高 鶯，王巨漢，張 琦，唐 濤，曹 源

(1.中國鐵道科學(xué)研究院 研究生部，北京 100081；2.中國鐵道科學(xué)研究院集團(tuán)有限公司 國家鐵路智能運輸系統(tǒng)工程技術(shù)研究中心，北京 100081；3.北京交通大學(xué) 電子信息工程學(xué)院，北京 100044；4.中國鐵道科學(xué)研究院集團(tuán)有限公司 通信信號研究所，北京 100081；5.北京交通大學(xué) 軌道交通運行控制系統(tǒng)國家工程研究中心，北京 100044)

列車運行控制系統(tǒng)作為保障鐵路運營安全的高安全苛求系統(tǒng)，其安全計算機(jī)在組成上多采用冗余配置。共同原因失效(Common Cause Failure, CCF)是冗余結(jié)構(gòu)系統(tǒng)不可回避的問題，由于共同原因故障導(dǎo)致元器件發(fā)生關(guān)聯(lián)失效，既降低了系統(tǒng)的可靠性，又為系統(tǒng)失效(特別是系統(tǒng)危險側(cè)失效)埋下隱患，已成為威脅鐵路運行安全的重要因素。因此，列車運行控制系統(tǒng)在系統(tǒng)設(shè)計時，應(yīng)充分考慮安全計算機(jī)共同原因失效的可能性，在系統(tǒng)平均危險側(cè)失效概率(PPFH)計算中也應(yīng)關(guān)注共因失效分?jǐn)?shù)的計算。

現(xiàn)有研究中計算共因失效分?jǐn)?shù)的應(yīng)用不少，但計算方法較統(tǒng)一，多使用Beta(以下簡稱“β”)參數(shù)模型，然而β參數(shù)模型對共同原因失效的原因劃分單一，不適用于高階共因失效分?jǐn)?shù)計算。文獻(xiàn)[1]研究了外部因素導(dǎo)致的概率性共同原因失效及其可靠性計算，但計算內(nèi)容未涉及危險側(cè)失效概率。文獻(xiàn)[2]對β參數(shù)模型做了改進(jìn)，應(yīng)用于石油工業(yè)的共因失效分?jǐn)?shù)計算，但文章中沒有分析改進(jìn)的模型較原模型在共因失效分?jǐn)?shù)計算中有何提升。文獻(xiàn)[3]使用Alpha(以下簡稱“α”)參數(shù)模型計算輔助給水系統(tǒng)的共因失效分?jǐn)?shù)，但文章沒有給出α參數(shù)模型與其他參數(shù)模型的對比。文獻(xiàn)[4—6]介紹了用于共因失效分?jǐn)?shù)計算的多希臘字母模型，該模型實質(zhì)上是現(xiàn)有β參數(shù)模型的細(xì)化，在高階共因失效分?jǐn)?shù)計算時仍存在推廣困難。國內(nèi)相關(guān)文獻(xiàn)[7—9]介紹了包括α參數(shù)模型在內(nèi)的多種計算模型，但文獻(xiàn)僅限于介紹模型原理，沒有實際應(yīng)用案例分析。

本文在已有文獻(xiàn)研究的基礎(chǔ)上，通過標(biāo)準(zhǔn)IEC61508中推薦的β參數(shù)模型，計算獲得計算機(jī)聯(lián)鎖系統(tǒng)的共因失效分?jǐn)?shù)，分析該模型在計算高階共因失效分?jǐn)?shù)上存在的不足；然后提出基于歷史故障數(shù)據(jù)的α參數(shù)模型的共因失效分?jǐn)?shù)計算方法，并建立2種參數(shù)模型的等價關(guān)系。分別對2乘2取2冗余結(jié)構(gòu)和3取2冗余結(jié)構(gòu)，采用2種參數(shù)模型計算PPFH，驗證α參數(shù)模型可以獲得更加精確的共因失效分?jǐn)?shù)和PPFH。

1 安全計算機(jī)PPFH計算過程

計算機(jī)聯(lián)鎖系統(tǒng)是列車運行控制系統(tǒng)的重要組成部分，圖1為該系統(tǒng)安全計算機(jī)的2種典型冗余結(jié)構(gòu)，分別是2乘2取2結(jié)構(gòu)和3取2結(jié)構(gòu)。計算機(jī)聯(lián)鎖設(shè)備中驅(qū)采計算機(jī)的采集部分、聯(lián)鎖計算機(jī)的邏輯部分和驅(qū)采計算機(jī)的驅(qū)動部分共同承擔(dān)安全功能，3個子系統(tǒng)本身也均為冗余結(jié)構(gòu)。

IEC61508-6附錄中提供了不同冗余結(jié)構(gòu)的PPFH計算方法[10]。在列車運行控制系統(tǒng)中，冗余結(jié)構(gòu)較為常見的表決組結(jié)構(gòu)包括1oo2，2oo2和2oo3。3種表決組各自的PPFH計算公式為

(1-β)λDUtCE+βλDU

(1)

(2)

(1-β)λDUtCE+βλDU

(3)

其中，

λDU=λD(1-FDC)

λDD=λDFDC

式中：β和βD分別為無法診斷和可診斷測試識別的共因失效分?jǐn)?shù)；λDU和λDD分別為未診斷和可診斷測試識別的危險側(cè)失效概率；λD單通道危險側(cè)失效概率；T1為檢驗測試時間間隔；TMTTR為平均恢復(fù)時間；FDC為診斷覆蓋率。

IEC61508中，將安全計算機(jī)劃分為輸入、邏輯計算和輸出3個子系統(tǒng)，安全計算機(jī)的PPFH等于各子系統(tǒng)PPFH之和，即

(4)

PPFH計算中，首先求得每個2oo2結(jié)構(gòu)的危險側(cè)失效概率，然后以該失效概率作為1oo2或2oo3結(jié)構(gòu)每個通道的危險側(cè)失效概率，計算2乘2取2結(jié)構(gòu)或3取2結(jié)構(gòu)的PPFH。

圖1 系統(tǒng)安全計算機(jī)的2種典型冗余結(jié)構(gòu)框圖

由式(1)—式(3)可知，計算PPFH的公式中重要參數(shù)包括β，βD，λDU，λDD，λD，T1，TMTTR和FDC，其中共因失效分?jǐn)?shù)β和βD僅能通過計算得出，其他參數(shù)可通過現(xiàn)場試驗數(shù)據(jù)或用戶要求獲得，因此，本文著重研究共因失效分?jǐn)?shù)β和βD的計算方法以及其對PPFH計算結(jié)果影響的分析。

2 采用β參數(shù)模型計算共因失效分?jǐn)?shù)

β參數(shù)模型由Fleming提出，該模型使用單一參數(shù)β定義部件由共同原因?qū)е碌氖д伎偸У谋壤?。β參?shù)模型是當(dāng)前鐵路領(lǐng)域計算PPFH最常用到的共因失效分?jǐn)?shù)計算模型，該模型通過判斷系統(tǒng)是否采取防御共同原因失效的措施來確定共因失效分?jǐn)?shù)。IEC61508-6附錄D中提供了防御共同原因失效的措施列表(包括分離隔離、多樣性與冗余、復(fù)雜性設(shè)計應(yīng)用等8個大類[10])，并定義了每項措施的貢獻(xiàn)度分值X和Y。

以計算機(jī)聯(lián)鎖系統(tǒng)為分析對象，根據(jù)其邏輯計算和輸入/輸出3個子系統(tǒng)的設(shè)計要求，對照IEC61508-6中TableD.1的檢查項進(jìn)行逐項打分，將分值相加得到每個子系統(tǒng)的X和Y值，進(jìn)而根據(jù)IEC61508-6中TableD.2～3的Z值評判表確定Z值。所得的X，Y，Z值見表1。

表1 各子系統(tǒng)X，Y，Z值

參數(shù)S和SD的計算公式為

S=X+Y

(5)

SD=X(Z+1)+Y

(6)

將表1中的數(shù)據(jù)代入式(5)和式(6)，計算得到邏輯計算子系統(tǒng)的S=82，SD=139，輸入/輸出子系統(tǒng)的S=73，SD=118.75。

IEC61508-6中給出的S與β(SD與βD)的對應(yīng)關(guān)系見表2。查表2可得：邏輯計算子系統(tǒng)β=1%，βD=0.5%；輸入/輸出子系統(tǒng)β=2%，βD=2%。

表2 β(βD)的取值

3 采用α參數(shù)模型計算共因失效分?jǐn)?shù)

由上述計算過程可知，β參數(shù)模型把隨機(jī)失效單純分為2類，即獨立失效(有且只有1個通道發(fā)生失效)，共同原因失效(所有通道失效，且失效原因相同)。對于3階冗余結(jié)構(gòu)的系統(tǒng)(如3取2結(jié)構(gòu))，β參數(shù)模型認(rèn)為2通道失效的概率為零，系統(tǒng)只存在單通道失效以及3通道同時失效2種情況。因此在計算3重及3重冗余以上的共因失效分?jǐn)?shù)時，β參數(shù)模型的計算結(jié)果存在偏差。同時，該模型采用查表分析法，計算結(jié)果對應(yīng)取值的區(qū)間大且分類簡單(詳見表2)，也不利于獲得精確的共因失效分?jǐn)?shù)。

列車運行控制系統(tǒng)的冗余結(jié)構(gòu)通常為2通道和3通道，為了計算更加精確的PPFH，本文引入在核電領(lǐng)域使用的α參數(shù)模型。首先通過模型的構(gòu)建原理證明其更適合于3階及以上冗余結(jié)構(gòu)的共因失效分?jǐn)?shù)計算，進(jìn)而針對鐵路領(lǐng)域安全計算機(jī)缺乏共同原因失效歷史統(tǒng)計數(shù)據(jù)的問題，結(jié)合美國核管理委員會(United States Nuclear Regulatory Commission, U.S.NRC)的先驗參數(shù)，獲得列車運行控制系統(tǒng)安全計算機(jī)不同冗余結(jié)構(gòu)下的共因失效分?jǐn)?shù)。

(7)

其中，

P(A)=P(CA)+P(CAB)+P(CAC)+P(CABC)

(8)

其中，

對于3取2結(jié)構(gòu)的安全計算機(jī)，如果系統(tǒng)中2個或2個以上通道失效時系統(tǒng)不再安全，那么，在計算該系統(tǒng)由共因失效導(dǎo)致的危險側(cè)失效概率時，PPFH應(yīng)包含2通道共同原因失效和3通道共同原因失效2類，即

(9)

(10)

同理，可得2乘2取2結(jié)構(gòu)的俺全計算機(jī)，式(1)中β與α因子的關(guān)系為

β=α2

(11)

在應(yīng)用α參數(shù)模型計算PPFH時，需確定變量αk，k=1,2,…,m。由于目前我國列車運行控制系統(tǒng)缺少針對安全計算機(jī)中共同原因失效數(shù)據(jù)的統(tǒng)計，在確定α參數(shù)模型的變量αk時，本文參考了美國核管理委員會在核能發(fā)電領(lǐng)域發(fā)布的年度共同原因失效統(tǒng)計結(jié)果，并將其作為變量αk計算的先驗數(shù)據(jù)進(jìn)行修正[12-13]。

首先αk的先驗數(shù)據(jù)服從β分布，即

(12)

(13)

式中：ak指系統(tǒng)發(fā)生k個通道共同原因失效的次數(shù)；bk指除了發(fā)生k個通道共同原因失效外，其他類型失效發(fā)生的次數(shù)。

(k=1,2,…,m)

(14)

將表3、表4中αk值分別代入式(10)、式(11)，計算得到3取2結(jié)構(gòu)和2乘2取2結(jié)構(gòu)安全計算機(jī)的共因失效分?jǐn)?shù)β，結(jié)合IEC61508-6中定義的β=2βD，進(jìn)而通過式(1)—式(3)計算獲得采用α參數(shù)模型的PPFH。

表3 2乘2取2冗余結(jié)構(gòu)αk值

表4 3取2冗余結(jié)構(gòu)αk值

4 計算結(jié)果及對比分析

根據(jù)既有計算機(jī)聯(lián)鎖系統(tǒng)的可靠性數(shù)據(jù)，取輸入子系統(tǒng)的λD=1.00×10-7次·h-1，F(xiàn)DC=90%；邏輯計算子系統(tǒng)的λD=3.80×10-7次·h-1，F(xiàn)DC=99%；輸出子系統(tǒng)的λD=5.00×10-7次·h-1，F(xiàn)DC=90%；3個子系統(tǒng)的T1=8 760 h；TMTTR=1 h。

4.1 2乘2取2結(jié)構(gòu)安全計算機(jī)的危險側(cè)失效概率計算

針對2乘2取2結(jié)構(gòu)，分別采用β參數(shù)模型和α參數(shù)模型，計算得到共因失效分?jǐn)?shù)β和βD，然后代入式(1)和式(4)，可分別計算得到由獨立失效(獨立故障原因)或由共因失效(共因故障原因)導(dǎo)致的危險側(cè)失效概率，計算結(jié)果見表5和表6。

表5 使用β參數(shù)模型的計算結(jié)果(2乘2取2結(jié)構(gòu))

表6 使用α參數(shù)模型的計算結(jié)果(2乘2取2結(jié)構(gòu))

圖2顯示了2乘2取2結(jié)構(gòu)下，分別采用β參數(shù)模型和α參數(shù)模型時3個子系統(tǒng)的PPFH計算結(jié)果，可以明顯看出，兩者差別較大。圖3顯示了2種參數(shù)模型下共因失效導(dǎo)致的危險側(cè)失效概率。將圖3與圖2對比可知：共因失效導(dǎo)致的危險側(cè)失效概率約等于PPFH的計算結(jié)果，說明共因失效分?jǐn)?shù)是決定PPFH計算結(jié)果的重要參數(shù)。

圖2 2種參數(shù)模型計算PPFH對比

圖3 共因故障導(dǎo)致的危險側(cè)失效概率對比

4.2 3取2結(jié)構(gòu)安全計算機(jī)的危險側(cè)失效概率計算

針對3取2結(jié)構(gòu)，分別采用β參數(shù)模型和α參數(shù)模型，計算得到共因失效分?jǐn)?shù)β和βD，然后代入式(3)和式(4)，可分別計算得到由獨立失效(獨立故障原因)或由共因失效(共因故障原因)導(dǎo)致的危險側(cè)失效概率，計算結(jié)果見表7和表8。

由表5—表8可知：基于當(dāng)前歷史數(shù)據(jù)的α參數(shù)模型較β參數(shù)模型得到的PPFH更小，其原因在于當(dāng)前用于計算共因失效分?jǐn)?shù)的故障數(shù)據(jù)有限，當(dāng)隨著設(shè)備或相似設(shè)備的共同原因失效數(shù)據(jù)累積，對應(yīng)的αk被不斷修正，該模型計算的PPFH與實際情況較接近。

表7 使用β參數(shù)模型的計算結(jié)果(3取2結(jié)構(gòu))

表8 使用α參數(shù)模型的計算結(jié)果(3取2結(jié)構(gòu))

4.3 采用2種參數(shù)模型時2種冗余結(jié)構(gòu)危險側(cè)失效概率的對比

結(jié)合4.1節(jié)和4.2節(jié)的計算結(jié)果，針對不同冗余結(jié)構(gòu)，采用2種參數(shù)模型分別計算由獨立失效(獨立故障原因)或由共因失效(共因故障原因)導(dǎo)致的危險側(cè)失效概率，如圖4和圖5所示。

圖4 采用β參數(shù)模型時不同冗余結(jié)構(gòu)PPFH組成

對比圖4和圖5可知：基于2乘2取2結(jié)構(gòu)和3取2結(jié)構(gòu)計算得到的PPFH中，共同原因失效對其貢獻(xiàn)度大于獨立失效，且α參數(shù)模型計算得3取2結(jié)構(gòu)的共同原因危險側(cè)失效概率高于2乘2取2結(jié)構(gòu)，與實際情況相符；α參數(shù)模型能夠區(qū)分不同冗余結(jié)構(gòu)下獨立失效和共同原因失效導(dǎo)致的危險側(cè)失效概率，但β參數(shù)模型中無法區(qū)分共同原因失效導(dǎo)致的危險側(cè)失效概率，這也是該模型不適用于高階共因失效分?jǐn)?shù)計算的原因之一。

圖5 采用α參數(shù)模型時不同冗余結(jié)構(gòu)PPFH組成

5 結(jié) 語

以計算機(jī)聯(lián)鎖設(shè)備為安全計算機(jī)研究對象，分析了經(jīng)典β參數(shù)模型計算共因失效分?jǐn)?shù)的不足，提出引用核能領(lǐng)域的α參數(shù)模型計算共因失效分?jǐn)?shù)，同時采用先驗分布解決了列控系統(tǒng)安全計算機(jī)缺乏共同原因失效統(tǒng)計數(shù)據(jù)的問題。對計算機(jī)聯(lián)鎖系統(tǒng)安全計算機(jī)的2種常見冗余結(jié)構(gòu)，分別采用這2種參數(shù)模型計算其共因失效分?jǐn)?shù)，從而計算PPFH和共同原因失效導(dǎo)致的危險側(cè)失效概率。結(jié)果表明：共因失效導(dǎo)致的危險側(cè)失效概率是PPFH的主要組成部分，α參數(shù)模型能夠量化計算3重及以上冗余結(jié)構(gòu)的共因失效分?jǐn)?shù)，并獲得更符合實際輸出的PPFH計算結(jié)果。同時，當(dāng)共因失效數(shù)據(jù)不斷完善時，α參數(shù)模型可以通過修正后驗參數(shù)獲得更準(zhǔn)確的共因失效分?jǐn)?shù)，為驗證安全計算機(jī)安全完整性等級提供有利幫助。