基于马尔柯夫过程的冗余系统工作策略研究

基于马尔柯夫过程的冗余系统工作策略研究

乘二取二系统模型分析在可靠性系统的设计中，冗余技术是提高系统可靠性和安全性的主要技术。为了保障航空航天、铁路、核电站、石油化工、武器装备、机器人以及医疗仪器等高风险系统的可靠性和安全性,通常采用双机热备和三模冗余等结构,对这些结构的可靠性、安全性及实现技术的研究可参看文献。近年来,一种新的冗余结构——“二乘二取二”冗余结构开始在铁路信号计算机联锁系统中应用,对该结构的可靠性和安全性分析主要有文献,但经过仔细研究,这些分析都由于模型表述欠准确而存在一定缺陷。文献在使用马尔可夫过程进行模型分析时,对于运算模块出现不可测故障的处理有待商榷:出现不可测故障的子系统继续工作而不切换和检修,抹煞了比较器的作用;状态转换图中,运算模块存在不可测故障的状态向故障安全或危险状态转移的物理含义不清。文献均将子系统作为一个整体来研究,降低了模型的复杂程度,有一定的借鉴作用,但模型没有将通过输出比较和模块自检发现的故障情况进行区分,也有待商榷,而且文献在进行模型分析时,状态转换还存在错误,其中状态P10P11的转移率应是原文献的两倍,若按原文献的处理,实际上是冷备结构而非热备冗余结构。针对上述问题,本文对“二乘二取二”系统的工作过程进行了细分描述,提出了该系统的两种不同工作策略,并采用马尔可夫模型进行了状态划分和转换分析;在此基础上,通过Matlab仿真计算,分析了该冗余系统不同策略下的可靠性和安全性以及影响可靠性和安全性的因素。与三模冗余和双机热备系统的对比研究表明,在实际应用中,如果选择策略1,则安全度最高,但其可靠度最低,如果选择策略2,则可以在获得最高可靠度的同时得到较高的安全度。1输出选择器的剩余时长为单模可测故障时二乘二取二冗余系统由两个比较子系统和一个输出选择器组成,其基本结构如图1。比较子系统:由两个具有故障检测功能的运算模块和一个比较器组成。当运算模块检测到自身出现故障时,将向比较器发送一个控制信号,如果模块没有检测到故障即比较器没有接收到模块发出的故障信息时,比较器将对两个模块的输出进行比较,如果相同,则将模块的输出作为子系统的输出,如果不同则向输出选择器发送“子系统比较不一致故障”的控制信号,该子系统输出无效。当任一模块检测到故障时,系统有两种不同的工作策略:策略1是直接向输出选择器发送“子系统可测故障”的控制信号,子系统输出无效;策略2是剩余模块继续工作,比较器将该模块的输出作为子系统的输出,并向输出选择器发送“子系统单模可测故障”的控制信号,当另一个模块又检测到故障时,则向输出选择器发送“子系统双模可测故障”(非共摸故障)的控制信号,子系统停机。总之,对于策略1,子系统的输出有正常、比较器不一致故障和子系统可测故障三种情况,而策略2的输出有正常、比较器不一致故障、子系统单模可测故障和子系统双模可测故障四种情况。为了便于检修和维护,子系统在发生任何故障时都需要给出报警和提示信息。输出选择器:用来在两个比较子系统中选择一个子系统的输出去控制被控对象,而输出被选中的子系统称为主机子系统,未被选中的子系统称为备机子系统。表1和表2为两种策略下输出选择器的处理方法,其中列2和列3为故障发生前主备机子系统的状态,列4为新发生的故障,列5为新故障发生后输出选择器的输出。从表中可以看出,正常情况下,两个子系统都产生输出,但只有一个子系统的输出被选择器选中去控制被控对象。当子系统出现故障时,如果是备机子系统,则输出选择器不进行输出切换;如果是主机子系统出现故障,若备机子系统正常,则进行输出切换(这时备机子系统变成主机子系统),若备机子系统有故障,此时存在两种工作策略:策略1:输出选择器向将被控对象发送一个使其导向安全的输出(即故障安全输出)。策略2:如果主机子系统是“单模块可测故障”,则输出选择器不进行输出切换,如果主机子系统是“比较不一致故障或双模可测故障”,在备机子系统是“比较不一致故障或双模可测故障”时,输出选择器向被控对象发送一个使其导向安全的输出;在备机子系统是“单模块可测故障”时,输出选择器选择备机子系统剩余模块的输出作为系统的输出,这时整个系统降级成为单个模块的工作方式。为了便于说明,在以下的讨论中,记策略1和2下的“二乘二取二冗余系统”为DVRS-1(DVRS:Double2-Vote-2RedundancySystem)和DVRS-2。2乘二取二冗余系统的假设对于比较子系统而言,当两个模块发生共模故障且都没有被检测到时,比较器将无法通过比较检测到这个故障,此时子系统的输出将不可靠,如果该输出被输出选择器选中去控制被控对象,则系统将可能处于危险状态。由于共模故障概率较小,且可以使用时间相异性等设计方法减小,在进行可靠性和安全性分析时,通常不考虑共模故障情况。在分析二乘二取二冗余系统时,作以下假设:(1)四个模块的设计完全相同,即各个模块的故障率、修复率和故障检测覆盖率均相同且是常数。(2)输出选择器和比较器完全可靠。如果考虑选择器和比较器不可靠情况,情况将变得十分复杂,在大多数针对多处理单元系统进行可靠性分析时,普遍采用上述假设。由假设(1)可知,若某模块在时刻t正常工作,则在t+∆t发生故障的概率为p=1-e-λ∆t,式中,λ为故障率,即单位时间如1小时内出现的故障数。对于很小的∆t,该式可简化为p=1-e-λ∆t≈λ∆t,考虑到故障检测覆盖率c(运算模块中任一故障被检测出来的概率,实用中常用被检测到的故障类别百分比表示),则运算模块出现故障且被检测到的概率为cλ∆t,不能被检测到的概率为(1-c)λ∆t。同样若某运算模块在时刻t出现故障,则在t+∆t时被修复的概率为p=1-e-µ∆t≈µ∆t,式中,µ为修复率,即单位时间如1小时内修复的故障数。基于以上假设,在只有一组维修工的情况下,DVRS-1和DVRS-2的马尔柯夫模型状态转换图见图2、图3。2.1各系统停机试验方案DVRS-1的状态转换图见图2,其马尔可夫状态含义为:状态0:四个模块都正常。状态1:一个模块出现可测故障。状态2:一个子系统两个模块均出现可测故障。状态3:两个子系统都存在故障,系统停机。状态4:一个模块出现不可测故障。状态5:一个子系统两个模块一个出现不可测故障、一个出现可测故障。记pj(t)=p(X(t)=j),表示t时刻系统处于状态j的概率,j∈{0,1,2,3,4,5},令P(t)=[p0(t),p1(t),p2(t),p3(t),p4(t),p5(t)],则P(t)满足方程:式中,A为状态转移密度矩阵,由状态转换图易知:求解方程(1),并代入初始条件P(0)=,可得到t时刻各个状态的概率,从而求得系统的可靠度R(t)和安全度S(t):由于所有的状态都是安全的状态,故安全度S(t)≡1。2.2主、备机子系统故障DVRS-2的状态转换图见图3,其中状态0、1、2、4的含义同策略1,其他状态含义为:状态3:单模块工作正常,其他模块均可测故障。状态5:主机子系统单模块工作、备机子系统一个,模块出现不可测故障。状态6:主备机子系统各有一个模块出现可测故障。状态7:主机子系统正常、备机子系统一个模块是可测故障,一个是不可测故障。状态8:主机系统单模块工作,备机子系统一个模块是可测故障,一个是不可测故障。状态9:子系统都失效或停机。状态10:系统单模块工作时,该模块又出现不可测故障,系统处于危险状态。同样用pj(t)=p(X(t)=j),表示t时刻系统处于状态j的概率,j∈{0,1,2,3,4,5,6,7,8,9,10},P(t)=[p0(t),p1(t),p2(t),p3(t),p4(t),p5(t),p6(t),p7(t),p8(t),p9(t),p10(t)],系统的状态转移密度矩阵A为:将A和P(t)带入方程(1)求解,并代入初始条件P(0)=[1,0,0,0,0,0,0,0,0,0,0],可得到t时刻各个状态的概率,从而得到系统的可靠度和安全度:3不同修复率的仿真结果对于方程(1),可以通过Laplace变换等方法求得其解析解,进而求得系统的可靠度和安全度,但结果比较繁琐,为此使用Matlab的Ode4指令进行仿真计算。假设系统的故障率λ为0.0001次/h,时间范围为0~10000h。先令µ=0.9次/h,考察故障检测覆盖度c对可靠度R(t)和不安全度U(t)的影响(不安全度U(t):系统产生危险输出的概率,即U(t)=1-S(t),因S(t)变化较小,这里使用U(t)来表征各参数对系统安全性的影响),其结果见表3和表4。再令c=0.95,考察修复率µ在不同的策略和参数t下,对可靠度和不安全度的影响,结果见表5和表6。从表3和表4可以看出,当µ=0.9时,随着c的增大,DVRS-1和DVRS-2的可靠度大幅增大,DVRS-1的不安全度为0即安全度为1(由2.1节可知在不考虑共模失效时,安全度恒为1,下面的讨论,若不特别说明,均不包含DVRS-1的安全度),DVRS-2的不安全度先增大后减小即安全度先减小后增大,但总体变化很小;当c≥0.9时,二乘二取二冗余系统能获得较大的可靠度和安全度。由表5和表6可知,当系统的故障检测覆盖率c为0.95时,除DVRS-1的安全度不变外,DVRS-1和DVRS-2的可靠度以及DVRS-2的安全度均随着修复率µ的增大而增大(表中DVRS-2的不安全度随着修复率µ的增大而减小)。当µ较大如大于0.1时,µ的变化对DVRS-1和DVRS-2的可靠度影响较小,而当µ较小时,对可靠度的影响较大,比较而言,µ对DVRS-1的影响要大于对DVRS-2的影响。进一步仿真发现,当c取其他值时,该结论也成立。综合表3、表4、表5、表6,可以发现,当c≠0时,对于所有的c和µ,DVRS-1的安全度要大于DVRS-2,可靠度要小于DVRS-2;当c=0时,DVRS-1和DVRS-2的可靠度和安全度相同。后者是因为在c=0时,DVRS-1和DVRS-2可简化成三个状态:四个模块均正常、一个模块不可测故障、两个子系统各有一个模块不可测故障,使用Laplace变换可得系统的可靠度R(t):从上式可以看出,R(t)与µ无关。取λ为0.0001次/h,t为10000h,则R(t)=0.2524。同样,可得到系统的安全度S(t)≡1。4/对于仿真度的影响为了进一步讨论二乘二取二冗余系统的适用范围,本文选择常用的三模冗余和普通双机热备与其进行对比研究。同样令故障率λ为0.0001次/h,时间范围为0~10000h,故障检测覆盖率c为0.95,并分别在µ=0.9(可修复)和µ=0(不可修复)时对系统的可靠度和安全度进行仿真,其仿真曲线见图4、图5、图6和图7。其中三模冗余和普通双机热备系统的详细分析参见文献。从图4、图5、图6、图7可以看出,DVRS-1的可靠度最小,但其安全度最高;当µ=0.9时,DVRS-2的安全度和可靠度均要高于三模冗余和双机热备结构,当µ=0时,DVRS-2的可靠度最高,但其安全度略低于三模冗余。因而在实际使用中,如果对安全度要求及其严格,我们使用DVRS-1,其他情况下,使用DVRS-2能获得较高的安全度和可靠度。5c+0情况下,dvrs-1和dvrs-2在c的0下的安全度和安全度比较本文研究了二乘二取二冗余系统的基本原理和工作策略,并使用马尔可夫模型对其可靠性和安全性进行了分析,通过Matlab仿真以及与三模冗余和双机热备结构相比,可以得出如下结论:(1)当c=0时,两种策略的