双机热备计算机联锁系统可靠性与安全性指标分析

1、1998年10月北方交通大学学报Oct.1998双机热备计算机联锁系统可靠性与安全性指标分析高继祥()摘要,建立了相应的故障安全模型并分析.指出了减小故障检测时间、.当故障检测覆盖率很高时,双机热备系统与单机系统的不安全度在同一数量级上.关键词故障检测覆盖率可靠性安全性故障安全系统平均故障间隔时间危险比分类号TP273QuantityAnalysisofReliabilityandSecurityintheCamputer2basedInterlockingSystemwithDualComputersCaoJixiangZhengJunjie(CollegeofElectronicsandI

2、nformationEngineering,NorthernJiaotongUniversity,Beijing100044)AbstractThispaperanalyzestheworkmodeofcomputer2basedinterlockingsystemwithsinglecomputeranddualcomputers,establishescorrespondingfailure2safemodel,andanalyzestheinfluenceoffailurecheckingcoverratiotothereliabilityandsecurityofdualcompute

3、rssystem.Thispaperalsopointsoutthatreducingfailurecheckingtimeandincreasingfailurecheckingcoverratioaretheimportanttechnicalmeasurestoim2provethereliabilityandsecurityofdualcomputerssystem.Whenthefailurecheckingcoverrationisveryhigh,theinsecurityofdualcomputersaswellasthesinglecomputerareallinthesam

4、equantitydegree.Keywordsfailurecheckingcoverratioreliabilitysecurityfailure2safesystemav2eragefailureintervaltimedangerratio铁路信号控制系统直接涉及生命财产安全,故障机联锁系统必然是故障安全系统.由于电子技术和计算机容错技术的发展,原来只用于铁路信号控制系统的故障安全技术的应用范围不断扩大,故障安全技术已成为保障人身安全和减小财产损失的重要系统设计原则.故障安全本文收到日期1998205212高继祥男1935年生教授.on北

5、方交通大学学报第22卷技术和用它构成的故障安全系统已成为当今电子技术领域的一个重要研究课题.1故障安全系统的可靠性、安全性评价指标如果一个系统其内部发生任何故障时,系统都能给出一个将被控对象置于预定的安全侧的输出值,则称该系统为故障安全系统.实际上,绝对故障安全系统是不存在的,只要某一系统的安全性达到某一规定的标准(指标),就可以认为系统是故障安全的.有三种状态:(1)正常工作状态(W);(2)故障安全状态(F),即故障的后果是安全的;(3),故障后果使系统给出危险侧输出,其后果是灾难性的.111可靠性指标(1)系统的可靠度R(t)系统在规定的条件下和规定的时间内,完成规定功能的概率称为系统的

6、可靠度.系统的可靠度通常随时间增加而减小.(2)平均无故障间隔时间tMTBF系指系统运行至发生第一次故障的期望时间tMTBF=R(r)dt10(3)有效度A(t)系统在规定的条件下使用时,在任意时刻完成规定功能的概率,它表示可修系统的有效性.可修系统有正常工作的完好状态和不能正常工作的故障状态.可靠性要求系统不易出故障,而维修性则要求系统故障后要尽快修复,两者结合起来,用一个统一的尺度来衡量与评价系统在全部使用过程中能有效工作的程度,即系统的有效性.(4)平均修复时间tMTTR系指可修系统修复时间的数学期望时间tMTTF=tg(t)dt10式中g(t)为维修密度函数.112安全性指标设故障安全

7、系统处于各种状态的概率:P0(t)为系统处于正常工作状态的概率;P1(t)为系统处于故障安全状态的概率;P2(t)为系统处于非故障安全状态的概率.(1)系统的安全度S(t)系统在规定时间内,按规定条件不发生危险侧输出的概率S(t)=P0(t)=1-(P1(t)+P2(t)(2)系统的不安全度U(t)系统在规定时间内,按规定条件产生危险侧输出的概率U(t)=1-S(t)(3)系统的故障安全度D(t)当系统发生故障时,系统处于非故障安全的概率,也称危险比D(t)=()P1(t)+P2(t)当系统长期工作时,也可用系统稳态安全性指标来衡量系统的安全性,即当t趋近于无穷时,若S(t)、U(t)、D(t

8、)的极限存在,则分别称之为系统稳态安全度、稳态不安全度和稳态故障安全度.第5期高继祥等:双机热备微机联锁系统可靠性与安全性指标分析2故障检测覆盖率对系统的影响故障检测是确定系统有无故障,故障的定位称之为故障诊断.故障检测的有效程度用故障检测覆盖率来衡量.故障检测覆盖率指系统中任一故障被检测出来的概率.实用中常用能够被检测到的故障类别的百分比来说明.故障诊断的有效程度用故障诊断分辨率来徇.故障诊断分辨率指诊断故障部件的大小.过高的故障诊断分辨率是不必要的.211对可靠性的影响设系统是一个冗余系统.,在很大程度上依赖于故障检测覆盖率.,1,系统能及时诊断出所出现.,完成系统的重组和重构,提高系统的

9、可靠性.,故障检测覆盖率远小于1,系统将无法有效地利用冗余部件,因为这时系统是无法辨别部件是否故障,无法进行故障部件的切除和替换,采用冗余提高系统可靠性的效果将降低.212对安全性的影响在自动控制和其他许多系统中,为实现故障安全原则,除了使用一些特殊的技术措施外,还经常采用容错技术来构成故障安全系统.容错系统能够容忍和屏蔽一定数量的故障,可提高系统的可靠性和安全性.故障安全系统中的故障,根据它是否可以被检测出来,分为可测故障和不可测故障两种.如果故障可以被检测出来,总可以采取相应的措施来加以防范,避免由于故障导致系统给出危险侧输出.因此系统内部出现故障用能被及时检测出来进行处理的情况下,系统可

10、能会给出危险输出.现有的故障检测技术,一般对单故障都有很高的检测覆盖率,而对双重或多重故障的检测覆盖率则较低.多重故障发生的概率很低,因此影响安全性故障的主要是双重故障.3双机热备系统的故障安全模型双机热备系统是当前经常采用的一种容错冗余系统.在故障安全系统中,采用双机热备系统的目的是为提高系统整体的可靠性,系统安全性主要依靠单机中采用故障安全技术措施来实现.但采用双机热备系统后,系统的安全度较单机的要低.311双机热备双机热备是指由两个独立的模块组成的系统.两个独立模块都能独立完成规定的同样功能.双机热备系统中,每一个模块相当于一个单机.正常工作时,两个模块都加电工作,不过其中只有一个模块的

11、输出能经过切换去控制被控对象,即其输出是有效的,另一模块的输出是无效的.每个模块都有自检测自诊断功能,当模块发现自身出现故障时,就给出控制信号,驱使切换开关进行适当切换并给出故障报警和提示.双机热备系统在工作时有如下几种工作模式:一个模块工作,另一模块热备,两模块都无故障;一个模块工作,另一模块待修,系统可以完成规定功能;两个模块都故障,系统失效.当系统出现不可测故障时,可能会给出危险输出.我们保守地认为双机热备系统工作模块出现不可测故障时一定会给出危险输出,系统处于非故障安全状态.312故障安全模型北方交通大学学报第22卷先作如下简化和假定:双机热备系统由两个独立的完全相同的模块(单机0组成

12、.切换开关是安全可靠的,不考虑系统维修.只考虑永久性故障,瞬时故障由模块的程序卷回和时间冗余等技术屏蔽.非常保守地认为,模块一旦出现不可测故障就不可逆转,即会引起危险输出.单机的故障检测覆盖率为c,模块的失效率为且大于零.系统满足马尔可失过程的条件,可按马尔可失过程来处理.设用X(t)来表示双机热备系统的状态,则:0系统无故障1X(t)3,热备模块出现不可测故障4工作模块出现不可测故障统的,然后,可得到双机热备的状态转移图,见图1.对状态转移图的解释如下:(1)状态0状态1说明系统工作模块或热备模块出现可测故障,系统变为一模块工作,另一模块出现可测故障的单机工作方式;(2)状态1状态2表示单机

13、工作的模块出现故障且故障被检测出来,系统处于故障安全状态;(3)状态1状态4说明单机工作的模块出现不可测故障,系统处于非故障安全状态;(4)状态0状态4此时热备模块正常,图1双机热备系统状态转移图但工作模块出现不可测故障无法进行切换,系统处于非故障安全状态;(5)状态0状态3这时热备模块出现不可测故障,工作模块正常,系统仍可工作;(6)这时影响双机热备系统安全性关键之所在,它说明当热备模块已出现了不可测故障时,只要工作模块一旦出现不可测或可测故障都将会使系统进入非故障安全状态.根据双机热备系统的状态转移图,列出如下微分方程式:(t)=-2P0(t),P1(t)=2(t)=P0cP0(t)-P1

14、(t),P2cP1(t),(t)=(1-c)P0(t)-P3(t),P4(t)=(1-c)P0(t)+P1(t)+P3(t),P3如对上式进行拉式变换,并代入初始条件P0(t)=1,P1(0)=P2(0)=P3(0)=P4(0)=0,则得(S+2)P0(s)=1,(S+)P1(s)=2cP1(s),SP2(s)=cP1(t),(S+)P3(s)=2(1-c)P0(s),SP4(s)=(1-c)P0(s)+P1(s)+VP3(s)解以上方程组,然后进行拉式反变换,可求出双机热备系统处于各种状态时的概率,P0(t)=e-2t,P1(t)=2c(e-t-e-2t),P2(t)=c2(1+e-2t-2

15、e-t),t-2t),P4(t)=(1-c)(1-et)1+(1-et)c,P3(t)=(1-c)(e-e313双机热备系统的可靠度与安全度(1)可靠度R2(t)=P0(t)+P1(t)+P3(t)=e-t+ce-t(1-e-t).第5期高继祥等:双机热备微机联锁系统可靠性与安全性指标分析(2)安全度S2(t)=1-P4(t)=1-(1-c)(1-e-t)1+(1-e-t)c.(3)不安全度U2(t)=(1-c)(1-e-t)1+(1-e-t)c.(4)稳定安全度S2=c2.(5)稳定不安全度U2=1-c2.314故障安全覆盖率对系统的影响如果故障检测是理想的,当c=1,则R2(t)=2e-t

16、-e-2t,于两模块并联系统的可靠度.当c=0,则R2(t)=et.导致系统失效,.c<1时,双机热备系统的可靠度大于单机的,为了便于研究.根据单:U1(t)=1-S1(t)=(1-c)(1-et);双机热备系统的不安全度为U2(t)=(1-c)(1-e-t)1+(1-e-t)c.可见,双机热备系统的不安全度大于单机系统的不安全度.两者不安全度的比为H=()=1+(1-R1(t)c1U1(t)可见,当单机的可靠度接近于1时,双机热备的不安全度接近于单机的不安全度.因0<R1(t)<1和0<c<1,故1<H<2,所以双机热备的不安全度大于单机的不安全度但

17、不超过单机不安全度的两倍,两者的不安全度在同一数量级上.上式也说明了故障检测覆盖率对双机热备不安全度的影响,故障检测覆盖率越大,双机热备的不安全度就越接近于单机的不安全度的2R1(t)倍.综上所述,双机热备系统的不安全度要大于单机系统的不安全度.可见,采用了双机热备虽提高了系统的可靠度但却降低了系统的安全性.在稳态情况下,当c=015时,双机热备系统的稳态安全度下降到0125.故障安全系统为了提高其安全性和可靠性,采用了较完备的故障检测技术和安全输出和输入接口技术.单故障都可以被检测出来,而且单一故障一般不会造成系统的危险输出.不可检测的多重故障出现的概率很低,对系统的危害性最大的当属双重故障

18、.综上所述,考虑到故障检测覆盖率的影响时,可以得到以下结论:双机热备系统的可靠度大于单机的可靠度但小于两模块并联的可靠度;双机热备系统的安全度略低于单机系统的安全度;故障检测比较完善,检测时间又较少时,故障能被及时检出,双机热备系统的安全度接近于单机系统的安全度,它们同处一个数量级上;热备模块出现不可测故障时,工作机出现可测故障就会使系统进入非故障安全状态,这是使双机热备系统安全性下降的主要原因.鉴于热备模块出现不可测故障后,也有再次出现故障向可测性故障转移的可能性.另外,在考虑维修时,双机系统的可用度提高了,这些因素都有利于提高双机热备系统的安全度.4结论对于故障检测比较完备的系统而言,双机热备系统的安全度不会大幅度下降.可采用以下技术措施来提高双机热备系统的安全度:(1)减少故障检测间隔时间,及时检出故障;(下转82页)413信号开放与保持过程北方交通大学学报第22卷(1)开放信号子过程Sj(KT)=Aj(KT)Cj(KT)X(KT),其中变量X是指:当开放发车信号时,反映闭塞设备已经办理好闭塞手续的条件变量;当开放转场信号机时,反映对方信号楼已经同意转场的条件变量;以及诸如延续进路、道口信号等条件的变量.(2)信号保持子过程Aj(K+1)T=G(K+1)TT(+1),或者Aj(K+1)T=G(K+1)T(1)1)TDi,而Sj(K+1)T=Aj(K+)TjK