы в приемнике от импульса помехи успевают закончиться до поступления следующего импульса помех, считается, что на входе приемника действуют импульсные помехи (рис.2, а). Если на входе приемника непрерывно действует напряжение помех со случайной амплитудой, помехи называют флуктуационными или гладкими (рис.2, б). Характерной особенностью гладких помех является отсутствие амплитуды, более чем в 3 раза превышающей среднюю.
Фильтрацией сигнала на входе приемника, т.е. изменением полосы пропускания, можно импульсные помехи линии связи превратить во флуктуационные, так как время установления переходных процессов обратно пропорционально полосе пропускания.
Аддитивные помехи в канале могут быть внутренними или внешними. Внутренние помехи являются принципиально неустранимыми, так как представляют собой шум, возникающий из-за разных физических явлений (тепловой, гальванический эффекты и т.п.) в электрических цепях канала.
Рис.2. Импульсные и флуктуационные помехи
Обычно уровень шумов намного ниже возможных уровней телемеханических сигналов и не оказывает заметного влияния на работу систем. Внешние аддитивные помехи возникают в результате коммутационных процессов в электрических цепях, имеющих электромагнитную связь с каналом передачи сигналов, а также от грозовых разрядов в атмосфере.
Для аналитического описания аддитивных помех широко используется теория стационарных случайных процессов, т.е. функций, вероятностные характеристики которых не зависят от времени. Флуктуационная помеха на входе приемника представляет собой непрерывный случайный сигнал U(t). Для оценки мгновенных значений помехи из интегральной характеристики распределения плотности вероятности (рис.3) определяется вероятность появления того или иного напряжения, т.е. плотность вероятности того, что мгновенное значение нап-ряжения флуктуационной помехи Un лежит в пределах от U до U + U.
Рис.3 Распределение плотности вероятности помех
Плотность вероятности напряжения флуктуационных помех подчиняется закону нормального распределения (распределения Гаусса)
— среднее квадратичное значение переменной составляющей напряжения на интервале Т; а — среднее значение (постоянная составляющая) случайного напряжения (обычно для флуктуационных помех а = 0).
Для описания импульсных помех, действующих в канале связи систем телемеханики, также используются вероятностные характеристики, но их получение связано с большими трудностями. Это объясняется необходимостью иметь распределения импульсных помех по амплитуде, длительности, времени и т.п. Поэтому помехоустойчивость систем телемеханики чаще всего определяют относительно флуктуационных помех.
Помехоустойчивость приемников элементарных сигналов при флуктуационных помехах. Помехи, действующие на передаваемые телемеханические сигналы, могут привести к неправильному определению приемником значения напряжения на входе, т.е. вместо сигнала логической 1 приемник зарегистрирует сигнал логического 0 (Р]0 — ошибка перехода 1 0) или наоборот (Р01 — ошибка перехода 0 1).
Каждый приемник обладает определенной устойчивостью к искажениям импульсов на входе и фиксирует признаки правильно с некоторой вероятностью Р =1 — Рош=1 – (P + P) Указанные вероятности характеризуют помехоустойчивость приемника, т.е. способность противостоять искажающим влияниям помех.
Для определения помехоустойчивости реальных приемников используется теория потенциальной помехоустойчивости, предложенная впервые В.А. Котельниковым. Математический аппарат этой теории ориентирован на определение предельной (потенциальной) помехоустойчивости приемников при действии флуктуационных помех.
Обычно помехоустойчивость реальных приемников ниже потенциальной, но расчеты позволяют правильно выбрать методы передачи, структуру сигналов и устройств.
Идеальный приемник, реализующий потенциальную помехоустойчивость сигналов, искаженных флуктуационными помехами, должен иметь образцы исходных сигналов для сравнения с ними сигнала, поступившего на вход. Полученный сигнал отождествляется с тем образцовым сигналом, с которым имеет минимальное различие.
Обычно сравнивают энергию сигналов, которая для сигнала S(t) выражается так
Если рассматриваются два сигнала и , то их взаимодействие может характеризоваться следующими функциями
взаимной энергией
энергией разности между сигналами
коэффициентом взаимной корреляции
Если сигналы и ортогональны (=0), то
Идеальный приемник по Котельникову для обработки сигналов и в условиях флуктуационных помех имеет следующие функциональные блоки (рис. .4) генераторы Г образцов сигналов и ; два блока сравнения входного сигнала х(t) на интервале Т соответственно с образцами и , вычисляющие энергию разности, т.е.
( 2)
( 3)
решающее устройство РУ, относящее принятый сигнал к или после сравнения значений энергии разности на выходах рассмотренных блоков.
Если в системе используются не бинарные сигналы, а многопозиционные, приемник содержит М блоков сравнения, где вычисляются х —
и одно решающее устройство, сравнивающее расстояния для выявления сигнала с минимальным его значением.
Помехоустойчивость реального приемника может быть рассчитана, если известны параметры распределения помех, полоса пропускания на входе приемника и порог его срабатывания .
Для учета снижения уровня помех на входе решающего устройства благодаря ограниченной полосе пропускания приемника используют понятие удельной помехи, т.е.
где — среднее квадратическое значение напряжения помехи в канале.
В расчетах потенциальной помехоустойчивости принимается во внимание отношение сигнала к удельной помехе, т.е.
( 4)
Плотность вероятности напряжения флуктуальной помехи описывается нормальным законом Гаусса, т.е.
,
Где и — параметры, характеризующие соответственно центр распределения и его масштаб.
Например, при изменении математического ожидания и неизвестном происходит смещение распределения относительно исходного значения (рис. 5), с другой стороны, при изменении среднего квадратичного отклонения и постоянном изменяется форма распределения по вертикали (рис. 6).
Таким образом, для сигналов с флуктуационной помехой, описываемых выражением ( 4), изменение амплитуды а сигнала означает смещение кривых и по оси U, а изменение влияет на форму распределения по крутизне спада.
С учетом этого нетрудно определить вероятность ошибочного приема символов и пути изменения помехоустойчивости приемника.
Если приемник (см. рис. 4) сравнивает распределения с различным энергию разности между математическим ожиданием сигналами логических 0 и 1 в соответствии с формулами ( 2) и ( 3), то при ее положительном значении фиксируется прием сигнала логической 1, а при отрицательном –
логического 0.
Поэтому при передаче сигнала логического 0 положительные значения напряжения на входе приемника будут приниматься как сигнал логической 1, т.е. будут происходить ошибки , а при передаче сигнала логической 1 отрицатель-
Распределения при изменении иные значения напряжения среднего квадратного отклонения от помех будут фиксироваться как прием сигнала логического 0 (ошибка ). Указанные вероятности ошибок
Общая вероятность ошибочного приема символа .
При канал считается симметричным, а приемник — оптимальным по критерию идеального наблюдателя (Зигерта— Котельникова).
Когда потери от ошибок и неравноценны, для приемника выбирают другой критерий — пороговый уровень , перераспределяющий вероятности ошибок.
Действительно, при пороге срабатывания (рис. 7) ошибки
( 5)
. ( 6)
Нетрудно заметить, что сумма подынтегральных площадей при увеличивается, т.е. помехоустойчивость приемника при работе по критерию идеального наблюдателя максимальна.
Выбор оптимального для конкретных условий порога срабатывания является самостоятельной задачей. Например, выбор порога срабатывания по критерию Неймана – Пирсона позволяет при постоянном значении ложного приема минимизировать вероятность пропуска .
Таким образом, помехоустойчивость приемника можно повысить следующими путями
Увеличением разности энергии сигналов логических 0 и 1, т. е. напряжения а, и, следовательно, раздражением кривых плотностей распределения и ;
изменением формы распределения плотности вероятности сигнала и помехи на входе приемника вследствие повышения удельной энергии сигнала или уменьшения удельной интенсивности помех;
перераспределением вероятности ошибок по ложному приему и пропуску импульсов в результате выбора порогового уровня.
Вероятности ошибок для реальных приемников рассчитывают по формулам ( 5) и (2.6) с учетом, что подынтегральной функцией является плотность вероятности напряжения Un на входе приемника, рассчитываемая по формуле ( 1)
.
Такой интеграл нельзя выразить через элементарные функции. Поэтому его расчетные значения определяются по специальным таблицам вероятностного интеграла
Для определения и в этом интеграле вместо х используются значения .
Помехоустойчивость приемника можно определить по значениям вероятностного интеграла
где — соотношение сигнал/помеха.
Если (канал симметричен), приемник работает с минимумом ошибок по критерию идеального наблюдения, при этом
.
Помехоустойчивость приемников при различных методах модуляции сигналов обычно сравнивают по значению , т.е. по отношению энергии сигнала к энергии удельной помехи, рассчитываемой по формуле ( 4).
Например, передача двух дискретных сигналов, когда импульс с амплитудой и длительностью Т соответствует сигналу логической 1, а его отсутствие — сигналу логического 0 (пассивная пауза), характеризуется следующим, образом
,
где — энергия видеоимпульса.
Если передается не видео-, а радиоимпульс, то
.
При передаче сигналов логических 1 и 0 разнополярными импульсами с одинаковой амплитудой и длительностью Т
Отсюда видно, что при одном и том же значении и T наиболее помехоустойчива передача разнополярными импульсами, а наименее — радиоимпульсами с пассивной паузой. Аналогично можно сравнить по помехоустойчивости сигналы других видов модуляции.
Для сравнения помехоустойчивости передачи кодовых комбинаций с тем или иным видом модуляции элементарных сигналов рассчитывают вероятности сложных событий, состоящих из произведения вероятностей определенных ошибок в каждом символе комбинации.
При расчете помехоустойчивости кодовых комбинаций исходят аз следующих общих положений
вероятности правильной и неправильной передачи любого элемента составляют полную группу событий, т.е. при передаче сигнала логической 1; при передаче сигнала логического 0;
вероятность перехода одной комбинации в другую равна произведению вероятностей переходов каждого символа. Например, вероятность перехода комбинации 100 в 001
где и , определяются выражениями ( 7) и ( 8).
При расчете вероятностей ошибок для симметричного канала с независимыми ошибками чаще пользуются понятием вектора ошибки, равного результату сложения по модулю 2 переданной и принятой комбинаций. При отсутствии ошибок такой вектор содержит одни нули. В общем случае для определения вероят-
одни нули. В общем случае для определения вероятности К ошибок используется формула Бернулли (k < п)
При независимых ошибках в приеме символов комбинации эти вероятности могут быть выражены довольно просто, однако чаще всего ошибки зависимы.
Главной причиной взаимозависимости ошибок (корреляции) являются импульсные помехи в канале связи, представляющие собой обычно пачки импульсов одного происхождения и искажающие ту или иную часть комбинации.
Помехоустойчивость приемников при импульсных помехах
У импульсных помех случайно не только значение амплитуды (как у флуктуационных помех), но и время появления на входе приемника, длительность импульсов, их число. Такие импульсные помехи из-за неопределенности процесса часто называют хаотическими.
При расчете помехоустойчивости приемников к импульсным помехам необходимо учесть параметры их распределений по амплитуде, времени и длительности. Обычно полных данных из-за трудностей сбора информации нет и, следовательно, расчеты приблизительны.
Чаще всего определяют закон распределения помех во времени при условии, что длительности и амплитуды импульсов помех и сигнала сравнимы. Для описания распределения импульсных помех во времени используют закон Пуассона, т.е.
( 9)
где —средняя частота появления импульсов помехи.
п — число импульсов в интервале .
Тогда при известном интервале времени следования кодовой комбинации можно определять вероятность попадания импульсов помехи на базу кода. По соотношениям можно выделить уровни интенсивности импульсных помех. Так, если =1, то по выражению ( 9) вероятность попадания одного импульса на базу кода 0,3679, а вероятность двух ошибок в комбинации Рп = 2 = 0,5е = 0,1839 и т.д. Таким образом, к выбору кода для передачи с требуемой достоверностью нужно подходить исходя из соотношения .
Следует отметить, что интенсивность импульсных помех в зависимости от типа канала колеблется в очень больших пределах (от десятков импульсов в секунду на проводных линиях до десятков тысяч на радиолиниях СВЧ),
Помехоустойчивость приемников к импульсным помехам повышают, используя различия в свойствах сигнала и помехи.
Широкое распространение получили следующие методы разделения сигналов и помех (рис. 8, а);
различение длительностей импульсов помехи и сигнала — селекция по длительности (рис. 8, б). Этот способ эффективен, если длительность сигнала намного больше длительности импульсов помехи, так как предполагает наличие на входе решающего устройства приемника интегрирующего звена, не пропускающего более короткие импульсы помех;
различение амплитуд импульсов сигнала и помехи, когда между ними нет равенства. Если амплитуды импульсов помехи намного меньше амплитуд сигнала, пороговый уровень приемника устанавливают выше уровня значений помех (ограничение снизу), все значения ниже порога не рассматриваются (рис. 8,в);
если амплитуды импульсов помехи значительно превышают амплитуды сигнала, используют метод ШОУ (широкая полоса – ограничитель – узкая полоса) (рис. 8 г и д).
Этот метод предполагает ограничение импульсов помехи по уровню после прохождения их через широкополосный фильтр без искажения формы, а затем прохождение через узкополосный фильтр (селекция по длительности) на вход решающего устройства.
Таким образом, все импульсы помех, первоначально превышающие по амплитуде сигнал, но более короткие по длительности, не могут вызвать срабатывания приемника,
Кроме рассмотренных методов, существует еще целый ряд методов повышения помехоустойчивости приемников па основе известных различий в изменении параметров сигнала и помех, например прием сигнала с предсказанием, вычитание помехи из сигнала, запирание приемника в момент отсутствия сигнала и т.п.
Комплексная оценка помехоустойчивости приемника элементарных и сложных сигналов. Помехоустойчивость приемника к действию флуктуациониых помех оценивают исходя из кривой плотности распределения напряжения помехи на входе приемника, описываемой выражением (1). Вероятности ошибок и определяются соответственно по формулам (5) и (6). Эти значения не будут точно соответствовать помехоустойчивости реального приемника, так как в расчетах не учитываются время превышения помехой порогового уровня и инерционность приемника.
С другой стороны, при защите от импульсных помех инерционность приемника является одним из главных свойств, позволяющих отделять сигнал от более коротких импульсов помех. Однако параметры распределения импульсных помех по амплитуде, длительности, времени появления и числу импульсов в единицу времени обычно неизвестны. Одним словом, расчеты помехоустойчивости приемников при действии флуктуационных или импульсных помех приблизительны.
Очень трудно сравнить характеристики приемников разных типов, так как изменение их параметров неизвестным образом меняет характер распределения помех на входе. Однако помехоустойчивость приемников можно сравнить, если исходить из комплексной оценки свойств самого приемника, не касаясь характера распределения помех. Такой характеристикой может быть пороговая энергия, т. е. величина, равная произведению пороговых значений напряжения , тока и времени , необходимых для переключения приемника из одного состояния в другое
.
Действительно, чтобы приемник перешел из состояния 0 в состояние 1, необходимо на его входе иметь напряжение более , развивающее ток, превышающий или равный на время переключения приемника. Если хотя бы одна величина не достигает порогового значения, изменения состояния не произойдет. Для возврата приемника в исходное состояние 0 один из параметров (U,I,T) должен уменьшиться до значения ниже порогового ()
Таким образом, любой приемник характеризуется опреде-ленной пороговой энергией на переход в состояние 1 () и 0 ().
Обычно . Их разность характеризует коэффициент возврата приемника. При = приемник будет давать наименьшее число ошибочных переходов.
На рис. 9 даны значения пороговой энергии включения и выключения для логических элементов, наиболее распространенных в системах железнодорожной автоматики и телемеханики.
Из сравнения значений этих величин видно, насколько обостряется проблема помехоустойчивости с переходом на более совершенные элементы.
Для правильной оценки помехоустойчивости реального приемника необходимо иметь статистические данные о длительностях превышения пороговых уровней данного приемника. Пересчет имеющихся данных для другого вида приемника затруднителен и неэффективен. Это объясняется тем, что мощность помех на входе приемника зависит от соотношения входного сопротивления приемника, сопротивления тракта передачи и внутреннего сопротивления источника помех. К тому же у большинства приемников наблюдается нелинейная зависимость между входными напряжением и током.
Точно определить помехоустойчивость того или иного приемника можно только при получении распределения времени его срабатывания от помех. Для этого на выход приемника необходимо подключить на определенное время анализатор длительностей импульсов. Такое распределение позволяет правильно определить меры повышения помехоустойчивости.
Повысить помехоустойчивость можно увеличением любого порогового значения приемника ( ) отдельно или в совокупности. Наибольшего эффекта можно добиться увеличением , т.е. повышением инерционности приемника.
В железнодорожных системах автоматики имеются существенные резервы увеличения пропускной способности каналов, что позволяет снижать быстродействие приемников для повышения их устойчивости к помехам.
Если принятые меры повышения помехоустойчивости приема элементарных сигналов не могут считаться достаточными для системы телемеханики, используют методы передачи сложных избыточных сигналов. Такой сигнал, состоящий из определенной совокупности элементарных сигналов, позволяет, с одной стороны, увеличить различия в свойствах сигнала и помехи, а с другой — повысить разность энергии между ними. Поэтому при приеме проводится оптимальная обработка не только каждого импульса, но и всей совокупности импульсов сложного сигнала.
В телемеханических системах нашли применение следующие способы организации избыточности в сигналах
многократная передача неизбыточных сигналов (кодовых комбинаций или символов)
однократная передача избыточных кодовых комбинаций;
передача избыточных комбинаций заданное число раз или до правильного результата.
По первому способу неизбыточные сигналы могут передаваться определенное число раз или циклически. В любом случае на приемном конце решение о значении сигнала должно быть принято на основе оценки суммы п отсчетов смеси сигнала а и помехи, т.е. если в приемник поступают,
, , ,…, , тогда
.
Таким образом, п-кратное повторение сигнала приводит к увеличению его энергии в п раз, а среднее значение случайной помехи с ростом п стремится к нулю. Отсюда следует, что изменением числа повторений можно добиться любой помехоустойчивости.
При втором способе, при однократной передаче, в зависимости от числа избыточных элементов в кодовой комбинации приемник может обнаружить или обнаружить и исправить ошибку, т.е. постоянная избыточность сложного сигнала определяет его помехоустойчивость. Если есть возможность использовать обратную связь между приемником и передатчиком, то по третьему способу можно добиться более высокой эффективности и помехоустойчивости передачи, чем в предыдущем случае.
В зависимости от того, где принимается решение о правильном приеме, различают системы с решающей обратной связью (РОС) и с информационной обратной связью (ИОС).
В системах с РОС решение о значении сигнала выносит приемник и по каналу обратной связи подает сигнал подтверждения (квитирования), а при обнаружении ошибки требует повторения передачи.
В системах с ИОС приемник является пассивным, а принятый сигнал (в прямом или инверсном виде) возвращается по обратному каналу к передатчику, который сравнивает его и принимает решение об исполнении или повторе сигнала.
При использовании РОС или ИОС избыточность в сигналах оказывается меньше, чем в корректирующих кодах.
На электрифицированных линиях железных дорог в каналах систем ДЦ могут действовать гармонические помехи, сосредоточенные по спектру. Защита от их действия особенно актуальна на участках с электротягой на переменном токе.
В современных компьютерных системах ДЦ помехоустойчивость при действии гармонических помех может быть повышена следующими способами
применением режекторных фильтров, настроенных на сосредоточенные помехи и уменьшающих их влияние на приемник;
использованием шумоподобных сигналов (ШПС), представляющих собой цифровые последовательности определенной длины, перемножаемые с информационными сигналами для введения избыточности и искусственного расширения полосы частот информационного цифрового сигнала. В этом случае применение на приеме метода ШОУ и обратное преобразование ШПС позволяют получить требуемую достоверность информации.
2. Способы повышения достоверности передачи и приема сообщений
При передаче телемеханических сигналов под воздействием мешающих факторов (помехи, неисправности, изменение параметров и т.п.) происходят определенные изменения в форме и числе импульсов, ведущие к ошибкам в приеме. Для уменьшения общего числа ошибок, а иногда и для исключения ошибок определенного типа (чаще всего ) применяют различные меры.
Способы, связанные с повышением помехоустойчивости сигналов, были рассмотрены в п. 1. Остановимся на более важных дополнительных мероприятиях, уменьшающих вероятность исполнения искаженных телемеханических команд.
Любая защитная проверка на приемном конце может происходить только на основе контроля постоянных признаков получаемых сигналов. Такими признаками могут быть число импульсов в спорадическом сигнале или цикле; число импульсов с определенными импульсными признаками; временные параметры отдельных импульсов и серии в целом; порядковый номер импульса с определенным признаком; правило чередования импульсов с определенными свойствами и т.д.
Нетрудно заметить, что некоторые проверки (например, число импульсов) могут быть реализованы в системах с неизбыточными сигналами, но большая часть возможна лишь при наличии избыточности в элементах сигнала или числе передач.
Сигнал построен по определенному правилу (коду) и содержит элементы, отражающие это правило. Проверяя эти правила, приемник может обнаружить искажения, а если избыточность, предусмотренная в системе сигналов, достаточна, то и исправить обнаруженные ошибки.
В спорадических системах телемеханики, используемых для диспетчеризации железнодорожного транспорта, обязательными являются проверки следующих постоянных признаков общего числа импульсов сигнала (числовая защита); числа импульсов с активным качеством (защита по качеству); временных параметров сигнала (контроль непрерывности сигнала).
Устройства, выполняющие этот контроль, исключают возможность реализации искаженных сообщений.
Обычно указанные защиты реализуются следующим образом. Демодулятор содержит элементы, определяющие длительность импульсов и их чередование. При перерыве в поступлении импульсов контрольная схема приводит приемные устройства (чаще всего приемный регистр и распределитель) в исходное состояние.
Распределитель ведет отсчет числа поступивших импульсов сигнала, и если их число отличается от установленного, блокируются цепи переноса информации из приемного регистра в дешифратор комбинаций и реализации не происходит.
Защита по числу импульсов с активным качеством проводится в дешифраторах комбинаций, так как по своему назначению эти узлы проверяют комплектность кода, т.е. соотношения 0 и 1 в принятом сообщении.
В циклических системах телемеханики, используемых на железнодорожном транспорте, избыточность в элементах сигналов минимальна или отсутствует, так как это системы с распределительной селекцией. Однако время существования ошибки в приеме ограничено длительностью цикла, и поэтому даже при отсутствии защитных проверок последствия от ошибок в таких системах значительно меньше, чем в спорадических.
Обычными для циклических систем являются проверки синфазного окончания цикла и длительности цикла.
В системах ДЦ «Нева» и «Луч» используются стартовые и стоповые импульсы для групповых сигналов, передаваемых циклически. Это позволяет контролировать в демодуляторе непрерывность группового сигнала ТС.
Наиболее важные защитные проверки в циклических системах телемеханики осуществляются на основе сравнения периодически поступающих неизбыточных сигналов. В этом случае реализация команд должна происходить с запаздыванием на время накопления сигналов для сравнения. Изменяя число циклов, необходимых для принятия решения о сигнале на основе накопленной совокупности, можно обеспечить любую степень достоверности в приеме. Нетрудно заметить, что нужный результат достигается на основе избыточной передачи неизбыточных сигналов, т.е. это другой вид избыточности в представлении сигнала.
Однако в циклических системах с распределительной селекцией возможно также использование избыточных временных позиций для дублирования передаваемых сигналов. В этом случае в каждом цикле работы устройств можно сравнивать информацию по временным каналам.
Дублирование сигналов по разным каналам иногда удобнее проводить в прямом и инверсном значениях, например информацию о состоянии двухпозиционного объекта передавать по двум каналам в виде 01 и 10. Такая корреляция сигналов в разных каналах увеличивает возможности обнаружения искажений при приеме, позволяет контролировать исправность общих узлов системы.
Важной особенностью циклических систем телемеханики является возможность проверки исправного состояния всех узлов, участвующих в передаче и приеме сообщений, в каждом цикле.
Системы с использованием обратного канала связи для организации защитных проверок представляют собой альтернативу избыточности передаваемых сигналов.
При наличии обратной связи могут использоваться неизбыточные коды или коды с минимальной избыточностью, что значительно упрощает устройства и повышает эффективность передачи.
В системах с РОС при посимвольном приеме демодулятор прямого канала должен выдавать сигнал на двухпороговое решающее устройство, принимающее решение в соответствии с правилом
— принят ;
— принят ;
— решение не принято,
где — напряжение на входе решающего устройства; и — пороговые напряжения решающего устройства ().
Если решение не принято (сигнал попал в зону «стирания»), формируется служебный сигнал переспроса, передаваемый по обратному каналу. В ответ на этот сигнал проводится повторение непринятого ранее символа. Этот процесс заканчивается с принятием решения, система переходит к передаче других символов.
Если в системе с РОС код имеет хотя бы минимальную избыточность, позволяющую обнаруживать одиночные ошибки, решение о переспросе целесообразно принимать после дешифрации комбинации, т.е. на выходе ДШК. В этом случае повторение запрашивается, если ДШК отнес комбинацию к неразрешенным.
В системах с ИОС решение о реализации принятого сообщения принимается на передающей стороне на основе сравнения переданного сообщения с информацией о нем, поступившей по обратному каналу. Реализация разрешается специальным сигналом подтверждения, передаваемым по прямому каналу.
Информационные сообщения, поступающие по обратному каналу, часто называют «квитанциями», поэтому такие системы иногда определяют как системы с квитированием.
Сравнительный анализ по достоверности систем с РОС и ИОС показывает
при симметричных каналах прямой и обратной связей с одинаковым уровнем помех системы РОС и ИОС обеспечивают одинаковую достоверность;
при слабых помехах в канале обратной связи системы с ИОС имеют более высокую достоверность, чем с РОС;
при сильных помехах в обратном канале системы с РОС обеспечивают более высокую достоверность;
при сильных помехах в прямом и обратном каналах с образованием пачек ошибок более высокую достоверность обеспечивают системы с ИОС.
В современных системах передачи данных и компьютерных ДЦ обратная связь обязательно используется в том или ином виде.
Наибольшее распространение получили процедуры с переспросом, т.е. системы с РОС, поскольку в этом случае обратный канал используется более эффективно. Каждому сообщению, передаваемому в виде информационного кадра,
приписывается порядковый номер и вместе с другой служебной информацией организуется кодовая комбинация помехоустойчивого (n, k)-кода.
Если при декодировании на приемной стороне обнаруживается неисправляемая ошибка, информационный кадр стирается и по обратному каналу подается сигнал переспроса для повторной передачи этого кадра.
Сигналы обратной связи могут посылаться в составе информационных кадров и специальными служебными кадрами. Они могут содержать информацию о результатах приема отдельного сообщения и их совокупности.
Часто сигналы обратной связи подразделяют на сигналы подтверждения принятых кадров и сигналы запроса на повторение непринятых кадров. Форма представления сигналов обратной связи может быть различна. Широко применяется способ передачи номера последнего правильно принятого сообщения.
Известные системы с РОС могут быть разделены по виду коррекции ошибок на системы с запаздывающей, опережающей или комбинированной коррекцией. При запаздывающей коррекции повторение сообщения идет только после получения сигнала переспроса. При опережающей коррекции ошибок передача каждого сообщения идет до тех пор, пока по обратному каналу не поступит сигнал подтверждения правильного приема. Комбинированная коррекция ошибок предполагает то или иное сочетание запаздывающей и опережающей коррекций в зависимости от условий и вида передачи.
3. Методы обеспечения надежности
Любая система диспетчерской централизации представляет собой комплекс технических средств, обеспечивающих безопасный контроль и управление движением поездов на участке.
Основными составляющими такого комплекса являются системы электрической централизации на станциях; системы автоблокировки на перегонах между станциями; системы телеуправления-телесигнализации, объединяющие устройства в единую систему управления.
Чаще всего систему ТУ-ТС принято считать собственно системой ДЦ, отождествляя ее с системой управления движением поездов. Поскольку безопасность движения – это главное требование к системе управления, необходимо уточнить с этих позиций требования к системе ДЦ.
Принято считать, что за безопасность движения в комплексе ДЦ отвечают устройства ЭЦ на станциях и автоблокировки на перегонах, поскольку целью их создания являлось обеспечение безопасности. Однако это не совсем так, если система ТУ-ТС может непредусмотренным образом воздействовать на устройства ЭЦ при отказах или действии помех.
При некоторых отказах ЭЦ или АБ система ТУ-ТС должна обеспечивать передачу так называемых ответственных команд управления. Таким образом, трансформация какой-либо команды в ответственную или возникновение ложной команды представляют угрозу безопасности движения и должны исключаться с требуемой вероятностью.
С другой стороны, система ДЦ должна быть не только безопасна, но и безотказна, так как процесс управления движением поездов непрерывен во времени.
В соответствии с ГОСТ 27.002—89 безопасность систем ЖАТ есть свойство системы сохранять исправное, работоспособное и защитное состояния, а безотказность — свойство сохранять исправное и работоспособное состояния. Таким образом, безопасность как составляющая надежности всегда не меньше безотказности.
Построение безопасной системы возможно на основе следующих концепций или их сочетаний безотказность (reliability); отказоустойчивость (fault-tolerance); безопасное поведение при отказах (fail-safe). По первым двум стратегиям подразумевают, что система, которая правильно выполняет алгоритм функционирования, является безопасной. Третья стратегия подразумевает перевод системы в защитное состояние при появлении любого отказа, а переход в работоспособное состояние осуществляется только с участием человека.
Для безопасных современных систем ЖАТ чаще всего реализуют сочетание отказоустойчивости с переходом системы после предельной деградации в защитное состояние после очередного отказа.
Под отказоустойчивостью понимается свойство или способность системы продолжать выполнять требуемые функции при возникновении или наличии отказов элементов за счет резервных возможностей. Система обладает отказоустойчивостью, если можно выделить непустой набор элементов, повреждение которых не вызовет отказ системы. Отказоустойчивость базируется в основном на резервировании и может быть функциональной, информационной, временной или структурной в зависимости от используемого вида резерва. Существуют дополнительные мероприятия (рис. 10), позволяющие в различных сочетаниях значительно повысить отказоустойчивость техническое диагностирование, рекон-фигурация архитектуры системы и восстановление резерва. Схема общего случая взаимодействия указанных мероприятий в процессе функционирования МП СЖАТ приведена на рис. 11.
Рассмотрим подробно каждую из этих мер повышения отказоустойчивости.
Резервирование. Метод использования дополнительных средств и возможностей с целью сохранения работоспособного состояния объекта называют резервированием.
При функциональном резервировании используется способность элементов и узлов выполнять дополнительные функции, а также заданную функцию дополнительными средствами. Эффективность работы объекта в основном и резервном режимах, как правило, существенно отличается.
При временном резервировании используется избыточное время для выполнения заданной функции. В этом случае имеются интервалы времени, на которых отказы аппаратуры не приводят к отказу функционирования системы.
При информационном резервировании используется избыточная информация. К этому виду резервирования относится использование избыточных кодов, что позволяет обнаруживать и даже исправлять ошибки в передаваемой и обрабатываемой информации.
Структурное резервирование является наиболее эффективным средством повышения надежности аппаратуры и предусматривает введение в минимально необходимый вариант системы, элементы которой называются основными, дополнительных элементов, блоков или даже вместо одной системы предусматривается использование нескольких иден-тичных систем. В этом случае резервные элементы выполняют рабочие функции системы при отказе основных элементов.
Следует отметить, что все эти способы резервирования могут быть реализованы аппаратными, программными или аппаратно-программными средствами.
При постоянном резервировании резервные элементы участвуют в функционировании объекта наравне с основными. В этом случае основные и резервные элементы могут иметь общий вход и общий выход, а могут быть и автономными.
В случае резервирования замещением функции основного элемента передаются резервному только после отказа основного. Для обнаружения факта отказа основного элемента и переключения на резервный необходимы контролирующие и переключающие устройства.
При динамическом резервировании происходит изменение структуры объекта в случае возникновения отказа составляющих его элементов. Например, данные будут передаваться не по кратчайшему пути, а по другому возможному, обходному.
Скользящее резервирование — это резервирование замещением, при котором группа основных элементов объекта резервируется одним или несколькими элементами, каждый из которых может заменить любой отказавший элемент в данной группе.
Наиболее распространенными видами резервирования безопасных систем ЖАТ на основе микроЭВМ (М-ЭВМ) являются дублирование и мажоритарное резервирование (рис. 12). При дублировании структуры системы ЖАТ значительно снижается вероятность появления ложного сигнала логической 1 на выходе системы, но при этом выход из строя любого из структурных элементов (каналов обработки данных) приводит к отказу всей системы. (На рис. 12 СС — схема сравнения). В системах ДЦ дублирование широко применялось для центральных постов по основной аппаратуре ТУ-ТС.
При мажоритарном резервировании в отличие от дублирования снижается вероятность появления ложных сигналов как логических 1 и 0 при отказах и сбоях резервируемых каналов и элементов. Мажоритарный способ резервирования позволяет легко обнаруживать и индицировать отказы в элементах резервируемых устройств сравнением сигналов неисправного канала с сигналами остальных исправных каналов.
Методы технического диагностирования. Техническое диагностирование предназначено для своевременного обнаружения неисправностей элементов системы, определения места и причины их возникновения. Поиск неисправностей необходим для выявления и замены отказавших элементов системы во избежание отказа всей системы, а также для обеспечения безопасности ее функционирования. Отказы системы автоматики могут возникать в результате ошибок проектирования и физического износа на этапе эксплуатации.
Методы диагностирования можно классифицировать по нескольким признакам (рис. 13).
По способу диагностирования различают тестовое и функциональное диагностирование (соответственно ТД и ФД). Системы ТД предназначены для проверки исправности объекта и поиска неисправностей, нарушающих его работоспособность. Отличительной особенностью ТД является возможность подачи на объект специальных тестовых воздействий. В большинстве случаев объект не применяется по прямому назначению. Если же объект функционирует по назначению, то тестовые воздействия могут быть только такими, которые не влияют на нормальное функционирование системы управления. Системы ФД предназначены для проверки правильности функционирования объекта и обнаружения неисправностей, нарушающих его нормальное функционирование. Системы ФД работают при применении объекта по назначению, когда на объект поступают только рабочие воздействия.
Развитие встроенных систем диагностирования идет по пути создания самотестируемых и самопроверяемых систем. В частности, в самотестируемых системах применяется метод расширяющихся областей, когда относительно небольшое «ядро» объекта считается работоспособным, а уже оно тестирует все остальные части, причем протестированные «присоединяются» к ядру для дальнейшего развития процесса самотестирования. Целесообразно ядро спроектировать самопроверяемым.
Схема является самопроверяемой, если для определенного класса неисправностей она при каждой неисправности, во-первых, формирует на выходе либо правильный сигнал, либо сигнал ошибки на всех допустимых комбинациях входных сигналов, а во-вторых, для нее существует хотя бы одна допустимая комбинациях входных сигналов, которая приводит к появлению на выходе сигнала ошибки.
При функциональном диагностировании перспективным средством повышения контролепригодности цифровых, в том числе микропроцессорных, систем ЖАТ является придание им свойства самопроверяемости.
Реконфигурация. Процесс изменения структуры системы при обнаружении неисправностей или в соответствии с изменением функциональных задач есть реконфигурация.
Реконфигурация системы при обнаружении отказа какого-либо элемента системы (одного или нескольких) проводится по инициативе системы диагностирования и необходима для сохранения максимально возможной при имеющихся отказах эффективности функционирования системы.
Реконфигурация при изменении состава функциональных задач применяется для достижения наибольшей эффективности в каждом из режимов
решение задачи с высокими требованиями к безотказности, достоверности и безопасности;
решение задачи с повышенной точностью;
распараллеливание задачи для повышения производительности системы;
решение задачи с низкими требованиями к надежности и времени решения.
Восстановление. Применительно к управляющим вычислительным системам восстановление имеет два аспекта. Во-первых, это восстановление резерва, которое осуществляется вручную с использованием вспомогательных технических средств. Во-вторых, это восстановление вычислительного процесса (также встречаются термины «самовосстановление» и «рестарт»), которое выполняется автоматически самой системой.
Восстановление резерва может являться одной из следующих процедур замена отказавших элементов на исправные; профилактическая замена элементов; ремонт элементов.
Отказавшие элементы заменяют на исправные по результатам функционального диагностирования, т.е. по факту отказа. Тем самым кратность резервирования доводится до первоначальной. В отличие от этого профилактическая замена проводится после истечения срока службы элемента или межремонтного срока. Отличительной особенностью здесь является то, что такая замена выполняется независимо от всех других мероприятий по обеспечению отказоустойчивости. Профилактическая замена позволяет поддерживать некоторое постоянное значение интенсивности отказов элементов. Что касается ремонта элементов, то можно отметить, что здесь эффективно применение средств тестового диагностирования.
Процедура восстановления вычислительного процесса проводится после обнаружения ошибки функционирования системы; при введении в работу отремонтированного резерва (если резерв нагруженный).
В первом случае средствами технического диагностирования зафиксировано отклонение каких-либо параметров системы от нормы, например несоответствие результатов вычислений различных каналов обработки информации. Сначала необходимо классифицировать ошибку как сбой или катастрофический отказ. Для этого при наличии резерва времени повторяется эта же программа всеми каналами, причем возврат (рестарт) может быть к началу либо программы, либо программного модуля, при выполнении которого был зафиксирован отказ, либо команды программы, осуществлявшейся в момент возникновения ошибки или до нее. Если неисправность проявляется повторно, делается вывод о факте катастрофического отказа и проводится реконфигурация. В противном случае, т.е. при успешном повторном выполнении, предполагается, что имел место сбой и работа системы управления продолжается, а факт сбоя может быть зафиксирован для последующей статистической обработки.
При отсутствии резерва времени на обработку отказов элементов системы обычно имеют дело с маскирующими отказ решающими элементами, например мажоритарными. В таком случае тип ошибки определяется средствами встроенного тестирования отказавшего канала. Если эти средства сигнализируют о катастрофическом отказе, то также выполняется реконфигурация, если же речь идет о сбое — синхронизация работы каналов, т.е. отставший канал пытается догнать остальные, работающие синхронно. Для этого он инициирует обмен между всеми каналами для выравнивания данных, после чего проводится синхронный старт.
При введении в работу отремонтированного канала процедура восстановления вычислительного процесса аналогична обмен между каналами для выравнивания исходных данных, синхронный старт.
Оценка отказоустойчивости. Рассмотренные способы создания отказоустойчивых систем требуют количественной оценки эффективности их применения. Для оценки эффективности возможны два подхода. При первом качественно оценивается возможность достижения отказоустойчивости благодаря
оперативному обнаружению ошибок с одновременной их классификацией (сбой или отказ);
оперативному устранению ошибки, вызванной сбоем или отказом.
Второй заключается в количественной оценке отказоустойчивости определяется число отказавших элементов, при котором система продолжает функционировать.
Показатель степени отказоустойчивости
где — интенсивность отказов элементов системы, которые не приводят к нарушению функционирования системы; — интенсивность отказов системы (интенсивность отказов элементов, приводящих к нарушению функционирования системы).
Показатель эффективности введения мероприятий по отказоустойчивости
где Точ — время наработки на отказ системы, обладающей отказоустойчивостью; То — время наработки на отказ системы, не обладающей отказоустойчивостью.
Безопасность МП систем ЖАТ. В отличие от релейных элементов МП при отказе не переходят в защитное состояние, если не использовать специальные меры по контролю правильности их функционирования. Поэтому для синтеза МП систем ЖАТ требуется разрабатывать новые методы обеспечения безопасности, отличные от методов с использованием элементов с несимметричной характеристикой отказов.
Наиболее часто для обеспечения безопасности МП систем ЖАТ используют структурное резервирование, реализуемое аппаратными или программными средствами, т.е. применяют способ параллельной обработки информации в нескольких микроЭВМ или с использованием нескольких программ в одной микроЭВМ.
Для контроля правильности работы каналов обработки информации аппаратно или программно сравнивают результаты выполнения отдельных команд или решения отдельных задач.
Программные методы резервирования и контроля требуют большего (чем аппаратные) времени обнаружения отказов и при их использовании трудно обеспечить требование независимости отказов в различных программах обработки информации. Поэтому в большинстве существующих МП систем ЖАТ используются программно-аппаратные методы контроля правильности функционирования n-кратно резервированных вычислительных каналов, выходные сигналы которых формируются по мажоритарному или конъюнктивному закону.
Резервированием, контролем функционирования и реконфигурацией обеспечивается безопасность МП систем ЖАТ при отказах внутренних элементов микроЭВМ, но необходимо обеспечить также безопасное управление исполнительными объектами при повреждении выходных элементов.
Для количественной оценки безопасности используют вероятностные показатели, определенные ОСТ 32.17—92
вероятность безопасной работы за время t
где — функция распределения наработки до опасного отказа; вероятность опасного отказа
интенсивность опасных отказов
где dz(t) — условная вероятность опасного отказа за время dt при безотказной работе за период (0,t);
средняя наработка до опасного отказа
параметр потока опасных отказов woп(f), представляющий отношение математического ожидания числа опасных отказов восстанавливаемой системы за произвольно малую наработку к значению этой наработки.
4. Способы передачи ответственных команд
Диспетчерское управление движением поездов сохраняется при любом состоянии комплекса устройств ДЦ. Однако при некоторых отказах в устройствах ЭЦ или АБ, контролирующих условия безопасности движения поездов, возникает необходимость в передаче по телемеханическому каналу ответственных приказов, условия исполнения которых не могут быть проверены отказавшими устройствами.
К таким командам относят управление пригласительными сигналами; перевод стрелок без контроля состояния стрелочно-путевого участка; искусственное размыкание секций; аварийная смена направления движения на перегоне; другие подобные команды вспомогательного режима управления.
При передаче любой команды под воздействием искажающих факторов могут происходить следующие события
подавление команды с условной средней вероятностью
где Pi — вероятность передачи i-гo из М сообщений; Pi0 — вероятность подавления i-го сообщения.
Трансформация одной команды в другую с условной средней вероятностью
где — вероятность трансформации i-го сообщения в j-e.
С позиций безопасности угрозу представляет трансформация любой команды в ответственную или одной ответственной в другую.
При независимых ошибках такая вероятность может быть определена по выражению Бернулли
где k — число переходов 0 →1; q — число переходов 1→0; l — число нулевых символов; т — число единичных символов.
Для ответственных команд недопустима также возможность их возникновения при отсутствии передачи из помех или отказа аппаратуры.
Вероятность возникновения ложной команды из помех может оцениваться как
Таким образом, при передаче ответственных команд необходимо исключать ложные команды с требуемой вероятностью
где Роо — вероятность опасного отказа системы.
Требуемая защита от трансформаций и возникновения команд из помех может достигаться использованием известных помехоустойчивых методов передачи информации.
Наибольшие технические трудности представляет выбор защитных мероприятий от опасного отказа аппаратуры при передаче ответственных команд.
Безопасность передачи можно обеспечить в следующих случаях
система ТУ-ТС в момент передачи исправна и функционирует по установленному алгоритму;
система ТУ-ТС при любом отказе переходит в защитное состояние, т.е. является несимметричной по состояниям на выходах системы в случае отказа. Это означает несопоставимые вероятности между состояниями выходов «включено» и «выключено».
Системы ДЦ, находящиеся в эксплуатации на железнодорожном транспорте, предусматривают передачу ответственных команд с проверкой исправного состояния устройств. Это относится к системам с аппаратной реализацией функций и компьютерным реализациям.
Обеспечение необходимого уровня безопасности движения достигается соблюдением следующих правил
решение о возможности передачи ответственной команды принимается двумя лицами (диспетчером участка и старшим диспетчером);
посылка ответственной команды возможна только при одновременных согласованных действиях двух лиц;
передача команды осуществляется в два этапа;
на первом этапе посылается предварительная команда с целью проверки исправного состояния устройств и их функционирования по установленному алгоритму с правильной адресацией;
при исправном состоянии устройств прямого и обратного каналов посылается исполнительная команда в тот же адрес;
при правильном приеме исполнительной команды в установленное предварительной командой время ожидания проводится их совместная реализация.
Однако для передачи ответственных команд имеются схемные решения, обеспечивающие и несимметричность по отказам.
Так, на дискретных компонентах по специальным правилам была выполнена бесконтактная система телемеханики с распределительным методом селекции ЦРС (1969 г.).
В системе ЦРС при отказе типа «обрыв» или «короткое замыкание» любого компонента происходил переход системы в защитное состояние. Достигалось это соблюдением следующих принципов схемотехники
все бесконтактные элементы функционируют в циклическом режиме с временем цикла существенно меньшим времени реакции исполнительных реле ЭЦ;
в каждом цикле функционирования каждый элемент переводится из одного устойчивого состояния в другое и обратно, чем подтверждается его работоспособность;
при отказе любого компонента функциональный элемент или узел переходит в устойчивое состояние;
функциональные узлы гальванически разделены и их взаимодействие проводится не потенциальными, а импульсными сигналами;
для защиты от случайных переходов элементов из одного состояния в другое при воздействии помех или отказе состояния выходов системы меняются только по определенной накопленной совокупности цикловых сигналов. Выбором времени накопления достигается требуемая вероятность ошибки на выходе системы.
С переводом системы на интегральные схемные компоненты принципы достижения несимметричности по отказам на выходах остаются такими же.
Система передачи ответственных команд (СПОК) является примером обеспечения безопасности движения в ДЦ за счет дополнительной аппаратуры, выполненной с учетом принципов достижения несимметричности по отказам на выходах системы при использовании программируемых элементов компьютерной техники с симметричными отказами.
Использована в СПОК известная двухканальная структура с последующим сравнением результатов вычислительных каналов (ВК) аппаратной схемы с несимметричными отказами и релейным интерфейсом с исполнительными устройствами ЭЦ.
Два независимых ВК со сравнением результатов и фоновым тестированием позволяют обнаруживать независимые отказы и исключать возможность их накопления переводом системы в защитное состояние.
Поскольку СПОК является дополнением к любой компьютерной системе ДЦ, то общими являются АРМ ДНЦ и каналообразующие средства.
Для ответственных команд на пульте ДНЦ предусматриваются специальные кнопки, опрашиваемые независимыми контроллерами 1 и 2 (рис. 14). При несовпадении результатов сравнения состояния кнопок происходит отключение центрального устройства схемой контроля контактами реле первого класса надежности и включаются световая и звуковая сигнализации отказа. То же самое происходит при несовпадении результатов приема информации с ЛП из-за неисправности или помех.
Для защиты от ложных команд в СПОК предусмотрено помехоустойчивое кодирование с большим кодовым расстоянием между разрешенными комбинациями и двукратная передача команды с проверкой исправного состояния прямого и обратного трактов передачи по следующему алгоритму.
1. Предварительная команда, одинаково принятая на ЛП контроллерами 1 и 2, подтверждается передачей с ЛП на ЦП квитирующего сообщения.
2. При одинаковом приеме этого сообщения на ЦП обоими контроллерами формируется команда запуска исполнения на ЛП.
Одинаково принятая на ЛП контроллерами 1 и 2 команда запуска реализуется через безопасный интерфейс устройствами ЭЦ.
Для контроля исправного состояния СПОК при отсутствии ответственных команд проводится периодическое тестирование устройств.
Для контроля исполнения ответственных команд на АРМ ДНЦ обычная индикация системы ДЦ дополняется еще индикацией со стороны средств СПОК.