Троированная мажоритарная структура
Еще одним методом введения структурной избыточности для обнаружения ошибок и отказов в микропроцессорных системах интервального регулирования является использование троированной мажоритарной структуры которая строится согласно таблице истинности показанной в таблице 3.
Таблица 3
Входы | Выход | ||
X1 | X2 | X3 | Y |
Стандартная функция для мажоритарного элемента выглядит следующим образом:
(1)
Функциональная схема, реализующая функцию для мажоритарного элемента, представлена на рис. 2.
Рис. 2
Преимуществом данного метода является прежде всего повышение надежности, но в то же время часть отказов маскируются другими.
Функциональная схема троированной мажоритарной структуры, приведена на рис. 3.
Рис. 3
По сравнению с дублированной структурой добавлен третий комплект. Работу каждого из комплектов контролирует своя пара, состоящая из сумматора по модулю два и элемента памяти:
– Для первого комплекта: D1 и ЭП1;
– Для второго комплекта: D2 и ЭП2;
– Для третьего комплекта: D3 и ЭП3.
Также вводится дополнительная пара из сумматора по модулю два и элемента памяти, контролирующая соседний канал:
– Для первого комплекта: 1 и 3;
– Для второго комплекта: 1 и 2;
– Для третьего комплекта: 2 и 3.
Такая структура позволяет обнаружить отказы, как в собственно резервируемых каналах, так и в элементах схемы контроля. Для этого используется дешифратор D8, таблица состояний, которого приведена в таблице 4.
Локализация неисправностей комплекта производится с помощью выходных элементов «И» – D4, D5, D6. Для синхронизации резервируемых комплектов используется блок начальной установки (БНУ), который выдаёт сигнал Reset и Set при подаче питания на устройство. Для того чтобы отличить сбой или отказ произошел в системе используется обратная связь от дешифратора D8, которая позволяет обеспечить конечное число перезапусков устройства за заданный временной интервал. Обычно используется механизм перезапуска, описанный для дублированной структуры (параграф 1.1).
Таблица 4
Входы | Выходы | ||||||||||
ЭП1 | ЭП2 | ЭП3 | Z0 | Z1 | Z2 | Z3 | Z4 | Z5 | Z6 | Z7 | Тип отказа |
Отказ более одного комплекта | |||||||||||
Отказ II комплекта | |||||||||||
Отказ I комплекта | |||||||||||
Отказ D1 или ЭП1, комплекты исправны | |||||||||||
Отказ III комплекта | |||||||||||
Отказ D2 или ЭП2, комплекты исправны | |||||||||||
Отказ D3 или ЭП3, комплекты исправны | |||||||||||
Все комплекты исправны, отказов нет |
|
Сигнал Set обычно формируется с задержкой по времени относительно сигнала Reset – это необходимо для обеспечения проверки работы комплектов на полном наборе выполняемых им функций. Дешифратор D8 позволяет обнаружить отказы не только в каждом из комплектов, но и отказы в каждой паре сумматор по модулю два – элемент памяти. В общем случае у дешифратора D8 должно быть 8 выходов, которые используется для диагностики работы, как всего устройства, так и входящих в него узлов в соответствие с рассмотренной таблицей 4.
1.3 Самопроверяемая избыточная структура СИС2
Любой способ повышения надежности заключается в горячем резервировании, известном из теории надёжности. Рассмотрим еще один вариант построения такой структуры, когдаодин дублированный комплект резервируется с помощью другого дублирующего комплекта. Эту структуру называют двойной самопроверямой избыточной структурой (СИС2).
СИС2 состоит из двух комплектов, один из которых активный, а другой пассивный, находящийся в горячем резерве. Каждый комплект состоит из двух каналов обработки информации и схемы контроля. В процессе нормальной работы аппаратура контроля осуществляет непрерывный контроль работоспособности дискретных устройств за счет сравнения выходных сигналов от комплектов.
В случае если произошел отказ в активном комплекте, то управление переходит к пассивному комплекту обработки информации, который становится активным, а отказавший комплект перезапускается. Если после перезапуска комплект переходит в состояние «работоспособный», то он становится резервным. Если же отказавший комплект не проходит тестирование, то есть является неисправным, то он отключается, а выходные сигналы выдаются с оставшегося комплекта. Если в дальнейшем произойдет отказ и второго комплекта, то наступает состояние, которое называется полный отказ системы.
Функциональная схема СИС2, приведена на рис. 4.
Рис. 4
При включении питания БНУ1 и БНУ2 вырабатывают сигналы Reset, которые синхронизируют работу первого и второго комплектов: ведущего и ведомого канала. Комплекты по окончании импульса начала установки работают синхронно и синфазно в каждом из каналов, но так как тактовые генераторы ТГ1 и ТГ2 друг с другом не синхронизированы, то работа ведомого канала будет не синхронна работе ведущего канала, поэтому к выходу устройства Z должен быть подключен только один из каналов либо ведущий, либо ведомый – это достигается за счёт использования инвертора D3. Допустим, первый и второй комплекты обоих каналов полностью исправны, тогда на выходе элемента D11 будет сигнал логической «1», также как и на выходе D21 и элементы памяти ЭП11 и ЭП21 будет в состоянии логической «1». Выходной сигнал Y11 через D12 и D4 поступает на выход Z. На выходе элемента D3 будет уровень логического «0», который обеспечивает «0» сигнал на выходе элемента D22, поэтому сигнал Y21 ведомого канала на выход Z не поступает.
Ведомый канал находится в «горячем» резерве. Допустим, произошел отказ в первом комплекте ведущего канала, тогда на выходе D11 появится уровень логического «0», который переведет ЭП11 в «0» состояние. На выходе инвертора D3 появится уровень логической «1», который разрешит прохождение сигнала Y21 ведомого канала на выход Z. А элемент D12 будет в «0» состоянии и, следовательно, ведущий канал не будет влиять на выход Z.
БНУ1 попытается восстановить работу устройства ведущего канала, подавая сигнал Reset из Set11 за промежуток времени, определенный таймером в БНУ1. Если в первом комплекте был не отказ, а сбой, то работа устройства восстановиться, т.е. на выходе элемента D11 появится уровень логической «1», на выходе ЭП1 также будет логическая «1» и соответственно на выход Z будет проходить сигнал Y11, а сигнал Y21 на выход не поступает, т.к. элемент D22 закрыт «0» сигналом с выхода инвертора D3. Аналогично обнаруживается сбой или отказ во втором комплекте ведущего канала, а также в первом и втором комплектах ведомого каналов.
Если в ведущем канале был устойчивый отказ, а не сбой, то будет подключаться ведомый канал, который обеспечит работоспособность всего устройства в целом до тех пор, пока в первом и втором его каналах не произойдет отказ.
Таким образом, в структуре СИС2 введение дополнительного ведомого канала, работающего в «горячем» резерве обеспечивает более надежную работу по сравнению с дублированной структурой. Элементы контроля (D11, ЭП11, D12, D21, ЭП21, D22) должны обладать свойством односторонности отказов, т.е. любой отказ внутри этих элементов должен приводить к появлению сигнала логического «0» на их выходе.
Возможность реализации таких схем может быть обеспечена с помощью реле первого класса надёжности или с помощью микроконтроллеров. Рассмотрим эти схемотехнические решения:
1. Сумматор по модулю два (рис. 5).
Рис. 5
2. Элемент памяти (ЭП) на реле первого класса надежности (рис. 6).
Рис. 6
3. Элемент исключающее «ИЛИ» на диодном мосту (рис. 7).
Рис. 7
Временные диаграммы работы схемы (рис.7) представлены на рис. 8
Рис. 8
Если один из выводов резистора окажется подключенным к общей точке ( ) одного из контрольных сигналов, то происходит преобразование функции логического элемента из исключающего «ИЛИ» в просто элемент «ИЛИ», т.е. имеет место опасный отказ, поэтому при использовании элемента исключающее «ИЛИ» с помощью конструктивных методов должно быть исключено замыкание одного из выходов нагрузки Rн на общую шину.
Известны следующие конструктивные методы:
1. Выполнение проводников общей шины и выводов, подключающих нагрузку (резистор) на разных сторонах печатной платы.
2. Использование схемотехнических приёмов, использующих принцип чередования полярностей логических сигналов управления.
При использовании второго принципа напряжение срабатывания логического элемента должно иметь потенциал противоположной полярности, поэтому в качестве сопротивления нагрузки используют элементы, обеспечивающие гальваническую развязку между каскадами. Например:
а) оптрон (рис. 9) – электронный прибор, состоящий из излучателя света (обычно – светодиод) и фотоприёмника (биполярных и полевых фототранзисторов, фотодиодов, фототиристоров, фоторезисторов), связанных оптическим каналом. Принцип работы оптрона заключается в преобразовании электрического сигнала в свет, его передаче по оптическому каналу и последующем преобразовании обратно в электрический сигнал.
Рис. 9
б) трансформатор (рис. 10)
Рис. 10