江 磊，王小敏*，藺 偉

(1.西南交通大學(xué)交通信息工程及控制重點(diǎn)實(shí)驗(yàn)室，成都610031；2.中國鐵道科學(xué)研究院通信信號研究所，北京100081)

0 引 言

列車運(yùn)行控制系統(tǒng)(CTCS)作為保障鐵路和列車安全高效運(yùn)營的核心，包括車載設(shè)備和地面設(shè)備.列控中心(TCC)是CTCS-2級和CTCS-3級列控系統(tǒng)的關(guān)鍵地面設(shè)備，實(shí)現(xiàn)軌道電路編碼及有源應(yīng)答器報(bào)文控制等功能.目前，聯(lián)鎖車站、中繼站和線路所均設(shè)置有TCC，系統(tǒng)設(shè)置數(shù)量多，覆蓋線路廣，系統(tǒng)的可靠運(yùn)行和維修維護(hù)給運(yùn)營階段帶來極大挑戰(zhàn).TCC作為安全苛求系統(tǒng)，系統(tǒng)可靠性和可用性是安全風(fēng)險(xiǎn)評估的重要指標(biāo)[1].因此，TCC系統(tǒng)可靠性及可用性評估對提高維修維護(hù)水平和保障列車安全具有重要意義.

TCC系統(tǒng)在設(shè)計(jì)階段采用冗余結(jié)構(gòu)提高系統(tǒng)的可靠性和可用性.對于冗余系統(tǒng)，動態(tài)失效、共因失效和恢復(fù)機(jī)制是可靠性和可用性評估的重要因素.文獻(xiàn)[2]采用動態(tài)故障樹(DFT)和Markov模型對TCC進(jìn)行可靠性分析，解決動態(tài)失效問題，忽略共因失效和恢復(fù)機(jī)制的影響，且DFT和Markov模型建模存在狀態(tài)空間爆炸問題.文獻(xiàn)[3]采用DFT和靜態(tài)貝葉斯網(wǎng)絡(luò)(BN)分析方法，考慮共因失效，仍忽略恢復(fù)機(jī)制的建模，且不能處理時(shí)序問題.目前，少有研究同時(shí)對TCC系統(tǒng)可靠性和可用性進(jìn)行分析.本文提出一種基于動態(tài)貝葉斯網(wǎng)絡(luò)(DBN)的TCC系統(tǒng)可靠性及可用性評估方法，能有效處理時(shí)序性問題，并能綜合考慮動態(tài)失效、共因失效和恢復(fù)機(jī)制等問題.

本文通過對TCC系統(tǒng)結(jié)構(gòu)分析，構(gòu)建系統(tǒng)DFT模型，結(jié)合DFT轉(zhuǎn)換DBN規(guī)則，得到系統(tǒng)DBN模型，完成DBN結(jié)構(gòu)學(xué)習(xí)和參數(shù)學(xué)習(xí).利用DBN正向推理、反向推理及敏感性分析，實(shí)現(xiàn)對聯(lián)鎖車站TCC和中繼站TCC的可靠性和可用性評估與比較，找到系統(tǒng)薄弱環(huán)節(jié)，為系統(tǒng)的智能維護(hù)管理提供依據(jù).最后，本文討論了恢復(fù)機(jī)制對TCC系統(tǒng)可靠性及可用性的影響.

1 DBN可靠性及可用性建模

1.1 DBN簡介

BN是用于表達(dá)和推理不確定信息的概率模型，由有向無環(huán)圖(V,E)和節(jié)點(diǎn)條件概率P組成[4].有向無環(huán)圖(V,E)實(shí)現(xiàn)BN結(jié)構(gòu)學(xué)習(xí)，節(jié)點(diǎn)條件概率P實(shí)現(xiàn)BN參數(shù)學(xué)習(xí).假設(shè)離散隨機(jī)變量V={X1,X2,…,XN}，得到聯(lián)合概率分布為

式中：Pa(Xi)表示節(jié)點(diǎn)Xi的父節(jié)點(diǎn).

DBN將BN進(jìn)行時(shí)間片段擴(kuò)展，片段間有向邊用于表示不同時(shí)間片段節(jié)點(diǎn)的條件關(guān)聯(lián)，片段間有向邊能解決系統(tǒng)的動態(tài)失效問題.假設(shè)DBN包含有限個時(shí)間片段T且片段間有向邊符合一階Markov過程，可得

式中：Xti表示時(shí)間片段t的第i個節(jié)點(diǎn)；表示的父節(jié)點(diǎn).

通過展開式(2)，可得DBN聯(lián)合概率分布[5]為

1.2 DBN對冗余系統(tǒng)建模

本文根據(jù)DFT轉(zhuǎn)化為DBN的規(guī)則，實(shí)現(xiàn)DBN的結(jié)構(gòu)學(xué)習(xí)[6].雙系熱備轉(zhuǎn)化為DBN的規(guī)則如圖1所示.轉(zhuǎn)換規(guī)則通過添加時(shí)間片段間有向邊，完成主元件K和備元件S從t時(shí)刻到t+1時(shí)刻的擴(kuò)展.考慮熱備門動態(tài)切換過程，t+1時(shí)刻節(jié)點(diǎn)S同時(shí)與t時(shí)刻節(jié)點(diǎn)K和節(jié)點(diǎn)S相關(guān).

圖1 DFT轉(zhuǎn)化DBNFig.1 Mapping DFT into DBN

DBN參數(shù)學(xué)習(xí)主要包括父節(jié)點(diǎn)的先驗(yàn)概率和子節(jié)點(diǎn)的條件概率.假設(shè)節(jié)點(diǎn)包括工作(W)和失效(F)兩種狀態(tài)且服從指數(shù)分布(失效率為λ和維修率為μ)，以節(jié)點(diǎn)K為例，得到t時(shí)刻到t+1時(shí)刻的條件概率為

同理，可得到節(jié)點(diǎn)S從t時(shí)刻到t+1時(shí)刻的條件概率.覆蓋因子c(coverage factor)是衡量系統(tǒng)從失效狀態(tài)恢復(fù)的重要參數(shù)，有效反映出系統(tǒng)恢復(fù)機(jī)制的能力，本文將覆蓋因子c設(shè)置為0.96，得到節(jié)點(diǎn)A的條件概率，如表1所示.

表1 節(jié)點(diǎn)A條件概率表Table 1 The CPT of node A

1.3 考慮共因失效的DBN建模

雙系熱備DBN建模時(shí)，需要考慮共因失效對設(shè)備可靠性和可用性的影響.本文采用β因子模型解決共因失效.主元件K和備元件S具有獨(dú)立失效率為λ(i)和共因失效率λ(c)，得到β因子為

如圖2所示，考慮共因失效，得到雙系熱備的從t時(shí)刻到t+1時(shí)刻的DBN模型，其中，節(jié)點(diǎn)KI(t)和SI(t)表示在t時(shí)刻的獨(dú)立失效概率，節(jié)點(diǎn)CC(t)表示在t時(shí)刻的共因失效概率，通過時(shí)間片段間有向邊，完成從t時(shí)刻到t+1時(shí)刻的擴(kuò)展.

圖2 考慮共因失效的DBN模型Fig.2 DBN modeling with CCF

基于系統(tǒng)結(jié)構(gòu)，完成系統(tǒng)DBN結(jié)構(gòu)學(xué)習(xí)和參數(shù)學(xué)習(xí)，通過DBN正向推理，得到系統(tǒng)可靠性和可用性；通過DBN反向推理，得到各個設(shè)備的后驗(yàn)概率，找到系統(tǒng)薄弱環(huán)節(jié)，為維修維護(hù)提供支持；通過敏感性分析，得到設(shè)備對系統(tǒng)可靠性及可用性的敏感程度.

2 基于DBN的TCC系統(tǒng)可靠性及可用性評估

TCC由安全主機(jī)單元、驅(qū)動采集單元、通信接口單元、冗余電源單元及輔助維護(hù)單元組成，系統(tǒng)接口配置如圖3所示.安全主機(jī)單元采用2乘2取2結(jié)構(gòu)，其他單元均采用雙系熱備.根據(jù)車站類型，TCC可分類為聯(lián)鎖車站TCC(A站)和中繼站TCC(B站).根據(jù)TCC系統(tǒng)技術(shù)規(guī)范，系統(tǒng)RAMS設(shè)計(jì)應(yīng)符合GB/T 21562標(biāo)準(zhǔn)的相關(guān)要求，系統(tǒng)平均故障間隔時(shí)間(MTBF)不小于105h，系統(tǒng)可用度不小于99.99%，安全度等級(SIL)達(dá)到4級[7].

圖3 TCC接口配置Fig.3 The TCC interface configuration

2.1 TCC系統(tǒng)DFT及DBN建模

本文采用GeNIe軟件進(jìn)行建模，該軟件能有效實(shí)現(xiàn)DBN結(jié)構(gòu)學(xué)習(xí)和參數(shù)學(xué)習(xí)，并利用聯(lián)合樹算法進(jìn)行正向推理和反向推理[8].以A站TCC和B站TCC的可靠性和可用性評估為例，通過對TCC系統(tǒng)結(jié)構(gòu)分析，得到A站TCC系統(tǒng)DFT，如圖4所示.B站TCC不包含與CBI和CTC站機(jī)的通信接口，因此，B站TCC系統(tǒng)DFT不包含CBI和CTC站機(jī)通信失效事件.假設(shè)設(shè)備狀態(tài)相互獨(dú)立且故障率服從指數(shù)分布；設(shè)備維修后，狀態(tài)如新.TCC系統(tǒng)故障為DFT頂事件，主系和備系設(shè)備為DFT底事件，通過雙系熱備門和中間事件連接.根據(jù)專家經(jīng)驗(yàn)，得到設(shè)備的獨(dú)立失效率和共因失效率，設(shè)備維修以更換為主，更換平均時(shí)間為0.5 h，即設(shè)備維修率為2，設(shè)備失效率和維修率如表2所示.

圖4 TCC系統(tǒng)DFTFig.4 The DFT of TCC

表2 設(shè)備獨(dú)立失效率，共因失效率和維修率Table 2 The independent，common cause failure rate and repair rate

根據(jù)DFT轉(zhuǎn)化DBN規(guī)則，得到考慮設(shè)備共因失效的A站TCC系統(tǒng)DBN模型，如圖5所示.以DBN模型中設(shè)備VC進(jìn)行說明，在t=0時(shí)刻的節(jié)點(diǎn)AVCI、BVCI及VCC分別表示主系VC獨(dú)立失效概率、備系VC獨(dú)立失效概率及雙系共因失效概率，所有節(jié)點(diǎn)只包括兩種狀態(tài):工作(W)和失效(F).在DBN推理過程中，時(shí)間間隔設(shè)置為1周，初始時(shí)間段(t=0)，各模塊都完全可靠，所有父節(jié)點(diǎn)的先驗(yàn)概率為1.根據(jù)表2及式(4)，實(shí)現(xiàn)DBN各個時(shí)間段的參數(shù)學(xué)習(xí).

2.2 TCC系統(tǒng)可靠性和可用性評估

根據(jù)DBN正向推理，得到考慮共因失效和不考慮共因失效的A站TCC和B站TCC系統(tǒng)可靠度，如圖6所示.隨著運(yùn)行周數(shù)的增加，A站TCC和B站TCC系統(tǒng)可靠度逐漸下降，B站TCC可靠度高于A站TCC可靠度.共因失效導(dǎo)致TCC系統(tǒng)的可靠度下降，當(dāng)系統(tǒng)運(yùn)行到100周時(shí)，A站TCC可靠度從0.709下降到0.643，B站TCC可靠度從0.836下降到0.792.可以看出，共因失效對A站TCC的影響大于B站TCC.

圖5 TCC系統(tǒng)DBN模型Fig.5 The DBN of TCC system

圖6 A站TCC和B站TCC可靠度Fig.6 The reliability of ITCC and RTCC

基于設(shè)備維修率分析，得到考慮共因失效和不考慮共因失效的A站TCC和B站TCC系統(tǒng)可用度，如圖7所示.TCC系統(tǒng)在投入運(yùn)營后，迅速達(dá)到穩(wěn)態(tài)可用度，B站TCC可用度大于A站TCC可用度.共因失效導(dǎo)致TCC系統(tǒng)的可用度下降，A站TCC可用度從0.999 979下降到0.999 960，B站TCC可用度從0.999 988下降到0.999 977.A站TCC和B站TCC系統(tǒng)具有高可用度且大于0.999 9，達(dá)到設(shè)計(jì)標(biāo)準(zhǔn).

圖7 A站TCC和B站TCC可用度Fig.7 The availability of ITCC and RTCC

根據(jù)DBN反向推理，將TCC system節(jié)點(diǎn)的失效概率設(shè)置為1，得到A站TCC和B站TCC各設(shè)備后驗(yàn)概率，對系統(tǒng)薄弱環(huán)節(jié)進(jìn)行分析.系統(tǒng)運(yùn)行100周后，A站TCC和B站TCC各設(shè)備后驗(yàn)概率和先驗(yàn)概率差值比較，如圖8所示.為提高A站TCC系統(tǒng)可靠性和可用性，各設(shè)備重要度關(guān)注的順序?yàn)?PIO＞DY＞CI-TC＞VC＞CI-LEU.為提高B站TCC系統(tǒng)可靠性和可用性，各設(shè)備重要度關(guān)注的順序?yàn)?DY＞VC＞PIO＞CI-TC＞CI-LEU.CI-GS、CI-CBI、CITSRS及CI-ADTCC對TCC系統(tǒng)可靠性和可用性影響較小.

圖8 A站TCC和B站TCC后驗(yàn)概率比較Fig.8 The difference between posterior and prior probability

2.3 DBN敏感性分析

DBN敏感性分析假設(shè)元件輸入?yún)?shù)存在不確定性，本文通過對元件失效率的不確定性設(shè)置10%，得到A站TCC和B站TCC系統(tǒng)對各設(shè)備的敏感程度，分別如圖9和圖10所示.兩種類型車站都對導(dǎo)致設(shè)備共因失效的節(jié)點(diǎn)敏感，因此，在系統(tǒng)運(yùn)行階段，需要重點(diǎn)關(guān)注設(shè)備共因失效.A站TCC對于獨(dú)立失效的敏感設(shè)備主要包括PIO、DY及VC.B站TCC對于獨(dú)立失效的敏感設(shè)備主要包括DY及VC.

圖9 A站TCC設(shè)備敏感性分析Fig.9 The sensitivity analysis of ITCC

2.4 覆蓋因子影響分析

本文討論了覆蓋因子c對可靠性和可用性影響.系統(tǒng)運(yùn)行100周后，得到覆蓋因子c等于0.90、0.92、0.94、0.96、0.98、1.00的A站TCC和B站TCC可靠度與可用度，如圖11和圖12所示.隨著覆蓋因子的增加，TCC系統(tǒng)可靠度和可用度逐漸增加.因此，為了提高TCC系統(tǒng)的可靠度和可用度，系統(tǒng)恢復(fù)機(jī)制需要重點(diǎn)關(guān)注.覆蓋因子對A站TCC和B站TCC可靠性影響幾乎相同.但是，覆蓋因子對A站TCC可用性的影響明顯大于B站TCC.因此，A站TCC系統(tǒng)更加需要關(guān)注恢復(fù)機(jī)制.

圖10 B站TCC設(shè)備敏感性分析Fig.10 The sensitivity analysis of RTCC

圖11 覆蓋因子對可靠性影響Fig.11 The effects of coverage factor on reliability

圖12 覆蓋因子對可用性影響Fig.12 The effects of coverage factor on availability

2.5 DBN模型驗(yàn)證

DBN模型可用性驗(yàn)證需要滿足文獻(xiàn)[9]提出的3個公理.以聯(lián)鎖車站TCC的DBN模型為例，將節(jié)點(diǎn)AVCI的初始失效概率從0設(shè)置為0.5，系統(tǒng)運(yùn)行100周后，可靠度從0.643降低到0.584.繼續(xù)將節(jié)點(diǎn)BVCI的初始失效概率從0設(shè)置為0.5，可靠度降低到0.423.然后，再將APIOI和BPIOI的初始失效概率都設(shè)置為0.5，系統(tǒng)可靠度降低到0.263.可見，本文的DBN模型滿足文獻(xiàn)[9]的3個公理，DBN模型可用性得到驗(yàn)證.

3 結(jié)論

TCC作為列車運(yùn)行控制系統(tǒng)地面關(guān)鍵系統(tǒng)，其可靠性及可用性評估對提高維修維護(hù)水平和保障列車安全具有重要意義.本文提出一種基于DBN的TCC系統(tǒng)可靠性及可用性評估方法，有效解決聯(lián)鎖車站TCC和中繼站TCC系統(tǒng)共因失效、動態(tài)失效及恢復(fù)機(jī)制等問題.在分析TCC系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上，構(gòu)建TCC系統(tǒng)DFT，并根據(jù)DFT轉(zhuǎn)化DBN規(guī)則，實(shí)現(xiàn)DBN結(jié)構(gòu)學(xué)習(xí)和參數(shù)學(xué)習(xí).基于DBN正向推理、反向推理和敏感性分析，本文分析和討論結(jié)果主要如下.

(1)根據(jù)DBN正向推理，中繼站TCC可靠度高于聯(lián)鎖車站TCC可靠度；TCC系統(tǒng)在投入運(yùn)營后，迅速達(dá)到穩(wěn)態(tài)可用度，中繼站TCC和聯(lián)鎖車站TCC具有高可用度，達(dá)到設(shè)計(jì)標(biāo)準(zhǔn).

(2)根據(jù)DBN反向推理，聯(lián)鎖車站TCC各設(shè)備重要度關(guān)注的順序?yàn)椋篜IO＞DY＞CI-TC＞VC＞CILEU.中繼站TCC各設(shè)備重要度關(guān)注的順序?yàn)椋篋Y＞VC＞PIO＞CI-TC＞CI-LEU.CI-GS、CI-CBI、CITSRS及CI-ADTCC對TCC系統(tǒng)可靠性和可用性影響較小.

(3)根據(jù)敏感性分析，聯(lián)鎖車站TCC和中繼站TCC都對導(dǎo)致設(shè)備共因失效的節(jié)點(diǎn)敏感.在系統(tǒng)運(yùn)行階段，需要重點(diǎn)關(guān)注導(dǎo)致設(shè)備共因失效的因素.

(4)在系統(tǒng)運(yùn)行階段，設(shè)備恢復(fù)機(jī)制對系統(tǒng)可靠性和可用性影響較大，需要重點(diǎn)關(guān)注.

[1]付淳川,王小敏,張文芳,等.基于組件安全屬性的列控中心信息安全風(fēng)險(xiǎn)評估方法[J].鐵道學(xué)報(bào),2017,39(8)：77-84.[FU C H,WANG X M,ZHANG W F,et al.A component security attribute model driven information security risk assessment approach for train control center[J].Journal of the China Railway Society,2017,39(8)：77-84.]

[2]劉茂婷.基于動態(tài)故障樹的列控中心可靠性研究[D].成都：西南交通大學(xué),2015.[LIU M T.Reliability research of train control center based on dynamic fault tree[D].Chengdu：Southwest Jiaotong University,2015.]

[3]吳鍵.基于動態(tài)故障樹的列控中心可靠性與安全性分析[D].蘭州：蘭州交通大學(xué),2016.[WU J.Analysis of reliability and safety for train control center based on dynamic faulttree[D].Lanzhou：Lanzhou Jiaotong University,2016.]

[4]LANGSETHA H,PORTINALE L.Bayesian networks in reliability[J].Reliability Engineering and System Safety,2007(92)：92-108.

[5]MURPHY K P. Dynamic bayesian networks：representation,inference and learning[D].California：University of California,Berkeley,2002.

[6]MONTANI S,PORTINALE L,BOBBIO A,et al.RADYBAN：A tool for reliability analysis of dynamic fault trees through conversion into dynamic Bayesian networks[J].Reliability Engineering and System Safety,2008(93)：922-932.

[7]中華人民共和國鐵道部科學(xué)技術(shù)司.列控中心技術(shù)規(guī)范[S].鐵道部科學(xué)技術(shù)司,2010.[The technical specification of train control center.Department of science and technology of the Ministry of Railways[S].The Technical Specification of Train Control Center,2010.]

[8]University of Pittsburgh.GeNIe and SMILE-Home[R/OL].https：//www.bayesfusion.com/.

[9]JONES B,JENKINSON I,YANG Z,et al.The use of Bayesian network modelling for maintenance planning in a manufacturing industry[J].Reliability Engineering and System Safety,2010,95(3)：267-277.