占自才

(華東交通大學電氣與電子工程學院,江西南昌330013)

計算機聯(lián)鎖系統(tǒng)的可靠度包括硬件可靠度和軟件可靠度兩部分,本文只對系統(tǒng)的硬件可靠度與安全度進行討論。微機聯(lián)鎖系統(tǒng)為了達到故障—安全的要求,廣泛采用了冗余結(jié)構(gòu)容錯系統(tǒng),有雙模冷、熱備結(jié)構(gòu)與三模冗余結(jié)構(gòu)。不論采用何種結(jié)構(gòu),系統(tǒng)的可靠度與安全度都是一項非常重要的指標。對于雙模系統(tǒng)分析起來相對簡單,可以參閱相關(guān)文獻[1]。TMR冗余系統(tǒng)狀態(tài)組合多,可靠側(cè)與安全側(cè)的狀態(tài)不是唯一。本文利用馬爾可夫模型[2]對TMR的可靠度與安全度進行評估分析,得出了定量的推理結(jié)論,對計算機模擬設(shè)計有一定的指導作用[3,4]。

1 TMR微機聯(lián)鎖系統(tǒng)可靠度模型與分析

在計算系統(tǒng)的可靠度時,如果某一模塊的失效將導致整個系統(tǒng)失效,這時對后面模塊的失效狀況就不再予以考慮,且設(shè)每個模塊的失效率都相同。TMR系統(tǒng)具有23=8種狀態(tài),分別設(shè)為0(000),1(001),…,7(111)。當某一模塊發(fā)生故障時,不會影響系統(tǒng)的正常工作,但當失效模塊大于或等于2時,則系統(tǒng)失效。這個狀態(tài)可視為馬爾可夫吸收態(tài)[5]?？紤]到可修復TMR系統(tǒng),當一個模塊發(fā)生故障時,整個系統(tǒng)并未失效,且失效模塊有修復的可能性,修復率為μ,可得到如圖1所示的TMR系統(tǒng)的狀態(tài)轉(zhuǎn)移圖[6]。

圖1 TMR系統(tǒng)的狀態(tài)轉(zhuǎn)移圖

圖2 TMR系統(tǒng)簡化狀態(tài)轉(zhuǎn)移圖

由于系統(tǒng)進入2個模塊失效的狀態(tài)時,整個系統(tǒng)實際上已經(jīng)失效,以后的狀態(tài)變化就沒有必要再考慮了。因此,系統(tǒng)狀態(tài)完全可簡化為3個模塊正常工作,1個模塊失效和2個模塊失效。簡化狀態(tài)圖如圖2所示。

系統(tǒng)的狀態(tài)轉(zhuǎn)移矩陣為

將狀態(tài)轉(zhuǎn)移矩陣P中與狀態(tài)2(2個模塊失效)有關(guān)的行和列去掉可得正常工作轉(zhuǎn)移矩陣為

其中:B=(1 0 0…0);I是單位矩陣;A是元素為1的列向量。令 t=τ+t為整數(shù),0≤Δ t≤1,于是有:R(t)=1-(Π?P)C。其中:初始概率分布 Π=1,0,0,…,0;C為最后一個元素是1,而其余皆為0的列向量P=RDR-1。

2 TMR微機聯(lián)鎖系統(tǒng)安全度模型與分析

假設(shè)TMR系統(tǒng)3個同時工作的冗余模塊分別為A,B和C。由于采用三取二表決方式,所以一個模塊故障不影響系統(tǒng)的正常工作,只有當兩個或兩個以上的模塊發(fā)生故障時,系統(tǒng)才會失效。TMR系統(tǒng)具有一個突出的優(yōu)點即能檢測出單模塊的故障,這就大大提高了系統(tǒng)的安全性。我們將3個冗余模塊以外的其它模塊作為一個整體,統(tǒng)稱為外圍設(shè)備,并把它稱為D模塊。為了簡化分析過程,不妨作以下假設(shè)[7]:

(1)由于兩個或兩個以上模塊同時發(fā)生故障的概率很小,與單模塊的故障概率相比可忽略不計;

(2)單模塊的故障不會導致危險輸出,并且單模塊故障可被檢出,理論推導可以采用這個假設(shè),實際應(yīng)用中可以不考慮這個假設(shè);

(3)當發(fā)生單模塊故障,并且在故障未被檢出期間,如果有另一模塊又發(fā)生故障,則保守地認為系統(tǒng)會給出危險側(cè)輸出;

(4)故障是隨機的,其運行符合馬爾可夫過程;

(5)系統(tǒng)修復后,完好如初。

系統(tǒng)中每個模塊都存在兩種狀態(tài):正常工作狀態(tài)和故障狀態(tài)。那么4個模塊共有16種工作狀態(tài),其中3個模塊都故障的4種情況和4個模塊全部故障的1種情況不在考慮范圍之內(nèi),其余的11種工作狀態(tài)分列如下:這里按照1,2,3和4的順序構(gòu)成各個狀態(tài),以“H”代表四模塊正常工作狀態(tài),H(14)代表一模塊故障狀態(tài)四種情況,H12,H13,H14,H23,H24,H34代表兩模塊故障狀態(tài)的6種情況。系統(tǒng)的狀態(tài)轉(zhuǎn)移圖如圖3所示。

λi是一個模塊壞的概率,μi是單個模塊修復的概率,μij是兩個壞模塊同時修復的概率。由于上述狀態(tài)轉(zhuǎn)移圖太復雜,我們假定各模塊的故障率和修復率都是相同的,以簡化分析過程。設(shè):λ1=λ2=λ3=λ4=λ,μ1=μ2=μ3=μ4=μ,μ12=μ13=μ14=μ23=μ24=μ34=ν,則可以得到簡化的系統(tǒng)狀態(tài)轉(zhuǎn)移圖,見圖

4。圖4中A為系統(tǒng)正常工作狀態(tài);B為系統(tǒng)非危險故障狀態(tài);C為系統(tǒng)危險故障狀態(tài)。

圖3 TMR系統(tǒng)狀態(tài)轉(zhuǎn)移圖

圖4 TMR系統(tǒng)簡化后狀態(tài)轉(zhuǎn)移圖

對圖4的狀態(tài)轉(zhuǎn)移系統(tǒng)列出以下微分方程,且知它們的初始值為:PA(0)=1,PB(0)=0,PC(0)=0,并利用拉氏變換原理求出

解微分方程組的解如下

以上就是評估過程所推算出的各種狀態(tài)下的穩(wěn)態(tài)概率,將相關(guān)參數(shù)代入,可得TMR系統(tǒng)處于各狀態(tài)的概率為

安全度為

故障安全度為

3 結(jié)論

從S(t)表達式可以看出:當λ很小,即模塊發(fā)生故障的概率很小,而修復的概率 μ和ν一般較大,所以S(t)的值基本上是接近1的,也就是系統(tǒng)幾乎整個時間段是安全的,同理可得出故障安全度D(t)也接近1,系統(tǒng)也是故障安全的。也就是說,三模系統(tǒng)在能快速修復或排除故障的情況下,可以保證系統(tǒng)是安全的,根據(jù)這個指導,可以對計算機聯(lián)鎖進行安全性仿真,這個不是本文的重點,可以參考相關(guān)文獻[8]。

[1]胡謀.計算機容錯技術(shù)[M].北京:中國鐵道出版社,1995.

[2]傅佩璨,趙霖,張軍英.計算機系統(tǒng)硬件軟件可靠性理論及其應(yīng)用[M].北京:國防工業(yè)出版社,1990.

[3]宓漣.計算機聯(lián)鎖系統(tǒng)的輔助設(shè)計[J].鐵道通信信號,2000,36(7):7-8.

[4]趙志.計算機機輔助設(shè)計在微機聯(lián)鎖中的應(yīng)用[J].電氣化鐵道,1999(4):44-46.

[5]西沃賴克 D P.可靠系統(tǒng)的設(shè)計理論與實踐[M].袁由光,譯.北京:科學出版社,1988.

[6]趙志熙.計算機聯(lián)鎖系統(tǒng)技術(shù)[M].北京:中國鐵道出版社,1995.

[7]趙志熙.車站信號控制系統(tǒng)[M].北京:中國鐵道出版社,1992.

[8]陳杰.基于仿真技術(shù)的鐵路計算機聯(lián)鎖培訓系統(tǒng)的研究[J].微型電腦應(yīng)用,2003,19(5):11-13.