Fiabilitate funcţionalǎ în electronicǎ

Capitolul 8
Redundanţa fiabilistă.
Toleranţa la defectări

8.1. Ordinul defectării

Atunci când se analizează efectele apariţiei defectărilor, în cadrul

unui sistem, se constată trecerea acestuia din starea validă - V în starea
nevalidă - V ( criteriul primei defectări, §2.2). Producerea defectărilor,
cu efect negativ pentru fiabilitatea sistemului în cauză, poate avea loc
printr-o distribuţie oarecare. Pentru a determina această distribuţie se
introduce noţiunea de ordin al defectării.
- Defectări de ordinul I, caracterizate prin faptul că este suficient
să se defecteze o singură componentă, oarecare, pentru ca întregul
sistem să fie afectat; defectările de acest fel sunt singulare.
- Defectări de ordinul II, când întregul sistem este afectat numai
dacă se produc două defectări, simultane sau consecutive.
- Defectări de ordinul III, ordinul IV, ... , ordinul M, caracterizate
prin aceea că produc efecte negative dacă apare în grup defectarea a 3,
4, ..., M componente, având acelaşi efect negativ asupra sistemului – şi
anume, trecerea acestuia din starea V în starea V (defectări de asemenea
simultane).

155
8 Redundanţa fiabilistă / toleranţa la defectări

În urma unei astfel de analize, rezultă o structură generală de

fiabilitate redată în figura 8.1, unde cu i, j, k, ..., r s-au notat variabilele
de rang asociate fiecărui ordin al defectării ( I, II, III, ..., M). Dacă
rezultă şi structuri neuniforme, acestea vor fi tratate ca atare (§5.3.3).

(i) Mr (e)
IIj IIIk Mr
Ii IIIk :
IIj :
IIIk
Mr
Fig. 8.1

Mai trebuie precizat faptul că la stabilirea ordinului defectării,

pentru sisteme cu mare răspundere funcţională - şi, mai ales, în cazul
funcţiunilor de protecţie (§1.2.1), este necesar a se cunoaşte, teoretic şi
practic, aspectele tehnologice proprii sistemului analizat. Calitatea de
ordin al defectării rezultă, în esenţă, ca efect al unor proprietăţi
funcţionale de sistem, dintre care cele mai importante sunt expuse în
continuare.

 Unele dintre componentele sistemului sunt prevăzute ca fiind

rezerve funcţionale ale altora; de exemplu în dubletul II j , unul dintre
elemente poate fi rezerva celuilalt, motiv pentru care, în multe
cazuri, cele două componente sunt identice.
 Alte elemente apar ca efect al modului de defectare (§6.1).
Astfel, dacă o anumită componentă afectează funcţionalitatea
sistemului numai la defectare prin creştere de parametru [+],
defectarea sa prin scădere parametrică [-] nu se poate produce.
 În fine, o serie de defectări multiple se manifestă în sistem
datorită interdependenţei funcţionale; acest aspect este întâlnit
frecvent la sistemele polifuncţionale (§1.2.1).

156
 Fiabilitate funcţionalǎ în electronicǎ

La stabilirea apartenenţei componentelor la ordinul defectării este

necesar ca unul şi acelaşi element să apară o singură dată şi anume – la
ordinul inferior; orice apariţie ulterioară, într-o combinaţie de ordin
superior, va fi eliminată (pe baza criteriului primei defectări - §5.1).
După stabilirea structurii fiabiliste, în funcţie de ordinul defectării
(fig.8.1), se trece la calculul indicatorilor de fiabilitate.

I) Defectările singulare au proprietăţile sistemelor neredundante

(§5.1). Dacă se notează cu  numărul total al elementelor ce aparţin
acestui ordin, rezultă relaţiile de calcul:

 
R I   R Iix   ( 1  FIix )
i 1 i 1

În aceste relaţii R I reprezintă funcţia de fiabilitate, iar F I funcţia

de nonfiabilitate, pentru ordinul I al defectărilor. Prin semnul x este
precizat faptul că defectările considerate în cadrul analizei pot fi:
generale (indiferent de modul de defectare, atât prin creştere cât şi prin
scădere parametrică), dominant sau exclusiv prin creştere parametrică,
dominant sau exclusiv prin scădere parametrică (§7.1).
Fiind mărimi probabilistice în relaţie de produs, îndeosebi la
sisteme complexe, funcţia de fiabilitate este afectată (valoric) de aceste
defectări singulare, care reprezintă singurul ordin posibil la sisteme
neredundante. De asemenea se reaminteşte faptul că parametrul timp t se
subânţelege dar nu se mai scrie, ca şi în continuare, spre a nu complica
inutil forma expresiilor.

II) Defectările în dublet, caracteristice sistemelor redundante

(§5.2) apar prin efect de redundanţă generală sau în funcţie de modul de
defectare ca, de exemplu, în situaţia a două componente în relaţie de

157
8 Redundanţa fiabilistă / toleranţa la defectări

protecţie simplă (§7.1). Dacă numărul unor astfel de grupuri de câte

două componente (fig.8.1) este  , rezultă expresiile:
   
RII   RIIj   [ 1  ( 1  R1x )  ( 1  R2x )] j   ( 1  F1x  F2x ) j   ( 1  FIIj )
j 1 j 1 j 1 j 1

III) Defectările multiple în triplet, la aceeaşi distribuţie a valorilor

de fiabilitate ca în cazul dubleţilor, au o fiabilitate mai bună decât în
ordinul inferior: R I I I > R I I
   
RIII   RIIIk   [ 1  ( 1  R1x )  ( 1  R2x )  ( 1  R3x )]k   ( 1  F1x F2x F3x )k   ( 1  FIIIk )
k 1 k 1 k 1 k 1

unde  este numărul total de tripleţi cuprins în ordinul III.

În acelaşi fel se determină relaţiile de calcul pentru ordinul IV,
ordinul V etc.

IV) Notând cu  numărul grupurilor corespunzător ordinului

general M, se obţin relaţiile de calcul:
   
RM   RMr   [ 1  ( 1  R1x )  ( 1  R2x )  ( 1  R3x ) x
... ( 1  R M )] r   ( 1  F1x F2x F3x ...FMx )r   ( 1  FMr )
r 1 r 1 r 1 r 1

Teoretic, acest ordin general notat cu M poate fi foarte mare, mai

ales la sistemele complexe multifuncţionale; practic, însă, analiza se
opreşte la acel ordin pentru care valorile funcţiei de nonfiabilitate F M
sunt neglijabile. Acest aspect rezultă din expresia generală


FM  1  R M  1   ( 1  FMr )  0 ,
r 1

dacă M >> 1 şi termenii F1x , F2x , F3x ,  , FM

x
au valori reduse, ceea ce este
valabil în cazul echipamentelor de tip profesional.
Pe de altă parte se observă că funcţia de fiabilitate creşte cu
mărirea ordinului defectării (în aceleaşi condiţii):

158
 Fiabilitate funcţionalǎ în electronicǎ

RM = 1 – FM  1
Aceasta conduce la stabilirea următoarelor inegalităţi:

R M > R M - 1 > R M - 2 > ... > R I I I > R I I > R I

respectiv
F M < F M - 1 < F M - 2 < ... < F I I I < F I I < F I
Explicaţia fizică, de fenomen, rezidă în faptul că defectarea
simultană a mai multor componente este cu atât mai puţin probabilă, cu
M(φ)
(i) (e)
I(α) II(β) III(γ) :
a)

(i) (e)
I II III M
b)
Fig. 8.2
cât numărul acestora M este mai mare (coincidenţa evenimentelor
aleatoare). Această proprietate se pune şi mai bine în evidenţă prin
graful corespunzător, redat în figura 8.2a). Tot de aici se observă că
fiecare grup, determinat prin defectare multiplă ( II, III, ..., M) şi evaluat
prin relaţiile de calcul determinate anterior:

RI, FI, RII, FII, RIII, F I I I , ..., RM, FM,

se află într-o structură fiabilistă de tip serie (fig.8.2b).

Rezultă că, pe întregul sistem, funcţiilor de fiabilitate R şi de
nonfiabilitate F le corespund expresiile de calcul (§5.1):
M
R  RI  RII  RIII ... RM   Rv ;
v 1
M
F  1  ( 1  Fv ) ,
v 1

159
8 Redundanţa fiabilistă / toleranţa la defectări

unde v reprezintă variabila de rang asociată tuturor celor M ordine de

defectare considerate în calcul. Bilanţul (final) arată că analiza pe
sistem cuprinde  componente cu defectări singulare şi ( 2  + 3  + ...
+M  ) componente cu defectări multiple. Toate aceste defectări multiple
(de ordin II, III, ..., M) nu sunt defectări în avalanşă (§2.1), deoarece
acestea din urmă se produc secvenţial şi nu simultan (în timp).
De asemenea, din graful redat în figura 8.2a) rezultă că, pentru
ameliorarea fiabilităţii, este necesar să fie reduse la minimum grupurile
de componente corespunzătoare ordinelor inferioare (  ,  , ...); aceasta,
bineînţeles, în limitele unor costuri raţionale, deoarece aceste reduceri
sunt urmate de creşteri numerice ale unor grupuri cu ordin de defectare
superior (  ,  ,  ,  , ...,  ) care, inevitabil, conţin multe elemente în
structurile lor.
Tot pe această cale, a eliminării din structurile fiabiliste de sistem
a ordinelor inferioare ale defectărilor, se obţine şi o creştere substanţială
a disponibilităţii echipamentelor (§2.2), proprietate ce va fi aprofundată
în continuare.

8.2. Redundanţa de echipament

Dacă la un sistem tehnic neredundant, având o structură serie, au

fost epuizate toate posibilităţile raţionale de creştere a fiabilităţii
(elemente rezistente, regim descărcat de solicitare – procedeu numit
uneori redundanţă simplă), ameliorarea acesteia se poate face (aparent
paradoxal) prin mărirea numărului de elemente componente, adică prin
introducerea unor elemente în plus faţă de necesităţile strict funcţionale
(redundanţă multiplă). Altfel spus, pe această cale, se poate obţine un
ansamblu mai sigur cu ajutorul unor elemente mai puţin sigure. Pentru
160
 Fiabilitate funcţionalǎ în electronicǎ

aceasta se prevăd în sistem elemente (subansambluri) de rezervă, care

pot să compenseze din punct de vedere funcţional defectările produse la
elementele de bază.
În concordanţă cu definiţia din paragraful 1.1.2, în acest subcapitol
se vor expune procedeele de realizare a redundanţei, cu unele
exemplificări din practica sistemelor de reglare a circulaţiei/navigaţiei.

A – Redundanţa individuală (rezervare pe elemente) constă în

folosirea unor componente sau subansambluri de rezervă, de regulă
identice cu cele de bază. Schema generală de fiabilitate corespunde
structurii sistemelor redundante (§5.2– fig.5.3c), având un număr
oarecare (d-1) elemente de rezervă.

a) b) c)
R1 R1 b1
I bc
f1
Cm f2
R2 Cm b2
R2

EA

(e) (i) Red (e)

RE Red Ac RE

d) e) Ac

Fig. 8.3

În desenele din figura 8.3 sunt redate, simplificat, unele aplicaţii

ale acestui procedeu.
a) Unităţile luminoase ale semafoarelor electrice utilizate în
dirijarea circulaţiei rutiere încă mai au, ca surse de lumină, becuri cu

161
8 Redundanţa fiabilistă / toleranţa la defectări

incandescenţă. Deoarece defectările acestor componente sunt bruşte

(§2.2 – fig.2.10), prin întreruperea filamentului, există semafoare cu 4
unităţi luminoase: verde, galben şi două roşu ( R). Acestea din urmă au o
funcţionare simultană în paralel, fiind comandate prin acelaşi element de
comutaţie Cm (fig.8.3a). În acest fel este evitată dispariţia indicaţiei
cele mai restrictive – roşu, prin defectarea oricărei lămpi (ordinul II al
defectării - §8.1).

Relaţia de calcul a funcţiei de fiabilitate R R pentru ca afişajul roşu

să se producă,
RR = R1 + R2 – R1R2,

se simplifică deoarece cele două entităţi luminoase (şi lămpi) sunt

identice:
R 1 = R 2 = R; R'R = R(2-R) > R,

unde R reprezintă funcţia de fiabilitate a unei unităţi luminoase.

Astfel dacă, pentru un anumit interval de timp, se ia R(t) = 0,7
funcţia de fiabilitate pentru indicaţia roşu va avea valoarea R R = 0,91 -
cu o eficienţă fiabilistă
R' R( 2  R )
f  R   1,3
R R

b) În figura 8.3b) este, de asemenea, redat un exemplu practic de

redundanţă individuală şi ordin II al defectării. La pasajele de nivel cu
calea ferată (intersecţie arteră rutieră/cale feroviară la acelaşi nivel),
semnalizarea intersecţiei de circulaţie rutieră se efectuează prin
intermediul a două unităţi luminoase roşu – R 1 şi R 2 acţionate în
contratimp (push – pull) prin comutatorul Cm care, la rândul său, este
comandat în impulsuri de formă dreptunghiulară (75 impulsuri/minut).
Faţă de exemplul precedent, această aplicaţie diferă numai prin faptul că

162
 Fiabilitate funcţionalǎ în electronicǎ

interdicţia de circulaţie rutieră se face prin indicaţie de roşu - clipitor,

pentru a se obţine o atenţionare mai eficientă a operatorilor umani-
conducători de vehicule rutiere (grad de pericol mai mare). În domeniul
strict al echipamentului, relaţiile de calcul şi eficienţa fiabilistă sunt
aceleaşi ca în cazul precedent.

c) Pentru dirijarea navigaţiei, în domeniul naval, uneori sunt

utilizate surse de lumină cu lentile cilindrice, şi focare filiforme. Spre a
se obţine o bună fiabilitate, în anumite aplicaţii, se folosesc lămpi cu
incandescenţă, având dublu filament filiform în acelaşi balon de sticlă.
Schema simplificată este redată în figura 8.3c), unde cu f 1 şi f 2 sunt
notate cele două filamente (identice), cu b 1 şi b 2 bornele capetelor
separate ale filamentelor, iar cu bc borna lor comună.
Fiind alimentate sub tensiune electrică constantă, curentul de
excitaţie I, pentru starea validă, se împarte egal între filamentele f 1 şi f 2 ;
dacă se întrerupe unul (oricare) dintre cele două filamente, unitatea
luminoasă va continua să funcţioneze cu ajutorul filamentului rămas în
stare validă V. Şi în acest caz relaţiile de calcul şi concluziile de natură
fiabilistă sunt aceleaşi ca în exemplele precedente.

d) Tot pe proprietăţile redundanţei individuale se bazează şi

sistemele de electroalimentare a unor dispozitive sau instalaţii utilizate
pentru reglarea circulaţiei sau navigaţiei. Un astfel de exemplu este
redat în figura 8.3d), cu notaţiile:
EA – sistem de electroalimentare;
RE – reţeaua electrică de alimentare în curent alternativ (de regulă
în cablu subteran sau subacvatic);
Red – redresor pentru obţinerea unui curent electric continuu;

163
8 Redundanţa fiabilistă / toleranţa la defectări

Ac – baterie de acumulatori cu o capacitate electrică suficientă

pentru a asigura electroalimentarea (la ieşirea e) pe o durată prestabilită
(de exemplu 24 ore).
Deoarece bateria de acumulatori Ac funcţionează în regim tampon
(este cuplată permanent în paralel la bornele de ieşire ale redresorului
Red), aceasta asigură alimentarea la ieşire ( e) pentru intervalul de timp
prevăzut, în condiţii de întrerupere a reţelei RE sau de defectare a
redresorului Red.
Pe baza grafului aferent (fig.8.3e), se pot scrie relaţiile funcţiei de
fiabilitate a electroalimentării EA (structuri neuniforme - §5.3.3):

REA = RRE · RRed + RAc – RRE · RRed · RAc

Deoarece bateria de acumulatori Ac are fiabilitatea cea mai bună

(faţă de reţeaua electrică RE, respectiv faţă de redresorul Red), iar
funcţiile de fiabilitate fiind mărimi probabilistice, rezultă că sunt
valabile inegalităţile:
REA > RAc > RRE · RRed

care exprimă, calitativ, sporul de fiabilitate prin acest procedeu de

electroalimentare faţă de cele două modalităţi mai simple: numai reţea
electrică RE cu redresor Red sau numai baterie de acumulatori Ac.

B – Redundanţa generală (rezervare pe sistem) este caracterizată

prin existenţa unuia sau mai multor sisteme/susbsisteme de rezervă,
fiecare dintre ele având, de asemenea, o structură serie ca şi sistemul de
bază (§5.3.2 – fig.5.6). În cazul general vor exista ( d-1) sisteme de
rezervă.
Ca exemplu de rezervare pe sistem, poate fi dat radiofarul de
direcţie pentru aterizare după instrumente ILS (Instruments Landing

164
 Fiabilitate funcţionalǎ în electronicǎ

System); la capătul opus al pistei de aterizare şi în prelungirea axei

longitudinale a acesteia sunt montate două astfel de radiofaruri
(identice), unul fiind cel de bază, iar celălalt rezerva sa.
În practică pot fi întâlnite şi situaţii pentru care structura de
fiabilitate este neuniformă, ceea ce nu schimbă fondul problemei.
C – Redundanţa combinată (rezervare mixtă) constă în utilizarea,
în cadrul aceluiaşi sistem, atât a redundanţei individuale cât şi a
redundanţei generale. În acest caz schema de fiabilitate are alura celei
din figura 5.7 – §5.3.3.

D – Redundanţa permanentă (rezervare activă) se realizează prin

conectarea unităţilor de rezervă la cele de bază pe tot intervalul de
funcţionare, toate elementele (de bază şi de rezervă) având acelaşi regim
de lucru (exemplele din figura 5.3 - §5.2). Prin faptul că elementele de
rezervă funcţionează concomitent cu cele de bază şi în aceleaşi condiţii
de solicitare, redundanţa permanentă se mai numeşte şi rezervare caldă
sau rezervare prin conectare permanentă. Acest procedeu de rezervare
este simplu şi economic, însă prezintă dezavantajul că la defectarea unui
element (subansablu, sistem etc.) se produc variaţii de rezistenţă
electrică, reactanţă sau impedanţă, ceea ce conduce la modificarea
regimurilor de solicitare ale celorlalte elemente şi creează (în anumite
cazuri) condiţiile declanşării unei defectări în avalanşă (§2.1).

O astfel de rezervare activă este aplicată şi în cazul sistemului de

electroalimentare (fig.8.3d), unde bateria de acumulatoare Ac este
conectată în permanenţă la ieşirea redresorului Red (regim tampon). Se
observă că apariţia unei defectări prin scădere de parametru [-] în
circuitul de ieşire din redresorul Red, sau în bateria de acumulatoare Ac,
poate provoca un proces de defectare în avalanşă.

165
8 Redundanţa fiabilistă / toleranţa la defectări

E – Redundanţa succesivă (rezervare pasivă) constă în conectarea

unităţilor de rezervă în locul delor de bază numai după defectarea
acestora; se mai numeşte şi redundanţă prin înlocuire, rezervare rece sau
rezervare prin conectare temporară. În figura 8.4a) este arătată o astfel
de situaţie: sistemul de bază S 1 urmează a fi înlocuit, în momentul
defectării, de către elementul S 2 (de rezervă).
(i) θi θe (e)
(i) (e)
S1
1

a) θ b)
S2
2

1
(i) (e)
c)
θ 2

Fig. 8.4

Această înlocuire se face cu ajutorul elementului  - care se numeşte

element (dispozitiv) de supraveghere şi comutare. Deoarece în operaţia
de trecere de la elementul (sistemul) de bază la elementul (sistemul) de
rezervă intervine (intră în funcţiune) elementul (sistemul)  , este
evident că fiabilitatea globală va depinde şi de fiabilitatea acestuia.
Presupunând că acest element, în starea sa normală, are o influenţă
neglijabilă asupra funcţionării elementului de bază S 1 (ceea ce în

166
 Fiabilitate funcţionalǎ în electronicǎ

practică, uneori, se întâmplă), schema structurală de calcul fiabilist

corespunde celei din figura 8.4b), elementul  fiind considerat atât prin
circuitul de comutare de la intrare  i cât şi prin circuitul de ieşire  e .
În aceste condiţii, considerând graful din figura 8.4c), pentru
funcţia de fiabilitate rezultă expresia:

R = R 1 + R θ · R 2 – R 1 · R θ ·R 2

Trebuie amintit faptul că probabilităţile R 1 , R 2 şi R θ sunt funcţii de

timp, iar solicitarea elementelor respective variază, de la unul la altul,
pe măsura trecerii timpului (§2.2).
Pentru orice valoare a timpului, cu excepţia t = 0 şi t = , funcţia
R îndeplineşte condiţiile (1) şi (2):
R > R1; (1)
R < R1 + R2 – R1R2 = RD; (2)

deci aplicând o redundanţă succesivă, în practică se obţine oricum o

creştere a fiabilităţii (evident numai dacă R   0). Deoarece R  < 1,
rezultă că fiabilitatea obţinută prin redundanţă succesivă este oricum
mai mică decât aceea care se obţine prin redundanţă permanentă – D,
utilizând aceleşi elemente, de bază S 1 şi de rezervă S 2 .
Prin urmare, în orice moment, indicatorul R satisface inegalitatea
R 1 < R < R D ; pentru fiabilitate globală ridicată, este necesar ca
elementul  să aibă caracteristici de înaltă fiabilitate.
În comparaţie cu redundanţa permanentă, cea succesivă oferă
următoarele avantaje:

 În momentele de defectare nu se produc variaţii ale parametrilor

de circuit (rezistenţă electrică, reactanţă, impedanţă).
 Elementele de rezervă au o viteză de deteriorare scăzută
deoarece, în aşteptare, sunt solicitate numai de factorii din ambianţă.
167
8 Redundanţa fiabilistă / toleranţa la defectări

Acelaşi element poate fi utilizat pentru a rezerva mai multe

elemente de bază din sistem.
În schimb, acest tip de redundanţă, necesită dispozitive de
supraveghere şi comutare ce reduc eficienţa redundanţei, ridică costul
sistemelor şi perturbă funcţionarea normală a acestora pe durata de
comutare (în anumite cazuri).
Un exemplu de aplicare a redundanţei succesive este ilustrat în
figura 8.5a), prin utilizarea separată a bornelor de intrare la becul de
semnalizare cu dublu filament (fig.8.3c).
În regim normal, până în momentul producerii defectării, este
activat filamentul de bază f b prin amplificatorul de bază A b ; la apariţia
defectării (filament, soclu, amplificator Ab etc.) circuitele de
supraveghere şi comutaţie la intrare ( θ i ) comandă, prin amplificatorul de
rezervă A r , activarea filamentului de rezervă f r . Datorită bornei separate
b r nu mai este necesară o comutare de ieşire θ e (fig.8.4a).

F – Redundanţa automată este în acelaşi timp şi succesivă, având

particularitatea că depistarea şi înlocuirea unităţii defecte se face
automat cu ajutorul unor dispozitive speciale.

168
 Fiabilitate funcţionalǎ în electronicǎ

a)
bb
Ab fb
bc
(θi)
fr
Ar
br

Lb
Ab Lb Lr
(i) (e)

Csc Lr
(θi) Csc Ar (θe) Ar
(θ)
b) c)
Fig. 8.5

Acest procedeu este larg răspândit în structurile de echipament ale

sistemelor de circulaţie şi navigaţie. Spre exemplu, în structura unui
sistem electronic de balizare luminoasă automată a şenalelor navigabile
(fig. 8.5b) sunt conţinute următoarele subansambluri, având notaţiile:
A b , A r – amplificator de bază, respectiv de rezervă;
L b , L r – lămpi cu incandescenţă, de bază respectiv de rezervă;
C s c – circuit de supraveghere şi comutaţie ( θ i ).
Dacă trebuie activată lampa de bază L b , iar aceasta este defectă,
prin circuitul C s c este activat amplificatorul A r care comandă lampa de
rezervă L r .
Graful de fiabilitate fiind cel din desenul 8.5c), rezultă expresia
funcţiei de fiabilitate pe sistem:

R = RLb + RCsc · RAr · RLr – RLb · RCsc · RAr · RLr > RLb,

diferenţa dintre termenii al doilea şi al treilea fiind pozitivă.

169
8 Redundanţa fiabilistă / toleranţa la defectări

G – Redundaţa manuală este, de asemenea, succesivă şi se

deosebeşte de cea automată prin faptul că depistarea şi înlocuirea
unităţii defecte este executată de către operatori umani. În cazul cel mai
simplu operatorul de serviciu manevrează un comutator simplu sau
complex θ (fig.8.4a, b), cu ajutorul căruia izolează (funcţional) sistemul
de bază S 1 şi introduce în funcţiune sistemul de rezervă S 2 (valid).

H – Redundanţa programată (temporizată) se realizează prin

trecerea pe unitatea de rezervă după un anumit timp de funcţionare,
dinainte stabilit pentru unitatea de bază. Acest tip de redundanţă, cu
utilizări mai reduse în practică, este folosit acolo unde nu sunt condiţii
de aplicare pentru redundanţa automată ( F) sau manuală (G).

I – Redundanţa majoritară (selectivă) reprezintă un caz particular

al redundanţei permanente. Schema generală corespunde celei din figura
8.6a), existând un număr total L = 2n-1 elemente, de regulă identice, şi
un subsistem (dispozitiv) de decizie SSD (voter).
Funcţionarea sistemului, în ansamblu, este considerată ca fiind
corectă dacă se obţine acelaşi tip de răspuns (§1.2.1) la majoritatea
ieşirilor elementelor (1, 2, ..., l, ..., L); rezultă că, spre a nu exista
incertitudine, L trebuie să fie impar: starea de funcţionare nu este
afectată dacă, din cele 2n-1 canale, funcţionează cel puţin n canale (n
fiind un număr întreg). În literatura de specialitate această structură de
redundanţă, cu numeroase şi importante aplicaţii, este întâlnită sub
abrevierea NMR (N- Modular Redundancy).
Dacă, teoretic, numărul total de elemente L poate fi oricât de mare,
în cadrul sistemelor cu mare răspundere funcţională acest număr
depăşeşte rareori cifra 4, deoarece la valori mari subsistemul de decizie
SSD trebuie dezvoltat corespunzător, ceea ce conduce la o fiabilitate
redusă a acestuia (§5.1). Acest aspect va fi dezvoltat şi aprofundat

170
 Fiabilitate funcţionalǎ în electronicǎ

ulterior în lucrare. Pentru moment trebuie reţinut faptul că, în final,

fiabilitatea întregului sistem depinde decisiv de aceste structuri de
decizie, aspect extrem de important dacă se pune problema apariţiei unor
răspunsuri false (§1.2.3).
Întrucât studiul acestor structuri se va face în alte capitole, în
diagrama grafurilor aferente (fig. 8.6b), zona subsistemului de decizie
SSD este redată prin arce cu linii întrerupte.

a) b)
1
1
2 (i) (e)
2
S
: l S
: (SSD)
l :
D
: :
L
L
1 (SSD)
(i) (e)
c) 2

3
Fig. 8.6

În implementări uzuale, cea mai largă răspândire o are varianta „2

din 3”: L=3, n=2. Această variantă, denumită şi TMR – Triple Modular
Redundancy, are structura de graf redată în figura 8.6 c), iar analiza
stărilor de subsistem valid ( V ), respectiv nevalid ( V ), se poate efectua
(sintetic) şi prin intermediul celor expuse în tabela 8.1.
Tab. 8.1
Subsisteme Parcurgând toate stările posibile,
Nevalide din punct de vedere fiabilist, se
Valide (V)
(V ) observă că buna funcţionare de sistem
1  2  3  SSD -
1  2  SSD 3 este asigurată (V) chiar dacă se
1  3  SSD 2 171
2  3  SSD 1
8 Redundanţa fiabilistă / toleranţa la defectări

defectează unul (oarecare) dintre cele trei subsisteme (1; 2; 3). În

această categorie nu intră subsistemul SSD, deoarece acesta are rolul de
a decide, logic, dacă semnalul obţinut la ieşire ( e) este rezultatul unei
funcţionări corecte la nivel macroscopic (din punct de vedere
funcţional).

J – Redundanţa cu multiplicitate reprezintă, în fapt, o extindere a

redundanţei majoritare (I) ; funcţionarea sistemului este asigurată dacă
dintre cele L canale (fig. 8.6 b) funcţionează un anumit număr k < L .
Numărul k se numeşte ordin de multiplicitate (pondere) şi care, evident,
are valoarea minimă egală cu 2.

K – Redundanţa glisantă (alunecătoare ) poate fi în acelaşi timp şi

individuală (A), generală (B), succesivă (E), respectiv automată (F).
Diferenţa esenţială faţă de alte tipuri de redundanţă constă în aceea
că, în acest caz, este admisă funcţionarea sistemului, după producerea
uneia sau mai multor defectări (§ 1.1.2), cu performanţe tehnico –
economice inferioare celor caracteristice funcţionării normale. În acest
fel sistemul va continua să funcţioneze cu o capacitate redusă de
operare: număr mai mic de funcţiuni îndeplinite, durate mai mari de
execuţie etc.
Acest tip de redundanţă este convenabil a fi utilizat în anumite
aplicaţii, deoarece nu necesită dezvoltări importante de echipament: cost
redus, fiabilitate bună, volum şi greutate minime, mentenanţă uşoară etc.
De asemenea, datorită acestor caracteristici, utilizarea sa este
eficientă în anumite situaţii, extrem de importante în domeniul
tranporturilor, când sistemul se blochează sau se deconectează automat,
oprind procesul. Acest procedeu, cunoscut în literatura de specialitate
sub denumirea fail – safe, permite realizarea funcţiunilor de protecţie

172
 Fiabilitate funcţionalǎ în electronicǎ

prin evitarea producerii unor răspunsuri false şi, eventual, transformarea

acestora în răspunsuri eronate (§ 1.2.3).
Un exemplu clasic, în acest sens, îl constituie utilizarea releelor
gravitaţionale (§ 7.1.1) în sistemele de dirijare a traficului feroviar
(trenuri şi metrouri), unde procesul de circulaţie se desfăşoară pe baza
unor coduri de viteză.
Deplasarea trenurilor, cărora le este caracteristică o cantitate mare
de energie cinetică ( mv 2 / 2 ), se face după indicaţiile color afişate la
luminosemnale:
V – verde: liber cu viteza stabilită, luminosemnalul următor este
pe indicaţia liber;
G – galben: liber cu viteza stabilită, pregăteşte oprirea deoarece
luminosemnalul următor ordonă oprirea;
R – roşu: oprire fără a depăşi luminosemnalul (oprire necondi-
ţionată).
Prin urmare dacă, în urma apariţiei unor defectări, un
luminosemnal ar afişa, prin glisare, succesiunea de indicaţii:

RGV,
răspunsul în sistem ar fi fals (periculos). De aceea, structurile de
comandă ale acestor luminosemnale (elemente de ieşire din instalaţia de
reglare a circulaţiei) sunt astfel proiectate şi realizate încât, la
producerea uneia sau mai multor defectări, să fie posibilă numai glisarea
V  G  R,
ceea ce conduce la răspuns eronat (fără pericol - § 1.2.3).
În figura 8.7, prin intermediul unei diagrame de spaţiu, este redat
modul de glisare a indicaţiilor (stărilor funcţionale) la un anumit
luminosemnal care este prevazut cu 4 unităţi luminoase: verde – V,
galben – G, roşu de baza – R b şi roşu de rezervă – R r .

173
8 Redundanţa fiabilistă / toleranţa la defectări

v=1
iV V WV=1
v=1/0
g=1
iG G WG=1

g=1/0 rRb=1
Rb
iRb WRb=1
rRb=1/0
rRr=1
Rr
WRr=1

LSn

LSn-1 rRr=1/0

rRb=1
Rb
iRb WRb=1
rRb=1/0
rRr=1
Rr
WRr=1
LSn-1
LSn-2
rRr=1/0
Fig. 8.7

S-au mai notat cu:

i V , i G , i R b - intrări de comandă ale unităţilor luminoase, prin care
acestea sunt activate în regim de funcţionare normală (în stare validă) ;
v, g, r R b , r R r - variabile logice (booleene) asociate stărilor unităţi-
lor luminoase (1 – stare activă, unitate aprinsă; 0 – stare pasivă, unitate
stinsă).
W V , W G , W R b , W R r - funcţiile logice de comandă ale unităţilor
luminoase;
LS n , LS n - 1 , LS n - 2 - luminosemnale amplasate la anumite distanţe
între ele, numerotate crescător în sensul de deplasare a trenurilor (în
lungul liniei).

174
 Fiabilitate funcţionalǎ în electronicǎ

Dacă la luminosemnalul LS n este comandată, de exemplu, activarea

unităţii V, iar apariţia defectării împiedică existenţa acestei stări
(unitatea trebuie să fie aprinsă dar nu este posibil, v = 1/0), se produce
un afişaj prin glisare cu o treaptă la unitatea G, care devine activă în
locul celei verde – V: g = 1; W G = 1.
Dacă nici unitatea G nu răspunde corect, indiferent dacă semnalul
de comandă provine de la intrarea normală ( i G ) sau din circuitul unităţii
V (v =1/0), se produce o altă glisare la unitatea R b , care va intra în
funcţiune: r R b =1 ; W R b =1.
În situaţia în care nici aceasta ( R b ) nu se activează, deşi acest
lucru ar trebui să se producă ( r R b =1/0), se alunecă la unitatea R r care
intră în funcţiune, cu acelaşi conţinut informaţional – roşu ca şi la
unitatea de bază; această unitate este rezerva propriu-zisă a celei de
bază , motiv pentru care nu are o intrare proprie – i.
În sfârşit, dacă nici această ultimă unitate ( Rr) de la
luminosemnalul LS n , care ar trebui să fie aprinsă, dar nu este posibil
(r R b =1/0), informaţia se transferă, cu acelaşi conţinut informaţional
(roşu), la luminosemnalul precedent LS n - 1 ; aici se reiau, după caz,
etapele de glisare R b  R r , iar apoi, dacă este necesar, se produce un
alt transfer la LS n - 2 etc. (fig. 8.7). Dinamica acestor glisări, obligatorii
în situaţia de defectare, este arătată în figura 8.8 unde, în ordonată, s-a
notat cu Af afişajul color executat la luminosemnale, prin unităţile V,
G, R b , R r .
Dacă la momentul t 1 unitatea V se defectează (pct.1.1), se produce
glisarea în punctul 1.2, activând unitatea G (t  t 1 ); dacă, ipotetic,
această unitate şi celelalte două ( R b , R r ) ar fi defecte, în punctul 1.4 se
produce transferul la unitatea R b de la luminosemnalul precedent ( LS n - 1 ),
luminosemnalul propriu ( LS n ) rămânând fără afişaj (complet stins –
pct. 1.5).

175
8 Redundanţa fiabilistă / toleranţa la defectări

La fel se produc glisări dacă defectarea, produsă instantaneu, apare

la nivelul G în momentul t 2 (pct. 2.2 – 2.3 – 2.4 – 2.5), la nivelul R b în
momentul t 3 (pct. 3.3 – 3.4 – 3.5), sau la nivelul R r în momentul t 4 (pct.
4.4 – 4.5).
Indiferent de evoluţia anterioară, transferul de informaţie
restrictivă (roşu – oprire necondiţionată) de la un luminosemnal la altul
(în sensul invers celui de circulaţie), se produce la nivelul R r (eveniment
marcat cu săgeată trasată cu linie dublă întreruptă – fig. 8.7 şi 8.8).
Trebuie reţinut şi faptul că, în condiţii ceva mai puţin dure a unei
circulaţii feroviare, se renunţă la nivelul R r (reducere de echipament),
astfel că transferul între luminosemnale se face la nivelul R b (dispar
pct. 1.4 – 2.4 – 3.4 – 4.4 din diagrama de timp – fig. 8.8). Această
redundanţă glisantă (redusă) este aplicată la metrouri şi la unele căi
ferate.
Af

V 1.1

G 2.2
1.2

Rb
1.3 2.3 3.3

Rb Rb Rb Rb
Rr 1.4 2.4 3.4 4.4

1.5 2.5 3.5 4.5

t
0 t1 t2 t3 t4

Fig. 8.8

Pe de altă parte epuizarea fiabilităţii prin glisare reprezintă

evenimente rare; în practică este puţin probabil ca un luminosemnal să

176
 Fiabilitate funcţionalǎ în electronicǎ

ajungă în stare complet stins, aceasta şi datorită activităţii de

mentenanţă profilactică (§ 2.2 – fig.2.11 şi 2.12 ).
Din cauza consecinţelor unor răspunsuri false în sistem, chiar şi
această minimă este, practic, redusă la zero printr-o redundanţă glisantă
„totală”:

LS n (V  G  R b  R r ) LS n - 1 ( R b  R r )

LS n - 2 ( R b  R r ) LS n - 3 ( R b  R r ) etc.

8.3. Toleranţa la defectări

Prin această proprietate, la nivel de macrosistem, este asigurată

îndeplinirea parţială sau totală a programului funcţional prevăzut,
inclusiv în prezenţa unor defectări.
Sistemele în cauză îşi pot menţine starea validă, fără intervenţie
din exterior. Defectările care apar la orice nivel (componentă,
subansamblu etc.), nu produc efecte negative, din punct de vedere
funcţional, dar reduc rezerva de fiabilitate a sistemului.
Implementarea toleranţei la defectări se bazează, deci, pe
redundanţă (§ 8.2) şi este mai
uşor de realizat dacă apariţiile defectărilor reprezintă evenimente
independente şi compatibile.

8.3.1. Sisteme autotestabile

Funcţiunile de autotestare în cadrul sistemelor tehnice sunt

necesare, ca o primă treaptă, pentru a se obţine toleranţa la defectări. În
acest scop se urmăreşte punerea în evidenţă a producerii defectărilor,
inclusiv a celor mascate care nu se manifestă la nivel macroscopic.
177
8 Redundanţa fiabilistă / toleranţa la defectări

După cerinţe, autotestarea poate fi urmată de identificarea

elementului sau subansamblului defect în cauză, identificare în urma
căruia se obţine informaţie necesară pentru reconfigurarea sistemului
(de exemplu, pentru aplicarea redundanţei glisante – fig. 8.7; § 8.2) sau
pentru activitatea de mentenanţă deoarece, în marea majoritate a
aplicaţiilor, defectele apărute trebuie înlăturate spre a se restabili
nivelul de fiabilitate normal (impus).
În situaţiile cele mai simple, autotestarea se realizează prin
indicarea stării de defectare fără a fi necesară blocarea procesului (spre
exemplu la desfăşurarea, în continuare, a circulaţiei sau navigaţiei).

SS1 SS2

UB1 UB2

M1 M2

SSV
v1 v2

UA1 UA2

P1 (ev) P2

(i)
(e)

Fig. 8.9

Un astfel de caz poate fi întâlnit la sisteme de prelucrare automată

a informaţiei, bazat pe procedeul redundanţei permanente (fig. 8.9).
Subsistemele SS 1 şi SS 2 sunt identice şi operează în paralel (on line),
atât pentru semnalele primite la intrare (i), cât şi pentru cele furnizate la
ieşire (e). Celelalte notaţii au semnificaţiile:
P 1,2 – procesoare; U A 1 , 2 , U B 1 , 2 – unităţi de calcul;
M 1,2 – memorii.
178
 Fiabilitate funcţionalǎ în electronicǎ

Semnalele pentru verificare v 1 şi v 2 , provenite din subsistemele

SS 1 respectiv SS 2 , sunt aplicate subsistemului de verificare SSV care, în
cele mai multe situaţii practice, îndeplineşte funţia de comparator logic;
la ieşirea de verificare ( e v ) se obţine, în permanenţă, informaţia cu
privire la starea validă a sistemului sau la starea de defectare a unui
subsitem (oricare), ca şi identitatea acestuia.

Dacă în cadrul unui sistem există şi funcţiuni de protecţie, care

impun blocarea procesului la apariţia defectărilor singulare sau multiple
(§ 8.1.), se recurge la utilizarea unor dubleţi funcţionali; o astfel de
structură este redată în figura 8.10 a), din care se observă că cele două
module funcţionale identice, Μf 1 şi Μf 2 procesează semnalele primite la
intrarea comună (i).

Mf1
a) (e)
(i)

Mf2 C
(ev)

(i) (ev)
b)
1 2 C

Fig. 8.10

La ieşirea (e) se obţin semnalele procesate prin subsistemul Μf 1 ,

necesare unor funcţiuni esenţiale (§ 1.2.1), iar la ieşirea de verificare
(e v ) se obţin semnalele de autotestare prin comparare între semnalele de
ieşire ale celor două module funcţionale, în comparatorul C; în cazul
apariţiei unei necoincidenţe, semnalele de verificare (e v ) sunt utilizate
179
8 Redundanţa fiabilistă / toleranţa la defectări

ca semnale de comandă pentru blocarea procesului (stop) şi, în acest fel,

se obţine producerea de răspunsuri eronate în locul unora false (§ 1.2.3).
Prin urmare răspunsul pe sistem, pentru funcţiunea de protecţie,
este corect dacă sunt în stare validă toate cele trei subsisteme: Μf 1 , Μf 2
, C. Această condiţionare logică corespunde grafului din figura 8.10b),
respectiv relaţiei de calcul pentru funcţia de fiabilitate în raport cu
răspunsul fals R v (t):
R v (t) = R 1 (t)· R 2 (t) · R C (t).

Deoarece modulele funcţionale Μf 1 şi Μf 2 sunt identice, funcţiile

lor de fiabilitate vor fi, de asemenea, identice:

R 1 (t) = R 2 (t) = R(t),

iar expresia de mai sus devine:

R v (t) = R 2 (t) · R C (t).

Rezultă că pentru funcţia de fiabilitate faţă de răspuns fals sunt

valabile inegalităţile:
R v (t) < R(t); R v (t) < R C (t)

Pentru acest motiv, în general, semnalul la ieşire ( e v ) se anulează

în caz de necoincidenţă, în urma comparării, având ca efect blocarea
procesului şi deci evitarea unui răspuns fals în sistem.
Mai este de observat faptul că această structură nu permite
identificarea subsistemului defect (Μf 1 sau Μf 2 ), ceea ce, în anumite
aplicaţii, poate fi un dezavantaj important.

O creştere a fiabilităţii, atât pentru funcţiuni esenţiale cât şi pentru

funcţiuni de protecţie, se obţine dacă se folosesc trei module funcţionale

180
 Fiabilitate funcţionalǎ în electronicǎ

(Μf 1 , Μf 2 , Μf 3 – fig. 8.11), cu trei căi de verificare (TMR – redundanţă

modulară triplă; I - § 8.2).
În acest caz sunt utilizate un subsistem de procesare a datelor SSD
şi trei comparatoare C 1 , 2, 3 : ieşirile de verificare (e v 1 , 2, 3 ), prin semna-
lele furnizate, permit identificarea automată a modulului funcţional
defect.

181
8 Redundanţa fiabilistă / toleranţa la defectări

Μf1

(i) S (e
Μf2 S )
D Date

182
Μf3
 C1 v1

e
C2 Fiabilitatev2funcţionalǎ
Stop în electronicǎ

De asemenea, prin aplicarea procedeului ev3

de redundanţă majoritară
C3
triplă (fig.8.6.c - §8.2), Fig. 8.11
în varianta „2 din 3”, blocarea procesului la
apariţia unor defectări se produce numai dacă ordinul defectării este II
sau III (§ 8.1):

ev1  ev2 ; ev1  ev3 ; e v2  ev3 ; ev1  ev2  ev3 .

Prin aceasta se obţine o bună disponibilitate pentru funcţionarea

sistemului (§ 2.2), iar mentenanţa este mult uşurată: intervenţia pentru
restabilire nu este strict necesară imediat după producerea defectării, iar
înlocuirea modulului defect se face într-un interval mic de timp deoarece
identitatea acestuia este cunoscută.

În cazul sistemelor complexe, categorie din care fac parte şi cele

de dirijare a traficului în transporturi (rutiere, feroviare, navale, aeriene,
spaţiale - § 1.1.1; fig. 1.1), problema autotestării este de asemenea
complexă, rezolvarea sa optimală necesitând o analiză riguroasă a
caracteristicilor tehnico – economice de sistem, ca şi a specificului
funcţiunilor în cauză. În primă analiză, strategia de elaborare a
secvenţelor de testare se poate face plecând de la nivelul microscopic /
subsistem sau de la nivelul macroscopic / sistem.

A - Strategia start – small presupune începerea testării la cel mai

mic modul din sistem astfel încât, secvenţial, la fiecare pas de testare să
se realizeze verificarea altui modul (fig. 8.12).

183
8 Redundanţa fiabilistă / toleranţa la defectări

START S-a
identificat un Da
STOP
defect
(B.1)
Test A Nu

Test N
S-a
Da
identificat un STOP S-a
defect identificat un Da
(A.1) STOP
Nu defect
(N.1)
Nu
Test B

STOP –
Sistemul nu are
defecte

Fig. 8.12

În cadrul acestei strategii se operează verificarea modulelor de jos,

la nivel orizontal (A.1 – B.1 – . . . – N.1), după care se trece la nivelul
orizontal superior etc. Această strategie prezintă avantajul unei
localizări (şi identificări) relativ rapide a defectărilor. Dezavantajul
constă în aceea că apar unele dificultăţi în ordonarea circuitelor
rezultate pentru optimizarea testării, îndeosebi la sisteme cu structuri de
fiabilitate neuniforme (§5.3.3).

184
 Fiabilitate funcţionalǎ în electronicǎ

A.2 A.3
(A.1)

Test A.1 Test A.2 Test A.3

S-a
identificat Da
Test A.1.2
un defect
Nu
S-a
identificat Da STOP – Sistemul
Test A.1.1 este defect
un defect
Nu
S-a
identificat Da
un defect A.3

Nu

STOP – Sistemul
A.2 este defect

Fig. 8.13

B - Strategia start – big este caracterizată prin faptul că procedura

de testare se desfăşoară invers faţă de start – small : testarea începe cu o
porţiune mare din sistem; în cazul în care aceasta are o bună
funcţionare, se testează o altă unitate mare etc.
Dacă se detectează o defectare, secvenţele de test se ramifică spre
a diagnostica decupajele din ce în ce mai mici, până la găsirea unui
defect (fig. 8.13). După testări secvenţiale, pe verticală în primul modul
mare (A.1 – A.2 – A.3 etc.), se trece din nou, la nivel macroscopic
pentru verificări în următorul modul B, C etc.
Avantajul aplicării acestui tip de strategie este acela că, în scopul
realizării unei mentenanţe preventive, se obţin variantele optime.

185
8 Redundanţa fiabilistă / toleranţa la defectări

Dezavantajul principal constă în aceea c ă generarea testării este

complicată şi nu se poate aplica defectărilor multiple (§ 8.1).
În concluzie, la adoptarea strategiei de testare trebuie să se ţină
seama de particularităţile tehnice, funcţionale şi economice ale
sistmului analizat.

8.3.2. Sisteme reconfigurabile

Posibilitatea de reconfigurare a unui sistem, atunci când apar

defectări, are la bază unele structuri redundante de tip dinamic. După
măsura în care este realizată, reconfigurarea poate fi:
- totală, când se obţine refacerea în întregime a structurilor
hardware şi software, pe care sistemul le-a avut înaintea
apariţiei defectărilor;
- parţială, dacă sistemul revine la o funcţionare corectă pe
ansamblu, dar având o capacitate redusă de operare.
În cazul reconfigurării parţiale, unele module de echipament
defecte nu sunt înlocuite; consecinţa este că programul funcţional nu se
poate realiza în întregime: unele programe şi/sau date se pierd astfel că
unele funcţiuni, pentru a fi îndeplinite, necesită durate mai mari decât
cele admisibile.
Această proprietate, de reconfigurare, este mai uşor de realizat la
sistemele care au o organizare modulară, corespunzând structurilor de
fiabilitate uniforme (§ 5.3). Pentru a putea fi realizată, orice
reconfigurare trebuie să fie precedată de autotestare (§ 8.3.1).
Utilizarea reconfigurării reprezintă singura soluţie în situaţia în
care nu este posibilă intervenţia operatorului uman pentru efectuarea
restabilirii ( reparării ), cum este cazul

186
 Fiabilitate funcţionalǎ în electronicǎ

echipamentelor de pe vehicule care se deplasează fără conducere umană:

pilotări automate în circulaţia rutieră sau feroviară, respectiv în
navigaţia navală, aeriană, spaţială.

A - Sistemele reconfigurabile rigide au, în general, structuri

invariabile la nivel de subsistem: subsistemele de bază funcţionează în
regim on – line, iar cele de rezervă în regim off – line. Când unul sau
mai multe subsisteme dintre cele de bază se defectează, intervine o
înlocuire automată cu unităţi de rezervă (redundanţă automată succesivă
– §8.2).
Datorită procedeelor de implementare aceste sisteme mai sunt
numite, în literatura de specialitate, sisteme reconfigurabile în regim de
comutaţie, în aşteptare ( standby redundancy ), autoreparabile etc.
Trecerea de la subsistemele de bază la cele de rezervă se face cu
ajutorul unui subsistem de comutaţie corespunzător, comandat de
subsistemul de supraveghere.

În desenul din figura 8.14 este redată structura unui astfel de

sistem, structură ce provine din sistemul reconfigurabil descris anterior
în figura 8.9, faţă de care s-au operat unele simplificări şi modificări
necesare.
Astfel subsistemele SS 1 şi SS 2 sunt notate SS b (bază) şi SS r
(rezervă), iar semnalele de verificare (pentru autotestare) v 1 şi v2
devin semnal de comandă (Cd) respectiv de control (Ct) pentru
reconfigurare.
Reconfigurarea este comandată şi controlată prin subsistemul
auxiliar SS a u x care, la rândul său, este compus din două părţi:
SS v c – subsistemul de verificare şi comandă a comutării;
SS c – subsisteme de comutaţie, comandat prin semnalul de
comutare S c (figurat prin săgeată dublă cu linii întrerupte).
187
8 Redundanţa fiabilistă / toleranţa la defectări

(SSb) (SSr)
(SSaux)
on - line off - line

(Cd) (Ct)
SSvc

UA1 UA2

P1 P2
Sc
(i)

(e)

SSc

Fig. 8.14

În momentul în care se defectează subsistemul de bază SS b se

modifică în mod adecvat semnalul de comandă (Cd), modificare
procesată de subansamblul SS v c care generează, în consecinţă, semnalul
de comutare S c . În urma comutării este izolat subsistemul de bază SS b
şi se activează subsistemul de rezervă SS r , care astfel intră în regim de
funcţionare on – line.
Tot pe baza unor reconfigurări rigide funcţionează şi sistemele
automate de reglare a circulaţiei feroviare cu redundanţă glisantă (K –
§8.2). Din unele motive ce ţin de specificul căii ferate, nu este posibilă
reconfigurarea cu subsisteme de rezervă identice cu cele de bază: volum
mai mare, practic imposibil de montat pe poduri metalice, tunele, în
staţii pe spaţiul dintre linii etc., dar şi de cost. De aceea sunt de preferat
reconfigurări în structuri existente, cu grad funcţional mai redus,
188
 Fiabilitate funcţionalǎ în electronicǎ

caracterizat prin răspuns eronat, însă practic imposibil de a se produce

răspuns fals.
Reluând o exemplificare anterioară ( § 8.2; fig. 8.7 – 8.8), fără a
repeta aspectul funcţional va fi analizat, în continuare, modul de
reconfigurare rigidă (fig. 8.15).

V RV(L)
IV
(+) (-)
IG

Sv
RV(k)
G RG(L)

(R) Sg

Fig. 8.15

Pentru o expunere adecvată, selectivă, schema electrică este

simplificată la minimum necesar, având notaţiile:
V – unitate luminoasă verde, parcursă de curentul I V , fiind aprinsă
în stare normală;
R V (L) – bobină de excitaţie a releului de supraveghere pentru
unitatea V (în stare normală are armătura atrasă, deoarece I V ≠ 0);
R V (k) – contacte ale releului R V ; acestea sunt deschise în stare
normală (I G = 0);
G – unitate luminoasă galben ;
S v – semnal de comutare a luminosemnalului de pe unitatea V pe
unitatea G;
R G (L) – bobina de excitaţie a releului de supraveghere pentru
unitatea G;
189
8 Redundanţa fiabilistă / toleranţa la defectări

S g – semnal de comutare a luminosemnalului de pe unitatea G pe

unitatea R (roşu).

În stare normală, circulaţia fiind permisă cu viteza stabilită,

curentul de alimentare I V , care parcurge filamentul lămpii respective,
determină starea activă de semnalizare, stare precizată prin cele 4 „raze”
asociate cercului aferent. Tot curentul I V , care parcurge înfăşurarea de
excitaţie a releului R V (L), produce un câmp magnetic de atragere a
armăturii gravitaţionale (§ 7.1.1). La rândul său, aceasta acţionează
asupra contactelor propriului releu R V (k), menţinându-le în stare
deschisă (I G = 0), iar unitatea G este stinsă.
Dacă, dintr-o cauză oarecare, curentul I V se anulează sau scade sub
limita admisibilă (determinată de valoarea de revenire pentru releul
R V ), starea validă încetează (apare defectarea) şi releul R V se dezexcită
– gravitaţional, aprinzându-se unitatea G în locul celei V (I V = 0; I G ≠
0). Aceasta are, ca efect, excitarea releului R G , de care depinde
semnalul de comutare S g la unitatea (R) etc. Identificând aceste elemente
cu cele din structura generală (fig. 8.14) se constată că releele de
supraveghere reprezintă subsistemul auxiliar SS a u x :
- înfăşurările de excitaţie (L) au rolul de verificare şi comutare
(SS v c ), câmpul magnetic fiind forma sub care se produce semnalul S c ;
- contactele acestor relee execută comutaţia propriu-zisă (SS c ),
efectul fiind glisarea pe unitatea luminoasă inferioară.
Fiabilitatea glisării depinde de fiabilitatea releelor respective, care
au înfăşurări de excitaţie şi contacte. Dacă se notează cu:
R L (t) – funcţia de fiabilitate a subansamblului bobină – armătură
magnetică mobilă;
R k (t) – funcţia de fiabilitate a sistemului de contacte ale releelor,
rezultă că funcţia de fiabilitate pentru glisare (pe o treaptă) are expresia:

190
 Fiabilitate funcţionalǎ în electronicǎ

R(t) = R L (t)∙ R k (t).

Valoarea acestui indicator de fiabilitate este extrem de ridicată

(tinde către unitate), motiv pentru care, în mod uzual, fiabilitatea unui
astfel de releu (gravitaţional, cu contacte argint – grafit ) se exprimă
prin funcţia de nonfiabilitate (pe durata de 1 oră în regim de funcţionare
normală):
F (t )  1  R (t )  10 13.

Revenind la situaţia generală (fig. 8.14), supravegherea

funcţionării unui subsistem de bază, după modul de defectare (prin
creştere sau prin scădere parametrică - § 6.1), se poate face:
- prin formarea semnalului de comutare (S c ) în intensitate,
corespunzând modului de defectare dominant prin scădere
parametrică (SS v - ; fig. 8.16a);
- prin formarea semnalului de comutare (S c – fig. 8.14) în
tensiune, corespunzând modului de defectare dominant prin
creştere parametrică (SS v + ; fig. 8.16b).
Pentru simplificarea notaţiilor şi deci şi a relaţiilor de calcul, mai
departe, se notează prin:
b, r – elementul de bază, respectiv de rezervă;
v - elementul de verificare (testare);
c - elementul de comutare.
Graful de fiabilitate (fig. 8.16c) este acelaşi pentru ambele
variante (fig. 8.16a, b); conform acestui graf, funcţia de fiabilitate a
structurii auxiliare SS a u x (fig. 8.14) are expresia:
Raux = Rv∙ Rc ,

şi deci funcţia de fiabilitate, pentru întregul sistem, este:

Rsist  Rb  Rr  Raux  Rb  Rr  Raux .

191
8 Redundanţa fiabilistă / toleranţa la defectări

SSb SSv- SSb

SSv+

a) SSc SSr b)
SSc SSr

(i)
b (e)

v c
c) r

Fig. 8.16

Dacă se ţine seama de faptul că, în general, elementele de bază şi

cele de rezervă sunt identice,
Rb = Rr = R ,
expresia de calcul devine:
  R  [ 1  Raux ( 1  R )]  R.
Rsist

Din această expresie se pot pune în evidenţă două valori – limită:

 Raux = 0 : Rsist = R = Rb ,

caz în care valoarea funcţiei de fiabilitate pe sistem este minimă;

 Raux = 1 : R s i s t = R(2 - R) > R b ;

funcţia de fiabilitate pe sistem are valoarea maximă şi corespunde

redundanţei permanente (D - §8.2).
Cu privire la eficienţa fiabilistă a acestui tip de reconfigurare
rigidă, se obţine:
R
 f  sist  1  Raux  ( 1  R ),
R

192
 Fiabilitate funcţionalǎ în electronicǎ

de unde se vede că, pentru o bună eficienţă, este necesar ca

echipamentul auxiliar să fie (el însuşi) fiabil, motiv pentru care la
implementarea acestuia se aplică procedee şi tehnologii speciale.
Pentru aceasta, în cazul unor sisteme de complexitate redusă, este
eliminat echipamentul auxiliar, astfel că glisarea se realizează prin
însuşi modul de defectare şi prin structura schemei în cauză.

La unele autovehicule rutiere, întregul echipament de bord este

alimentat electric de la un alternator trifazat care încarcă permanent
(când motorul este pornit), o baterie de acumulatori prin intermediul
unui redresor trifazat în punte.

Xa Ya Za Xa Ya Ya Xa

D1 D2 D1 D2

D3 D4 D3 D4
D3 D2
D5 D6

(+) RS (─) (+) RS (─) (+) RS (─)

a) b) c)
Fig. 8.17

Schema electrică, cu simplificările necesare expunerii, este

reprodusă în figura 8.17a) cu notaţiile:
X a , Y a , Z a – conexiuni la cele trei înfăşurări de fază ale alterna-
torului;
D 1 , . . . , D 6 – diode redresoare;

193
8 Redundanţa fiabilistă / toleranţa la defectări

R S – rezistenţa echivalentă a circuitului de sarcină (regulator de

tensiune, baterie de acumulatori, siguranţe fuzibile de protecţie etc.).
În regim de funcţionare normală (stare validă), fiecare diodă
conduce câte o alternanţă pe fază; rezultă că, în orice moment, conduc
(simultan) două diode: cea cu potenţialul anodului cel mai pozitiv şi cea
cu potenţialul catodului cel mai negativ. Prin urmare, se obţin pe R S , în
curent continuu, impulsuri periodice cu un unghi de trecere

2 
  (radiani) .
6 3

Toate cele 6 diode au modul de defectare dominant prin creştere de

parametru (la limită întrerupere între anod şi catod – §7.1.2; fig. 7.1).
Astfel, defectarea unei singure diode (oricare) determină dispariţia
unui singur impuls de curent redresat, din cele 6 existente într-o
perioadă a curentului alternativ trifazic (2 π); rezultă că defectările de
ordin I (§8.1) conduc la o primă reconfigurare a sistemului de redresare
cu numai 5 diode, iar efectul asupra electroalimentării, la nivel de
sistem, este practic neglijabil deoarece regulatorul de tensiune (inclus în
R S ) va determina păstrarea unei tensiuni practic constante la bornele
bateriei de acumulatori (uzual 12V).

Dacă însă se produce o defectare de ordin II, de exemplu la oricare

dintre perechile de diode D 1 – D 2 , D 3 – D 4 , D 5 – D 6 , se produce o altă
reconfigurare rigidă, mai profundă decât cea analizată anterior. Acest
aspect este redat în figura 8.17b), pentru situaţia în care s-ar defecta
(simultan) diodele D 5 şi D 6 . Structura care rezultă este aceea a unui
redresor monofazat – dublă alternanţă cu punte clasică de 4 diode.
Efectul negativ asupra circuitului de sarcină R S este compensat, ca
şi în cazul precedent, de către regulatorul de tensiune care, acum, va
funcţiona într-un regim de reglare mai adânc.

194
 Fiabilitate funcţionalǎ în electronicǎ

În fine, dacă s-ar produce defectarea simultană a 4 diode (de

exemplu, D 1 –D 4 –D 5 –D 6 ), ceea ce corespunde ordinului IV al defectării,
se realizează o redresare monofazată – monoalternanţă, iar structura
reconfigurată este foarte simplă (fig. 8.17c). În acest caz regulatorul de
tensiune va avea o funcţionare în regim încărcat, la fel şi diodele rămase
valide (D 2 şi D 3 ).
Solicitarea intensă asupra acestora va conduce, într-un interval
relativ mic de timp, la defectare (tot prin întrerupere între anod şi
catod). Acum apare pericolul defectării în avalanşă (§ 2.1), motiv pentru
care toate cele 6 diode sunt supradimensionate, faţă de o funcţionare
normală (validă), prin stabilirea unui curent nominal redresat de 30A /
diodă.
Analiza expusă cuprinde numai unele exemplificări pentru ordinele
de defectare I, II, IV; procedând în aceeaşi modalitate de analiză, se va
constata existenţa şi a altor ordine de defectare: III, V, VI.

B - Sistemele reconfigurabile flexibile , au caracteristic faptul

esenţial că, în structura lor, conţin două sau mai multe subsisteme
(module) identice (cu aceleaşi funcţiuni), o parte dintre ele fiind active,
iar o altă parte în aşteptare (pasive). La apariţia defectărilor, prin
reconfigurare, se realizează o nouă distribuire funcţională între cele
două categorii de echipament, astfel încât funcţionarea la nivel de sistem
să nu fie afectată în niciun fel. În literatura de specialitate acestea se
mai întâlnesc şi sub denumirile: sisteme cu reorganizare, cu
autoreparare, cu toleranţă la defectări.
În vederea analizei unei astfel de structuri, se pleacă de la sistemul
pentru prelucrare automată a informaţiei redat în figura 8.9, pentru care
se păstrează subsistemele având funcţiune de verificare (autotestare),
dar se prevăd şi alte subsisteme auxiliare. Astfel se ajunge la structura
din figura 8.18, în care s-au utilizat următoarele notaţii:
195
8 Redundanţa fiabilistă / toleranţa la defectări

SSc int

UB1 UB2
Sc int
M1 M2

SSV
v1 v2

UA1 UA2

P1 Sc ext P2

SSc ext

(i) (e)

SS1 SSaux SS2

Fig. 8.18

SS 1 , SS 2 – subsisteme funcţionale identice în regim on – line sau

off – line;
P 1,2 – procesoare;
U A 1 , 2 , U B 1 , 2 – unităţi de calcul;
M 1,2 – memorii;
SS a u x – subsistem auxiliar ;
SS c i n t – subsistem de comutaţie interior ;
SS c e x t – subsistem de comutaţie exterior ;
SSV – subsistem de verificare (supraveghere, autotestare) ;
v1, 2 – semnale de verificare ;
Sc int – semnal de comutare în interiorul sistemului ;
Sc ext – semnal de comutare în exteriorul sistemului ;
După cum se poate observa, în starea normală (validă) a
sistemului, operează subsistemul SS 1 cu subansamblurile P 1 – U A 1 şi M 1
– U B 1 . Dacă apar defectări în aceste subansambluri (oricare), în funcţie
196
 Fiabilitate funcţionalǎ în electronicǎ

de localizarea defectărilor (prin intermediul semnalelor v 1 şi v 2 ), se

comandă comutarea automată în:
 exterior, prin SS c e x t între subsistemele SS 1 şi SS 2 ;
 interior, prin SS c i n t şi deci configuraţiile posibile pot fi :
P 1 – U A 1 cu M 1 – UB1
P 1 – U A 1 cu M 2 – UB2
P 2 – U A 2 cu M 2 – UB2
P 2 – U A 2 cu M 1 – UB1
Toate aceste combinaţii de funcţionare posibilă, care la unele
sisteme mai dezvoltate cresc numeric în mod corespunzător, conferă
calitatea de flexibilitate cu privire la structura nouă obţinută, ceea ce
reprezintă un avantaj esenţial al acestor sisteme în raport cu cele
reconfigurabile rigide.

Datorită unei dezvoltări cronologice în domeniul fiabilităţii,

problematica redundanţei (de echipament) se întrepătrunde cu cea a
sistemelor tolerante la defectări, astfel că uneori chiar şi terminologia
folosită nu coincide în totalitate. Pentru aceasta se impun unele
precizări, fără a introduce aspecte noi faţă de cele tratate anterior.
 Prin definirea ordinului defectării (§ 8.1) se introduce o procedură
riguroasă, cantitativă şi calitativă, de analiză a fiabilităţii
sistemelor redundante sau tolerante la defectări.
 Toleranţa la defectări are un pronunţat caracter de sistem (din
punct de vedere fiabilistic), ceea ce cu privire la redundanţă nu
este totdeauna valabil. Spre exemplu, o componentă (de
echipament) supradimensionată contribuie la creşterea redundanţei

197
viMf
22 2

8 Redundanţa fiabilistă / toleranţa la defectări

sistemului dar nu-i conferă acestuia calitatea de toleranţă la

defectări.
 Structurile cu redundanţă statică au dezavantajele că defectările
sunt mascate, iar apariţia acestora antrenează probleme de fan –
out şi fan – in.
 La structurile digitale cu redundanţă dinamică, defectările pot
provoca desincronizări între subsisteme (module).
 Unele dezavantaje, dintre cele enumerate mai sus, pot fi evitate
prin utilizarea de structuri hibride (mixte, statice sau dinamice);
un exemplu, în acest sens, sunt sistemele cu logică majoritară.
 În raport cu existenţa răspunsului fals, redundanţa poate fi
neprotectivă (de exemplu, la sistemele de procesare a datelor fără
protecţie) sau protectivă (când rezultatul operării este validat sau
nevalidat – stop).
 De asemenea, redundanţa poate fi de tip cablat respectiv de tip
programat (prin codare). În cazul structurilor simple, sistemele cu
logică de tip cablat sunt mai eficiente (mai fiabile, la un cost mai
mic) decât cele cu logică programată.
 Din cauza existenţei unor aspecte contradictorii, nu există soluţii
universal valabile pentru implementarea redundanţei, respectiv a
toleranţei la defectări. În fiecare situaţie trebuie analizate
condiţiile specifice existente, urmărind o eficienţă maximă la un
cost acceptabil; aceste implementări costă.

198