張永賢，鄒力棒，吳文杰，廖肇聰

（華東交通大學電氣與自動化工程學院，江西 南昌 330013）

二乘二取二系統(tǒng)的一種新降級策略研究

張永賢，鄒力棒，吳文杰，廖肇聰

（華東交通大學電氣與自動化工程學院，江西 南昌 330013）

隨著國內軌道交通行業(yè)的高速發(fā)展，系統(tǒng)的安全性和可靠性越來越受到重視。以提高軌道交通控制中常用的二乘二取二安全計算機的可靠性和安全性為目標，分析了幾種常用冗余結構的可靠性，進一步提出了一種基于三取二冗余結構及二乘二取二冗余結構的新降級工作策略。在考慮多模故障的情況下，分析了該系統(tǒng)所有工作狀態(tài)以及各狀態(tài)之間的轉移關系，依此建立馬爾可夫狀態(tài)轉移模型，通過MATLAB分析新降級工作策略下系統(tǒng)的安全性和可靠性。與傳統(tǒng)二乘二取二系統(tǒng)進行對比，新降級工作策略下系統(tǒng)具有更高的可靠性。

二乘二取二；可靠性；安全性；多模故障；馬爾可夫模型

隨著高速鐵路及城市軌道交通的快速發(fā)展，安全控制問題受到越來越多的關注。安全計算機是軌道交通列車車載與地面控制系統(tǒng)的核心，直接影響到列車能否安全可靠并且高效地運行[1]。采用冗余容錯結構可提高安全計算機的可靠性和安全性，常用的冗余容錯結構有二乘二取二、帶自診斷的雙機熱備、三取二表決等[1-5]。文獻[6]中列出了所有表決冗余系統(tǒng)可靠性的基礎計算方法，這種計算方法有一定的局限性，只適用于初步的冗余結構研究，現(xiàn)有文獻中大多使用馬爾科夫模型結合系統(tǒng)工作情況進行分類[7-9]?，F(xiàn)有二乘二取二可靠性和安全性分析相關文獻沒有考慮由共因失效[9]導致的多模故障率（包括雙模失效和三模失效），而多模故障在在安全性和可靠性分析中不可忽略。幾種常見安全結構體系中，三取二表決系統(tǒng)可靠性比二乘二取二系統(tǒng)可靠性要高。為了提高二乘二取二系統(tǒng)的可靠性，提出了一種基于總線表決的新的二乘二取二結構的降級工作策略，在考慮多模故障的情況下，利用馬爾可夫理論將系統(tǒng)工作狀態(tài)進行劃分，詳細研究該模式下的狀態(tài)轉移，分析新工作策略下系統(tǒng)的可靠性和安全性。

1 二乘二取二冗余系統(tǒng)工作策略

1.1 傳統(tǒng)降級策略

如圖1所示，二乘二取二結構包含兩個比較子系統(tǒng)，分別為A系和B系，系內包括兩個具有故障檢測功能的運算模塊和二取二表決器。處于主系狀態(tài)的二取二表決器對兩個模塊的輸出進行比較，相同則該系的輸出作為系統(tǒng)的輸出，不同則進行主備切換，由于備系和主系一直保持任務同步，備系接替主系任務并轉為主系。如切換成功則原主系進入維修狀態(tài)，不成功則進入停機狀態(tài)，系統(tǒng)輸出導向安全側。

1.2 新降級策略

如圖2所示，4個模塊的輸出通過4條具有安全協(xié)議的總線（BUS1，BUS2，BUS3，BUS4）傳入總線控制器，與傳統(tǒng)二乘二取二結構相比，不再需要主備切換和二取二表決器，但增加了1個多功能的總線控制器?？偩€控制器可進行一定故障診斷、主備系數(shù)據(jù)同步、狀態(tài)信息記錄等功能，但其主要功能是根據(jù)四路總線上的信息進行表決。

所設計的二乘二取二新降級工作策略是當A系或B系之中任意一個模塊產生可檢測故障時，由二乘二取二結構降級為三取二表決結構，當再次出現(xiàn)可測故障時，進入二取二表決結構。而傳統(tǒng)工作策略中當單一模塊出現(xiàn)故障后直接降級為二取二結構，故障模塊系中另一模塊沒有發(fā)揮出應有的作用，而二乘二取二新降級工作策略能使得系統(tǒng)充分發(fā)揮故障系非故障模塊的作用，使系統(tǒng)具有更高的可靠性。

圖1 二乘二取二系統(tǒng)結構圖Fig.1 Architecture of double 2-out-of-2

圖2 基于總線表決的二乘二取二結構圖Fig.2 Architecture of double 2-out-of-2 based on bus voting

當檢測出單一故障模塊時，故障系無故障模塊通過該路總線發(fā)送屏蔽同系故障模塊碼及當前計算結果，總線控制器根據(jù)接收到屏蔽碼來改變表決策略，發(fā)送模式碼給各模塊，各模塊可在完成基本任務的同時還可進行故障診斷和故障恢復任務，而總線控制器進行數(shù)據(jù)備份且進行表決輸出，總線控制器工作流程見圖3。圖中A1、A2、B1、B2分別是A系、B系的兩模塊輸出。關于該總線控制器，需要說明的是：① 總線控制器的表決輸出使用動態(tài)驅動和安全輸出接口，保證總線控制器在發(fā)生輸出故障時也不會導向危險側；② 總線控制器的表決功能具有安全協(xié)議的，且表決的信息需通過總線與A系和B系模塊進行核對，總線控制器的表決輸出可認為是二乘二取二冗余系統(tǒng)的表決輸出，總線控制器負責組合A、B系模塊1與模塊2的輸出結果并進行表決。因此，在后文建立馬爾科夫模型時，不考慮總線控制器故障，其表決可靠度與傳統(tǒng)二乘二取二冗余系統(tǒng)中的二取二表決器一致。

圖3 總線控制器工作流程圖Fig.3 Bus controller diagnosis and voting flow

2 系統(tǒng)的可靠性和安全性分析

可靠性R（t）是指系統(tǒng)在一定的環(huán)境下，在給定的時間內完成預定功能的概率,可靠的系統(tǒng)只能在一定程度上保證是個相對安全的系統(tǒng)，安全性S（t）是系統(tǒng)避免不可接受的傷害風險的概率，本文中是指不考慮其他外部因素下系統(tǒng)不產生危險輸出的概率。設單個模塊的可靠度為R（t），不可靠度為1-R（t），則n個模塊冗余結構的可靠度RS（t，n）為[9]

其中n中取k表決冗余結構的可靠度RS（t，k/n）為[2]

式中i取值為1～k-1，表示該冗余結構中i個模塊正常工作，n-i個模塊失效。假設單個模塊的在t時刻的可靠度R=0.9，根據(jù)式（1）和式（2），分別得出該時刻的三取二、二乘二取二、四取三冗余結構的可靠度

結果表明，三取二表決系統(tǒng)比二乘二取二冗余表決系統(tǒng)在可靠性上具有一定優(yōu)勢，而四取三表決可靠性反而比三取二可靠性低。二乘二取二系統(tǒng)要在可靠性上獲得進展必須在其工作策略上進行優(yōu)化。在更為詳細地分析二乘二取二冗余系統(tǒng)時，作以下假設：

1）4個模塊的設計完全相同，即單模故障率、修復率和故障檢測覆蓋率均相同且是常數(shù)，共因失效導致的雙模故障率等于三模故障率且是常數(shù)。

2）具有安全通信協(xié)議總線的表決可靠度與傳統(tǒng)二乘二取二系統(tǒng)中的硬件二取二比較器相同，同設為1。

3）在某一時刻只能同時發(fā)生一種類型的故障，即單模故障、雙模故障或三模故障。

系統(tǒng)模塊失效不僅分為單模失效、雙模失效、三模失效，還可進一步分為可測失效和不可測失效。設單模失效率為λ，雙模失效率和三模失效率都為β。故障覆蓋率為c，1-c為故障未檢測到的概率，單模塊維修率為μ，假設系統(tǒng)各模塊在t時刻正常工作，故障失效服從指數(shù)分布，則在t+Δt時刻發(fā)生可測單模故障的概率是p=1-e-cλΔt，當Δt很小時，可簡化為cλΔt。依此可推出雙?；蛉？蓽y故障概率為cβΔt，其不可測雙?；蛉９收细怕剩?-c）βΔt。

基于以上假設，二乘二取二冗余系統(tǒng)傳統(tǒng)工作策略狀態(tài)如表1。本文設計的新降級工作策略見表2，與傳統(tǒng)工作策略相比，增加2種狀態(tài)，一種是可修復三取二狀態(tài)，一種是不可修復三取二狀態(tài)。

表1 傳統(tǒng)工作策略狀態(tài)表Tab.1 State of traditionalworking strategy

表2 新降級工作策略狀態(tài)表Tab.2 State of new degradation working strategy

2.1 傳統(tǒng)降級策略下的狀態(tài)轉換馬爾可夫模型

用來分析系統(tǒng)可靠性和安全性常用的方法有動態(tài)故障樹分析法[11]、馬爾可夫模型分析法。動態(tài)故障樹法必須區(qū)分任何一種失效模式，特別適用于具有動態(tài)隨機相關性故障的容錯、冗余系統(tǒng)以及順序相關性系統(tǒng)的可靠性建模和分析。但是它對于研究新的工作模式并不合適，過程復雜。馬爾可夫模型分析法是一種常用的分析可靠性和安全性的方法，且模型簡易明了，能夠很好的描述系統(tǒng)在正常運行、故障、維修、虛警等狀態(tài)之間的轉移過程[12]。缺點是模型狀態(tài)空間的增加隨冗余系統(tǒng)規(guī)模大大增加，使得難以計算。

本文對新系統(tǒng)進行了合理的模式分類，其系統(tǒng)模型較小，求解簡單。根據(jù)傳統(tǒng)工作策略，結合表1，其傳統(tǒng)二乘二取二系統(tǒng)狀態(tài)轉換圖見圖4。

圖4 傳統(tǒng)二乘二取二系統(tǒng)狀態(tài)轉換圖Fig.4 Markov state transition of traditional double 2-out-of-2 system

狀態(tài)0到狀態(tài)1含義為正常二乘二取二狀態(tài)下發(fā)生單個模塊的可測故障和發(fā)生雙?？蓽y失效轉換到二取二狀態(tài)，根據(jù)其任一單模塊可測故障導致的狀態(tài)改變可理解為四個串聯(lián)的系統(tǒng)，每個系統(tǒng)的可靠性為e-cλΔt，其總概率等于e-4cλΔt。根據(jù)其兩個雙?？蓽y故障導致的狀態(tài)改變可理解為兩個串聯(lián)的系統(tǒng)，每個系統(tǒng)的可靠性為e-cβΔt，其總概率等于e-2cβΔt。這兩種可測故障又可看出一個串聯(lián)系統(tǒng)，發(fā)生任意一種都會導致狀態(tài)改變。最終由狀態(tài)0到狀態(tài)1的總概率為1-（e-2cβΔt，e-4cλΔt），由于其Δt很小，Pij（t）（i=0，j=1）可簡化為（4cλ+2cβ）Δt。同理得出系統(tǒng)各個狀態(tài)之間的齊次馬爾可夫轉移概率Pij。

記Pij（t）是齊次馬爾可夫過程的轉移概率，qii，qij為轉移密度，定義為

結合式（3）和式（4）可得其轉移密度矩陣A

利用柯爾莫哥洛夫向前方程也即式（9）將求解馬爾可夫鏈轉移概率的問題轉變?yōu)榍蠼饩仃囄⒎址匠痰膯栴}。再利用MATLAB求解矩陣微分方程，得出各個狀態(tài)在t時刻的概率P（t）。從而求得該系統(tǒng)的可靠度R（t）和安全度S（t），其中Px（t）中x代表狀態(tài)序號，在傳統(tǒng)工作策略下除狀態(tài)3之外都屬于輸出安全狀態(tài)，除狀態(tài)3和狀態(tài)4之外的狀態(tài)都屬于結果可靠狀態(tài)。有

2.2 新降級工作策略下的狀態(tài)轉換馬爾可夫模型

分析各狀態(tài)之間的轉移原理，圖5中詳細地標明了各狀態(tài)之間轉換的轉移概率。以下是部分狀態(tài)之間轉移的含義。

圖5 新降級策略下二乘二取二系統(tǒng)狀態(tài)轉換圖Fig.5 Markov state transition of double 2-out-of-2 system based on new degradation

1）0→1：二乘二取二中任一可測單模故障導向三取二。

2）0→2：二乘二取二中任一系發(fā)生可測雙模故障導向二取二。

3）0→3：二乘二取二中任一系發(fā)生不可測單模故障和主系不可測雙模故障導向二取二，二乘二取二中發(fā)生單模不可測故障時，不能自檢出具體哪個模塊故障，只能默認該系出故障，發(fā)生雙模主系可測故障時，其總線表決或硬件表決器能檢出故障系，使得導向二取二。

4）0→6：二乘二取二中主系發(fā)生不可測雙模故障導向故障-危險。

5）1→2：三取二中發(fā)生任一可測單模故障導向二取二。

6）3→4：不可修復的二取二發(fā)生單模故障和可測雙模故障導向故障-安全。

7）5→3：不可修復的三取二只是其中不可測故障單元不可修復，當二乘二取二轉移至三取二時的可測故障又重新修復時，導致5狀態(tài)轉為0狀態(tài)，但是由于還有不可測故障，又導向至3狀態(tài)。

8）5→4：不可修復三取二狀態(tài)下發(fā)生雙?；蛉？蓽y故障導向故障-安全，發(fā)生單模故障則轉移至狀態(tài)3（二取二），但是由于存在未檢測單模故障，立即轉向安全側。

9）5→6：不可修復三取二狀態(tài)下發(fā)生未檢測雙模故障或三模故障系統(tǒng)導向故障-危險。當發(fā)生未檢測單模故障時，和另一未檢測單模（1-5狀態(tài)時產生）共同組成未檢測雙模故障，同樣導向故障-危險。

由于存在二取二點對點通信系內表決和總線表決或其他方式的硬件表決器。安全冗余結構下的未檢測故障并非沒有發(fā)現(xiàn)系統(tǒng)故障，而是發(fā)現(xiàn)故障時不能確定其故障模塊是系內哪一個模塊，且不可修復。

結合式（6），式（7）和圖5推出其轉移密度矩陣A，并根據(jù)轉移密度矩陣每行元素相加等于0的特性驗證其轉移密度矩陣A是否正確。

2.3 仿真結果與分析

使用MATLAB對式（9）進行編程求解。假設系統(tǒng)的單模故障率為0.000 1次/h，共模故障率β為0.000 1次/h,模塊維修率μ=0.01次/h，故障檢測覆蓋率c為0.99，運行時間為5 000h。考察在相同的條件下2種不同的工作策略下的系統(tǒng)在可靠性上和安全性上優(yōu)劣，利用MATLAB求解式（9），結果代入式（10）和式（11），將不同策略下的可靠性和安全性進行比較，其可靠性比較結果如圖6，安全度比較結果如圖7。

圖6 可靠度對比圖Fig.6 Reliability of system s

圖7 安全度對比圖Fig.7 Safety of systems

圖6表明新降級工作策略下的二乘二取二系統(tǒng)可靠性比傳統(tǒng)工作策略下的二乘二取二系統(tǒng)高，這主要是由于新工作策略比傳統(tǒng)工作策略上多了一層三取二的高安全可靠過渡段，提高了整體的可靠性。從圖7中可知，兩種工作策略在安全性上沒有明顯差別。

3 結論

本文研究了二乘二取二系統(tǒng)的基本工作策略和結構，提出了一種基于總線表決的二乘二取二新降級工作策略，新降級工作策略同時帶來了三模故障的情況發(fā)生。有必要在考慮多模故障的情況下建立其馬爾可夫模型，使用MATLAB對其進行微分方程求解，并與傳統(tǒng)工作策略的二乘二取二系統(tǒng)的安全度以及可靠度進行對比研究。當故障識別能力相同以及其他可影響可靠性和安全性的條件一致時，新降級工作策略下的二乘二取二冗余系統(tǒng)的可靠性優(yōu)于傳統(tǒng)二乘二取二冗余系統(tǒng)，安全性沒有明顯差別。所設計的新降級工作策略為提高二乘二取二冗余結構的可靠性提供一種新的解決思路。

[1]劉立月.GNSS列車定位有效性及安全完整性研究[J].華東交通大學學報，2014，31（1）：39-43.

[2]劉真.一種三取二安全計算機系統(tǒng)的設計與實現(xiàn)[J].鐵路計算機應用，2016，25（11）：49-52.

[3]黃波，曹幫林，張福鑫，等.一種三?；旌先哂嗫偩€控制系統(tǒng)設計研究[J].航天控制，2015，33（6）：76-80.

[4]程詩佳，張丹紅，戈樂，等.計算機聯(lián)鎖系統(tǒng)中可靠冗余結構的研究[J].工業(yè)控制計算機，2016，29（8）：78-79.

[5]王芃，劉劍，李博.二乘二取二系統(tǒng)的安全性與可靠性分析[J].鐵道通信信號，2013，49（S1）：104-105.

[6]孫懷義，劉斌，曹曉莉.表決冗余系統(tǒng)可靠性與安全性研究[J].電子測量與儀器學報，2011，25（7）：661-664.

[7]陳州，倪明.三模冗余系統(tǒng)的可靠性與安全性分析[J].計算機工程，2012，38（14）：239-241.

[8]DWYER V M.Reliability of various 2-out-of-4：G redundant systemswithminimal repair[J].IEEE Transactions on Reliability，2012，61（1）：170-179.

[9]張本宏，陸陽，韓江洪，等.二乘二取二冗余系統(tǒng)的可靠性和安全性分析[J].系統(tǒng)仿真學報，2009，21（1）：256-261.

[10]方云根，曾小清，王剛.軌道交通列控系統(tǒng)共因失效分析[J].上海交通大學學報，2015，49（7）：1052-1057.

[11]張文韜，張友鵬，蘇宏升，等.基于動態(tài)故障樹的CTCS-3級ATP系統(tǒng)可靠性分析[J].工程設計學報，2014，21（1）：18-26

[12]楊其國.基于Markov過程的冗余系統(tǒng)可靠性分析[J].計算機仿真，2011，28（1）：356-359.

New Degradation Strategy of Double 2-out-of-2 System

Zhang Yongxian，Zou Libang，Wu Wenjie，Liao Zhaocong
（School of Electrical and Automation Engineering，East China Jiaotong University，Nanchang 30013，China）

With rapid development of railway in China,safety and reliability of systemshave been paidmore andmore attention.In order to improve the reliability and safety of double 2-out-of-2 system which is widely used in railway vital computers，the reliability of several commonly used redundant architectureswere analyzed and a new degradation strategy was proposed based on the analysis of the architecture of double 2-out-of-2 and 2-out-of-3.In the case of simultaneous failure ofmultiplemodules,the working strategy and the transition of all states of the system were analyzed，and the Markov state transitionmodel was established.Its reliability and safety were evaluated by MATLAB.Compared with the traditional double 2-out-of-2 system，the new degradation strategy systemhashigher reliability.

double 2-out-of-2；reliability；safety；multiplemodule failure；Markovmodel

1005-0523（2017）05-0099-07

U284.3；TP39

A

2017－04－19

江西省教育廳科學技術研究項目（GJJ160496）；華東交通大學校立科研基金（14DQ06）

張永賢（1975—），男，副教授，研究方向為軌道交通控制與安全。

（責任編輯 姜紅貴）