Проблеми забезпечення безпеки електронного 7 страница

.

Объединяя эти выражения, получаем

где .

Аналогично для неисправной системы имеем: . Поскольку , то

. (5.6)

При этом из равенств и следует , а с учетом (5.6) . Отсюда , а матрицы и связаны соотношением

, (5.7)

где R – неособенная матрица. Поскольку , то

(5.8)

или в развернутом виде:

(5.9)

Приравнивая первые строки, получаем:

. (5.10)

Дополняя (5.9) одной строкой и рассматривая последние n строк, имеем:

Учитывая , получаем .

Отсюда

. (5.11)

Покажем, как получить соотношение для и , опираясь на результаты тестирования в части . Запишем выходную реакцию устройства на последовательность воспользуемся соотношениями (5.4). Дополним (5.4) одной строкой и рассмотрим последние n строк. Приравнивая выходные последовательности, получаем:

.

Воспользовавшись соотношениями (5.7), (5.8) и (5.11), получаем:

или

.

Приравнивая вторые слагаемые левой и правой частей и умножая слева на , получаем:

. (5.12)

Из выражений (5.7), (5.10), (5.11) и (5.12) следует, что исправная и неисправная системы являются эквивалентными, а, значит, наше предположение о наличии в диагностируемой системе неэквивалентного искажения неверно.

Таким образом, тест обнаруживает любые неэквивалентные искажения матриц диагностируемой системы.

5.2.4. Тестовое диагностирование аналоговых линейных устройств

Ранее обсуждавшиеся средства тестового диагностирования в случае аналоговых устройств могут быть реализованы по-разному. Если эти средства являются внешними, входящими, например, в состав некоторого стенда, на котором тестируется рассматриваемое устройство, то они могут быть исполнены на основе персонального компьютера (рис. 5.4).

При этом средства должны содержать ЦАП, преобразующий генерируемый в ПК цифровой тестовый сигнал в аналоговый, а также АЦП, преобразующий аналоговый сигнал реакции устройства в цифровой.

Методы построения тестов могут быть различными. Для линейных устройств может использоваться, в частности, и частотный подход, заключающийся в снятии амплитудно-частотной характеристики устройства или в измерении ее только на резонансных частотах. Однако могут быть и другие подходы, например, связанные с использованием специальных режимов, в частности, режима свободного движения устройства (так
называемое модальное диагностирование). При реализации этого метода можно обойтись без ПК и реализовать его с использованием встроенных средств. Рассмотрим его для линейного устройства, которое описывается матричным дифференциальным уравнением:

, ,

где F(t) – - матрица; G(t) – - матрица, H(t) – - матрица, x (t) - n ´1-матрица (n -мерный вектор), - m ´1-матрица, y (t) - p ´1-матрица.

При этом в свободном движении уравнения упрощаются:

, , (5.13)

Предварительно напомним некоторые сведения из теории обыкновенных дифференциальных уравнений. Рассмотрим матричное однородное линейное дифференциальное уравнение (систему однородных линейных дифференциальных уравнений) (5.13).

Пусть уравнение (5.13) стационарно, т.е. F (t) =F. Покажем, что его решение в этом случае имеет вид

, (5.14)

где экспонента с матричным показателем представляется в виде бесконечного ряда

(5.15)

Из (5.15) следует очевидное выражение для производной по t от матричной экспоненты

.

Продифференцировав обе части равенства (5.16) и подставив результат вместе с исходным выражением в (5.13), получим тождество. Таким образом, выражение (5.14) является решением уравнения (5.13).

Теперь вспомним понятия собственного вектора и собственного числа. Собственный вектор h матрицы F – это вектор, в результате умножения которого на матрицу F получается пропорциональный ему вектор, т.е.:

. (5.16)

Преобразуем это уравнение:

. (5.17)

Данное уравнение имеет ненулевое решение, если определитель матрицы равен нулю, т.е.:

.

Корни последнего уравнения называются собственными числами.

В результате решения уравнения (5.17) для каждого из собственных чисел получаем соответствующий собственный вектор .

Теперь о сути метода модального диагностирования. Весь тестовый эксперимент состоит из n шагов (по числу собственных векторов). На каждом шаге в диагностируемое устройство заносятся новые начальные условия, совпадающие со значением очередного собственного вектора. При этом начальное условие, заносимое устройство диагностирования, является некоторой функцией от этого собственного вектора.

На основании выражения (5.14) и с учетом равенства начальных условий некоторому собственному вектору имеем:

.

С учетом (5.18) получаем:

.

В результате выражение для выхода имеет вид:

.

Таким образом, эталонная реакция может быть сформирована устройством первого порядка.

5.3. Тестовое диагностирование мультирежимных систем

5.3.1. Принципы тестового диагностирования мультирежимных систем

Мы описали возможную процедуру построения тестовых проверок при использовании для описания объекта модели динамической системы. Более сложные проблемы возникают в мультирежимной системе, когда используется модель в виде композиции устройств (динамических систем), каждое из которых функционирует в одном из режимов мультирежимной системы. При этом в спектре возможных ситуаций можно выделить более сложные и менее сложные. Обсудим их.

Предварительно будет уместным вспомнить об иерархическом подходе при разработке средств диагностирования. В этом подходе с мультирежимными системами соотносятся три уровня (безынерционные преобразователи, динамические устройства и мультирежимная система). Как уже отмечалось ранее, средства диагностирования двух нижних уровней на практике, как правило, объединяются. В результате средства диагностирования могут состоять либо из двух частей, либо из одной. В первом случае в системе используются отдельные средства диагностирования для устройств, функционирующих в каждом конкретном режиме. Необходимым условием для этого является доступность для диагностического эксперимента входов и выходов проверяемого устройства хотя бы в одном из режимов. Во втором случае средства диагностирования для динамических устройств и для информационных связей между ними (уровень многорежимной системы) реализуются совместно. В связи с этим, анализируя возможные ситуации, выделим среди них те, в которых используются независимые средства диагностирования уровня динамических устройств и те, в которых они не используются.

Как уже отмечалось, мультирежимную систему обобщенно можно представить в виде двух взаимодействующих объектов – управляющего и операционного устройств (рис. 4.12). По этой причине, когда мы говорим о проверке информационных связей между режимами, то по существу мы подразумеваем проверку управляющего устройства, а если представлять его как некоторую иерархию управляющих модулей (рис. 4.13), то проверку модуля верхнего уровня иерархии, отвечающего за переключения между режимами.

Независимое диагностирование управляющих и операционных устройств. Итак, предположим, что средства диагностирования операционных устройств реализованы независимо, и задача состоит лишь в проверке информационных связей между режимами. Такую ситуацию легко можно представить при иерархическом управлении, когда управляющие устройства нижнего уровня конструктивно совмещены с операционными устройствами (рис. 4.13). С использованием этих управляющих устройств, представляющих собой, например, некоторые контроллеры, может быть реализовано тестовое диагностирование операционных устройств соответствующих режимов. При проверке самого управляющего устройства также возможны варианты, определяемые способом реализации управляющего устройства – жесткая логика или программируемая логика. Если управляющее устройство реализовано в виде некоторого процессора, т.е. на основе программируемой логики, то оно может быть легко проверено независимо от управляемых им устройств. В этом случае средства диагностирования будут представлены тестовой программой процессора, принципы построения которой мы далее коротко обсудим. При этом не следует забывать о проверке физических связей между управляющим процессором и управляемыми устройствами. Для этого при диагностировании должен быть организован чувствительный путь от каждого входа, управляющего операционным устройством до его наблюдаемых выходов. При этом следует иметь в виду, что не каждому режиму могут соответствовать наблюдаемые выходы, а значит, может потребоваться транслирующая последовательность с выхода тестируемого режима до наблюдаемых выходов системы.

Если управление режимами осуществляется на основе жесткой логики, то задача состоит в проверке всех возможных переходов между режимами, используя наблюдаемые выходы операционного устройства. При диагностировании надо обеспечить существенную зависимость наблюдаемой информации от проверяемой последовательности режимов.

Совместное диагностирование управляющих и операционных устройств. Теперь предположим, что в системе не используются независимые средства диагностирования для операционного устройства. В этом случае трудоемкость построения и длина теста существенно увеличиваются. Данная ситуация поясняется на рис. 5.5. Видно, что для
построения теста для любого отказа динамической системы необходимо с помощью установочной последовательности перевести мультирежимную систему из исходного режима в тестируемый , которому соответствует проверяемое операционное устройство. Далее организуется проверка в тестируемом режиме с использованием установочной последовательности , тестового воздействия и транслирующей последовательности . Если выходы тестируемого операционного устройства непосредственно наблюдаемы, то тестовая проверка на этом и заканчивается (рис. 5.5 а), если нет, то посредством дополнительной последовательности реакция тестируемого операционного устройства транслируется на выход системы (рис. 5.5 б).

5.3.2. Тестовое диагностирование процессора

Процессор представляет собой главный функциональный элемент любого контроллера или вычислительной машины. Выше было отмечено, что тест процессора, как правило, входит составной частью в тест мультирежимной системы, поэтому коротко рассмотрим правила его построения [23]. Надо сказать, что здесь возможны, по крайней мере, два различных подхода, поставляющие тесты, которые существенно различаются классами обнаруживаемых отказов. Об одном из тестов можно говорить как о достаточно полном и ориентированном на широкий класс отказов. Представляется, что сферой его применения может быть технологический контроль при производстве процессоров. При другом подходе рассматриваемый класс отказов заметно сужается, что объясняется нацеленностью этого теста на применение в бортовых системах. В последнем случае предполагается, что микросхема процессора достаточно надежна, и отказы в ней, скорее всего, могут возникать лишь в интерфейсах с внешней средой. Ниже прокомментируем лишь первый подход. Сразу отметим, что при построении теста для процессора не возникают многие из отмеченных выше проблем, характерных для систем общего вида и требующих использования различных установочных и транслирующих последовательностей.

Обратимся к максимально упрощенному представлению структуры процессора (рис. 5.6). Такой степени подробности нам будет достаточно для изложения основных идей подхода. Структура включает управляющее устройство (УУ), арифметико-логическое устройство (АЛУ) и регистры. Процессор обменивается информацией с другими устройствами по трем информационным шинам: шине управления (ШУ), шине данных (ШД) и шине адреса (ША). Соотнося эту структуру со структурой на рис. 4.12, понимаем, что в операционное устройство процессора войдут АЛУ и регистры. По своему назначению процессор представляет собой интерпретатор команд программы, размещенной в ОЗУ контроллера или вычислительной машины. При этом управляющее устройство, последовательно выбирая из ОЗУ команды программы, инициирует, опираясь на код команды, исполнение в АЛУ и регистрах соответствующей микропрограммы.

В рассматриваемом тесте можно выделить пять характерных частей, каждая из которых ориентирована на отказы, связанные с определенной функцией процессора. Среди этих функций:

1. обработка данных,

2. управление обработкой данных,

3. хранение и передача данных,

4. управление передачей данных,

5. реакция на внешние сигналы.

Охарактеризуем коротко правила построения каждой из частей теста. При этом при проверке каждой из функций будем предполагать отсутствие отказов во всех других функциях.

Функция обработки данных представлена набором соответствующих команд процессора. Каждая из них реализуется независимо от других с использованием операционного автомата комбинационного типа (АЛУ), поэтому при их проверке нет необходимости в каких-либо установочных и транслирующих последовательностях. Правила построения тестов для таких устройств, описаны в параграфе 5.1.

Отказы в управлении обработкой данных приводят к тому, что исполняется не команда, соответствующая принятому коду, а другая команда или некоторое подмножество других команд. Для каждого отказа определяются подобные множества, а затем подбираются тесты (операнды АЛУ), обнаруживающие все возможные отказовые ситуации.

Функция хранения и передачи данных реализуется совокупностью регистров и связей между ними. Для построения теста полезно построить граф связей между регистрами. При этом вершины графа сопоставляются с регистрами, а ребро между конкретными вершинами вводится тогда, когда есть команда пересылки между соответствующими регистрами. При построении теста рассматриваются отказы отдельных разрядов регистров, обрывы и замыкания связей между регистрами. Тест строится как совокупность команд, покрывающих все связи между регистрами.

Проверка функции управления передачей данных во многом напоминает проверку управления обработкой данных. При этом рассматриваются как отказы, нарушающие процедуру чтения, так и отказы, нарушающие процедуру записи. В первом случае чтение может производиться не из заданного регистра, а из множества других. Во втором случае запись может осуществляться не в заданный регистр, а в несколько других. Тест может использовать запись различающейся информации в разные регистры.

Проверка реакции на внешние сигналы прерывания также не вызывает затруднений и может быть реализована путем использования различающихся функций в программах обработки прерываний от разных сигналов.

5.4. Тестовое диагностирование распределенных информационно-управляющих систем

5.4.1. Структура средств диагностирования

Ранее (см. раздел 4), обсуждая диагностирование сложных информационно-управляющих систем, мы указывали на проблему размерности задачи (системы), которая преодолевается с помощью иерархического подхода. При этом в случае распределенных систем цель диагностирования на верхнем (сетевом) уровне иерархии заключается в диагностировании информационных связей между локальными системами, входящими в состав распределенной системы. Рассмотрим эту задачу [16], отметив предварительно, что ее можно трактовать как проверку диагностических ядер локальных систем, составляющих распределенную систему. В результате тестовая проверка распределенной системы будет включать два этапа – проверку диагностических ядер локальных систем в рамках рассматриваемой ниже общесистемной процедуры и самопроверку локальных систем с опорой на их диагностические ядра.

Прежде всего, отметим, что обмен информацией между локальными системами происходит по некоторым каналам обмена, использующим соответствующее аппаратно-программное обеспечение. По любому каналу обмена информация передается по вполне определенным правилам, принятым разработчиком этого канала и называемым протоколом обмена. Этот протокол может быть как простым, так и достаточно сложным. При этом со сложными протоколами принято сопоставлять многоуровневое описание (стек протоколов). Как правило, в используемых протоколах предусматриваются средства, обеспечивающие обнаружение и исправление ошибок, возникающих при передаче информации. По своему типу это средства ФД. Зачастую, они сводятся к использованию помехоустойчивого кодирования передаваемой информации (см. параграф 6.1). Наряду с помехоустойчивым кодированием может использоваться квитирование, когда принимающая система в ответ на полученную информацию посылает в адрес передающей системы служебное слово (квитанцию), сообщающее о качестве состоявшегося сеанса обмена. При неудовлетворительном качестве сеанс повторяется. В результате обменивающиеся информацией системы располагают оценкой качества работы канала обмена и способны обнаруживать возникающие в нем отказы.

Однако если диагностируемый канал с централизованным управлением и в нем с помощью контроллера реализуется некоторое расписание обменов, то описанной процедуры будет не достаточно для диагностирования канала, т.к. должным образом не будет проверяться контроллер, а точнее, правильность реализуемого им расписания. В этом случае потребуется другой подход – подход «постороннего наблюдателя». Его можно реализовать при наличии в распределенной системе выделенных для этих целей средств диагностирования (СД), как показано на рис. 5.7. Средства диагностирования осуществляют тестовое диагностирование системы обмена, которое может осуществляться при работе системы по прямому назначению. При этом необходимая тестовая информация, формируемая в средствах диагностирования, включается в состав штатных информационных массивов, передаваемых в соответствии с рабочим расписанием. В каждой из локальных систем тестовая информация обрабатывается по своему диагностическому алгоритму f_di, отличному от рабочего алгоритма системы. Результаты передачи тестовой информации через распределенную систему анализируются в средствах диагностирования (рис.5.8). Вопрос о модели распределенной системы, которую можно было бы использовать в рассматриваемой задаче тестового диагностирования, был затронут в параграфе 4.2, где было установлено, что модель должна быть линейной и периодически нестационарной (4.13). Осталось обсудить вопрос о правилах построения теста.

5.4.2. Построение проверяющего теста. Управляемость и наблюдаемость периодически нестационарной системы

Примем за основу нашего рассмотрения абстрактный подход, описанный выше для линейной дискретной стационарной системы. Сразу заметим, что в стационарном случае диагностический эксперимент был направлен на проверку трех матриц F, G и H. В данном случае проверяемых матриц в N раз больше, а, значит, можно предположить, что и искомый тест окажется в N раз длиннее. Тест должен включать установочные и транслирующие последовательности. При их определении использовались свойства управляемости и наблюдаемости диагностируемой системы. В настоящем параграфе мы пойдем тем же путем. При этом мы сможем убедиться, что критерии управляемости и наблюдаемости для стационарных и периодически нестационарных систем весьма похожи, но, тем не менее, не совпадают. Дело в том, что появляется зависимость этих свойств от временного интервала, на котором они оцениваются. Обратимся к рис. 5.9, где представлена диаграмма матриц периодически нестационарной системы. Здесь отмечены различные временные интервалы и соответствующие им различные периодические последовательности матриц. С каждой последовательностью матриц связана своя последовательность индексов. Обозначим множество этих последовательностей через . Их начальные отрезки на интервале длительностью в период получаются в результате циклического сдвига последовательности индексов 1, 2, …, N. При N = 3 имеем три последовательности индексов: Γ={1, 2, 3; 2, 3, 1; 3, 1, 2}.

Определим для периодически нестационарной системы установочную последовательность. Для этого запишем выражения для состояния системы на протяжении nN тактов (n – размерность вектора состояния x), работающей при последовательности индексов (матриц) , обозначая через – i-й член последовательности :

(5.20)

где – произведение всех матриц, соответствующих последовательности .

Аналогично стационарному случаю преобразуем последнее выражение, введя матрицу управляемости на последовательности :

где

Отсюда получаем выражение для установочной последовательности

.

Таким образом, для вычисления установочной последовательности (для управляемости системы на последовательности ) достаточна (можно показать, что и необходима) неособенность матрицы . Однако, если начальное состояние x(0) будет соответствовать началу другой последовательности , то потребуется неособенность другой матрицы и т.д. В результате критерием полной управляемости (на любой ) является для всех .

При анализе трансляции надо также действовать по плану рассмотрения стационарного случая. Аналогичные выражения могут быть получены добавлением к (5.20) равенства и умножения второго равенства на , третьего на и т.д. Действуя далее по плану стационарного случая, увидим, что матрица наблюдаемости имеет вид:

Таким образом, максимальная длительность наблюдения не превышает nN, а критерий полной наблюдаемости будет: для всех .

Теперь можно коротко обсудить построение проверяющего теста для периодически нестационарной системы. Структура теста очень напоминает описанную для стационарного случая. Однако поскольку матриц в описании системы в N раз больше, то в общем случае и длина теста в N раз больше. При этом тест состоит из N пар фрагментов, и каждая пара имеет следующую структуру:

5.4.3. Синтез модели системы обмена

Теперь вернемся к задаче синтеза модели системы обмена [18]. Ранее мы договорились лишь о том, что эта модель должна быть линейной, и в силу специфики задачи она оказывается периодически нестационарной. Нам также понятно, что для реализации теста модель должна быть полностью управляемой и наблюдаемой. Таким образом, вопрос заключается в поиске такого универсального алгоритма синтеза, который бы для распределенной системы с любым графом информационных связей гарантировал бы получение полностью управляемой и наблюдаемой модели. Эта задача очень не проста. Заметим, что постановка вопроса о синтезе модели достаточно необычна для диагностических задач. Обычно решается вопрос не синтеза модели, а выбора адекватной модели.