имодействия элементов в процессе диагностирования, однозначности н полноте контроля одного элемента другим и т. д.

Поэтому возникает неоднозначность идентификации отказов элементов отказоустойчивой системы, что приводит к снижению эффективности диагностирования.

К основным причинам такой неоднозначности относятся:

1. Наруитение предположения о минимальности отказа в системе, при котором характерным считается отказ наименьшего количества элементов, что может бьпъ обусловлено неоднородностью элементов системы (например, использованием в качестве элементов микро-ЭВМ различных типов, различием схем сопряжения элементов системы между собой и т. д.), неравноценностью влияния отказов элементов на работоспособность системы и процесс диагностирования (в частности, возникновение аварийных или тупиковых ситуаций, препятствующих дальнейшему правильному диагностированию) и др.

2. Отказ такого числа элементов системы, которое превышает допустимое наибольшее. Следствием может быть невг)з-можность продолжения диагносгирования по заданным алгоритмам илп ухудшение числовых значений показателей контролепригодности (например, уменьшение коэффициента глубины поиска дефекта).

3. Искажение тестов в каналах связи между элементами. При использовании небольшого количества физических связей между элементами (шин связи, магистралей) допустимо предположение об их абсолютной надежности, а при большом количестве связей существенное влияние на показатели диагностирования и контроля (например, на априорные и апостериорные вероятности ошибок и вероятносгь правильного диагностирования) начинают оказывать неисправности физических элементов связи (шин связи, мультиплексеров, коммутаторов, шинных приемников и передатчиков, контроллеров и др.).

4. Неадекватность модели диагностирования элемента, что обусловлено ограниченной полнотой тестовых и других проверок (обычно необходимых для проверки лишь весьма ограниченного числа основных функций и параметров элемента). В значительной степени это обусловлено тем, что полная тестовая проверка, например микропроцессоров, даже в условиях массового выпуска (на стендах контроля и диагностирования) приводит к многократному (в десять и более раз) возрастанию стоимости микропроцессоров при одновременном увеличении времени контроля.

5. Возникновение критических ситуаций в процессе диагностирования, обусловленных «нестандартным» поведением контролируемой системы или нехарактерными типами неис-

правностей. К числунехарактерных отказов относятся скрытые неисправности, взаимное влияние неисправностей отдельных элементов и др.

6. Наличие в системе перемежающихся отказов, которые приводят к различным синдромам и подмножествам исправных и неисправных элементов.

Неопределенность в определении технического состояния системы обусловливает ее недостоверное функционирование. Вследствие восстановления работоспособности системы по неправильным результатам возможно накопление отказов элементов, отказ системы или возникновение аварийных ситуаций.

Неопределенность идентификации отказов ус1раняется путем доопределения модели, вследствие чего усложняются алгоритмы диагностирования и контроля, увеличиваются требуемые объемы оперативной памяти, снижается быстродействие, возникают нежелательные последствия. В результате вместо улучшения качества диагностирования происходит его ухудшение. Поэтому в практике создания и эксплуатации отказоустойчивых систем необходимо стремиться к использованию достаточно простых способов доопределения структуры взаимоконтроля системы, обеспечивающих улучшение показателей диагностирования в сочетании с использованием естественных преимуществ мультимикропроцессор-ных систем.

Можно выделить следующие наиболее простые из этих способов.

1. Увеличение катичества связей в отдельных частях структуры системы, обеспечивающее повышение числа обнаруживаемых отказов элементов и улучшение качества диагностирования.

2. Применение внешних средств контроля и диагностирования некоторых элементов системы.

3. Использование специального диагностического ядра, которое имеет высокую достоверность диагностирования и обеспечивает проверку (поэтапную или одновременную) других частей системы с требуемой полнотой.

4. Ра ширжие функциональных и диагностических структур системы путем включения новых элементов с известными состояниями.

Диагностирование с использованием перечисленных или других способов должно сопровождаться анализом каждого конкретного случая неоднозначности идентификации. При анализе необходимо учитывать, что часть элементов в данный момент времени проверяется, часть - используется в качестве резервных, а определенная часть решает основные задачи.

Рассмотрим пример такого анализа с учетом фун кциональных особенностей системы .

Обозначим через 1/ф(т) V подмножество э.-!, ментов системы, функционирующих в момент времени т, а чер-з Vk(t)s S V -подмножество контролирующих и контролируемых элементов.

Если предполагается использовать только lecTOBoe диагностирование элементов подмножества 1/к(т). то Уф(х) (] Vk.(t:) = = 0 и Уф{т){]Ук{х)<=У. Оставшаяся часть свободных элементов Vg(t) = 1\(1/ф(т)и 1к(т)) может использоваться длн проверки элементов нли для реализации функций системы.

Можно предположить, что перед началом Диагностирования в 1/ф(т) входит множество исправных элементов, выполняющих заданные функции системы S, а подмножество УсЫ включает резервные исправные Vcp (т) и неисправные Кси (т); элементы, выявленные в процессе предыдущих проверок..

Необходимо учитывать, что множество V также зависит отт, в частности, за счет пополнения новыми элементами или исключения ряда элементов.

Отказоустойчивость реализуется после диагностирования: структур взаимоконтроля, т. е. определения неисправных и исправных элементов Однако определение всех исправных элементов является неоднозначным. Действительно, выделим в множесте Уф подмножество элементов У Уф, для которых невозможно однозначно определить, какие из них являются исправными, и какие - неисправными. Разделим некоторое множество У на два подмножества: V! и I/2, связанных между собой связью {v, V,), vV{, Vj£V2, имеющей значение «1» для модели взаимодействия Р. Элементы подмножеств VI и V2 могут иметь значения Vi = 0, Vj= 1 или Vi=\, vi= I, т. е. все элементы подмножества У2 неисправны. Неопределенность идентификации отказа в системе состоит в тюм, что существуют наборы состояний элементов, в которых vi = 0 или Vi = I.

Основной причиной неоднозначности определения исправности элементов подмножества V является то, что при анализе системы для некоторых элементов при одном и том же синдроме в дне возможно присваивание этим элементам как работоспособного, так и неработоспособного состояния. Практически за счет повышения надежности этих элементов, использования методов резервирования, внешнего контроля работоспособности удается однозначно определить их исправность. Точно зная состояниеэлементов,можнодоопределить состояния работоспособности оставшихся элементов за счет связей СВК.

Будем называть часть элементов, удовлетворяющих требованию однозначного определения состояния внешними сред-