Надежность является одним из ключевых показателей, определяющим качество систем телемеханики. Основным методом повышения надежности является резервирование [1]. Приведем указанное в стандартах определение надежности – время наработки на отказ одного канала каждой выполняемой функции. Однако многие производители систем телемеханики подменяют установленный стандартом показатель надежности наработкой на отказ одного модуля, который не учитывает структуру и алгоритм работы системы телемеханики в целом. Некорректное определение показателя может привести к некорректному выполнению резервирования, в результате чего системный показатель надежности и другие параметры системы ухудшаются. Очевидно, что принимаемые меры повышения надежности не должны отрицательно сказываться на других атрибутах качества системы – помехоустойчивость, достоверность, быстродействие [3, 4].
Рассмотрим взаимосвязь пары показателей – надежности и достоверности. «Надежность» одного модуля, представляемая рядом производителей в качестве показателя надежности, выражается цифрами 100000, а иногда 1000000 часов наработки на отказ. Отметим, что наиболее жесткие требования стандарта оговаривают надежность (время наработки на отказ одного канала выполняемой функции) на уровне 16000 часов. При некорректном определении параметра надежности учитываются только интенсивности отказов (λ – коэффициенты) элементов одного модуля. В результате получаемые цифры не отражают реальное качество системы телемеханики.
Поясним сказанное анализом структуры системы телемеханики (рис. 1), которая определяет показатель надежности для одного канала телесигнализации (ТС).
Видно, что при определении надежности одного канала выбранной функции требуется учесть большую часть аппаратуры устройств контролируемых пунктов (КП) и пункта управления (ПУ), а также значительную часть общего программного обеспечения. При таком подходе обеспечить выполнение требования стандарта без увязки структуры всех модулей системы и без оптимизации метода резервирования невозможно [3]. Показатель надежности зависит не только (не столько) от построения модуля для выбранного вида информации, а от общей структуры системы телемеханики.
При упрощенном подходе к оценке надежности не учитываются неисправности устройств, которые приводят не к отказу от выполнения команды или передачи (приема) сигналов, а к необнаруженным искажениям команды управления или телесигнализации [1, 2, 6, 8]. Неисправность устройства (модуля) может привести к ситуации, которая оговаривается стандартом для оценки показателя не надежности, а достоверности. Очевидно, что любые неисправности, приводящие не только к отказам от выполнения команд (приема сигналов или измерений), но и к недостоверности информации, должны рассматриваться в комплексе – в едином показателе. Несимметричность показателей, регламентирующих допустимые вероятности отказа и приема искаженной информации, отражена в стандарте на системы телемеханики. Так, нормируемые уровни допустимой вероятности отказа от выполнения ложной команды управления или приема сигналов состояния оборудования с необнаруженными искажениями в 105–107 (!) раз больше, чем предельные уровни вероятности реализации искаженных данных.
В свете вышесказанного, если реально оценить ряд отечественных и зарубежных систем телемеханики, то окажется, что они, обладая малой вероятностью необнаруживаемых искажений команд, сигналов и измерений помехами в канале связи, характеризуются намного более низкой достоверностью принимаемой информации. Дисбаланс возникает из-за отсутствия взаимосвязи между принципами построения узлов кодирования и передачи информации.
Приведем пример, подтверждающий необходимость взаимосвязи основных вероятностных показателей [1, 2, 4, 6, 8]. Введем условный показатель деградации достоверности принимаемой информации при определении показателя двумя методами [9, 10]: по вероятности необнаруженного искажения команд только по одной причине – из-за помех в канале связи; по вероятности выполнения ложной команды независимо от причины и места искажений.
Определим степень деградации реальной достоверности как отношение вероятностей, определенных по двум приведенным методам [8, 9, 10]. Для анализа рассмотрим модель части системы телемеханики, «ответственной» за формирование и вывод команд телеуправления, представленной на рис. 2.
Рис. 1. Структура трассы для расчета надежности одного канала ТС
Рис. 2. Модель части системы, используемой в канале телеуправления
Вероятность необнаруживаемого искажения информации помехами в канале связи – Pнеоб иск определяется свойствами используемого помехозащитного кода [4, 6]. Установив среднестатистическую интенсивность потока передач (λсрi), можно определить достигаемое среднестатистическое время между отказами:
Tсрi = 1/(λсрi Pнеоб иск), (1)
при этом интенсивность простейшего потока не обнаруживаемых отказов (λi) будет равна
li = 1/Tсрi = nтi Pнеоб иск /tчг [час-1], (2)
где nтi – среднестатистическое число требований i-го вида за год, tчг – число часов в году.
Условно разделим аппаратуру, участвующую в передаче и приеме i-го вида информации, на mгр групп. Интенсивность необнаруженного отказа элемента аппаратуры j-ой группы обозначим как lj, а вероятность ввода-вывода искаженной информации при возникновении необнаруженного отказа как pj. Тогда степень «деградации» (Di) достоверности принимаемой информации i-го вида можно представить как
. (3)
Для определения диапазона возможных значений Di рассмотрим простейший пример [4]. Пусть, например, достигаемая за счет использования помехоустойчивого кода вероятность необнаруживаемых искажений команд управления из-за помех в канале связи равна Pнеоб иск = 10-14 (в соответствии с ГОСТ 26.205), а среднестатистическое число команд управления одним объектом за год равно niку = 103 год-1. Предположим, что в цепи ввода, обработки и вывода команды управления этим объектом среди множества элементов окажется только один элемент, неисправность которого не обнаруживается введенными узлами контроля и диагностики [9, 10]. Примем, что справочная интенсивность отказов (неисправности) этого элемента lj = 0,5×10-6 час-1, т.е. весьма мала, причем вероятность возникновения искажений из-за неисправности указанного элемента команды тоже невелика и равна pj = 10-6. Будем также считать, что других вариантов выполнения ложной команды нет. Определяем
= 10-15 час-1, (4)
а величину
= 0,5×103. (5)
Видно, что даже при учете весьма «мягкого» воздействия на аппаратуру «мешающих факторов» – необнаруженного отказа одного элемента показатели реальной достоверности принимаемой информации оказываются значительно хуже ожидаемых.
Для определения реальной надежности рассмотрим трассу доставки данных, например, ТС от датчика до средства отображения, приведенную на рис. 3.
Определим возможности резервирования канала ТС. Рассмотрим возможность построения резервированных структур, когда информационные сообщения, передаваемые от КП в ПУ, синтезируются общим для всех модулей центральным контроллером, в который периодически и поочередно вводятся текущие данные модулей. Контроллер в процессе обработки текущей информации сканирует созданную общую базу данных и определяет необходимость формирования информационного сообщения по заданным критериям фиксации событий для передачи.
Предположим, что контроллер формирует только по одному буферу для передачи информации по одному направлению, т.е., в общей сложности, в контроллере создается четыре информационных буфера с сообщениями в формате базового протокола [1, 3, 5]. Очевидно, что наибольшая глубина резервирования достигается, если информационные сообщения, предназначенные для передачи по каналам связи, формируются разными контроллерами разных устройств КП [1]. Однако процедуру сканирования базы данных независимых контроллеров практически невозможно синхронизировать, поэтому весьма вероятно, что информационные сообщения, сформированные разными контроллерами, не будут идентичными, что, при необходимости создания идентичной базы данных в разных каналах связи наличии единой базы данных, исключает применение описанного метода резервирования.
Алгоритмические сложности возникают, если в ответ на переданное по всем каналам связи сообщение подтверждающая «квитанция» поступает не от всех приемников. Важно также учесть, что при несинхронных каналах связи синхронизировать время начала передачи сформированного информационного сообщения по каналам связи практически невозможно. В результате, для реализации «горячего» резервирования контроллер КП должен выравнивать информационные обмены по худшему из вариантов. Фактически такая ситуация заставляет производителей систем телемеханики переходить от горячего резервирования к холодному, что создает опасность потери части информации во время переключения каналов связи.
Проведенный анализ показывает, что в устройствах КП системы телемеханики с рассредоточенными контроллерами, построенными на независимых устройствах или модулях не обеспечивается требуемая отечественными и зарубежными стандартами достоверность информации, в частности, канала ТУ; невозможно повысить надежность за счет резервирования ядра устройства КП; не обеспечивается возможность определения последовательности «событий», зафиксированных не только разными рассредоточенными контроллерами, но и каждым из них в отдельности, т.е. теряется смысл привязки «событий» к астрономическому времени [3, 5].
Поэтому предлагается показатели быстродействия, надежности, достоверности объединить единым показателем – интегральной надежностью, которая определяется вероятностью не обнаруживаемого приемником искажения информации на любом участке трассы ее доставки от датчика (источника) до приемника (включая канал связи) при условии, что временной сдвиг между моментами возникновения «события для передачи» и фиксации данных приемником не превышает установленный предел.
В «обычном» варианте построения модулей помехозащитный код формируется контроллером, а вся трасса от датчика до контроллера оказывается вне защиты от помех. В то же время воздействие «мешающих» факторов, находящихся вне канала связи КП – ПУ, в современных устройствах увеличивается по ряду причин: переходу к использованию микропроцессорных элементов, у которых чувствительность к внешнему воздействию несравнимо выше, чем у релейных или полупроводниковых элементов; увеличению скорости ввода информации от датчиков и снижению соотношения энергии рабочих сигналов и помех; переходу к цифровым каналам связи, в которых воздействие помех ниже, чем у традиционных аналоговых, например, ВЧ-уплотненных каналов связи.
Рис. 3. Трасса доставки ТС от датчика в АРМ диспетчера
Предлагаемый метод построения модулей обеспечивает максимальное приближение узлов повышения помехоустойчивости к реальным источникам помех, а использование при формировании сообщений биимпульсного условно корреляционного кода позволяет сочетать защиту от помех с динамическим контролем работоспособности всех узлов и устройств систем телемеханики. Благодаря этому повышается интегральная надежность информации [2, 4, 6, 8].
Для предлагаемых структур модулей выполнены расчеты и получены значения вероятности необнаруживаемых искажений: команд управления не более 10-16, телесигнализации – не более 10-13, телеизмерений – не более 10-12, которые значительно превосходят требования ГОСТ.
Заключение
По результатам проведенных исследований можно сделать вывод, что высокие показатели качества и эффективности систем телемеханики не могут быть достигнуты без теоретической, структурной и системной разработки методов синтеза систем. В качестве критерия качества предлагается использовать универсальный показатель интегральной надежности, позволяющий реально оценивать важнейшие информационные характеристики систем: быстродействие, надежность, достоверность.