双机热备计算机连锁系统安全可靠性分析

1、兰州交通大学毕业设计（论文）摘要铁路是大容量和大众化的交通运输工具，铁路追求的重要目标必然是安全运输；计算机联锁设备是保证铁路运输安全的关键信号设备，因而必须具有非常高的安全可靠性。如何在定性地分析和定量地计算的基础上来判断双机热备计算机联锁系统是否能满足信号系统规定的功能和安全的需求，已经成为铁路运输系统的一个重要的研究课题。本论文立足于课题任务的研究，从双机热备计算机联锁系统在铁路实际应用中的基本组成和基本功能入手，根据影响计算机联锁系统安全可靠性的一些关键因素，利用故障树分析法建立联锁设备的故障安全模型，进行安全可靠度分析。再通过建立马儿可夫模型，进一步得出安全度和可靠度表达式，并更加详

2、细的对其进行定性和定量分析。最后通过MATLAB仿真得出安全可靠性的曲线。通过与单机系统的安全可靠度相比较，得出双机热备计算机联锁系统的可靠度要大于单机系统，安全度小于单机系统。结果表明提高故障检测率是提高双机热备系统可靠性与安全性的重要技术措施。因此在选择故障检测覆盖率的具体数值时要综合考虑系统的性能要求，以便得到合理的数值。关键词：双机热备计算机联锁系统；故障树分析；马尔可夫模型；故障检测覆盖率；安全可靠性I- -兰州交通大学毕业设计（论文）AbstractRailway is a mass traffic facility of bulky and popular. The import

3、ant target of railway wish is traffic safety certainly. Computer based interlocking equipment is key signaling facility for garanteering railway traffic safety. So it's needed to be with very high safety-reliability. How to judge it whether meet certain function and safety requirements base on q

4、ualitative analysis and quantitative calculate, haven on research about work tasks become an important research task for the railway system . This paper is based on research about works task, according with the essential composing and working of dual computers based interlocking application on railw

5、ay, according some key factors effect on computers based interlocking safety-reliability, establishes corresponding failure-safe model of computers based interlocking to analyze safety-reliability by methods of fault-tree . Establishing Markov model again analyses safety-reliability further with exp

6、ression of safety-reliability, and the more detailed the qualitative and quantitative analysis. Finally, through MATLAB simulation getting the safety reliability curve. Through the comparison with safety-reliability of computer-based interlocking system with single computer, reaching the reliability

7、 of computer-based interlocking system with dual computers is greater than stand-alone system, but safety is smaller than stand-alone system. The results show that increasing failure checking cover ratio are the important technical measures to improve the reliability and security of dual computers s

8、ystem. It is so important to comprehensively think the requisition of system performance that would get reasonable value, when selecting a specific value of failure checking cover ratio.Key Words：Dual computers system based interlocking，Method of fault-tree，Markov model，Failure checking cover ratio，

9、Safety-reliability 29- -兰州交通大学毕业设计（论文）目录摘 要IAbstractII目录III1 绪论11.1 课题背景与意义11.2 课题研究现状11.3 课题的研究内容与目标32 计算机联锁系统42.1 计算机联锁系统的基本概念42.1.1 可靠性指标42.1.2 安全性指标42.1.3 计算机联锁系统的构成特点52.2 计算机联锁系统的冗余结构52.2.1 计算机联锁系统的可靠性冗余结构52.2.2 计算机联锁系统的安全性冗余结构62.3 计算机联锁系统的硬件结构72.3.1 系统的硬件构成72.3.2 系统的硬件层次结构73 双机热备计算机联锁系统93.1 双机

10、热备计算机联锁系统的结构组成93.2 双机热备计算机联锁系统的工作形式104 利用动态故障树分析双机热备联锁系统安全可靠性114.1 故障树分析114.1.1 故障树定义114.1.2 故障树的符号及意义114.1.3 故障树的分析方法和步骤124.2 动态故障树分析134.2.1 利用动态故障树分析法建立联锁设备的故障安全模型134.2.2故障安全状态的故障树模型分析155 建立马尔可夫故障安全模型185.1 基本概念185.2 双机热备计算机联锁系统的马尔可夫模型185.3双机热备系统的可靠度和安全度表达式205.4 故障覆盖检测率对安全可靠性的影响216 仿真分析23结论27致谢28参考

11、文献29兰州交通大学毕业设计（论文）1 绪论1.1 课题背景与意义随着电子信息技术和网络技术的发展,计算机联锁控制系统正在逐步取代电气集中联锁控制系统成为铁路车站信号控制的首选方式。大力发展计算机联锁系统的直接原因是期望以通用的集成电路取代传统的继电器电路，减少对继电器的维护工作。经研究和实践表明，用计算机构成的联锁系统，其安全程度和可靠程度都比继电器联锁系统优越，尤其在功能方面，除了能完成既有继电器联锁的功能外，还可利用计算机的强有力的处理能力和快速运算的特点，进一步充实和开发新功能；在经济方面，包括设备费、占地费、设计和安装施工费也比继电器联锁系统经济。因此国内外普遍认为计算机联锁系统是车

12、站联锁系统的发展方向。我国当前的计算机联锁系统虽然已处于可用阶段，但是在可靠性和功能方面都有待提高。就可靠性而论，理论上可使计算机联锁系统的可靠性高于继电联锁系统，但还有待于在实际种考验。应当看出，继电联锁系统是一种风险分散系统，它的电路和继电器发生故障时，只是影响系统的局部功能，而计算机联锁系统相对来说是风险集中的系统，其关键部位发生故障时则影响面较大，甚至可使整个系统瘫痪。因此在保持系统具备充分的安全功能的前提下，努力提高系统的可靠性是非常重要的。目前在我国,基于双机热备动态冗余技术的计算机联锁控制技术已基本成熟。铁路信号控制系统直接涉及生命财产安全,故障联锁系统必然故属于故障安全系统。由

13、于电子技术和计算机容错技术的发展,原来只用于铁路信号控制系统的故障安全技术的应用范围不断扩大,故障安全技术已成为保障人身安全和减小财产损失的重要系统设计原则。故障安全技术和用它构成的故障安全系统已成为当今电子技术领域的一个重要研究课题。目前在我国,基于双机热备动态冗余技术的计算机联锁控制技术已基本成熟，且地铁联锁系统多采用双机热备系统,因此研究双机热备计算机联锁系统的安全可靠性已显得非常重要。1.2 课题研究现状自20世纪70年代以来，国内外已有不少机构和人员开始致力于将计算机技术应用于铁路信号系统，在我国针对计算机联锁系统的研制和使用已有二十几年的历史了，凭借中国铁路信号技术人员的严谨和踏实

14、的努力，实现了一个良好的开端，目前正处于深入研究，大力推广使用阶段，并可期望在不久的将来实现跨越。近数十年来，计算机控制的信号设备和系统在国外的实际工程建设中已取得了较为广泛的应用；与此同时国内的相关企业也在积极开发，已有越来越多的该类设备逐步投入使用。由计算机取代传统的继电器实现信号设备安全控制和进行行、调车作业的指挥，已成为铁路信号控制和防护系统发展的主流。特别是近年来，我国铁路以提速、重载为目标进行技术改造的环境下，用于车站安全控制和防护、并由计算机控制的信号设备即车站信号计算机联锁设备的信号设备得到广泛应用。计算机联锁控制系统的基本任务是保证行车安全，提高运行效率，其可靠性、安全性和可

15、用性是评价一套联锁系统性能优劣的重要指标。研究系统的安全度和可靠度等性能指标是一项非常重要的工作。前人已做了许多工作，并取得了一定的成果。其中提出地建立Markov 模型是最适合研究可靠性的方法之一。Markov模型可以综合反映多种失效模式对系统性能指标的影响，对Markov模型进行定性和定量分析，可以提供对系统的可靠性和安全性设计方案的比较和评价。许多文献深入研究了系统的安全性，引入了表示单元失效导致系统处于安全状态所占的比例的安全失效比例因子以及表示系统中任意故障被检测出来的概率的故障覆盖。另外一些文献利用因子把冗余系统的失效划分。可分为独立失效和共因失效。这些系数的引入,为更深入地分析系

16、统的状态,进一步研究计算机联锁控制系统的可靠性、安全性指标提供了重要的理论依据。双机热备系统的研究现在越来越受关注，前人对此的研究很多例如：计算机联锁系统系统安全可靠性性设计分析研5，主要针对计算机联锁系统的硬件的结构、功能和软件的结构、功能以及在工程设计中的方法进行研究；基于动态故障计算机联锁系统可靠性和性能研究6，主要是通过建立二乘二取二系统的动态故障树模型，对其进行安全可靠性分析，并与双机热备计算机联锁系统进行比较，得出二乘二取二系统的安全可靠性比双机热备系统要好；双机热备计算机联锁系统安全可靠性指标分析9，主要针对双机热备计算机联锁系统安全和可靠性指标得出系统的故障安全模型，从而得到系

17、统的安全可靠度表达式，并对其进行定性和定量分析。经过总结大量的工程实践，通常联锁系统出现的故障可分为系统级故障（包括联锁计算机故障、电源故障等） 、板级故障、通道级故障、元件级故障，现场出现的故障90%以上为板级、通道级或元件级故障。由于双机热备计算机联锁控制系统采用动态驱动保障安全机制，使得三种故障产生时，系统不会发生危险侧输出。在实际应用过程中，如果备机出现故障则会马上停机维护，若此时主机也出现故障，由于主机出现系统级故障的概率非常小，通常以元件级或通道级故障为主，那么，故障主要影响某一路的输出。根据铁路作业的要求，现场作业不能停止，而此时主机仍可以坚持工作来保证安全作业的连续，因此双机热

18、备系统大大提高了系统的可靠性。1.3 课题的研究内容与目标计算机联锁系统即要求具有比较好的可靠性，又要求具有比较好的安全性。因此本课题是在了解双机热备计算机联锁系统安全可靠性的一些影响因素之后，如平均故障间隔时间、失效率、故障检测覆盖率等，利用可靠性分析理论，采用故障树分析法建立联锁设备的故障安全模型，对其进行可靠性分析，同时建立马尔可夫模型，即双机热备系统的各个工作状态之间的转化关系，由此列出一系列的关系式，通过计算得出安全可靠度的表达式，通过计算得出的安全度和可靠度表达式，进一步定量的分析双机热备计算机联锁系统的安全可靠性，结果可知，故障检测覆盖率对系统的安全可靠性都有影响，也就是，提高系

19、统的故障检测覆盖率，可以提高系统的安全靠度，最后再通过仿真得到安全可靠性曲线，通过比较曲线可以直观、明了，清楚的看到故障检测覆盖率对安全可靠性的影响。同时为了更加深刻的说明双机热备系统的性能，将双机热备系统与单机系统的安全度进行比较研究，得出双机热备系统的安全度要低于单机系统，可靠度高于单机系统。通过本课题的研究，在以后的工程设计或理论计算中可以根据不同的作业情况对双机热备计算机联锁系统的安全可靠性的具体要求做出更加合理的参数，以至于高效的完成任务。2 计算机联锁系统2.1 计算机联锁系统的基本概念计算机联锁系统的安全可靠性是研究、开发、生产计算机联锁设备必须遵循的永恒的主题，也是验证计算机联

20、锁系统性能的主要依据。计算机联锁系统是一种连续工作的实时系统，也是一种故障安全系统，要求具有很高的安全和可靠性。2.1.1 可靠性指标计算机联锁系统可靠性的定义是：该系统在规定的时间内，在规定的条件下，完成规定功能的能力；度量可靠性的定量标准时可靠度，计算机联锁系统的可靠度用自身的平均无故障间隔时间MTBF (Mean Time Between Failures)来表征。平均故障间隔时间MTBF是指系统连续发生两次故障之间的平均间隔时间。可靠度的定义是：从功能相同的产品测试过程中，在测试的特定时刻样品的幸存数于样品总数的比为可靠度。可靠度与平均故障间隔时间之间的关系：失效率的定义是：一种器件或

21、系统的失效率是指单位时间内一个该类器件或系统发生失效的预期次数，其单位可取为失效h，失效可用来比较系统或元件的可靠性，失效率越低的系统或元件其可靠性程度越高。2.1.2 安全性指标计算机联锁系统安全性的定义是：当系统的任何部分发生故障时，其后果不会导致人身伤亡或者财产的重大损失的性能。度量系统安全性的技术指标是系统产生不安全性输出的平均间隔时间即平均危险侧故障间隔时间MTBFAS(Mean Time Between Failures of Alarm Side)。假设故障安全联锁系统处于各种状态的概率分别为：是系统处于正常状态的概率：是系统处于故障安全状态的概率；是系统处于非故障安全状态的概率

22、。系统安全度：系统在规定是时间内，按规定的条件不发生危险侧输出的概率。则安全度的计算公式为系统的不安全度是指系统在规定的时间内，按规定的条件产生危险侧输出的概率，则系统不安全度的计算公式为故障检测覆盖率的定义是：是指系统执行检测、故障定位、故障包容及故障恢复的能力。其中故障恢复是指故障发生后系统维持或重新回到正常工作状态的过程。 2.1.3 计算机联锁系统的构成特点计算机联锁系统的人机会话层的接口设备既可以采用传统的专用控制台，也可以采用通用的计算机人机接口设备，如：鼠标器、图形输入板（俗称数字化仪板）、键盘以及显示器等，而这类设备由于是通用产品，产量很大，价格便宜，便于与计算机结合，而且使用

23、灵活，所以又取代专用控制台的趋势。计算机联锁系统的联锁机构是由计算机构成的。在我国多采用工业控制的微型计算机（简称工控机）构成联锁机构，以后称它为联锁机。用计算机取代继电器电路构成的联锁机构原因如下： (1) 计算机的逻辑运算功能与继电逻辑电路具有共同的理论基础； (2) 由于可靠性技术和容错技术和安全技术的进步，使得用计算机实现联锁控制成为可能； (3) 工业控制级计算机商品化，为保证系统可靠性和降低造价提供了条件； (4) 为铁路信号向智能化和网络化方向发展创造了条件； (5) 以计算机技术取代继电器继电电路优点：减少继电器检修工作量；减少系统设计、施工和维护的工作量；减少建筑使用面积。2

24、.2 计算机联锁系统的冗余结构对于计算机联锁系统，即要求具有比较好的可靠性，又要求具有比较好的安全性。这是因为该系统不仅需要昼夜不停地连续运转，而且一旦出现故障，就有可能导致人身伤亡或者造成财产的重大损失。所以，计算机联锁系统需要利用近年来逐渐发展起来而到目前已经比较成熟的冗余技术，使得其自身构成容错控制系统。利用冗余技术构成的具有容错控制功能的计算机联锁系统，无论在其硬件结构方面还是在其软件结构方面均存在着一些明显的特点。2.2.1 计算机联锁系统的可靠性冗余结构计算机联锁系统的可靠性的定义由2.1.1可知：该系统在规定的时间内、在规定的条件下完成规定功能的能力。度量可靠性的定量标准时可靠度

25、。对于一般的电子产品，其OEM板级产品的MTBF约为h，而计算机系统由若干块的OEM板级产品组成，其MTBF约为h。而对于计算机联锁系统，依据有关的技术标准，要求其MTBF值达到h，亦即要求至少在系统进行技术改造前（一般可以按15年计算）不出现故障。显然只依靠单个计算机构成的单机系统是不能够达到该目标值，必须导入冗余资以构成双机乃至多机的冗余系统，使得整个系统的可靠性达到或者超过该目标值。计算机联锁系统的可靠性冗余结构，就是指为了使系统的可靠性指标达到或者超过目标值而采取的冗余结构。系统的可靠性冗余结构，往往采用双机互为备用的或门二重系统，其原理结构图如图2.1所示：图2.1可靠性冗余结构双机

26、热备系统的MTBF值可概略地估算如下：若单机系统的MTBF值约为h，在单机系统的每一个故障均能够被检测到并且倒机逻辑电路的故障率为零时，双机系统的MTBF值可能打到h。在系统的MTBF值要求在h以上时，采用图2.1所示的冗余结构可以达到。2.2.2 计算机联锁系统的安全性冗余结构计算机联锁系统的安全性的定义有2.1.2可知：当系统的任何部分发生故障时，其后果不会导致人身伤亡或者财产的重大损失的性能。对于计算机联锁系统，依据有关的技术标准要求产生不安全性输出的平均间隔时间为h以上。显然，对于平均故障间隔时间为106h的可靠性冗余系统而言，如果不进而采取必要的安全性技术措施，是不能够达到安全性要求

27、的。计算机联锁系统的安全性冗余结构就是指为了使系统的安全性指标达到或者超过目标值而采取的冗余结构。系统的安全性冗余结构，往往采用双机同时工作并彼此间频繁比较的与门二重冗余构造，其基本结构如图2.2所示：图2.2安全性冗余结构图双机比较的安全性冗余结构的原理是这样的：在极短上网时间间隔内，两台计算机同时出错并且错误呈现同一种模式的概率几乎为零。从这个原理出发，要求两台计算的校核频率要相当高，亦即校核的时间间隔要足够短，最好短到可以用计算机的机械周期来计算的程度。2.3 计算机联锁系统的硬件结构2.3.1 系统的硬件构成为了使系统达到所要求的可靠度，联锁计算机的硬件结构拟采用双机热备的二重冗余系统

28、，其中的一台计算机为主用机，另一台为备用机。当主用机发生故障时，备用机变成主用机，而故障机的维修时间不大于8h。为了使系统达到所要求的安全度，拟采用运行双版本联锁程序。2.3.2 系统的硬件层次结构 铁信号联锁是“通过技术方法，使信号、道岔、进路必须按照一定程序并满足一定条件，才能动作或建立起来的相互关系”。也就是为了保证车站安全，必须制定一系列联锁规则来制约信号的开放与关闭、道岔转换、进路的建立与取消。一定用技术的手段实现这些联锁规则。信号系统以信号机、转辙机、轨道电路作为室外三大信号基础设备。用电气设备或电子设备实现联锁功能，并且采用集中控制方式对道岔和信号机进行控制。联锁系统的层次结构图

29、如图2.3所示：图2.3联锁系统的结构图人机会话层即上位机部分设于车站值班室里，主要功能是操作人员可以通过一定的操作向联锁层输入操作信息；接受联锁层输出的反映设备工作情况和行车作业状况的表示信息。一般在联锁系统的结构分析过程中，把此部分定义为非安全层。连锁机构即下位机部分是联锁系统的核心，由它实现联锁功能。联锁机构比须具备故障安全性能。系统的联锁机构除了接受来自人机会话层的操纵信息之外，还接受来自监控层的反映信号机、转辙机和轨道电路状态的信息。联锁机构的功能是根据联锁条件，对输入的控制信息、状态信息进行处理，产生相应的输出，及信号控制命令和道岔控制命令，并交给监控层控制电路执行。联锁系统监控层

30、的主要功能是：监控层一方面接受联锁层的控制命令，经过信号控制电路，改变信号的显示；接受联锁层的道岔控制命令，驱动道岔进行转换；另一方面向联锁层传输信号显示状态、道岔状态和轨道电路状态信息。由于计算机联锁系统的安全性和可靠性要求很高，所以系统的结构可采用双机热备结构，可以大大的提高系统的性能。3 双机热备计算机联锁系统3.1 双机热备计算机联锁系统的结构组成双机热备计算机联锁系统的组成是：联锁控制机、执行表示机和控制监视机、电务维修机。配套设备还有打印机、高分辨率彩色显示器、控制台和配电柜。系统中所有主要设备均为主、备双套，联锁机和执表机具有热备和自动切换功能，控制监视机由人工切换。各备用微机同

31、样构成系统与主机同步工作，备用系统还可作为调试维修用。双机热备计算机联锁系统的结构图如图3.1所示：图3.1双机热备计算机联锁系统结构图从双机热备计算机联锁系统的结构图3.1可以看出双机热备系统由两个独立的模块组成，两个模块即单机均能独立完成规定的相同的功能。正常工作时，俩模块均加电工作，但是只有其中一个模块的输出有效，即就是同一时刻只有一个模块的输出能够通过切换装置去控制被控对象，而另一模块的输出则不控制被控对象，其中每一模块都有自检测和自诊断功能，模块发现自身出现故障时，就会给出控制信号，驱动切换开关进行切换，从而将故障模块的输出与系统隔离，把热备模块的输出接向系统，开始工作，此时系统给出

32、故障报警和提示。上位机主要是供行车调度人员使用，发送相关的操作命令和反馈现场设备的状态。维修机主要用来记录各种操作命令和设备的状态，方便维修人员进行设备的维护。维修机是作为上位机的备用机，在上位机故障时，经授权、登记，来替代上位机工作。联锁机即下位机主要进行联锁逻辑运算和判断，输出相关安全的控制命令和有关设备的状态的表示信息。在双机热备计算机联锁系统中，联锁机采用双机热备的动态冗余技术。继电器接口电路主要是与轨道电路、信号机、道岔等室外设备进行信息的相互交换，如继电器接口电路根据联锁机送来的控制命令来驱动室外设备，同时将室外设备信息实时地反映给联锁机。3.2 双机热备计算机联锁系统的工作形式双

33、机热备计算机联锁系统具有以下几种工作形式： (1) 一个模块工作，另一个模块热备，两个模块均无故障； (2) 一个模块故障，另一个模块故障待修，系统可以完成规定的功能； (3) 两个模块均故障，系统失效。 双机热备计算机联锁系统为了提高可自身的可靠性和安全性采用了比较完备的故障检测技术和安全输入输出技术，因此单故障大多数可以检测出来，而且故障不会造成系统的危险输出。当系统出现不可测故障时，系统有可能会给出危险输出，此时系统就会处于非故障安全状态，双机热备系统的简化设备组成图如图3.2所示：图3.2双机热备的设备组成简化图从图3.2可以看出在双机热备计算机联锁系统中联锁机采用双机，互为备用的冗余

34、方式来完成联锁功能的，其中有主用设备A为主机，则备用设备B为备机。正常工作时，俩设备均加电工作，但是只有其中一个设备的输出有效，即就是同一时刻只有一个设备的输出能够通过切换装置去控制被控对象，而另一设备的输出则不控制被控对象，其中每一设备A和B都有自检测和自诊断功能，设备发现自身出现故障时，就会给出控制信号，驱动切换开关进行切换，从而将故障设备的输出与系统隔离，把备用设备的输出接向系统，开始工作。4 利用动态故障树分析双机热备联锁系统安全可靠性4.1 故障树分析 4.1.1 故障树定义 (1) 故障树分析(FTA)的产生故障树分析(FTA)技术是由美国贝尔电话实验室于1962年开发的，它采用逻

35、辑分析的方法，可以形象地进行危险的分析工作，具有直观明了、思路清晰、逻辑性强的特点，不仅可以做定性分析，也可以做定量分析。体现了以系统工程方法来研究安全问题的系统性、准确性和预测性，它是安全系统工程所采用的主要分析方法之一。一般来讲，安全系统工程的发展是以故障树分析为主要标志的。于1974年美国原子能委员会发表了关于核电站的危险性评价报告，大量且有效地应用了FTA，从而迅速推动了故障树分析的发展。(2) 故障树的定义：故障树是指用以表明产品哪些组成部分的故障或外界事件或它们的组合将导致产品发生一种给定故障的逻辑图。故障树是一种逻辑因果关系图，构图的元素是事件和逻辑门。事件是用来描述系统和元、部

36、件故障的状态。逻辑门是把事件联系起来，表示事件之间的逻辑关系。顶事件是指人们不希望发生的显著影响系统技术性能、经济性、可靠性和安全性的故障事件。中间事件是指故障树中除底事件及顶事件之外的所有事件。(3) 故障树分析的原理：通过对可能造成产品故障的硬件、软件、环境、人为因素进行分析，画出故障树，从而确定产品故障原因的各种可能组合方式和其发生概率。 (4) 割集的定义：故障树中一些底事件的集合，当这些底事件同时发生时，顶事件必然发生；最小割集：若将割集中所含的底事件任意去掉一个就不再成为割集了，这样的割集就是最小割集。4.1.2 故障树的符号及意义事件符号包括：(1) 矩形符号：代表顶上事件或中间

37、事件，见图4.1(a)，是通过逻辑门作用,一个或多个原因而导致的故障事件。(2) 圆形符号：代表基本事件，见图4.1(b)，表示不要求进一步展开的基本引发故障事件。(3) 屋形符号：代表正常事件，见图4.1(c)，即系统在正常状态下发挥正常功能的事件。(4) 菱形符号：代表省略事件，见图4.1(d)，因该事件影响不大或因情报不足，因为没有进一步展开的故障事件。(5) 椭圆形符号：代表条件事件，见图4.1(e)，表示施加于任何逻辑门的条件或限制。图4.1各种事件符号(6) 逻辑符号：故障树中表示事件之间逻辑关系的符号称门，与门是指代表一个或多个输入事件同时发生，即发生输出事件的情况，与门符号见图

38、4.2所示： 图4.2 或门示意图从图4.2可以看出当输入A与输入B同时发生时，输出Q发生。4.1.3 故障树的分析方法和步骤如果系统某一故障模式发生了，则一定是该系统中与其对应的某一个最小割集中的全部底事件全部发生了。进行维修时，如果只修复某个故障部件，虽然能够使系统恢复功能，但其可靠性水平还远未恢复。根据最小割集的概念，只有修复同一最小割集中的所有部件故障，才能恢复系统可靠性、安全性设计水平。则可知故障树建树步骤为：(1) 广泛收集并分析系统及其故障的有关资料；(2) 选择顶事件；(3) 建造故障树；(4) 简化故障树。故障树建立之后对其故障安全模型进行分析，则分析步骤为：(1) 建立故障

39、树；(2) 故障树定性分析；(3) 故障树定量分析；(4) 重要度分析、分析结论：薄弱环节；(5) 确定改进措施。综合考虑系统的结构及性能要求可以有选择性的进行故障树安全故障模型的定性和定量分析。双机热备计算机联锁系统利用故障树分析的一般步骤：分析系统结构，定义系统故障模式，对子系统及其故障模式行定义，对子系统各故障模式构建故障树y，根据构成子系统的模板的预测可靠性来计算子系统的故障率，分配子系统的故障率( 用诸如FMEA 法)得到整个系统各故障模式的评估结果。4.2 动态故障树分析动态故障树分析方法综合了故障树分析和马尔可夫模型两者的优点，它通过引入表征动态特性的新的逻辑门类型如热备门，并建

40、立相应的动态故障树，进行动态故障树分析，是解决具有动态特性的系统的可靠性分析的有效途径。传统的动态故障树采用马尔可夫模型和算法相结合进行分析，而在马尔可夫模型中总是假设电子元件的失效规律服从指数分布。因此故障树模型可与马尔可夫模型相互转化，使得分析和计算变的简便。4.2.1 利用动态故障树分析法建立联锁设备的故障安全模型动态故障树与静态树的区别是：动态故障树特别适用于具有动态随机性的故障容错系统和冗余系统以及顺序相关性系统的可靠性分析和建模。本论文所应用的动态故障树模型是在充分利用了静态门之外，引入了“热备件门”和“优先与门”两个典型的动态逻辑门。则动态故障树的基本算法如下： (1) 将动态故

41、障树模块化，并分解为动态子树和静态子树。该算法基于Tarjan算法的实质，对动态故障树进行深度优先最左遍历搜索； (2) 对于静态子树，应用BDD算法进行顶事件发生的概率的计算。BDD法其实质是简化布尔函数的Shannon分解故障树得到的。若采用基于BDD的故障树分析法，必须将故障树化为BDD，具体算法是递归法，其原理如下： 求故障树底事件的指标顺序。寻求最优指标顺序的方法有多种，本文采用求底事件概率结构重要度作为底事件指标的方法；在计算过程中引入了一个重要结构，即ite（if thenelse）结构，ite（A，B，C）指的是：如果A成立，则B成立，否则C成立。 具体方法是：使用ite（if

42、thenelse）结构进行计算时，从故障树的最底下一层门事件开始，用底事件来置换门事件，依次逐层向上，将所有门事件都用底事件置换编码，即可得到定时间的BDD； 通过回溯BDD图，找到了叶节点为1的路径，即就是使得顶事件发生的底事件的割集。若已知割集中各元素的概率，即可求得顶事件发生概率； (3) 而对于动态子树，可以转化为马尔科夫状态转移图，然后利用马尔可夫模型的相关理论方法进行定量分析。但在本文中动态子树可转化为马尔可夫模型，可对故障树进行定性和定量的分析。马尔可夫模型的具体分析及计算将在下一节中进行详细的讨论； (4) 最终将子树看成是一个节点，综合各子树的计算结果作为事件属性，用此节点取

43、代它所对应的整个子树。基于上述分析，通过对双机热备系统的进一步研究，将系统故障状态可分为系统故障安全状态、系统危险侧状态（模块A发生危险输出导致系统发生危险状态、子模块B发生危险输出导致系统危险状态）。由于双机热备系统较为简单，因此只在系统故障安全状态的故障树进行分析和计算，得到动态故障树系列模型如图4.3图4.5所示。在求解过程中，以系统故障安全状态T1为例。首先对其进行模块划分，进行深度优先最左遍历搜索。双机热备计算机联锁系统的动态树故障安全模型如图4.3所示：图4.3双机热备系统故障安全状态的动态故障树模型4.2.2故障安全状态的故障树模型分析为简化分析过程，明确分析内容，对于上述系统做

44、如下设定： (1) 系统在开始工作时处于完好状态，即2个联锁机均正常工作； (2) 在不考虑共模失效时，某一时刻只有一个单元发生失效； (3) 系统2个模块具有相同的失效率，且失效率为常数，故障检测覆盖率为C； (4) 系统不可修复即某个模块一旦失效则为永久失效。由图4.3知双机热备计算机联锁系统的动态故障树模型可知E1、E2、E3、E4的结构重要度一致。则由于双机热备联锁系统的动态故障树相对来说比较简单，故不用BBD算法就可以得到中间事件即静态子树G1和G2的概率。则利用与门的概率计算公式得到静态故障子树的概率 ， （4.1）将参数，带入式（4.1），可得 （4.2） 定性分析：由式（4.2

45、）可知，在双机热备系统中静态子树的概率是由失效率和故障检测率决定的，由故障树的分析方法可知，要使得系统的安全性高，即系统的故障安全状态的概率高，应该提高系统的故障检测覆盖率C，我们知道在控制系统中必须尽量减少故障率即单元的失效率，假设，则依据图3.2可知，系统处于故障安全状态的概率为1，即就是系统的安全度为1，但是一种理想的状态，由于各种原因，如硬件方面和软件方面等存在一些难题，在现实应用中是不可能达到的，因此为了提高系统的安全性能只能是尽可能最大限度的提高故障检测覆盖率。 定量分析：则静态子树模块G1与G2的事件概率计算出后，可将其等效简化为具有相同失效率P的底事件，则动态故障子树T1可简化

46、为图4.4的形式，如图4.4所示：图4.4T1的简化树动态树T1转化为马尔可夫模型进行求解，此时发生故障都可以被检测到，即，则T1系统具有以下3种状态：状态0：系统无故障，正常工作状态；状态1：某一模块发生故障；状态2：两模块都发生故障。可得T1系统的马尔可夫状态转移图，如图4.5所示： 图4.5动态树T1的马尔可夫状态转移图根据图4.5的模型，则状态转移矩阵为 = （4.3）由式（4.3）矩阵列出如下微分方程式，其初始条件为：，其中，则有： （4.4） 利用拉氏变换可以求得： （4.5） 解式（4.5）方程组，然后进行拉氏反变换，可以得到系统处于各状态的概率： （4.6） 由式（4.6）可知

47、双机热备系统出现故障安全状态的概率为： （4.7） 即就是双机热备计算机联锁系统在故障监测覆盖率为1的条件下，系统的安全度为1。 则可以看出当故障检测率为1时，系统的可靠度为： （4.8） 通过式（4.7）可知，利用故障树模型对双机热备系统进行的定性分析与定量分析是完全相一致的。对式（4.8）仿真所得的曲线见第4章，且在下一章中将更加详细深刻的讨论故障检测覆盖C对双机热备计算机联锁系统安全可靠性的影响。5 建立马尔可夫故障安全模型5.1 基本概念由于在安全可靠性的分析过程中利用组合模型存在一些不足之处： (1) 首先，许多复杂系统难以用组合模型来建模； (2) 可靠框图难以构造，可靠度的表达式

48、计算很复杂； (3) 故障监测覆盖率对可靠度的影响在组合模型中难于考虑。 鉴于组合模型的不便分析和计算，则在前人的不断努力和探索中提出了通过建立马儿可夫模型来定量分析系统的安全可靠性。在马尔可夫模型的建立过程中有以下两个概念要注意：(1) 系统状态：表示了在任一给定时刻用以描述系统的事实；(2) 状态转换：表示系统中可能发生的状态变化。5.2 双机热备计算机联锁系统的马尔可夫模型双机热备计算机联锁系统是目前经常采用的一种容错冗余系统，在故障安全系统中,采用双机热备系统的目的是为了提高系统整体可靠性,而系统安全性则主要依靠单机中采用的故障安全技术措施来实现。 然而采用双机热备系统后,系统的安全度

49、比单机的要低。双机热备是由两个独立的模块组成的系统。两个独立模块均能独立完成规定的同样功能。在双机热备系统中，每一个模块相当于一个单机。正常工作时，两模块都加电工作，不过其中只有一个模块的输出能够经过切换装置去控制被控对象，即其输出是有效的，而另一模块的输出是无效的。每个模块都有自检测和自诊断功能。当模块发现自身出现故障时，就会给出控制信号来驱使切换开关进行适当切换，并给出故障报警和提示。双机热备计算机联锁系统在工作时有如下几种工作模式：(1) 一个模块工作，另一模块热备，两模块都无故障；(2) 一个模块工作，另一模块待修，系统可以完成规定功能；(3) 两个模块都故障，则系统失效；当系统出现不

50、可测故障时，可能会给出危险输出。我们假设认为双机热备计算机联锁系统工作模块出现不可测故障时一定会给出危险输出，即系统处于非故障安全状态。马尔可夫模型的建立先作如下简化和假定： 双机热备计算机联锁系统由两个独立的完全相同的模块单机组成，切换开关是安全 可靠的，且不考虑系统维修； 双机热备计算机联锁系统由两个独立的完全相同的模块单机组成，切换开关是安全可靠的，且不考虑系统维修； 只考虑永久性故障，瞬时故障由模块的程序卷回及时间冗余等技术屏蔽； 非常保守地认为模块一旦出现不可测故障就不可逆转，即会引起危险输出； 单机的故障检测覆盖率为，模块的失效率为且大于零； 系统满足马尔可失建模过程的条件，可按马

51、尔可失过程来处理。设用X ( t) 来表示双机热备系统的状态，则： X (t)=0 时刻t，系统无故障； X (t)=1 时刻t，一模块故障，且故障可测； X (t)=2 时刻t，两模块都出现可测性故障； X (t)=3 时刻t，工作模块正常，热备模块出现不可测性故障； X (t)=4 时刻t，工作模块出现不可测性故障。 从上述的分析中可以得到双机热备计算机联锁系统的状态转移图如图5.1所示：图5.1双机热备计算机联锁系统状态转移图对状态转移图的解释如下：(1) 状态0 状态1：说明系统的工作模块或者热备模块出现了可测性故障，系统变为一个模块工作，另一模块出现可测性故障的单机工作方式；(2)

52、状态1 状态2：表示单机工作的模块出现了故障并且故障被检测出来，因此系统处于故障安全状态；(3) 状态1 状态4：说明单机工作的模块出现了不可测故障，系统处于非故障安全状态；(4) 状态0 状态4：此时热备模块正常，但工作模块出现不可测故障，无法进行切换，系统处于非故障安全状态；(5) 状态0 状态3：这时热备模块出现了不可测故障，工作模块正常，系统仍可正常工作；(6) 状态3 状态4：这是影响双机热备系统安全性关键之所在，它说明当热备模块已出现了不可测故障时，只要工作模块一旦出现不可测或可测故障都将会使系统进入非故障安全状态。根据双机热备计算机联锁系统的状态转移图，可以列出以下微分方程组：

53、（5.1） 对上列(5.1)式进行拉式变换,并代入初始条件：则得: （5.2） 解上述(5.2)式方程组,然后进行拉式反变换,可得出双机热备计算机联锁系统处于各个状态时的概率： （5.3）5.3双机热备系统的可靠度和安全度表达式 (1) 双机热备计算机联锁系统的可靠度表达式： （5.4） (2) 双机热备计算机联锁系统的安全度表达式： (5.5) (3) 双机热备系统的不安全度表达式： (5.6) (4) 双机热备系统的稳定安全度表达式： (5.7) (5) 双机热备系统的稳态不安全度表达式： (5.8)5.4 故障覆盖检测率对安全可靠性的影响从5.3节中的表达式中可以看出若设系统是一个冗余系

54、统，系统发生故障时冗余部件是否能被有效的利用在很大程度上依赖于故障检测覆盖率C。假使故障检测是完善的，也就是说故障检测覆盖率接近于1，因而系统能及时诊断出故障并正确处理故障，从而系统能够有效的利用冗余部件，通过完成系统的重组和重构，提高系统的可靠性。如果故障检测是极不完善的，即就是障检测覆率C远小于1，那么系统将无法有效地利用冗余部件，这时系统是无法辨别部件是否故障，也就无法进行故障部件的切除和替换，采用冗余提高系统可靠性的效果将降低。当时，双机热备系统的可靠度，双机热备系统的安全度，这与3.1节中利用动态故障树分析系统的安全可靠性时得到的结论是一致的。而此时系统的可靠度相当于并联系统的可靠度，与单机系统比起来，大大提高了系统的可靠性。系统的不安全度为0，也就是系统处于安全状态，这也与