張宏揚,段 武,王龍生,梁志國,關(guān)惲琿

(1.中國鐵道科學(xué)研究院研究生部,北京 100081； 2.中國鐵道科學(xué)研究院集團有限公司通信信號研究所,北京 100081)

近年來，隨著列車速度的不斷提高，信號系統(tǒng)的復(fù)雜度也隨之提升，導(dǎo)致其風險識別與控制難度大增，為了保證設(shè)備的可靠性與安全性符合相關(guān)標準，新研發(fā)的產(chǎn)品在上道使用之前，必須通過安全完整性認證(Safety Integrity Level SIL)，其中的關(guān)鍵是危險失效概率的計算。

針對此類問題，許多學(xué)者做了大量研究：文獻[1]使用ALARP模型風險分析方法對ATP(列車自動防護)系統(tǒng)的安全完整性等級進行了定性分析，然后采用IEC61508中的公式定量計算了其中冗余結(jié)構(gòu)的失效概率[1]，ATP與工業(yè)控制領(lǐng)域的“緊急停止”系統(tǒng)類似，可以離線測試，但這與典型的鐵路信號地面安全苛求系統(tǒng)(如聯(lián)鎖、列控中心等)不同，因此該方法并不能完全適用于鐵路信號地面控制系統(tǒng)；文獻[2]提出了一種共因失效的分析方法，以故障樹與門作為分析對象，結(jié)合β因子法和獨立性分析法對各種故障情況進行分析，無需建立復(fù)雜的共因失效模型，簡化了分析和計算過程[2]，但主要是針對系統(tǒng)某模塊的共因失效，尚未全面考慮整個系統(tǒng)級的共因失效；文獻[3]利用故障樹分析法對全電子三相交流轉(zhuǎn)轍機控制模塊進行可靠性與安全性的計算與評估，結(jié)果表明該模塊完全滿足信號系統(tǒng)對高安全性的要求[3]，但分析過程并沒有全面考慮共因失效，只是簡單對故障樹的結(jié)果進行可靠度估計，就得出了高安全性的結(jié)論，可能過于理想；文獻[4]采用故障樹分析法和馬爾科夫方法對土耳其某線路聯(lián)鎖設(shè)備相關(guān)組件的功能安全進行了評估，并在安全性相關(guān)的計算中考慮了平均修復(fù)時間MTTR[4]，但如聯(lián)鎖、列控中心等連續(xù)工作的地面信號設(shè)備，考慮維修時間便意味著停機或降級，這會影響危險失效概率的計算精度；文獻[5]針對ZPW-2000A軌道電路的安全性進行了定量計算，其中利用貝葉斯網(wǎng)絡(luò)分析了在考慮共因失效和不考慮共因失效情況下，系統(tǒng)失效概率的變化，結(jié)果表明共因失效的引入使得計算結(jié)果更加準確[5]，但文章不足之處是沒有針對不同冗余結(jié)構(gòu)對共因失效的影響程度進行區(qū)分。

通過以上分析可以看出，在鐵路信號設(shè)備安全性指標的計算過程中，常忽略共因失效及不同冗余結(jié)構(gòu)對安全性的影響，使得計算結(jié)果偏于保守，雖然最新版的IEC61508中提出了結(jié)構(gòu)修正因子用來區(qū)分共因失效對不同冗余結(jié)構(gòu)的影響，但對于該參數(shù)如何取值并沒有給出相關(guān)的解釋或說明[6]，而且IEC61508中的方法并不完全適用于鐵路信號領(lǐng)域，因為這類方法所面向的工業(yè)過程控制系統(tǒng)與鐵路信號地面控制中心類的安全苛求系統(tǒng)之間存在差異性。

針對以上問題，引入由挪威工業(yè)科技研究院SINTEF開發(fā)的PDS方法，該方法基于IEC61508中的部分理論，針對鐵路信號系統(tǒng)提出了新的公式用于定量計算系統(tǒng)的PFH，該方法針對共因失效對系統(tǒng)危險失效概率的影響給予了更高的權(quán)重，符合現(xiàn)場設(shè)備的實際使用情況。首先介紹了鐵路信號典型的3種冗余結(jié)構(gòu)，給出PFH的概念，然后重點分析共因失效對PFH的影響問題，其中改進了常用的β參數(shù)模型，用來區(qū)別不同冗余結(jié)構(gòu)對共因失效的影響程度，以此構(gòu)建冗余結(jié)構(gòu)可靠性框圖，最后詳細分析了PDS方法的應(yīng)用流程，其中重點分析了結(jié)構(gòu)修正因子CMooN的取值問題，以雙機熱備、二乘二取二、三取二方式的冗余結(jié)構(gòu)為例，采用該方法計算其PFH，并在不同共因失效因子β下與IEC61508中方法計算的結(jié)果進行比較。

1 鐵路信號冗余結(jié)構(gòu)介紹

冗余作為技術(shù)術(shù)語，狹義上多含有備份的意思，是用于提高可靠性和可用性非常有效的手段，即通過一個或多個額外的(通常是同等的)方法容錯。因為計算機硬件成本的降低和性能的提升及安全苛求系統(tǒng)的復(fù)雜性日益增加，以及社會發(fā)展對可靠性特別是安全性的要求持續(xù)提高的原因，導(dǎo)致采用多重冗余、特別是整體多重系冗余結(jié)構(gòu)方式的鐵路信號計算機控制系統(tǒng)日益普遍[7]。

IEC61508中以MooN(M≤N)表示在N個獨立完成相同功能通道中的M個通道，系統(tǒng)功能完好的條件為：N個通道中由M個及M以上個完好。在此定義下，MooN在形式上可代表一大類冗余結(jié)構(gòu)，常見的雙機熱備、二乘二取二和三取二冗余，亦都可以統(tǒng)一納入這種表達方式，分別表示為1oo2，2×2oo2和2oo3[7]。如圖1所示。

圖1 典型冗余方式基本結(jié)構(gòu)

其中，1oo2作為最基本的可靠性冗余結(jié)構(gòu)，由兩個完成相同功能并具有備份關(guān)系的基本單元構(gòu)成，系統(tǒng)在某系出現(xiàn)故障時可以實現(xiàn)自動切換(該切換不對系統(tǒng)工作的連續(xù)性產(chǎn)生明顯影響)，且只要其中一個不失效時，就能夠執(zhí)行規(guī)定的功能；2×2oo2是二取二安全性和雙機熱備可靠性這兩種目的完全不同、但具有很強互補性的典型冗余結(jié)構(gòu)的組合，其中的二取二，在基于一致性比較原理實現(xiàn)安全冗余的同時，亦為其上一級的雙機熱備冗余提供了具有極高覆蓋率的故障檢測判據(jù)，使其可靠性冗余更加有效且易于實現(xiàn)；2oo3是基于表決原理的、兼顧了可靠性和安全性的典型多重系冗余結(jié)構(gòu)，它由3個完成相同規(guī)定功能的基本單元或子系構(gòu)成，其輸出符合多數(shù)表決原則(輸入一般也是如此)，能夠屏蔽任何一個單子系的任何可識別或不可識別的故障，使系統(tǒng)的整體功能在單子系故障時能夠保持正常。

2 鐵路信號冗余結(jié)構(gòu)PFH計算

首先介紹失效的分類進而給出PFH的定義，然后討論共因失效對PFH的影響，并分析上述3種冗余方式中共因失效的作用問題，以此建立包含失效類別的系統(tǒng)可靠性框圖，最后介紹PDS方法，并將其引入鐵路信號冗余結(jié)構(gòu)PFH的計算中。

2.1 PFH定義

失效從機理特征的角度可分為系統(tǒng)性失效和隨機硬件失效兩大類，其中系統(tǒng)性失效是在系統(tǒng)/子系統(tǒng)/設(shè)備的規(guī)范、設(shè)計、制造、安裝、運行或維護階段中因內(nèi)在缺陷引起，是在生命周期的各階段中由人為錯誤導(dǎo)致的失效，所以一般認為系統(tǒng)性失效是無法進行定量度量及預(yù)計的，而隨機硬件失效是完好的產(chǎn)品在運用中因多種不確定因素的誘發(fā)而隨機出現(xiàn)的物理故障所導(dǎo)致的，是可能隨時發(fā)生、卻無法預(yù)知及控制其何時發(fā)生的失效(譬如，微電子器件因高能粒子的撞擊而產(chǎn)生的失效)，因為具有隨機特性，故其失效率可以用數(shù)學(xué)統(tǒng)計方法進行定量度量和預(yù)計[8]，其量化指標被稱作“硬件平均失效概率”，該指標又分為“僅在要求時的危險失效概率PFD(Probability Of Dangerous Failure On Demand，PFD)”和“每小時危險失效概率PFH”[8]。

上述指標反映的都是危險失效率，其區(qū)別是應(yīng)用的操作模式不同，與PFD指標相對應(yīng)的操作模式是低要求模式，在這種模式下，對一個安全相關(guān)系統(tǒng)提出操作要求的頻率不大于每年一次；與PFH指標對應(yīng)的是高要求模式或連續(xù)模式，在這種模式下，對安全相關(guān)系統(tǒng)提出操作要求的頻率大于每年一次或安全功能是連續(xù)執(zhí)行的[9]。由于信號系統(tǒng)是要求連續(xù)工作的，屬于“連續(xù)要求模式”，因此其硬件失效的量化指標為每小時危險失效概率(PFH)。

2.2 考慮共因失效的系統(tǒng)可靠性框圖建立

2.2.1 共因失效介紹

共因失效(Common Cause Failure， CCF)是指由于某種共同原因造成的多個產(chǎn)品的失效，即多個產(chǎn)品的失效是由于同一原因引起的，它們可能是一個系統(tǒng)故障引起的(例如：設(shè)計或規(guī)范失誤)或者由一個外部應(yīng)力導(dǎo)致一個早期的隨機硬件失效引起的(例如：閃電或地震事件、維護中的操作錯誤等)，或者是上述兩種情況共同導(dǎo)致的[9]。存在共因失效的系統(tǒng)中若干個單元同時失效，單元正?；蚬收蠣顟B(tài)之間彼此統(tǒng)計相關(guān)，給系統(tǒng)可靠性、安全性分析帶來了極大困難[10-11]。

信號系統(tǒng)的組合式故障-安全以及反應(yīng)式故障-安全的結(jié)構(gòu)采用了大量冗余結(jié)構(gòu)，各通道的相似性使其具有相同或相似的故障集而較易受到CCF的影響，從而可能失去防護效果。因此，共因失效是導(dǎo)致鐵路微電子復(fù)雜多重系信號系統(tǒng)失效的重要因素，在進行安全評估時，若不考慮其對冗余結(jié)構(gòu)的影響程度，可能無法準確估算系統(tǒng)安全指標，造成評估結(jié)果過于理想，進而埋下人身和財產(chǎn)安全隱患[12]。所以在信號設(shè)備安全性的相關(guān)分析中考慮 CCF的影響是非常有必要的。

2.2.2 多β參數(shù)模型

自20世紀70年代以來，國內(nèi)外有關(guān)學(xué)者提出了許多描述共因失效的方法，如β因子模型、基本參數(shù)模型(BP)、混合參數(shù)模型(MGL)、α因子模型以及平方根模型等[13-14]。其中，β因子模型、MGL模型、α因子模型是應(yīng)用于概率風險評價(PRA)的模型，這些模型的構(gòu)造易于理解還能保守估計系統(tǒng)的失效概率，因此至今仍被廣泛應(yīng)用于共因失效的研究中。在β因子模型的基礎(chǔ)上，引入反映不同冗余結(jié)構(gòu)對共因失效影響的參數(shù)CMooN，構(gòu)成多β參數(shù)模型。

β因子模型假設(shè)系統(tǒng)失效QT由獨立失效因子QI和共因失效因子QC組成，即QT=QI+QC

參數(shù)β被定義為共因失效因子QC在系統(tǒng)失效QT中所占的比值[15]，即

QC=βQT→

QI=(1-β)QT

(1)

參數(shù)β的取值范圍可以由0取到25%，具體的取值需要考慮具體系統(tǒng)結(jié)構(gòu)的特點，根據(jù)專家經(jīng)驗，在硬件失效領(lǐng)域，參數(shù)β的取值參考范圍為[0.1%，10%][16]。但目前多數(shù)研究對于任意MooN冗余結(jié)構(gòu)，所采用的β因子數(shù)值都是相同的，并沒有考慮到不同冗余結(jié)構(gòu)對共因失效的影響程度是有差別的，因此普通β因子模型對于不同的冗余結(jié)構(gòu)并不能很好地描述共因失效問題，故這里引入修正因子CMooN，構(gòu)成更具一般性的多β參數(shù)模型，以區(qū)分不同冗余結(jié)構(gòu)對共因失效的影響程度，即對于MooN的冗余結(jié)構(gòu)，多β參數(shù)為

β(MooN)=β·CMooN

(2)

如果N個冗余設(shè)備的失效率均為λ，那么MooN冗余結(jié)構(gòu)的共因失效率為

λMooN，C=CMooN·β·λ

(3)

2.2.3 可靠性框圖建立

計算系統(tǒng)危險失效概率時，需要畫出系統(tǒng)硬件的可靠性框圖，介紹常規(guī)可靠性框圖的相關(guān)理論，然后轉(zhuǎn)換為包含失效類別的可靠性框圖。

(1)串聯(lián)系統(tǒng)的可靠性模型

一個系統(tǒng)由N個單元R1，R2，…，Rn組成，當每一個單元都處于正常狀態(tài)時，系統(tǒng)才能夠完成指定功能，即只要其中任意一個單元失效時，系統(tǒng)就會失效，稱這種系統(tǒng)為串聯(lián)系統(tǒng)，其可靠性框圖如圖2所示。

圖2 串聯(lián)系統(tǒng)的可靠性框圖

因為串聯(lián)系統(tǒng)不存在冗余通道，而本文討論的是共因失效對冗余結(jié)構(gòu)的影響，因此假設(shè)串聯(lián)系統(tǒng)不存在共因失效，所以將其轉(zhuǎn)為包含失效類別的可靠性框圖，如圖3所示：

圖3 包含失效類別的串聯(lián)系統(tǒng)可靠性框圖

(2)并聯(lián)系統(tǒng)的可靠性模型

一個系統(tǒng)由N個單元R1，R2，…，Rn組成，只要其中有一個單元處于正常工作狀態(tài)，則系統(tǒng)就可以完成指定功能，即只有當所有單元均失效時，系統(tǒng)才會失效，稱這種系統(tǒng)為并聯(lián)系統(tǒng)。其可靠性框圖如圖4所示。

圖4 并聯(lián)系統(tǒng)的可靠性框圖

因為并聯(lián)系統(tǒng)就是典型的1ooN冗余結(jié)構(gòu)，故系統(tǒng)存在共因失效，所以將其轉(zhuǎn)為包含失效類別的可靠性框圖如圖5所示。

圖5 包含失效類別的并聯(lián)系統(tǒng)可靠性框圖

(3)冗余結(jié)構(gòu)可靠性框圖建立

①1oo2

如圖1(a)，雙機熱備結(jié)構(gòu)由2重系構(gòu)成，當雙系中任意一系出現(xiàn)故障，系統(tǒng)會自動切換到另一系(備系)保證系統(tǒng)處于可用狀態(tài)，即只要其中一個CPU不失效，系統(tǒng)就能執(zhí)行正常功能，當CPUA失效，CPUB也失效或者兩者發(fā)生共因失效時，系統(tǒng)失效，這符合典型并聯(lián)系統(tǒng)的工作模式，由此給出1oo2的可靠性框圖如圖6所示。

圖6 1oo2可靠性框圖

②2×2oo2

如圖1(b)，二乘二取二結(jié)構(gòu)由2重系組成，每系采用雙CPU且各自執(zhí)行全部處理功能，兩系之間通過高速通信通道交換信息，主系在每個處理周期的起始時刻向從系發(fā)出同步信號，令從系與主系保持周期同步，實現(xiàn)2重系的同步和切換。由其工作方式可知，單系中任何一個CPU失效，會導(dǎo)致本系不可用，此時切換單元會立刻切換到另一系，保證系統(tǒng)處于可用狀態(tài)，當兩系各自CPU均有失效出現(xiàn)(例如CPUA1失效、CPUB1失效或CPUA2與CPUB2出現(xiàn)共因失效)，會導(dǎo)致系統(tǒng)失效，此時系統(tǒng)自動導(dǎo)向安全狀態(tài)。

由以上分析可知，雙系中任何一個CPU失效會導(dǎo)致本系不可用，兩系之間的共因失效會導(dǎo)致系統(tǒng)不可用，由此建立二乘二取二系統(tǒng)的可靠性框圖如圖7所示。

圖7 2×2oo2系統(tǒng)可靠性框圖

③2oo3

如圖1(c)，三取二結(jié)構(gòu)由3個子系構(gòu)成，在任何時刻，只要三者之間任意兩個CPU處于正常工作狀態(tài)，那么整個系統(tǒng)就可用，即系統(tǒng)具備容錯功能。當兩個及以上CPU失效或者同時發(fā)生共因失效時，系統(tǒng)失效，因此給出2oo3的可靠性框圖如圖8所示。

圖8 2oo3可靠性框圖

2.3 基于PDS的冗余結(jié)構(gòu)PFH計算

PDS方法由挪威工業(yè)科技研究院SINTEF開發(fā)，是定量估計安全相關(guān)系統(tǒng)安全不可用性的方法，在石油、工業(yè)、鐵路等領(lǐng)域均有廣泛應(yīng)用，該方法復(fù)雜度較低，有助于降低數(shù)學(xué)運算量[17]。本節(jié)首先介紹IEC61508中定量計算PFH方法的不足之處，然后介紹PDS方法并將其引入鐵路信號冗余結(jié)構(gòu)危險失效概率的計算中，以此構(gòu)建簡潔高效的復(fù)雜多重系信號系統(tǒng)的危險失效概率計算模型。

2.3.1 IEC61508中方法與PDS方法的差異性

IEC61508-6中提供的定量計算方法，雖然也考慮了共因失效的影響，但在應(yīng)用時會存在以下問題：

(1)IEC 61508只給出了幾種常見冗余結(jié)構(gòu)的計算公式，對于更為復(fù)雜的結(jié)構(gòu)，缺乏相關(guān)的指導(dǎo)；

(2) IEC 61508中的計算公式形式繁瑣，且隨著系統(tǒng)復(fù)雜度的提升，相關(guān)參數(shù)(如其中涉及到的“平均停機時間”)的選取會愈加困難；

(3)最新版IEC61508中針對共因失效部分提出了結(jié)構(gòu)修正因子，但對于該參數(shù)的取值大小并沒有給出詳細的解釋；

(4)鐵路信號尤其是以計算機聯(lián)鎖為代表，具有控制中心特征的地面信號控制系統(tǒng)，與一般工業(yè)過程控制領(lǐng)域中的安全(防護)系統(tǒng)在涉及安全的工作方式、安全側(cè)定義等方面有著顯著不同，即在某些關(guān)鍵的安全特征方面，作為功能安全基礎(chǔ)標準的IEC61508與作為鐵路信號安全相關(guān)電子處理系統(tǒng)的EN50129各自所面向的對象之間，存在顯著差異，致使IEC61508中的一些內(nèi)容并不適用或并不完全適用于鐵路信號電子系統(tǒng)[18]。

2.3.2 PDS方法假設(shè)

本文PDS方法中的計算基于以下假設(shè)：

(1)假設(shè)同一種單元具有相同恒定的失效率，且均服從指數(shù)分布；

(2)假設(shè)所有可被在線檢測到的危險故障都能夠被及時檢測到并被排除、修復(fù)或被有效限制，從而不會產(chǎn)生危害后果，因此忽略能夠被在線檢測到的危險失效的失效率λDD，即PFH的取值主要取決于不能被在線檢測到的危險失效的失效率λDU；

(3)不同于工業(yè)控制系統(tǒng)或車載ATP等類似存在降級模式的設(shè)備，聯(lián)鎖設(shè)備不存在降級操作，本文不考慮降級操作；

(4)λDU·τ應(yīng)足夠小(即λDU·τ≤0.2)，使得e-λDU·τ≈1-λDU·τ。

2.3.3 PDS方法應(yīng)用

由上面分析可知，系統(tǒng)的PFH由獨立失效和共因失效共同組成，即PFH=PFHCCF+PFHind。

(1)對于獨立失效

假設(shè)w(t)為某時刻t的無條件失效強度，則PFH在一個時間跨度[0，τ]上的平均值為

(4)

其中，τ為功能測試間隔，每經(jīng)過一個τ，w(t)均恢復(fù)為0，代表經(jīng)過一個功能測試后，所有失效均會被找出并修復(fù)。

對于1ooN系統(tǒng)，w(t)=N·[1-e-λDU·t)]N-1·λDU·e-λDU·t，因為1-e-λDU·τ≈λDU·τ，e-λDU·τ=1，所以

(5)

對于NooN系統(tǒng)，只要有一個單元失效，系統(tǒng)就失效，所以系統(tǒng)PFH等于所有單元失效率的總和，即

PFH=N·λDU

(6)

(7)

(2)對于共因失效

由上節(jié)分析可知，冗余結(jié)構(gòu)中完全獨立的單元并不存在，所以該結(jié)構(gòu)最大的缺點在于各個通道之間會互相影響，從而產(chǎn)生共因失效。因此PDS方法中重點考慮了共因失效，采用前一節(jié)提出的多β參數(shù)模型描述PFH中共因失效的部分，公式如下

(8)

綜上，PFH的計算公式為

(9)

為了確定CMooN，從兩個設(shè)備構(gòu)成的雙重冗余結(jié)構(gòu)入手分析，如圖9(a)所示。圓A、B分別表示兩個設(shè)備，β表示A失效時，B同時發(fā)生共因失效的概率。A、B兩個設(shè)備同時發(fā)生失效的共因失效率為：λ2，2=βλ，雙重冗余結(jié)構(gòu)1oo2的失效率為：λ1oo2=λ2，2=βλ，故C1oo2=1。

對于A、B、C三個設(shè)備構(gòu)成的三重冗余結(jié)構(gòu)，設(shè)β2為A、B兩個設(shè)備發(fā)生共因失效時，設(shè)備C也發(fā)生失效的概率，則A、B、C中任意兩個設(shè)備的共因失效率之和為：λ2，3=3(1-β2)βλ，A、B、C三個設(shè)備的共因失效率為 ：λ3，3=β2βλ，三重冗余結(jié)構(gòu)1oo3、2oo3的總失效率分別為：

λ1oo3=λ3，3=β2βλ，λ2oo3=λ2，3+λ3，3=(3-2β2)βλ，則有，C1oo3=β2，C2oo3=3-2β2，β2可以取[0，1]之間的值，即C1oo3∈[0，1]，C2oo3∈[1，3]，圖9(b)、圖9(c)給出了β2分別為1，0.5時的共因失效情況。β2=1時，與 舊版IEC61508中所述的β因子模型相同，即認為任意兩個設(shè)備發(fā)生共因失效時，第三個設(shè)備一定也發(fā)生共因失效，此時C1oo3=C2oo3=1。實際上，A、B兩個設(shè)備發(fā)生共因失效時，第三個設(shè)備C不一定100%發(fā)生失效，其發(fā)生失效的概率通常難以確定[21]。

圖9 冗余結(jié)構(gòu)共因失效示意

同理，可以推廣至MooN冗余表決結(jié)構(gòu)。令βK(K≥2)為K個設(shè)備發(fā)生共因失效時，第K+1個設(shè)備發(fā)生共因失效的概率。對K=1也成立，這時有β1=β。當K≥3時，有

M=1，2，…，N-2

(10)

根據(jù)以上分析，取β2為0.5。 得出表1所示的不同冗余結(jié)構(gòu)修正因子CMooN的取值。

表1 不同冗余結(jié)構(gòu)修正因子取值

3 實例驗證

以雙機熱備、二乘二取二、三取二方式的冗余結(jié)構(gòu)為例，采用本文提出的方法計算其PFH。3種結(jié)構(gòu)的可靠性框圖如圖6～圖8所示。由通用公式(9)、表1，代入相關(guān)的參數(shù)得到1oo2、2oo2、 2oo3結(jié)構(gòu)的PFH計算公式如表2所示。

表2 PFH計算公式

因此

[(λDU，CPUB1+λDU，CPUB2)·τ]/τ+

(λDU，CPUA1·τ)·(λDU，CPUA2·τ)/τ+

(λDU，CPUA1·τ)·(λDU，CPUA3·τ)/τ+(λDU，CPUA2·τ)·

(λDU，CPUA3·τ)/τ+

各元器件失效率、功能測試時間間隔τ如表3所示，β因子分別取0.1，0.02，0.05。

表3 元器件參數(shù)

將上述參數(shù)代入以上3個公式，得到：

PFH1oo2=1.3×10-8

PFH2×2oo2=1.0×10-8

PFH2oo3=1.2×10-8

由計算結(jié)果可知，該方法與IEC61508中得出的2×2oo2安全度最高，2oo3次之，1oo2安全度最低的結(jié)論相一致。

接著在軟件中模擬不同β因子下，采用本文的方法和IEC61508中的方法求解這3種冗余結(jié)構(gòu)PFH的結(jié)果，對比如圖10所示。

圖10 不同β下采用兩種方法計算PFH的結(jié)果對比

由圖10可以看出，在β因子數(shù)值較低(一般≤5%)，即共因失效占比較小時，PDS方法與IEC61508中方法計算的結(jié)果差異不大，但隨著β因子的升高，即共因失效占失效率的比重提升，對比IEC61508中方法計算的結(jié)果，PDS計算的PFH值更高，這表明：相比IEC61508中的方法，PDS方法更加重視共因失效對系統(tǒng)安全性的影響，而在實際現(xiàn)場，常常會發(fā)生因為同一種原因造成的冗余系統(tǒng)多通道同時失效的情況，因此該結(jié)果所呈現(xiàn)的規(guī)律也符合現(xiàn)場設(shè)備的實際使用情況。

4 結(jié)論

本文給出了一種定量估計鐵路信號冗余結(jié)構(gòu)危險失效概率的方法，通過分析3種典型冗余結(jié)構(gòu)的特點，以β因子模型為基礎(chǔ)，引入結(jié)構(gòu)修正因子CMooN，并重點分析其取值問題，然后構(gòu)建了包含失效類別的系統(tǒng)可靠性框圖，采用PDS方法定量計算系統(tǒng)的PFH，最后在軟件中模擬了在不同β因子下，采用IEC61508中方法與本文方法計算的PFH的變化規(guī)律，結(jié)果顯示本文的方法更加注重共因失效對PFH的影響，這也符合現(xiàn)場設(shè)備的實際使用情況。本文忽略了能夠被在線檢測到的危險失效率λDD以及診斷覆蓋率，下一步可將這些因素也考慮進系統(tǒng)安全性的分析中，以建立更加精確的鐵路信號安全苛求系統(tǒng)的PFH計算模型。