李軍麗，張友鵬

基于動(dòng)態(tài)故障樹的計(jì)算機(jī)聯(lián)鎖系統(tǒng)安全性及性能分析研究

李軍麗，張友鵬

(蘭州交通大學(xué) 自動(dòng)化與電氣工程學(xué)院，甘肅 蘭州 730070)

針對(duì)2種常用冗余結(jié)構(gòu)計(jì)算機(jī)聯(lián)鎖系統(tǒng)中的聯(lián)鎖機(jī)子系統(tǒng)，在考慮單元模塊、比較模塊和系統(tǒng)間切換模塊全故障模式的情況下，建立雙機(jī)熱備和2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)的危險(xiǎn)失效概率PFD和安全失效概率PFS的動(dòng)態(tài)故障樹模型。由于故障樹概率近似法和Markov方法計(jì)算結(jié)果非常近似且概率近似法的求解過程簡(jiǎn)單和存儲(chǔ)要求低等特點(diǎn)，采用概率近似法求解對(duì)應(yīng)的PFD和PFS，實(shí)例對(duì)比分析2種冗余結(jié)構(gòu)計(jì)算機(jī)聯(lián)鎖系統(tǒng)的安全性。研究結(jié)果表明：在全故障模式下，2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)的安全性高于雙機(jī)熱備。

計(jì)算機(jī)聯(lián)鎖；安全性；動(dòng)態(tài)故障樹；概率近似法；危險(xiǎn)失效概率；安全失效概率

計(jì)算機(jī)聯(lián)鎖系統(tǒng)用于保證列車及調(diào)車車列的運(yùn)行安全，為提高可靠性和安全性采用了冗余結(jié)構(gòu)。自1997年至今，相關(guān)學(xué)者主要采用可靠性框圖、馬爾科夫、故障樹和動(dòng)態(tài)故障樹方法對(duì)計(jì)算機(jī)聯(lián)鎖硬件系統(tǒng)可靠性和安全性進(jìn)行了相關(guān)研 究[1?4]。馬爾科夫通過系統(tǒng)狀態(tài)的轉(zhuǎn)移來描述動(dòng)態(tài)冗余系統(tǒng)，系統(tǒng)規(guī)模決定了系統(tǒng)狀態(tài)的多少和建模的復(fù)雜程度。故障樹無法處理類似于冗余系統(tǒng)中的動(dòng)態(tài)行為[5]。同時(shí)對(duì)要求高可靠性和高安全性的計(jì)算機(jī)聯(lián)鎖系統(tǒng)來說，也無法采用蒙特卡洛仿真方法分析計(jì)算其安全性[6]；動(dòng)態(tài)故障樹結(jié)合了馬爾科夫和故障樹的優(yōu)點(diǎn)，具有順序相關(guān)、冗余等特性，能夠表達(dá)動(dòng)態(tài)冗余系統(tǒng)的相關(guān)特性。計(jì)算機(jī)聯(lián)鎖系統(tǒng)是一種典型的動(dòng)態(tài)冗余系統(tǒng)，故可以用動(dòng)態(tài)故障樹分析其可靠性和安全性。馮雪等[3]采用動(dòng)態(tài)故障樹對(duì)計(jì)算機(jī)聯(lián)鎖系統(tǒng)可靠性進(jìn)行了分析研究，對(duì)建立的動(dòng)態(tài)故障樹模型進(jìn)行了模塊化，將獨(dú)立的靜態(tài)子樹和動(dòng)態(tài)子樹分別采用BDD(Binary Decisions Diagrams,二元決策圖)和馬爾科夫進(jìn)行了分析，但建立的動(dòng)態(tài)故障樹模型只考慮了故障檢測(cè)覆蓋率對(duì)系統(tǒng)可靠性的影響。許崇[4]采用動(dòng)態(tài)故障樹對(duì)2×2取2結(jié)構(gòu)計(jì)算機(jī)聯(lián)鎖系統(tǒng)進(jìn)行了分析研究，建模過程中考慮了故障檢測(cè)覆蓋率、單元模塊失效、比較模塊失效以及切換模塊失效等因素對(duì)系統(tǒng)可靠性的影響。張文韜等[7]采用動(dòng)態(tài)故障樹對(duì)CTCS-3級(jí)ATP系統(tǒng)可靠性進(jìn)行了分析研究，采用解析法和馬爾科夫矩陣迭代法求解其子樹，但運(yùn)算量還是會(huì)隨著動(dòng)態(tài)子樹的數(shù)量而增大。蘇宏升等[8]采用動(dòng)態(tài)故障樹對(duì)區(qū)域計(jì)算機(jī)聯(lián)鎖安全性進(jìn)行了分析研究，建模過程中考慮了故障檢測(cè)覆蓋率、維修率和共因失效對(duì)系統(tǒng)安全性的影響，同時(shí)，采用概率近似法求解動(dòng)態(tài)故障樹，該方法減少了運(yùn)算量且在同樣條件下與Markov計(jì)算結(jié)果非常接近，但是在建模過程中未考慮比較模塊失效和切換模塊失效對(duì)系統(tǒng)安全性的影響?；诖?，本文針對(duì)2種常用冗余結(jié)構(gòu)計(jì)算機(jī)聯(lián)鎖系統(tǒng)，在考慮單元模塊故障(主要考慮故障檢測(cè)覆蓋率、共因失效、維修率等因素的影響)、比較模塊故障和系統(tǒng)間切換模塊故障[9](主要考慮故障檢測(cè)覆蓋率、常規(guī)失效、維修率等因素的影響)的基礎(chǔ)上，建立其動(dòng)態(tài)故障樹模型，并采用概率近似法求取安全性相關(guān)指標(biāo)，最后通過實(shí)例進(jìn)行對(duì)比分析。

1 計(jì)算機(jī)聯(lián)鎖系統(tǒng)的結(jié)構(gòu)

計(jì)算機(jī)聯(lián)鎖系統(tǒng)應(yīng)能實(shí)現(xiàn)聯(lián)鎖、顯示、故障檢測(cè)及診斷等功能，且需要晝夜不停不間斷工作，可靠性和安全性要求高。相應(yīng)要求計(jì)算機(jī)聯(lián)鎖系統(tǒng)采用多層的層次結(jié)構(gòu)，典型計(jì)算機(jī)聯(lián)鎖系統(tǒng)的層次結(jié)構(gòu)如圖1所示。

圖1 典型計(jì)算機(jī)聯(lián)鎖系統(tǒng)的層次結(jié)構(gòu)圖

計(jì)算機(jī)聯(lián)鎖硬件系統(tǒng)的可靠性和安全性很大程度上決定了整個(gè)計(jì)算機(jī)聯(lián)鎖系統(tǒng)的可靠性和安全性[10]。而在整個(gè)層次結(jié)構(gòu)中，最關(guān)鍵的是聯(lián)鎖運(yùn)算層的聯(lián)鎖計(jì)算機(jī)，聯(lián)鎖機(jī)的可靠性和安全性決定了整個(gè)計(jì)算機(jī)聯(lián)鎖系統(tǒng)的可靠性和安全性[11]。為了提高聯(lián)鎖機(jī)的可靠性和安全性，聯(lián)鎖機(jī)主要采用了2種冗余結(jié)構(gòu)，即雙機(jī)熱備和2×2取2，其結(jié)構(gòu)分別如圖2和圖3所示。

圖2 雙機(jī)熱備結(jié)構(gòu)示意圖

圖2所示的雙機(jī)熱備冗余結(jié)構(gòu)由2個(gè)相同的功能單元組成，且2個(gè)單元同時(shí)工作，但僅有1個(gè)單元產(chǎn)生對(duì)外輸出的有效運(yùn)算結(jié)果。當(dāng)工作單元故障，通過切換模塊Q輸出備用單元的運(yùn)算結(jié)果作為系統(tǒng)的輸出[12]。

圖3 2×2取2結(jié)構(gòu)示意圖

圖3所示的2×2取2冗余結(jié)構(gòu)由4個(gè)單元組成，4個(gè)單元分為相同的兩系，每一系中的2個(gè)單元同步執(zhí)行相同的聯(lián)鎖運(yùn)算，兩者只有在運(yùn)算結(jié)果完全相同時(shí)才能對(duì)外輸出；當(dāng)單系中2個(gè)CPU失去同步或者比較不一致，則該系不應(yīng)對(duì)外輸出有效運(yùn)算結(jié)果，兩系互為主備[12]。

計(jì)算機(jī)聯(lián)鎖系統(tǒng)的不同冗余類型是根據(jù)計(jì)算機(jī)聯(lián)鎖系統(tǒng)中最為關(guān)鍵的聯(lián)鎖機(jī)的冗余方式來界定的[13]，為此，本文重點(diǎn)對(duì)聯(lián)鎖機(jī)進(jìn)行系統(tǒng)的動(dòng)態(tài)故障樹分析。

2 基本假設(shè)及失效模式劃分

2.1 基本假設(shè)

為了便于分析，進(jìn)行了如下的假設(shè)[4]：

1) 系統(tǒng)中各個(gè)單元模塊相互獨(dú)立，且失效率服從指數(shù)分布。單元模塊的失效率為，比較模塊的失效率為，切換模塊的失效率為；

2) 系統(tǒng)開始工作時(shí)，各個(gè)單元模塊均處于正常工作狀態(tài)。對(duì)于雙機(jī)熱備，A機(jī)為主機(jī)，B機(jī)為備機(jī)；對(duì)于2×2取2，I系為工作系，Ⅱ系為備用系；

3) 考慮到比較模塊和切換模塊沒有相應(yīng)的故障診斷電路，故將其失效看作是不可測(cè)失效；

4) 對(duì)于2×2取2冗余結(jié)構(gòu)而言，故障系的定義有2種情況，一種是某一系中的任一單元模塊發(fā)生可測(cè)故障；另一種是某一系中的任一單元模塊發(fā)生了不可測(cè)故障，但比較模塊正常工作能夠判斷出2個(gè)模塊的輸出不一致；

5) 考慮單元模塊與切換模塊及(或)比較模塊因同樣差錯(cuò)結(jié)果導(dǎo)致的多重非共因故障；

6) 不考慮比較模塊與切換模塊因同樣差錯(cuò)結(jié)果導(dǎo)致的多重非共因故障；

7) 假設(shè)備機(jī)B機(jī)(或備用系Ⅱ系)先發(fā)生可測(cè)故障后，及時(shí)進(jìn)行維修，維修期間系統(tǒng)的其他模塊不會(huì)發(fā)生任何故障。

2.2 概率近似法

考慮到聯(lián)鎖機(jī)的失效率非常低，式(1)可以近似為：

對(duì)式(2)進(jìn)行變換后得，

式(3)表明，當(dāng)很小時(shí)，可以用失效率與時(shí)間間隔的乘積來近似表示一個(gè)元件在給定時(shí)間間隔的故障概率[14]。

計(jì)算機(jī)聯(lián)鎖系統(tǒng)作為一個(gè)可維修系統(tǒng)，維修方式有在線維修和定期維修。其中，設(shè)R為平均維修時(shí)間，適用于所有可測(cè)故障的維修時(shí)間。對(duì)于定期維修，假設(shè)系統(tǒng)在任意時(shí)刻發(fā)生失效的概率是相同的，則周期性檢查時(shí)間就是定期維修時(shí)間[15]。當(dāng)采用概率近似方法計(jì)算系統(tǒng)在給定時(shí)間間隔的故障概率時(shí)，R或就是對(duì)應(yīng)的時(shí)間間隔。

2.3 性能指標(biāo)

1) 安全失效概率PFS：發(fā)生失效時(shí)，系統(tǒng)處于安全狀態(tài)的概率；

2) 危險(xiǎn)失效概率PFD：發(fā)生失效時(shí)，系統(tǒng)處于危險(xiǎn)狀態(tài)的概率。

這2個(gè)指標(biāo)是描述系統(tǒng)非正常運(yùn)行(發(fā)生了失效)時(shí)的2個(gè)指標(biāo)。

2.4 失效模式劃分

計(jì)算機(jī)聯(lián)鎖系統(tǒng)作為一種安全苛求系統(tǒng)，對(duì)失效安全有嚴(yán)格的要求。若用表示失效率，根據(jù)失效后系統(tǒng)輸出的是安全側(cè)結(jié)果還是危險(xiǎn)側(cè)結(jié)果，有安全失效和危險(xiǎn)失效。即，

聯(lián)鎖機(jī)單元模塊設(shè)有自診斷程序，準(zhǔn)確的診斷既能夠提高安全性和增強(qiáng)可用性，又有利于減少系統(tǒng)修復(fù)時(shí)間，同時(shí)，診斷特性控制著一些容錯(cuò)結(jié)構(gòu)的運(yùn)行。設(shè)自診斷程序的診斷覆蓋率為，對(duì)安全失效和危險(xiǎn)失效2種失效模式，則有：

共因失效會(huì)抵消容錯(cuò)系統(tǒng)的優(yōu)點(diǎn)，導(dǎo)致系統(tǒng)安全性和可靠性降低。模型將每個(gè)部件的失效分為共因失效和常規(guī)失效。設(shè)共因失效因子為，則有，

由此可知：

綜合以上因素，對(duì)于雙機(jī)熱備冗余結(jié)構(gòu)，僅考慮切換器的常規(guī)失效。對(duì)于2×2取2冗余結(jié)構(gòu)，僅考慮每一系中2個(gè)單元模塊的共因失效、比較模塊及切換模塊的常規(guī)失效。

3 不同冗余結(jié)構(gòu)計(jì)算機(jī)聯(lián)鎖系統(tǒng)動(dòng)態(tài)故障樹分析

3.1 動(dòng)態(tài)故障樹

動(dòng)態(tài)故障樹通過引入表征動(dòng)態(tài)特性的新的邏輯門類型，如優(yōu)先與門，建立并分析相應(yīng)的動(dòng)態(tài)故障樹，是解決具有順序相關(guān)性以及各種可修復(fù)系統(tǒng)等動(dòng)態(tài)冗余特性系統(tǒng)的可靠性和安全性分析的有效途徑[16]。其中，優(yōu)先與門如圖4所示。

圖4 優(yōu)先與門示意圖

當(dāng)系統(tǒng)的故障模式不僅與基本事件的組合有關(guān)，還與事件發(fā)生的順序有關(guān)時(shí)，此時(shí)用優(yōu)先與門進(jìn)行表示。即，事件X和事件Y都發(fā)生，且事件X早于事件Y發(fā)生，此時(shí)，事件Z才發(fā)生[17]。

3.2 動(dòng)態(tài)故障樹模型的建立與求解

3.2.1 雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)的動(dòng)態(tài)故障樹

雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)在工作機(jī)發(fā)生可測(cè)故障后，系統(tǒng)順利倒機(jī)至備用機(jī)的關(guān)鍵在于切換模塊是否正常。根據(jù)假設(shè)條件，在切換模塊正常工作的前提下工作機(jī)先發(fā)生故障，備用機(jī)接替故障機(jī)工作，之后系統(tǒng)的狀態(tài)取決于備用機(jī)的工作狀態(tài)，此時(shí)，系統(tǒng)失效采用優(yōu)先與門表示。在工作機(jī)工作的過程中，如若備用機(jī)先于工作機(jī)發(fā)生了不可測(cè)故障，之后工作機(jī)發(fā)生可測(cè)故障，系統(tǒng)順利倒向備用機(jī)后系統(tǒng)的狀態(tài)就取決于先發(fā)生故障的單元模塊，此時(shí)，系統(tǒng)失效時(shí)也采用優(yōu)先與門表示。當(dāng)切換模塊故障，系統(tǒng)無法實(shí)現(xiàn)倒機(jī)，此時(shí)，系統(tǒng)狀態(tài)取決于切換模塊的失效狀態(tài)或由切換模塊與工作單元模塊狀態(tài)共同決定，此時(shí)，系統(tǒng)失效采用與優(yōu)先與門表示。其工作模式分析情況如表1所示。

由表1可得雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)的系統(tǒng)危險(xiǎn)失效PFD1和系統(tǒng)安全失效PFS1的動(dòng)態(tài)故障樹模型分別如圖5和圖6所示。

表1 雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)的工作模式分析情況

注：A，B和Q分別表示單元模塊和切換模塊。

圖5 雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)的PFD動(dòng)態(tài)故障樹模型

由圖5可知，雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)發(fā)生危險(xiǎn)失效的概率1為：

由圖6可知，雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)發(fā)生安全失效的概率1為：

3.2.2 2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)的動(dòng)態(tài)故障樹

根據(jù)2×2取2的工作模式及2.2節(jié)中的相關(guān)假設(shè)條件，其工作模式分析情況如表2所示。

圖6 雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)的PFS動(dòng)態(tài)故障樹模型

表2 2×2取2結(jié)構(gòu)計(jì)算機(jī)聯(lián)鎖系統(tǒng)的工作模式分析情況

Ⅰ系A(chǔ)/B不可測(cè)故障，M無故障，Q無故障，Ⅱ系故障(安全或危險(xiǎn))由Ⅱ系的失效狀態(tài)決定 Ⅰ系A(chǔ)/B不可測(cè)故障，M不可測(cè)故障，Q無故障由Ⅰ系與M的失效狀態(tài)共同決定 Ⅰ系A(chǔ)/B不可測(cè)故障，M無故障，Q無故障，Ⅱ系C和D共因失效由C和D的失效狀態(tài)共同決定 Ⅱ系C/D先可測(cè)故障系統(tǒng)正常 Ⅱ系C/D先不可測(cè)故障，Ⅰ系A(chǔ)/B后可測(cè)故障，M無故障，Q無故障由Ⅱ系的失效狀態(tài)決定 Ⅱ系C/D先不可測(cè)故障，Ⅰ系A(chǔ)/B后可測(cè)故障，M不可測(cè)故障，Q無故障由Ⅰ系和M的失效狀態(tài)共同決定 Ⅱ系C/D先不可測(cè)故障，Ⅰ系A(chǔ)/B后可測(cè)故障，M無故障，Q不可測(cè)故障由Ⅰ系和Q的失效狀態(tài)共同決定 Ⅱ系C/D先不可測(cè)故障，Ⅰ系A(chǔ)/B后不可測(cè)故障，M無故障，Q無故障由Ⅱ系的失效狀態(tài)決定 Ⅱ系C/D先不可測(cè)故障，Ⅰ系A(chǔ)/B后不可測(cè)故障，M不可測(cè)故障，Q無故障由Ⅰ系和M的失效狀態(tài)共同決定 Ⅱ系C/D先不可測(cè)故障，Ⅰ系A(chǔ)/B后不可測(cè)故障，M無故障，Q不可測(cè)故障由Ⅰ系和Q的失效狀態(tài)共同決定 Ⅰ系A(chǔ)和B共因失效，M無故障，Q無故障由A和B的失效狀態(tài)決定

注：1) A，B，C和D分別表示4個(gè)相同的單元模塊；2) M表示比較模塊；3) Q表示切換模塊。

由表2中2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)的各種工作模式組合情況表可以得出2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)危險(xiǎn)失效PFD2和系統(tǒng)安全失效PFS2的動(dòng)態(tài)故障樹模型分別如圖7和圖8所示。

圖7 2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)的PFD動(dòng)態(tài)故障樹模型

圖8 2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)的PFS動(dòng)態(tài)故障樹模型

由圖7可知，2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)發(fā)生危險(xiǎn)失效的概率2為：

由圖8可知，2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)發(fā)生安全失效的概率2為：

4 實(shí)例仿真對(duì)比分析

利用Matlab對(duì)式(13)~(16)進(jìn)行計(jì)算，分析計(jì)算過程中各個(gè)參數(shù)的選取如表3所示[1, 3, 6]。

將表3中的參數(shù)代入式(13)~(16)，可得結(jié)果如表4所示。

表3 參數(shù)表

表4 計(jì)算結(jié)果

由表4的計(jì)算結(jié)果可以看出：1) 對(duì)2種不同冗余結(jié)構(gòu)計(jì)算機(jī)聯(lián)鎖系統(tǒng)來說，在分析過程中無論是否考慮切換模塊和(或)比較模塊及其切換模塊和比較模塊在不同的故障概率下，均有PFD小于PFS，滿足“故障?安全”原則；2) 建立系統(tǒng)的動(dòng)態(tài)故障樹模型時(shí)考慮的影響因素越多，系統(tǒng)的PFD和PFS越大；且當(dāng)切換模塊和比較模塊發(fā)生故障的概率越小，系統(tǒng)的PFD及PFS越?。?) 當(dāng)切換模塊和比較模塊均非完全可靠且在不同的故障概率條件下，雙機(jī)熱備的PFD及PFS均比2×2取2的低，即2×2取2計(jì)算機(jī)聯(lián)鎖系統(tǒng)的安全性高于雙機(jī)熱備計(jì)算機(jī)聯(lián)鎖系統(tǒng)的安全性。

5 結(jié)論

1) 基于2種常用冗余結(jié)構(gòu)計(jì)算機(jī)聯(lián)鎖系統(tǒng)的工作情況，建立了全故障模式下計(jì)算機(jī)聯(lián)鎖系統(tǒng)的PFD和PFS動(dòng)態(tài)故障樹模型，使得所建立的模型更加完善，更加符合系統(tǒng)的實(shí)際工作情況。

2) 實(shí)際情況下，由主機(jī)(主系)倒向備機(jī)(備系)后，故障機(jī)切除后不會(huì)影響系統(tǒng)性能，但是在建立系統(tǒng)動(dòng)態(tài)故障樹模型時(shí)，此時(shí)采用優(yōu)先與門表示兩個(gè)事件發(fā)生的關(guān)系。所以，采用動(dòng)態(tài)故障樹分析具有冗余特性的計(jì)算機(jī)聯(lián)鎖系統(tǒng)，結(jié)果相對(duì)保守。

3) 建立模塊動(dòng)態(tài)故障樹時(shí)考慮的因素越多，2×2取2系統(tǒng)的安全性能更好，這符合鐵路對(duì)計(jì)算機(jī)聯(lián)鎖系統(tǒng)高安全性的發(fā)展要求。同時(shí)，當(dāng)系統(tǒng)中的切換模塊和比較模塊越可靠，系統(tǒng)的安全性 越高。

[1] 張萍, 趙陽. 鐵路車站計(jì)算機(jī)聯(lián)鎖控制系統(tǒng)的可靠性和安全性分析[J]. 中國安全科學(xué)學(xué)報(bào), 2003, 13(4): 48?50.ZHANG Ping, ZHAO Yang. Analysis on the reliability and safety of the interlocking control system of railway computer[J].China Safety Science Journal, 2003, 13(4): 48?50.

[2] 張佳楠, 王海峰, 蔣大明. 計(jì)算機(jī)聯(lián)鎖系統(tǒng)二乘二取二容錯(cuò)結(jié)構(gòu)分析[J]. 鐵路計(jì)算機(jī)應(yīng)用, 2006, 15(11): 46?49. ZHANG Jianan, WANG Haifeng, JIANG Daming. Analysis of double 2-vote-2 fault-tolerant architecture used in computer based interlocking system[J].Railway Computer Implication, 2006, 15(11): 46?49.

[3] 馮雪, 王喜富. 基于動(dòng)態(tài)故障樹的計(jì)算機(jī)聯(lián)鎖系統(tǒng)可靠性及性能分析研究[J]. 鐵道學(xué)報(bào), 2011, 33(12): 78? 82. FENG Xue, WANG Xifu. Analysis on reliability and performance of computer based interlocking system with the dynamic fault tree method[J]. Journal of the China Railway Society, 2011, 33(12): 78?82.

[4] 許崇. 二乘二取二系統(tǒng)的可靠性和安全性[D]. 合肥: 合肥工業(yè)大學(xué), 2013: 10?35. XU Chong. Reliability and safety of double 2-vote-2 redundancy system[D]. Hefei: Hefei University of Technology, 2013: 10?35.

[5] Sohag Kabir. An overview of fault tree analysis and its application in model based dependability analysis[J]. Experts Systems With Applications, 2017(77): 114?135.

[6] Sergey Porotsky. Rare-event estimation for dynamic fault trees[J]. Statistics, 2016(2): 1?10.

[7] 張文韜, 張友鵬, 蘇宏升, 等. 基于動(dòng)態(tài)故障樹的CTCS-3級(jí)ATP系統(tǒng)可靠性分析[J]. 工程設(shè)計(jì)學(xué)報(bào), 2014, 21(1): 18?26. ZHANG Wentao, ZHANG Youpeng, SU Hongsheng, et al. Reliability analysis on ATP system of CTCS-3 based on dynamic fault tree[J]. Chinese Journal of Engineering Design, 2014, 21(1): 18?26.

[8] 蘇宏升, 文俊. 區(qū)域計(jì)算機(jī)聯(lián)鎖系統(tǒng)安全性分析的動(dòng)態(tài)故障樹模型與方法研究[J]. 鐵道學(xué)報(bào), 2015, 37(3): 46?53. SU Hongsheng, WEN Jun. Research on modeling of dynamic fault tree in regional computer based interlocking system safety analysis[J]. Journal of the China Railway Society, 2015, 37(3): 46?53.

[9] Mykhaylo Lobur, Tetyana Stefanovych, Serhiy Shcherbovskykh. Modeling of type I and II errors of switching device for systems with hot and cold redundancy based on two-terminal dynamic fault trees: CAD Systems in Microelectronics (CADSM)[C]// The 14th International Conference the Experience of Designing and Application.Lviv, Ukraine: IEEE, 2017: 19?21.

[10] 單冬. 鐵道行業(yè)標(biāo)準(zhǔn)《鐵路車站計(jì)算機(jī)聯(lián)鎖技術(shù)條件》修訂解析[J]. 鐵道技術(shù)監(jiān)督, 2016, 44(8): 1?6. SHAN Dong. Railway industry standard《computer based interlocking technical specifications》revision interpretation[J]. Railway Quality Control, 2016, 44(8): 1?6.

[11] 盧佩玲. TYJL-ECC容錯(cuò)計(jì)算機(jī)聯(lián)鎖系統(tǒng)的可靠性評(píng)估[J]. 中國鐵道科學(xué), 2005, 26(6): 102?105. LU Peiling. Reliability evaluation of TYJL—ECC fault-tolerant computer interlocking control system[J]. China Railway Science, 2005, 26(6): 102?105.

[12] TB/T 3027—2015, 鐵路車站計(jì)算機(jī)聯(lián)鎖技術(shù)條件[S]. TB/T 3027—2015, Computer based interlocking technical specifications[S].

[13] 中國鐵路總公司. 計(jì)算機(jī)聯(lián)鎖系統(tǒng)[M]. 北京: 中國鐵道出版社, 2015: 48?65. China Railway. Computer based interlocking system[M]. Beijing: China Railway Press, 2015: 48-65.

[14] 李永強(qiáng). 國鐵與地鐵信號(hào)聯(lián)鎖技術(shù)差異簡(jiǎn)談[J]. 鐵路通信信號(hào)工程技術(shù), 2017, 14(5): 121?123. LI Yongqiang. Introduction and analysis of the technical differences between the national railway and subway signal interlocking systems[J]. Railway Signaling & Communication Engineering, 2017, 14(5): 121?123.

[15] 威廉·戈布爾. 控制系統(tǒng)的安全評(píng)估與可靠性[M]. 白焰, 董玲, 楊國田, 譯. 北京: 中國電力出版社, 2008: 65?278. William Goble. Control systems safety evaluation and reliability[M]. BAI Yan, DONG Ling, YANG Guotian, trans. Beijing: China Electric Power Press, 2008: 65-278.

[16] 季會(huì)媛. 動(dòng)態(tài)故障樹分析方法研究[D]. 長(zhǎng)沙: 國防科學(xué)技術(shù)大學(xué), 2002: 1?16. JI Huiyuan. Research analysis method of the dynamic fault tree[D]. Changsha: National University of Defense Technology, 2002: 1?16.

[17] Manno G, Chiacchio F, Compagno L, et al. Conception of repairable dynamic fault trees and resolution by use of RAATSS, a Matlab toolbox based on the ATS formalism[J]. Reliability Engineering and System Safety, 2014(121): 250?262.

Research on safety and performance analysis of computer based interlocking system based on dynamic fault tree analysis

LI Junli, ZHANG Youpeng

(School of Automation & Electrical Engineering, Lanzhou Jiaotong University, Lanzhou 730070, China)

For two common redundant computer based interlocking systems’ interlocking computer, considering all faults for unit module as well as the comparison module and switching module, dynamic fault tree analysis model of probability of falling danger (PFD) and probability of falling safety (PFS) were established for hot standby and 2 out of 2 plus 2 computer based interlocking systems. In addition, the calculation results of fault tree probability approximation method and Markov method were very similar, and the calculation process of probability approximation method was simple and the storage requirements are low. In consequence, the PFD and PFS were solved using the probabilistic approximation method. Finally, the safety for two redundant computer based interlocking systems was contrasted and analyzed by instance. The results show that the 2 out of 2 plus 2 computer-based interlocking is more secure than the hot standby in the condition of all faults.

computer based interlocking; safety; dynamic fault tree analysis; probabilistic approximate method; probability of falling danger; probability of falling safety

U284.3

A

1672 ? 7029(2019)06? 1543 ? 10

10.19713/j.cnki.43?1423/u.2019.06.026

2018?08?31

國家自然科學(xué)基金資助項(xiàng)目(51867013)

李軍麗(1987?)，女，甘肅定西人，博士研究生，從事交通信息工程及控制系統(tǒng)可靠性與安全性研究；E?mail：lijunli_2012@126.com

(編輯 蔣學(xué)東)