双机热备计算机连锁系统安全可靠性分析

1、兰州交通大学毕业设计（论文）摘 要铁路是大容量和大众化的交通运输工具，铁路追求的重要目标必然是安全运输；计 算机联锁设备是保证铁路运输安全的关键信号设备，因而必须具有非常高的安全可靠 性。如何在定性地分析和定量地计算的基础上来判断双机热备计算机联锁系统是否能满 足信号系统规定的功能和安全的需求，已经成为铁路运输系统的一个重要的研究课题。本论文立足于课题任务的研究，从双机热备计算机联锁系统在铁路实际应用中的基 本组成和基本功能入手，根据影响计算机联锁系统安全可靠性的一些关键因素，利用故 障树分析法建立联锁设备的故障安全模型，进行安全可靠度分析。再通过建立马儿可夫 模型，进一步得出安全度和可靠度表

2、达式，并更加详细的对其进行定性和定量分析。最 后通过matlab仿真得出安全可靠性的曲线。通过与单机系统的安全可靠度相比较， 得 出双机热备计算机联锁系统的可靠度要大于单机系统，安全度小于单机系统。结果表明 提高故障检测率是提高双机热备系统可靠性与安全性的重要技术措施。因此在选择故障检测覆盖率的具体数值时要综合考虑系统的性能要求，以便得到合理的数值。关键词：双机热备计算机联锁系统；故障树分析；马尔可夫模型；故障检测覆盖率；安 全可靠性兰州交通大学毕业设计（论文）abstractrailway is a mass traffic facility of bulky and popular. th

3、e important target of railway wish is traffic safety certainly. computer based interlocking equipment is key signaling facility for garanteering railway traffic safety. so it's needed to be with very high safety-reliability. how to judge it whether meet certain function and safety requirements b

4、ase on qualitative analysis and quantitative calculate, haven on research about work tasks become an important research task for the railway system .this paper is based on research about works task, according with the essential composing and working of dual computers based interlocking application o

5、n railway, according some key factors effect on computers based interlocking safety-reliability, establishes corresponding failure-safe model of computers based interlocking to analyze safety-reliability by methods of fault-tree . establishing markov model again analyses safety-reliability further w

6、ith expression of safety-reliability, and the more detailed the qualitative and quantitative analysis. finally, through matlab simulation getting the safety reliability curve. through the comparison with safety-reliability of computer-based interlocking system with single computer, reaching the reli

7、ability of computer-based interlocking system with dual computers is greater than stand-alone system, but safety is smaller than stand-alone system. the results show that increasing failure checking cover ratio are the important technical measures to improve the reliability and security of dual comp

8、uters system. it is so important to comprehensively think the requisition of system performance that would get reasonable valuewhen selecting a specific value of failure checking cover ratiokey words： dual computers system based interlockinggmethod of fault-tree, markov model, failure checking cover

9、 ratiq safety-reliability#兰州交通大学毕业设计（论文）目 录摘 要labstractii目录iii1绪论11.1 课题背景与意义11.2 课题研究现状11.3 课题的研究内容与目标32计算机联锁系统42.1 计算机联锁系统的基本概念42.1.1 可靠性指标 42.1.2 安全性指标 42.1.3 计算机联锁系统的构成特点52.2 计算机联锁系统的冗余结构52.2.1 计算机联锁系统的可靠性冗余结构 52.2.2 计算机联锁系统的安全性冗余结构 62.3 计算机联锁系统的硬件结构 72.3.1 系统的硬件构成 72.3.2 系统的硬件层次结构73双机热备计算机联锁系统9

10、3.1 双机热备计算机联锁系统的结构组成 93.2 双机热备计算机联锁系统的工作形式 104利用动态故障树分析双机热备联锁系统安全可靠性 114.1 故障树分析114.1.1 故障树定义114.1.2 故障树的符号及意义 114.1.3 故障树的分析方法和步骤 124.2 动态故障树分析 134.2.1 利用动态故障树分析法建立联锁设备的故障安全模型 13iii兰州交通大学毕业设计（论文）4.2.2 故障安全状态的故障树模型分析 155建立马尔可夫故障安全模型185.1 基本概念185.2 双机热备计算机联锁系统的马尔可夫模型 185.3 双机热备系统的可靠度和安全度表达式 205.4 故障覆

11、盖检测率对安全可靠性的影响 216仿真分析23结论27致 谢28参考文献29#兰州交通大学毕业设计（论文）1绪论1.1 课题背景与意义随着电子信息技术和网络技术的发展，计算机联锁控制系统正在逐步取代电气集中 联锁控制系统成为铁路车站信号控制的首选方式。 大力发展计算机联锁系统的直接原因 是期望以通用的集成电路取代传统的继电器电路，减少对继电器的维护工作。经研究和实践表明，用计算机构成的联锁系统，具安全程度和可靠程度都比继电器 联锁系统优越，尤其在功能方面，除了能完成既有继电器联锁的功能外，还可利用计算 机的强有力的处理能力和快速运算的特点，进一步充实和开发新功能；在经济方面，包 括设备费、占地

12、费、设计和安装施工费也比继电器联锁系统经济。因此国内外普遍认为 计算机联锁系统是车站联锁系统的发展方向。我国当前的计算机联锁系统虽然已处于可用阶段，但是在可靠性和功能方面都有待提高。就可靠性而论，理论上可使计算机联锁系统的可靠性高于继电联锁系统，但还有 待于在实际种考验。应当看出，继电联锁系统是一种风险分散系统，它的电路和继电器 发生故障时，只是影响系统的局部功能，而计算机联锁系统相对来说是风险集中的系统， 其关键部位发生故障时则影响面较大，甚至可使整个系统瘫痪。因此在保持系统具备充 分的安全功能的前提下，努力提高系统的可靠性是非常重要的。目前在我国，基于双机热备动态冗余技术的计算机联锁控制技

13、术已基本成熟。铁路信号控制系统直接涉及生命财产安全，故障联锁系统必然故属于故障安全系统。 由于电子技术和计算机容错技术的发展 ，原来只用于铁路信号控制系统的故障安全技术 的应用范围不断扩大，故障安全技术已成为保障人身安全和减小财产损失的重要系统设 计原则。故障安全技术和用它构成的故障安全系统已成为当今电子技术领域的一个重要 研究课题。目前在我国，基于双机热备动态冗余技术的计算机联锁控制技术已基本成熟， 且地铁联锁系统多采用双机热备系统，因此研究双机热备计算机联锁系统的安全可靠性 已显得非常重要。1.2 课题研究现状自20世纪70年代以来，国内外已有不少机构和人员开始致力于将计算机技术应用于 铁

14、路信号系统，在我国针对计算机联锁系统的研制和使用已有二十几年的历史了，凭借 中国铁路信号技术人员的严谨和踏实的努力，实现了一个良好的开端，目前正处于深入研究，大力推广使用阶段，并可期望在不久的将来实现跨越。近数十年来，计算机控制 的信号设备和系统在国外的实际工程建设中已取得了较为广泛的应用；与此同时国内的相关企业也在积极开发，已有越来越多的该类设备逐步投入使用。由计算机取代传统的 继电器实现信号设备安全控制和进行行、调车作业的指挥，已成为铁路信号控制和防护 系统发展的主流。特别是近年来，我国铁路以提速、重载为目标进行技术改造的环境下， 用于车站安全控制和防护、并由计算机控制的信号设备即车站信号

15、计算机联锁设备的信 号设备得到广泛应用。计算机联锁控制系统的基本任务是保证行车安全，提高运行效率，其可靠性、安全 性和可用性是评价一套联锁系统性能优劣的重要指标。研究系统的安全度和可靠度等性 能指标是一项非常重要的工作。前人已做了许多工作，并取得了一定的成果。其中提出 地建立markov模型是最适合研究可靠性的方法之一。markov模型可以综合反映多种失 效模式对系统性能指标的影响，对markov模型进行定性和定量分析，可以提供对系统的 可靠性和安全性设计方案的比较和评价。许多文献深入研究了系统的安全性，引入了表 示单元失效导致系统处于安全状态所占的比例的安全失效比例因子以及表示系统中任 意故

16、障被检测出来的概率的故障覆盖。 另外一些文献利用 烟子把冗余系统的失效划分。 可分为独立失效和共因失效。这些系数的引入，为更深入地分析系统的状态，进一步研究 计算机联锁控制系统的可靠性、安全性指标提供了重要的理论依据。双机热备系统的研究现在越来越受关注， 前人对此的研究很多例如：计算机联锁系统 系统安全可靠性性设计分析研5,主要针对计算机联锁系统的硬件的结构、功能和软件的结 构、功能以及在工程设计中的方法进行研究；基于动态故障计算机联锁系统可靠性和性 能研究6,主要是通过建立二乘二取二系统的动态故障树模型，对其进行安全可靠性分 析，并与双机热备计算机联锁系统进行比较，得出二乘二取二系统的安全可

17、靠性比双机 热备系统要好；双机热备计算机联锁系统安全可靠性指标分析9,主要针对双机热备计算机联锁系统安全和可靠性指标得出系统的故障安全模型，从而得到系统的安全可靠度表达式，并对其进行定性和定量分析。经过总结大量的工程实践，通常联锁系统出现的故障可分为系统级故障（包括联锁 计算机故障、电源故障等） 、板级故障、通道级故障、元件级故障，现场出现的故障 90%以上为板级、通道级或元件级故障。由于双机热备计算机联锁控制系统采用动态驱 动保障安全机制，使得三种故障产生时，系统不会发生危险侧输出。在实际应用过程中， 如果备机出现故障则会马上停机维护，若此时主机也出现故障，由于主机出现系统级故 障的概率非常

18、小，通常以元件级或通道级故障为主，那么，故障主要影响某一路的输出。 根据铁路作业的要求，现场作业不能停止，而此时主机仍可以坚持工作来保证安全作业的连续，因此双机热备系统大大提高了系统的可靠性。1.3 课题的研究内容与目标计算机联锁系统即要求具有比较好的可靠性，又要求具有比较好的安全性。因此本 课题是在了解双机热备计算机联锁系统安全可靠性的一些影响因素之后，如平均故障问隔时间、失效率、故障检测覆盖率等，利用可靠性分析理论，采用故障树分析法建立联 锁设备的故障安全模型，对其进行可靠性分析，同时建立马尔可夫模型，即双机热备系 统的各个工作状态之间的转化关系，由此列出一系列的关系式，通过计算得出安全可

19、靠 度的表达式，通过计算得出的安全度和可靠度表达式，进一步定量的分析双机热备计算 机联锁系统的安全可靠性，结果可知，故障检测覆盖率对系统的安全可靠性都有影响， 也就是，提高系统的故障检测覆盖率，可以提高系统的安全靠度，最后再通过仿真得到 安全可靠性曲线，通过比较曲线可以直观、明了，清楚的看到故障检测覆盖率对安全可 靠性的影响。同时为了更加深刻的说明双机热备系统的性能，将双机热备系统与单机系 统的安全度进行比较研究，得出双机热备系统的安全度要低于单机系统，可靠度高于单 机系统。通过本课题的研究，在以后的工程设计或理论计算中可以根据不同的作业情况对双 机热备计算机联锁系统的安全可靠性的具体要求做出

20、更加合理的参数，以至于高效的完成任务。3兰州交通大学毕业设计(论文)2计算机联锁系统2.1 计算机联锁系统的基本概念计算机联锁系统的安全可靠性是研究、开发、生产计算机联锁设备必须遵循的永恒 的主题，也是验证计算机联锁系统性能的主要依据。计算机联锁系统是一种连续工作的 实时系统，也是一种故障安全系统，要求具有很高的安全和可靠性。2.1.1 可靠性指标计算机联锁系统可靠性的定义是：该系统在规定的时间内，在规定的条件下，完成 规定功能的能力；度量可靠性的定量标准时可靠度，计算机联锁系统的可靠度用自身的 平均无故障间隔时间 mtbf (mean time between failures)来表征。平均

21、故障间隔时间mtbf是指系统连续发生两次故障之间的平均间隔时间。可靠度r(t)的定义是：从功能相同的产品测试过程中，在测试的特定时刻样品的幸 存数于样品总数的比为可靠度。可靠度与平均故障间隔时间之间的关系：tmtbf =r(t)dt失效率九的定义是：一种器件或系统的失效率是指单位时间内一个该类器件或系统 发生失效的预期次数，其单位可取为失效/ h,失效可用来比较系统或元件的可靠性， 失效率越低的系统或元件具可靠性程度越高。2.1.2 安全性指标计算机联锁系统安全性的定义是：当系统的任何部分发生故障时，其后果不会导致 人身伤亡或者财产的重大损失的性能。度量系统安全性的技术指标是系统产生不安全性

22、输出的平均间隔时间即平均危险侧故障间隔时间mtbfas(mean time between failuresof alarm side)。假设故障安全联锁系统处于各种状态的概率分别为：p0(t)是系统处于正常状态的概率：p1(t)是系统处于故障安全状态的概率；p2(t)是系统处于非故障安全状态的概率。系统安全度s(t):系统在规定是时间内，按规定的条件不发生危险侧输出的概率。则安全度的计算公式为s(t) = p0(t) =1 - p1t p2 t系统的不安全度u(t)是指系统在规定的时间内，按规定的条件产生危险侧输出的概 率，则系统不安全度的计算公式为 u(t) =1-s(t)故障检测覆盖率的

23、定义是：是指系统执行检测、故障定位、故障包容及故障恢复的能力。其中故障恢复是指故障发生后系统维持或重新回到正常工作状态的过程。2.1.3 计算机联锁系统的构成特点计算机联锁系统的人机会话层的接口设备既可以采用传统的专用控制台，也可以采用通用的计算机人机接口设备，如：鼠标器、图形输入板(俗称数字化仪板)、键盘以 及显示器等，而这类设备由于是通用产品，产量很大，价格便宜，便于与计算机结合， 而且使用灵活，所以又取代专用控制台的趋势。计算机联锁系统的联锁机构是由计算机构成的。在我国多采用工业控制的微型计算机(简称工控机)构成联锁机构，以后称它为联锁机。用计算机取代继电器电路构成的 联锁机构原因如下：

24、(1)计算机的逻辑运算功能与继电逻辑电路具有共同的理论基础；(2)由于可靠性技术和容错技术和安全技术的进步，使得用计算机实现联锁控制 成为可能；(3)工业控制级计算机商品化，为保证系统可靠性和降低造价提供了条件；(4)为铁路信号向智能化和网络化方向发展创造了条件；(5)以计算机技术取代继电器继电电路优点：减少继电器检修工作量；减少系统 设计、施工和维护的工作量；减少建筑使用面积。2.2 计算机联锁系统的冗余结构对于计算机联锁系统，即要求具有比较好的可靠性，又要求具有比较好的安全性。 这是因为该系统不仅需要昼夜不停地连续运转，而且一旦出现故障，就有可能导致人身 伤亡或者造成财产的重大损失。所以，

25、计算机联锁系统需要利用近年来逐渐发展起来而 到目前已经比较成熟的冗余技术，使得其自身构成容错控制系统。利用冗余技术构成的具有容错控制功能的计算机联锁系统，无论在其硬件结构方面还是在其软件结构方面均存在着一些明显的特点。2.2.1 计算机联锁系统的可靠性冗余结构计算机联锁系统的可靠性的定义由 2.1.1可知：该系统在规定的时间内、在规定的 条件下完成规定功能的能力。度量可靠性的定量标准时可靠度。对于一般的电子产品，其oem板级产品的mtbf约为105h,而计算机系统由若干 块的oem板级产品组成，其mtbf约为104h。而对于计算机联锁系统，依据有关的技 术标准，要求其 mtbf值达到106h,

26、亦即要求至少在系统进行技术改造前(一般可以 5兰州交通大学毕业设计（论文）按15年计算）不出现故障。显然只依靠单个计算机构成的单机系统是不能够达到该目 标值，必须导入冗余资以构成双机乃至多机的冗余系统，使得整个系统的可靠性达到或 者超过该目标值。计算机联锁系统的可靠性冗余结构，就是指为了使系统的可靠性指标达到或者超过 目标值而采取的冗余结构。系统的可靠性冗余结构，往往采用双机互为备用的或门二重 系统，其原理结构图如图2.1所示：图2.1可靠性冗余结构双机热备系统的mtbf值可概略地估算如下：若单机系统的 mtbf值约为104h, 在单机系统的每一个故障均能够被检测到并且倒机逻辑电路的故障率为零

27、时，双机系统的mtbf值可能打到107108h。在系统的mtbf值要求在106 h以上时，采用图2.1所 示的冗余结构可以达到。2.2.2 计算机联锁系统的安全性冗余结构计算机联锁系统的安全性的定义有 2.1.2可知：当系统的任何部分发生故障时，其 后果不会导致人身伤亡或者财产的重大损失的性能。对于计算机联锁系统，依据有关的 技术标准要求产生不安全性输出的平均间隔时间为 10"h以上。显然，对于平均故障问 隔时间为106h的可靠性冗余系统而言，如果不进而采取必要的安全性技术措施，是不 能够达到安全性要求的。计算机联锁系统的安全性冗余结构就是指为了使系统的安全性指标达到或者超过 目标值

28、而采取的冗余结构。系统的安全性冗余结构，往往采用双机同时工作并彼此间频 繁比较的与门二重冗余构造，其基本结构如图2.2所示：图2.2安全性冗余结构图双机比较的安全性冗余结构的原理是这样的：在极短上网时间问隔内，两台计算机 同时出错并且错误呈现同一种模式的概率几乎为零。从这个原理出发，要求两台计算的 校核频率要相当高，亦即校核的时间间隔要足够短，最好短到可以用计算机的机械周期 来计算的程度。2.3 计算机联锁系统的硬件结构2.3.1 系统的硬件构成为了使系统达到所要求的可靠度，联锁计算机的硬件结构拟采用双机热备的二重冗 余系统，其中的一台计算机为主用机，另一台为备用机。当主用机发生故障时，备用机

29、 变成主用机，而故障机的维修时间不大于 8h。为了使系统达到所要求的安全度，拟采用运行双版本联锁程序。2.3.2 系统的硬件层次结构铁信号联锁是“通过技术方法，使信号、道岔、进路必须按照一定程序并满足一定 条件，才能动作或建立起来的相互关系”。也就是为了保证车站安全，必须制定一系列 联锁规则来制约信号的开放与关闭、道岔转换、进路的建立与取消。一定用技术的手段 实现这些联锁规则。信号系统以信号机、转辙机、轨道电路作为室外三大信号基础设备, 用电气设备或电子设备实现联锁功能，并且采用集中控制方式对道岔和信号机进行控 制。联锁系统的层次结构图如图2.3所示：9图2.3联锁系统的结构图人机会话层即上位

30、机部分设于车站值班室里，主要功能是操作人员可以通过一定的 操作向联锁层输入操作信息；接受联锁层输出的反映设备工作情况和行车作业状况的表 示信息。一般在联锁系统的结构分析过程中，把此部分定义为非安全层。连锁机构即下位机部分是联锁系统的核心，由它实现联锁功能。联锁机构比须具备 故障安全性能。系统的联锁机构除了接受来自人机会话层的操纵信息之外，还接受来自 监控层的反映信号机、转辙机和轨道电路状态的信息。联锁机构的功能是根据联锁条件, 对输入的控制信息、状态信息进行处理，产生相应的输出，及信号控制命令和道岔控制 命令，并交给监控层控制电路执行。联锁系统监控层的主要功能是：监控层一方面接受联锁层的控制命

31、令，经过信号控 制电路，改变信号的显示；接受联锁层的道岔控制命令，驱动道岔进行转换；另一方面 向联锁层传输信号显示状态、道岔状态和轨道电路状态信息。由于计算机联锁系统的安全性和可靠性要求很高，所以系统的结构可采用双机热备 结构，可以大大的提高系统的性能。3双机热备计算机联锁系统3.1 双机热备计算机联锁系统的结构组成双机热备计算机联锁系统的组成是：联锁控制机、执行表示机和控制监视机、电务 维修机。配套设备还有打印机、高分辨率彩色显示器、控制台和配电柜。系统中所有主 要设备均为主、备双套，联锁机和执表机具有热备和自动切换功能，控制监视机由人工 切换。各备用微机同样构成系统与主机同步工作，备用系统

32、还可作为调试维修用。双机 热备计算机联锁系统的结构图如图 3.1所示：联锁机a联锁机b切换电路继电设备室外设备图3.1双机热备计算机联锁系统结构图从双机热备计算机联锁系统的结构图 3.1可以看出双机热备系统由两个独立的模块 组成，两个模块即单机均能独立完成规定的相同的功能。正常工作时，俩模块均加电工 作，但是只有其中一个模块的输出有效，即就是同一时刻只有一个模块的输出能够通过 切换装置去控制被控对象，而另一模块的输出则不控制被控对象，其中每一模块都有自 检测和自诊断功能，模块发现自身出现故障时，就会给出控制信号，驱动切换开关进行 切换，从而将故障模块的输出与系统隔离，把热备模块的输出接向系统，

33、开始工作，此 兰州交通大学毕业设计(论文)时系统给出故障报警和提示。上位机主要是供行车调度人员使用，发送相关的操作命令 和反馈现场设备的状态。维修机主要用来记录各种操作命令和设备的状态，方便维修人 员进行设备的维护。维修机是作为上位机的备用机，在上位机故障时，经授权、登记， 来替代上位机工作。联锁机即下位机主要进行联锁逻辑运算和判断，输出相关安全的控 制命令和有关设备的状态的表示信息。在双机热备计算机联锁系统中，联锁机采用双机 热备的动态冗余技术。继电器接口电路主要是与轨道电路、信号机、道岔等室外设备进 行信息的相互交换，如继电器接口电路根据联锁机送来的控制命令来驱动室外设备，同 时将室外设备

34、信息实时地反映给联锁机。3.2 双机热备计算机联锁系统的工作形式双机热备计算机联锁系统具有以下几种工作形式：(1) 一个模块工作，另一个模块热备，两个模块均无故障；(2) 一个模块故障，另一个模块故障待修，系统可以完成规定的功能；(3)两个模块均故障，系统失效。双机热备计算机联锁系统为了提高可自身的可靠性和安全性采用了比较完备的故 障检测技术和安全输入输出技术，因此单故障大多数可以检测出来，而且故障不会造成 系统的危险输出。当系统出现不可测故障时，系统有可能会给出危险输出，此时系统就 会处于非故障安全状态，双机热备系统的简化设备组成图如图3.2所示：主机a备机b图3.2双机热备的设备组成简化图

35、从图3.2可以看出在双机热备计算机联锁系统中联锁机采用双机，互为备用的冗余 方式来完成联锁功能的，其中有主用设备 a为主机，则备用设备b为备机。正常工作 时，俩设备均加电工作，但是只有其中一个设备的输出有效，即就是同一时刻只有一个 设备的输出能够通过切换装置去控制被控对象，而另一设备的输出则不控制被控对象， 其中每一设备a和b都有自检测和自诊断功能，设备发现自身出现故障时，就会给出 控制信号，驱动切换开关进行切换，从而将故障设备的输出与系统隔离，把备用设备的 输出接向系统，开始工作。4利用动态故障树分析双机热备联锁系统安全可靠性4.1故障树分析4.1.1故障树定义(1)故障树分析(fta)的产

36、生故障树分析(fta)技术是由美国贝尔电话实验室于 1962年开发的，它采用逻辑分 析的方法，可以形象地进行危险的分析工作，具有直观明了、思路清晰、逻辑性强的特 点，不仅可以做定性分析，也可以做定量分析。体现了以系统工程方法来研究安全问题 的系统性、准确性和预测性，它是安全系统工程所采用的主要分析方法之一。一般来讲,安全系统工程的发展是以故障树分析为主要标志的。于1974年美国原子能委员会发表了关于核电站的危险性评价报告， 大量且有效地应用了 fta,从而迅速推动了故障树分 析的发展。(2)故障树的定义：故障树是指用以表明产品哪些组成部分的故障或外界事件或它 们的组合将导致产品发生一种给定故障

37、的逻辑图。故障树是一种逻辑因果关系图，构图 的元素是事件和逻辑门。事件是用来描述系统和元、部件故障的状态。逻辑门是把事件 联系起来，表示事件之间的逻辑关系。顶事件是指人们不希望发生的显著影响系统技术 性能、经济性、可靠性和安全性的故障事件。中间事件是指故障树中除底事件及顶事件 之外的所有事件。(3)故障树分析的原理：通过对可能造成产品故障的硬件、软件、环境、人为因素 进行分析，画出故障树，从而确定产品故障原因的各种可能组合方式和其发生概率。(4)割集的定义：故障树中一些底事件的集合，当这些底事件同时发生时，顶事件 必然发生；最小割集：若将割集中所含的底事件任意去掉一个就不再成为割集了，这样 的

38、割集就是最小割集。4.1.2 故障树的符号及意义事件符号包括：(1)矩形符号：代表顶上事件或中间事件，见图 4.1(a),是通过逻辑门作用，一个或 多个原因而导致的故障事件。(2)圆形符号：代表基本事件，见图 4.1(b),表示不要求进一步展开的基本引发故障事件。(3)屋形符号：代表正常事件，见图4.1(c),即系统在正常状态下发挥正常功能的事 件。(4)菱形符号：代表省略事件，见图4.1(d),因该事件影响不大或因情报不足，因为没有进一步展开的故障事件。(5)椭圆形符号：代表条件事件，见图4.1(e),表示施加于任何逻辑门的条件或限制。(a)15(6)逻辑符号：故障树中表示事件之间逻辑关系的

39、符号称门，与门是指代表一个或多个输入事件同时发生，即发生输出事件的情况，与门符号见图4.2所示：图4.2或门示意图从图4.2可以看出当输入a与输入b同时发生时，输出q发生。4.1.3 故障树的分析方法和步骤如果系统某一故障模式发生了，则一定是该系统中与其对应的某一个最小割集中的 全部底事件全部发生了。进行维修时，如果只修复某个故障部件，虽然能够使系统恢复 功能，但其可靠性水平还远未恢复。根据最小割集的概念，只有修复同一最小割集中的 所有部件故障，才能恢复系统可靠性、安全性设计水平。则可知故障树建树步骤为：(1)广泛收集并分析系统及其故障的有关资料；(2)选择顶事件；(3)建造故障树；(4)简化

40、故障树。故障树建立之后对其故障安全模型进行分析，则分析步骤为：(1)建立故障树；(2)故障树定性分析；(3)故障树定量分析；(4)重要度分析、分析结论：薄弱环节；(5)确定改进措施。综合考虑系统的结构及性能要求可以有选择性的进行故障树安全故障模型的定性 和定量分析。双机热备计算机联锁系统利用故障树分析的一般步骤：分析系统结构，定 义系统故障模式，对子系统及其故障模式行定义，对子系统各故障模式构建故障树y,根据构成子系统的模板的预测可靠性来计算子系统的故障率，分配子系统的故障率(用诸如fmea法)得到整个系统各故障模式的评估结果。4.2动态故障树分析动态故障树分析方法综合了故障树分析和马尔可夫模

41、型两者的优点，它通过引入表征动态特性的新的逻辑门类型如热备门，并建立相应的动态故障树，进行动态故障树分 析，是解决具有动态特性的系统的可靠性分析的有效途径。传统的动态故障树采用马尔 可夫模型和算法相结合进行分析，而在马尔可夫模型中总是假设电子元件的失效规律服 从指数分布。因此故障树模型可与马尔可夫模型相互转化，使得分析和计算变的简便。4.2.1 利用动态故障树分析法建立联锁设备的故障安全模型动态故障树与静态树的区别是：动态故障树特别适用于具有动态随机性的故障容错 系统和冗余系统以及顺序相关性系统的可靠性分析和建模。本论文所应用的动态故障树模型是在充分利用了静态门之外，引入了 “热备件门”和“优

42、先与门”两个典型的动态 逻辑门。则动态故障树的基本算法如下：(1)将动态故障树模块化，并分解为动态子树和静态子树。该算法基于tarjan算法的 实质，对动态故障树进行深度优先最左遍历搜索；(2)对于静态子树，应用bdd算法进行顶事件发生的概率的计算。bdd法其实质是 简化布尔函数的shanno份解故障树得到的。若采用基于bdd的故障树分析法，必须将 故障树化为bdd,具体算法是递归法，其原理如下：求故障树底事件的指标顺序。寻求最优指标顺序的方法有多种，本文采用求底 事件概率结构重要度作为底事件指标的方法；在计算过程中引入了一个重要结构，即ite (if -then-else)结构，ite (a

43、, b, c)指 的是：如果a成立，则b成立，否则c成立。具体方法是：使用ite (if - then- else)结构进行计算时，从故障树的最底下一 层门事件开始，用底事件来置换门事件，依次逐层向上，将所有门事件都用底事件置换 编码，即可得到定时间的bdd; 通过回溯bdd图，找到了叶节点为1的路径，即就是使得顶事件发生的底事件的 割集。若已知割集中各元素的概率，即可求得顶事件发生概率；(3)而对于动态子树，可以转化为马尔科夫状态转移图，然后利用马尔可夫模型的 相关理论方法进行定量分析。但在本文中动态子树可转化为马尔可夫模型，可对故障树 进行定性和定量的分析。马尔可夫模型的具体分析及计算将在

44、下一节中进行详细的讨 论；(4)最终将子树看成是一个节点，综合各子树的计算结果作为事件属性，用此节点 取代它所对应的整个子树。基于上述分析，通过对双机热备系统的进一步研究，将系统故障状态可分为系统 故障-安全状态、系统危险侧状态(模块 a发生危险输出导致系统发生危险状态、子模 块b发生危险输出导致系统危险状态)。由于双机热备系统较为简单，因此只在系统故 障一安全状态的故障树进行分析和计算， 得到动态故障树系列模型如图4.3图4.5所示。 在求解过程中，以系统故障-安全状态t1为例。首先对其进行模块划分，进行深度优先 最左遍历搜索。双机热备计算机联锁系统的动态树故障一安全模型如图4.3所示：图4

45、.3双机热备系统故障安全状态的动态故障树模型4.2.2故障安全状态的故障树模型分析为简化分析过程，明确分析内容，对于上述系统做如下设定：(1)系统在开始工作时处于完好状态，即2个联锁机均正常工作；(2)在不考虑共模失效时，某一时刻只有一个单元发生失效；(3)系统2个模块具有相同的失效率，且失效率为常数入，故障检测覆盖率为c;(4)系统不可修复即某个模块一旦失效则为永久失效。由图4.3知双机热备计算机联锁系统的动态故障树模型可知 e1、e2、e3、e4的结构 重要度一致。则由于双机热备联锁系统的动态故障树相对来说比较简单， 故不用bbd算 法就可以得到中间事件即静态子树 g1和g2的概率。则利用

46、与门的概率计算公式得到静态故障子树的概率p(g1) =p(e1)p(e2) , p(g2) = p(e3)p(e4)(4.1)将参数 p(e1) = p(e3)=九，p(e2) = p(e4)=c ,带入式(4.1)，可得p(g1) =p(g2)(4.2)定性分析：由式(4.2)可知，在双机热备系统中静态子树的概率是由失效率和故障兰州交通大学毕业设计（论文）检测率决定的，由故障树的分析方法可知，要使得系统的安全性高，即系统的故障安全 状态的概率高，应该提高系统的故障检测覆盖率 c,我们知道在控制系统中必须尽量减 少故障率即单元的失效率 九，假设c =1 ,则依据图3.2可知，系统处于故障安全状

47、态的 概率为1,即就是系统的安全度为1,但c=1是一种理想的状态，由于各种原因，如硬 件方面和软件方面等存在一些难题，在现实应用中是不可能达到的，因此为了提高系统 的安全性能只能是尽可能最大限度的提高故障检测覆盖率。定量分析：则静态子树模块g1与g2的事件概率计算出后，可将其等效简化为具有相 同失效率p的底事件，则动态故障子树t1可简化为图4.4的形式，如图4.4所示：图4.4t1的简化树动态树t1转化为马尔可夫模型进行求解，此时发生故障都可以被检测到，即 c=1, n=九，则t1系统具有以下3种状态：状态0:系统无故障，正常工作状态；状态1:某一模块发生故障；状态2:两模块都发生故障。可得t

48、1系统的马尔可夫状态转移图，如图4.5所示：1图4.5动态树t1的马尔可夫状态转移图根据图4.5的模型，则状态转移矩阵为poop01p021 -2nl 2nt 0p= p10'p12= 01-nm at:p20p21p22 一 p 01 一由式（4.3）矩阵列出如下微分方程式，其初始条件为：p0（t） = 1, pmt）= p2（t） = 0,其中n =九，则有:p°t =-2np°tp1 t =2np° t -nn t利用拉氏变换可以求得:p2 t = np ts 2，p0s=1s r s =2 b ssb s =书 s解式（4.5）方程组，然后进行拉氏

49、反变换，可以得到系统处于各状态的概率:p0 t tp1 t meq-e2tp2 t = 1 e»t - 2e-，t由式（4.6）可知双机热备系统出现故障安全状态的概率为：p=1（4即就是双机热备计算机联锁系统在故障监测覆盖率为 1的条件下，系统的安全度为1 则可以看出当故障检测率为1时，系统的可靠度为：r（t）=2e5-e'，（4通过式（4.7）可知，利用故障树模型对双机热备系统进行的定性分析与定量分析是完全相一致的。对式（4.8）仿真所得白曲线见第4章，且在下一章中将更加详细深刻的讨论故障检 测覆盖c对双机热备计算机联锁系统安全可靠性的影响。19兰州交通大学毕业设计(论文)

50、5建立马尔可夫故障安全模型5.1基本概念由于在安全可靠性的分析过程中利用组合模型存在一些不足之处：(1)首先，许多复杂系统难以用组合模型来建模；(2)可靠框图难以构造，可靠度的表达式计算很复杂；(3)故障监测覆盖率对可靠度的影响在组合模型中难于考虑。鉴于组合模型的不便分析和计算，则在前人的不断努力和探索中提出了通过建立马 儿可夫模型来定量分析系统的安全可靠性。 在马尔可夫模型的建立过程中有以下两个概 念要注意：(1)系统状态：表示了在任一给定时刻用以描述系统的事实；(2)状态转换：表示系统中可能发生的状态变化。5.2双机热备计算机联锁系统的马尔可夫模型双机热备计算机联锁系统是目前经常采用的一种

51、容错冗余系统， 在故障安全系统中 采用双机热备系统的目的是为了提高系统整体可靠性 ，而系统安全性则主要依靠单机中 采用的故障安全技术措施来实现。然而采用双机热备系统后，系统的安全度比单机的要 低。双机热备是由两个独立的模块组成的系统。 两个独立模块均能独立完成规定的同样 功能。在双机热备系统中，每一个模块相当于一个单机。正常工作时，两模块都加电工 作，不过其中只有一个模块的输出能够经过切换装置去控制被控对象，即其输出是有效 的，而另一模块的输出是无效的。每个模块都有自检测和自诊断功能。当模块发现自身 出现故障时，就会给出控制信号来驱使切换开关进行适当切换， 并给出故障报警和提示。双机热备计算机

52、联锁系统在工作时有如下几种工作模式：(1) 一个模块工作，另一模块热备，两模块都无故障；(2) 一个模块工作，另一模块待修，系统可以完成规定功能；(3)两个模块都故障，则系统失效；当系统出现不可测故障时，可能会给出危险输 出。我们假设认为双机热备计算机联锁系统工作模块出现不可测故障时一定会给出危险 输出，即系统处于非故障安全状态。马尔可夫模型的建立先作如下简化和假定： 双机热备计算机联锁系统由两个独立的完全相同的模块单机组成，切换开关是 安全可靠的，且不考虑系统维修； 双机热备计算机联锁系统由两个独立的完全相同的模块单机组成，切换开关是 安全可靠的，且不考虑系统维修； 只考虑永久性故障，瞬时故

53、障由模块的程序卷回及时间冗余等技术屏蔽；非常保守地认为模块一旦出现不可测故障就不可逆转，即会引起危险输出；单机的故障检测覆盖率为c,模块的失效率为九且大于零；系统满足马尔可失建模过程的条件，可按马尔可失过程来处理。设用x ( t)来表示双机热备系统的状态，则：x (t)=0 时刻t,系统无故障；x (t)=1 时亥t, 一模块故障，且故障可测；x=2时亥t,两模块都出现可测性故障；x (t)=3 时刻t,工作模块正常，热备模块出现不可测性故障；1.1 (t)=4时亥ij t,工作模块出现不可测性故障。从上述的分析中可以得到双机热备计算机联锁系统的状态转移图如图5.1所示:对状态转移图的解释如下

54、：(1)状态0 一状态1:说明系统的工作模块或者热备模块出现了可测性故障，系统变为一个模块工作，另一模块出现可测性故障的单机工作方式；(2)状态1 一状态2:表示单机工作的模块出现了故障并且故障被检测出来，因此系统处于故障安全状态；(3)状态1 一状态4:说明单机工作的模块出现了不可测故障， 系统处于非故障安全 状态；(4)状态0 一状态4:此时热备模块正常，但工作模块出现不可测故障，无法进行切换，系统处于非故障安全状态；(5)状态0 一状态3:这时热备模块出现了不可测故障，工作模块正常，系统仍可正常工作；(6)状态3 一状态4:这是影响双机热备系统安全性关键之所在，它说明当热备模块已出现了不

55、可测故障时，只要工作模块一旦出现不可测或可测故障都将会使系统进入非 故障安全状态。根据双机热备计算机联锁系统的状态转移图，可以列出以下微分方程组：po t )=-2 po tpit =2cpo t - pitp2(t )=?cpi(t )(5.1)p3 t = (1 -c)b t - p3 tp4t - m1-c 帆(t )+p(t )l+xp3(t)对上列(5.1)式进行拉式变换，并代入初始条件：po(t) =1,f1(0) =p2(0) =p3(0) =p4(0)=0则得：s 2，b s =1s ” s =2 cp1ssf2(s)=:qp1(s)(5.2)sp3 s = 1 -c p。ss

56、p4 s = 1 -c lp0 sp1 s 1 p3 s解上述(5.2)式方程组，然后进行拉式反变换，可得出双机热备计算机联锁系统处于 各个状态时的概率：p°t =e'r t = 2c e -e'tp2(t )=c2(1 +e" -2e )(5.3)p3 t = 1 -c e" -e"'tp4 t )；=i1 -c 1 -e-t 11 -e-，t j5.3 双机热备系统的可靠度和安全度表达式(1)双机热备计算机联锁系统的可靠度表达式：r2 t = p0 t pi tp3 t= e-a +ce“1 - e- )(2)双机热备计算机联

57、锁系统的安全度表达式：(5.5)(5.6)(5.7)(5.8)s2t =1-p4t=1 _ i _c je-'t 11 -e-t c 1(3)双机热备系统的不安全度表达式：u2 t = 1 -c 1 -e-t 11-e-t c 1(4)双机热备系统的稳定安全度表达式：s2 t = c2(5)双机热备系统的稳态不安全度表达式：u2 t =1 -c25.4 故障覆盖检测率对安全可靠性的影响从5.3节中的表达式中可以看出若设系统是一个冗余系统，系统发生故障时冗余部件 是否能被有效的利用在很大程度上依赖于故障检测覆盖率co假使故障检测是完善的，也就是说故障检测覆盖率接近于1,因而系统能及时诊断出故障并正确处理故障，从而 系统能够有效的利用冗余部件，通过完成系统的重组和重构，提高系统的可靠性。如果 故障检