文 俊，蘇宏升，沈 強(qiáng)

(1.蘭州交通大學(xué)自動化與電氣工程學(xué)院，蘭州 730070；2.西安鐵路局寶雞供電段，陜西寶雞 721000)

兩種鐵路信號系統(tǒng)雙機(jī)熱備結(jié)構(gòu)可靠性與安全性分析

文 俊1，蘇宏升1，沈 強(qiáng)2

(1.蘭州交通大學(xué)自動化與電氣工程學(xué)院，蘭州 730070；2.西安鐵路局寶雞供電段，陜西寶雞 721000)

雙機(jī)熱備系統(tǒng)已廣泛應(yīng)用于現(xiàn)代鐵路信號系統(tǒng)中，國內(nèi)外學(xué)者對其可靠性和安全性進(jìn)行廣泛而深入的研究，但在研究的過程中并沒有區(qū)分不同的系統(tǒng)結(jié)構(gòu)，鑒于此，分析傳統(tǒng)的僅具有故障自檢和同時具備自檢與比較程序互檢的兩種不同的雙機(jī)熱備結(jié)構(gòu)。綜合考慮共因失效、在線診斷、多故障模式等因素，建立兩種雙機(jī)熱備結(jié)構(gòu)的同構(gòu)馬爾可夫模型并對其進(jìn)行仿真，根據(jù)仿真結(jié)果對兩種雙機(jī)熱備結(jié)構(gòu)的可靠性、安全性進(jìn)行分析比較。分析結(jié)果表明，帶比較程序的雙機(jī)熱備結(jié)構(gòu)具有更高的可靠性和安全性，更適合在鐵路上推廣應(yīng)用。

鐵路信號系統(tǒng)；雙機(jī)熱備；馬爾可夫模型；可靠性；安全性；故障檢測

隨著計算機(jī)和可編程電子產(chǎn)品大量應(yīng)用于現(xiàn)代鐵路信號系統(tǒng)，為滿足系統(tǒng)的高安全性和高可靠性要求，廣泛應(yīng)用各種冗余和重構(gòu)設(shè)計以及在線故障診斷技術(shù)來提高系統(tǒng)的可靠性和安全性。就安全性、可靠性和成本上看，雙機(jī)熱備冗余結(jié)構(gòu)是一種理想的設(shè)計方案，并且已經(jīng)被廣泛應(yīng)用現(xiàn)代鐵路信號系統(tǒng)[1-2]。為提高系統(tǒng)的可靠性與安全性，在系統(tǒng)軟硬件上進(jìn)行了不同程度的改進(jìn)，因此產(chǎn)生了不同的雙機(jī)熱備結(jié)構(gòu)，典型的有僅具有自檢功能和同時具備自檢與比較程序互檢的兩種不同的雙機(jī)熱備結(jié)構(gòu)。隨著雙機(jī)熱備結(jié)構(gòu)在現(xiàn)代鐵路信號系統(tǒng)中的廣泛應(yīng)用，國內(nèi)外學(xué)者對其安全性和可靠性進(jìn)行了廣泛而深入的研究[3-7]。但在研究的過程中并沒有對不同的系統(tǒng)結(jié)構(gòu)進(jìn)行區(qū)分。文獻(xiàn)[4]在分析系統(tǒng)可靠性與安全性的過程中引入了故障可用系數(shù)，對實際應(yīng)用中考察雙機(jī)熱備聯(lián)鎖控制系統(tǒng)的綜合性能指標(biāo)有一定的意義，但在建模過程中，未考慮共因失效、多故障模式等諸多因素，同時未考慮不同的系統(tǒng)結(jié)構(gòu)，模型建立相對簡單。文獻(xiàn)[5]中分析了一般雙機(jī)熱備和相互比較雙機(jī)熱備結(jié)構(gòu)的可靠性與安全性，雖然考慮了不同的系統(tǒng)結(jié)構(gòu)，但結(jié)構(gòu)的不同之處僅僅在于兩單元是否進(jìn)行了比較，而現(xiàn)有的雙機(jī)熱備系統(tǒng)為達(dá)到較高的可靠性與安全性，一般均采用兩單元進(jìn)行比較的結(jié)構(gòu)。文獻(xiàn)[6]中分析了單機(jī)和雙機(jī)熱備計算機(jī)聯(lián)鎖系統(tǒng)的可靠性與安全性，指出了減小故障檢測時間、提高故障檢測率是提高雙機(jī)熱備系統(tǒng)可靠性與安全性的重要技術(shù)措施，也提出通過改進(jìn)系統(tǒng)軟硬件結(jié)構(gòu)的方法來提高系統(tǒng)可靠性與安全性，但并未從理論上加以證明。文獻(xiàn)[7]中綜合考慮共因失效、故障檢測率及維修性對雙機(jī)熱備系統(tǒng)可靠性的影響，利用馬爾可夫模型對可維修雙機(jī)熱備系統(tǒng)進(jìn)行可靠性分析，得出維修率對可維修雙機(jī)熱備系統(tǒng)達(dá)到平穩(wěn)狀態(tài)所需時間貢獻(xiàn)較大等結(jié)論，同樣未考慮不同的系統(tǒng)結(jié)構(gòu)。

在前人研究的基礎(chǔ)上，對已廣泛應(yīng)用于高鐵中的兩種雙機(jī)熱備系統(tǒng)在不可修復(fù)的條件下對各自工作方式和失效模式進(jìn)行深入分析，綜合考慮共因失效、多故障模式等因素，對兩種雙機(jī)熱備結(jié)構(gòu)分別進(jìn)行馬爾科夫建模和分析，就可靠性、安全性方面對兩種雙機(jī)熱備結(jié)構(gòu)進(jìn)行比較。

1 兩種雙機(jī)熱備系統(tǒng)結(jié)構(gòu)及比較

圖1為傳統(tǒng)的、僅具有自檢功能的雙機(jī)熱備計算機(jī)聯(lián)鎖控制系統(tǒng)(以下簡稱為傳統(tǒng)雙機(jī)熱備結(jié)構(gòu))，系統(tǒng)一般由2個獨(dú)立的、具有相同硬件結(jié)構(gòu)的單元組成。系統(tǒng)正常工作時，2個單元同時采集數(shù)據(jù)，只有主單元的輸出有效，經(jīng)切換單元輸出。其結(jié)構(gòu)特點(diǎn)是2個單元均具有完善的自檢功能，分別安裝一套版本不同的軟件，即單通道執(zhí)行單版本軟件，運(yùn)行過程中它們相互比較。如果比較結(jié)果一致，則其中的一個單元充當(dāng)工作單元執(zhí)行輸出。反之，則進(jìn)行故障定位并進(jìn)行單元切換。這種結(jié)構(gòu)主要是針對那些安全性要求不高，產(chǎn)生錯誤時不會危及行車安全的系統(tǒng)，例如參與行車指揮的信息系統(tǒng)、進(jìn)路預(yù)排系統(tǒng)以及車站聯(lián)鎖系統(tǒng)中的監(jiān)視控制機(jī)等。

圖1 傳統(tǒng)雙機(jī)熱備結(jié)構(gòu)

圖1所示的雙機(jī)熱備系統(tǒng)雖然每個單元具有自檢功能，能發(fā)現(xiàn)大部分硬件故障，但不易發(fā)現(xiàn)軟件故障。在如圖2所示的結(jié)構(gòu)(以下簡稱為帶比較程序的雙機(jī)熱備結(jié)構(gòu))中，每個單元除了安裝完善的自診斷程序進(jìn)行連續(xù)不斷的在線監(jiān)測外，每個通道執(zhí)行兩相異軟件來確保系統(tǒng)的安全性，并且2套軟件完全獨(dú)立，運(yùn)行過程中比較中間結(jié)果和最后結(jié)果，如果一致，則執(zhí)行輸出，否則就進(jìn)行單元切換，在軟件上實現(xiàn)了二取二，不僅可以發(fā)現(xiàn)硬件故障還可以發(fā)現(xiàn)軟件故障。根據(jù)該模型開發(fā)的系統(tǒng)已投入鐵路實際運(yùn)營中，例如，廣泛應(yīng)用于區(qū)域計算機(jī)聯(lián)鎖的TYJL-Ⅱ型計算機(jī)聯(lián)鎖系統(tǒng)利用完善的自檢測功能、雙版本軟件冗余比較和動態(tài)脈沖的輸入、輸出性能來保證安全[8-9]，每套程序的數(shù)據(jù)來自于物理地址不同的存儲空間，提高了聯(lián)鎖運(yùn)算的安全性；通號總公司研制的DS6-11型雙機(jī)熱備系統(tǒng)，聯(lián)鎖軟件采用雙份編碼、模塊化和結(jié)構(gòu)化設(shè)計。2套程序執(zhí)行的結(jié)果在輸出級進(jìn)行比較，比較一數(shù)時進(jìn)行輸出；比較不一致時，輸出安全側(cè)命令，同時給出報警標(biāo)志。典型的系統(tǒng)還有瑞典的EBILOCK850和EBI-LOCK950計算機(jī)聯(lián)鎖系統(tǒng)等[10]。

圖2 帶比較程序的雙機(jī)熱備系統(tǒng)結(jié)構(gòu)

2 兩種雙機(jī)熱備模型可靠性及安全性分析

2.1 模型假設(shè)

在系統(tǒng)可靠性與安全性分析之前，需做一些基本假定：

(1)比較器和開關(guān)單元是完全可靠的，可靠度為1；

(2)單元具有相同的失效率和維修率，均服從指數(shù)分布；

(3)自診斷檢測覆蓋率為c，比較程序的診斷覆蓋率為C1，可以檢測到自診斷無法檢測到的故障。

2.2 失效模式劃分

共因失效指同一種應(yīng)力(原因)導(dǎo)致一個以上部件、模件、單元或者系統(tǒng)發(fā)生失效。共因失效抵消了容錯系統(tǒng)的優(yōu)點(diǎn)，因此在分析高可靠性與高安全性的計算機(jī)聯(lián)鎖系統(tǒng)時共因失效是一個不容忽視的因素。采用被廣泛應(yīng)用于共因失效分析的β模型。β模型是利用β因子把單元的失效率(以下記為λ)劃分為共因失效率λC和常規(guī)失效率λN兩部分。用以下方程表示

為了詳細(xì)描述馬爾可夫模型中的轉(zhuǎn)移，結(jié)合診斷覆蓋率c和共因失效因子β等參數(shù)對失效模式進(jìn)行劃分。劃分后的失效率分為以下8類[11]。

SDN:安全，檢測到，一般失效；SDC:安全，檢測到，共因失效；SUN:安全，未檢測到，一般失效；SUC:安全，未檢測到，共因失效；DDN:危險，檢測到，一般失效；DDC:危險，檢測到，共因失效；DUN:危險，未檢測到，一般失效；DUC:危險，未檢測到，共因失效。

結(jié)合安全比例失效因子α，單元失效分為安全失效λS和危險失效λD兩部分，即

(1)

(2)

考慮故障診斷覆蓋率，安全失效率可分為兩部分，即安全可測故障λSD與安全不可測故障λSU，即

(3)

同理，危險失效也可分為兩部分，即危險可測故障λDD與危險不可測故障λDU

(4)

考慮共因失效，式(2)～式(3)中的4種失效率均可分為一般失效與共因失效兩部分，以λSD為例，即

(5)

將故障檢測覆蓋率c及共因失效因子β代入，以安全可測共因失效λSDC為例，有

(6)

同理可求出其他失效率。

2.3 可靠性及安全性分析

兩種雙機(jī)熱備系統(tǒng)均具有單元自診斷能力，其主要區(qū)別在于聯(lián)鎖單元的實現(xiàn)上，傳統(tǒng)雙機(jī)熱備結(jié)構(gòu)采用單機(jī)執(zhí)行單版本軟件，帶比較程序的雙機(jī)熱備結(jié)構(gòu)采用單機(jī)執(zhí)行雙版本軟件，若比較程序的診斷覆蓋率為C1，當(dāng)C1=0意味著沒有任何比較發(fā)生，此時，系統(tǒng)結(jié)構(gòu)為傳統(tǒng)的雙機(jī)熱備結(jié)構(gòu)；當(dāng)C1≠0時，意味著系統(tǒng)除具有完善的自檢測能力外，比較程序的互診斷提供了另一個層次的安全保護(hù)功能，此時系統(tǒng)結(jié)構(gòu)為帶有比較程序的雙機(jī)熱備結(jié)構(gòu)。

據(jù)以上分析，兩種雙機(jī)熱備冗余結(jié)構(gòu)的馬爾可夫模型是同構(gòu)的。因此，可以建立一個如圖3所示的統(tǒng)一模型。圖3中令C1=0時即為傳統(tǒng)的雙機(jī)熱備Markov模型。

圖3 帶比較程序的雙機(jī)熱備系統(tǒng)Markov模型

根據(jù)系統(tǒng)的工作原理，如下定義系統(tǒng)的狀態(tài)。

狀態(tài)0：主、備單元均正常工作，系統(tǒng)正常工作。

狀態(tài)1：主、備單元任一單元發(fā)生可測故障，另一單元正常工作，系統(tǒng)正常工作。

狀態(tài)2：系統(tǒng)故障-安全狀態(tài)。

狀態(tài)3：系統(tǒng)非故障-安全狀態(tài)。

圖3中系統(tǒng)狀態(tài)轉(zhuǎn)移解釋如下。

狀態(tài)0～1：一單元出現(xiàn)故障，被自檢測程序檢測到，或自檢測程序未檢測到但比較程序檢測到，另一單元正常工作，系統(tǒng)處于工作狀態(tài)。

狀態(tài)0～2：系統(tǒng)發(fā)生共因失效或一單元發(fā)生自檢測程序及比較程序均未檢測到的安全不可測故障，系統(tǒng)處于故障-安全狀態(tài)。

狀態(tài)0～3：系統(tǒng)發(fā)生共因失效或一單元發(fā)生自檢測程序及比較程序均未檢測到的危險不可測故障，系統(tǒng)處于非故障-安全狀態(tài)。

狀態(tài)1～2：一單元故障，另一單元發(fā)生安全失效，系統(tǒng)處于故障-安全狀態(tài)。

狀態(tài)1～3：一單元故障，另一單元發(fā)生危險失效，系統(tǒng)處于非故障-安全狀態(tài)。

則據(jù)圖3中的狀態(tài)轉(zhuǎn)移可得到如下方程組

(7)

當(dāng)Δt足夠小時，運(yùn)用微分公式

將上述方程進(jìn)行代數(shù)變化，進(jìn)行求極限后，進(jìn)一步轉(zhuǎn)化為如下方程[12]

(8)

令C1=0，由式(8)得

可得傳統(tǒng)雙機(jī)熱備系統(tǒng)可靠度R1(t)與不安全度F1(t)分別為

(9)

(10)

對式(8)直接求解得帶比較程序的雙機(jī)熱備系統(tǒng)可靠度R2(t)與不安全度F2(t)分別為

(11)

(12)

3 仿真結(jié)果及分析

設(shè)定參數(shù)λ=0.001/h，β=0.075，c=0.75，C1=0.95，α=0.1，仿真時間為5 000 h，根據(jù)式(9)、式(11)，對系統(tǒng)可靠度進(jìn)行仿真，仿真結(jié)果如圖4所示。根據(jù)式(10)、式(12)，對系統(tǒng)不安全度進(jìn)行仿真，仿真結(jié)果如圖5所示。

圖4 可靠性比較

圖5 安全性比較

分析比較圖4、圖5，帶比較程序的雙機(jī)熱備系統(tǒng)的可靠度高于傳統(tǒng)的雙機(jī)熱備系統(tǒng)，其不安全度低于傳統(tǒng)的雙機(jī)熱備系統(tǒng)，即前者具有較高的可靠性與安全性。這是因為自診斷程序檢測到并提示出現(xiàn)一個故障，就能立即修理。但如果自診斷程序沒有檢測到該故障，該故障將成為一個潛在的危險源從而誘發(fā)系統(tǒng)出現(xiàn)失效。雙版本軟件的冗余比較提供了另一個層次的安全保障功能，能夠發(fā)現(xiàn)自診斷沒有發(fā)現(xiàn)的故障。因此在單機(jī)執(zhí)行雙版本軟件之后，系統(tǒng)的可靠度與安全度明顯提高。

4 結(jié)論

本文在系統(tǒng)不可修復(fù)的前提下，建立了2種雙機(jī)熱備結(jié)構(gòu)的同構(gòu)馬爾可夫模型，根據(jù)模型對其進(jìn)行可靠性與安全性對比研究。分析比較結(jié)果表明，帶比較程序的雙機(jī)熱備系統(tǒng)具有更高的可靠性和安全性，因其不僅能發(fā)現(xiàn)大部分硬件故障，同時還能發(fā)現(xiàn)大部分軟件故障，更適合在鐵路上推廣應(yīng)用。

[1] Su H. Reliability and Security Analysis on Two-Cell Dynamic Redundant System[J]. TELKOMNIKA Indonesian Journal of Electrical Engineering， 2013，11(5):2594-2604.

[2] 卡哈爾江，準(zhǔn)東北站區(qū)域計算機(jī)聯(lián)鎖系統(tǒng)解決方案[J].鐵道標(biāo)準(zhǔn)設(shè)計，2014，58(1):112-116.

[3] 覃慶努，魏學(xué)業(yè)，于蓉蓉，等.基于雙機(jī)聯(lián)合故障檢測的雙機(jī)熱備系統(tǒng)可靠性和安全性研究[J].系統(tǒng)工程與電子技術(shù)，2011，33(12):2776-2781.

[4] 孫蕾，徐洪澤.雙機(jī)熱備計算機(jī)聯(lián)鎖控制系統(tǒng)的安全性和可用性分析[J].中國安全科學(xué)學(xué)報，2005，14(7):30-33.

[5] 閆劍平，汪希時.兩種方式雙機(jī)熱備結(jié)構(gòu)的可靠性和安全性分析[J].鐵道學(xué)報，2000，22(3):124-127.

[6] 高繼祥，鄭俊杰.雙機(jī)熱備計算機(jī)聯(lián)鎖系統(tǒng)可靠性與安全性指標(biāo)分析[J].北方交通大學(xué)學(xué)報，1998，22(5):73-77.[7] 于敏，何正友，錢清泉.基于Markov模型的可維修雙機(jī)熱備系統(tǒng)可靠性分析[J].計算機(jī)工程與設(shè)計，2009(8):2040-2042.

[8] 何梅芳.TYJL—Ⅱ型車站計算機(jī)聯(lián)鎖系統(tǒng)，TYJL—TR9型容錯計算機(jī)聯(lián)鎖系統(tǒng)[J].中國鐵道科學(xué)，2002，23(1):140-142.

[9] 張萍，趙陽，何梅芳.鐵路區(qū)域性計算機(jī)聯(lián)鎖控制系統(tǒng)的研制[J].儀器儀表學(xué)報，2003，24(4):356-359.

[10]于金帆.現(xiàn)代化高速鐵路設(shè)計、施工與線路提速改造新技術(shù)實務(wù)全書[M].長春:吉林科學(xué)技術(shù)出版社，2004.

[11]威廉·戈布爾，白焰，等譯.控制系統(tǒng)安全評估與可靠性[M].北京:中國電力出版社，2008.

[12]Hong G， Yuan X H. Control strategy and reliability study of iLOCK high-speed railway interlocking system[C]∥Remote Sensing， Environment and Transportation Engineering (RSETE)， 2011 International Conference on. IEEE， 2011:3950-3953.

Reliability and Security Analysis on Two Railway Signal Dual Computer Hot Standby Systems

WEN Jun1， SU Hong-sheng1， SHEN Qiang2

(1.School of Automation and Electrical Engineering Academy of Lanzhou Jiaotong University， Lanzhou 730070;2.Baoji Power Supply Division of Xi’an Railway Administration Bureau， Baoji 721000， China)

Dual computer hot standby system has been widely used in modern railway signal system and scholars from home and abroad have conducted extensive and deep researches on the system reliability and security， but failed to address the differences in system structures. In view of this， this paper analyzes two types of dual computer hot standby systems， namely the traditional system with only self-diagnosing， and the system with both self-diagnosing and program comparison. With reference to such factors as common-cause failure， online diagnosis and multi-failure modes， the isomorphic Markov model of dual computer hot standby system with different structure is established. According to simulation results， the reliability and security of the two structures are compared. The results show that dual computer hot standby system with comparative program is more reliable and safer， and even more applicable to railway.

Railway signal system: Dual computer hot standby system， Markov model; Reliability， Security， Fault detection

2014-05-15；

2014-06-30

甘肅省自然科學(xué)基金(1212RJZA071)

文 俊(1991—)，女，碩士研究生，E-mail：shiran1991@126.com。

1004-2954(2015)03-0110-04

U284.3

A

10.13238/j.issn.1004-2954.2015.03.026