双机热备计算机连锁系统安全可靠性分析.docx
《双机热备计算机连锁系统安全可靠性分析.docx》由会员分享,可在线阅读,更多相关《双机热备计算机连锁系统安全可靠性分析.docx(33页珍藏版)》请在冰豆网上搜索。
双机热备计算机连锁系统安全可靠性分析
摘 要
铁路是大容量和大众化的交通运输工具,铁路追求的重要目标必然是安全运输;计算机联锁设备是保证铁路运输安全的关键信号设备,因而必须具有非常高的安全可靠性。
如何在定性地分析和定量地计算的基础上来判断双机热备计算机联锁系统是否能满足信号系统规定的功能和安全的需求,已经成为铁路运输系统的一个重要的研究课题。
本论文立足于课题任务的研究,从双机热备计算机联锁系统在铁路实际应用中的基本组成和基本功能入手,根据影响计算机联锁系统安全可靠性的一些关键因素,利用故障树分析法建立联锁设备的故障安全模型,进行安全可靠度分析。
再通过建立马儿可夫模型,进一步得出安全度和可靠度表达式,并更加详细的对其进行定性和定量分析。
最后通过MATLAB仿真得出安全可靠性的曲线。
通过与单机系统的安全可靠度相比较,得出双机热备计算机联锁系统的可靠度要大于单机系统,安全度小于单机系统。
结果表明提高故障检测率是提高双机热备系统可靠性与安全性的重要技术措施。
因此在选择故障检测覆盖率的具体数值时要综合考虑系统的性能要求,以便得到合理的数值。
关键词:
双机热备计算机联锁系统;故障树分析;马尔可夫模型;故障检测覆盖率;安全可靠性
Abstract
Railwayisamasstrafficfacilityofbulkyandpopular.Theimportanttargetofrailwaywishistrafficsafetycertainly.Computerbasedinterlockingequipmentiskeysignalingfacilityforgaranteeringrailwaytrafficsafety.Soit'sneededtobewithveryhighsafety-reliability.Howtojudgeitwhethermeetcertainfunctionandsafetyrequirementsbaseonqualitativeanalysisandquantitativecalculate,havenonresearchaboutworktasksbecomeanimportantresearchtaskfortherailwaysystem.
Thispaperisbasedonresearchaboutworkstask,accordingwiththeessentialcomposingandworkingofdualcomputersbasedinterlockingapplicationonrailway,accordingsomekeyfactorseffectoncomputersbasedinterlockingsafety-reliability,establishescorrespondingfailure-safemodelofcomputersbasedinterlockingtoanalyzesafety-reliabilitybymethodsoffault-tree.EstablishingMarkovmodelagainanalysessafety-reliabilityfurtherwithexpressionofsafety-reliability,andthemoredetailedthequalitativeandquantitativeanalysis.Finally,throughMATLABsimulationgettingthesafetyreliabilitycurve.Throughthecomparisonwithsafety-reliabilityofcomputer-basedinterlockingsystemwithsinglecomputer,reachingthereliabilityofcomputer-basedinterlockingsystemwithdualcomputersisgreaterthanstand-alonesystem,butsafetyissmallerthanstand-alonesystem.Theresultsshowthatincreasingfailurecheckingcoverratioaretheimportanttechnicalmeasurestoimprovethereliabilityandsecurityofdualcomputerssystem.Itissoimportanttocomprehensivelythinktherequisitionofsystemperformancethatwouldgetreasonablevalue,whenselectingaspecificvalueoffailurecheckingcoverratio.
KeyWords:
Dualcomputerssystembasedinterlocking,Methodoffault-tree,Markovmodel,Failurecheckingcoverratio,Safety-reliability
目 录
1绪论
1.1课题背景与意义
随着电子信息技术和网络技术的发展,计算机联锁控制系统正在逐步取代电气集中联锁控制系统成为铁路车站信号控制的首选方式。
大力发展计算机联锁系统的直接原因是期望以通用的集成电路取代传统的继电器电路,减少对继电器的维护工作。
经研究和实践表明,用计算机构成的联锁系统,其安全程度和可靠程度都比继电器联锁系统优越,尤其在功能方面,除了能完成既有继电器联锁的功能外,还可利用计算机的强有力的处理能力和快速运算的特点,进一步充实和开发新功能;在经济方面,包括设备费、占地费、设计和安装施工费也比继电器联锁系统经济。
因此国内外普遍认为计算机联锁系统是车站联锁系统的发展方向。
我国当前的计算机联锁系统虽然已处于可用阶段,但是在可靠性和功能方面都有待提高。
就可靠性而论,理论上可使计算机联锁系统的可靠性高于继电联锁系统,但还有待于在实际种考验。
应当看出,继电联锁系统是一种风险分散系统,它的电路和继电器发生故障时,只是影响系统的局部功能,而计算机联锁系统相对来说是风险集中的系统,其关键部位发生故障时则影响面较大,甚至可使整个系统瘫痪。
因此在保持系统具备充分的安全功能的前提下,努力提高系统的可靠性是非常重要的。
目前在我国,基于双机热备动态冗余技术的计算机联锁控制技术已基本成熟。
铁路信号控制系统直接涉及生命财产安全,故障联锁系统必然故属于故障安全系统。
由于电子技术和计算机容错技术的发展,原来只用于铁路信号控制系统的故障安全技术的应用范围不断扩大,故障安全技术已成为保障人身安全和减小财产损失的重要系统设计原则。
故障安全技术和用它构成的故障安全系统已成为当今电子技术领域的一个重要研究课题。
目前在我国,基于双机热备动态冗余技术的计算机联锁控制技术已基本成熟,且地铁联锁系统多采用双机热备系统,因此研究双机热备计算机联锁系统的安全可靠性已显得非常重要。
1.2课题研究现状
自20世纪70年代以来,国内外已有不少机构和人员开始致力于将计算机技术应用于铁路信号系统,在我国针对计算机联锁系统的研制和使用已有二十几年的历史了,凭借中国铁路信号技术人员的严谨和踏实的努力,实现了一个良好的开端,目前正处于深入研究,大力推广使用阶段,并可期望在不久的将来实现跨越。
近数十年来,计算机控制的信号设备和系统在国外的实际工程建设中已取得了较为广泛的应用;与此同时国内的相关企业也在积极开发,已有越来越多的该类设备逐步投入使用。
由计算机取代传统的继电器实现信号设备安全控制和进行行、调车作业的指挥,已成为铁路信号控制和防护系统发展的主流。
特别是近年来,我国铁路以提速、重载为目标进行技术改造的环境下,用于车站安全控制和防护、并由计算机控制的信号设备即车站信号计算机联锁设备的信号设备得到广泛应用。
计算机联锁控制系统的基本任务是保证行车安全,提高运行效率,其可靠性、安全性和可用性是评价一套联锁系统性能优劣的重要指标。
研究系统的安全度和可靠度等性能指标是一项非常重要的工作。
前人已做了许多工作,并取得了一定的成果。
其中提出地建立Markov模型是最适合研究可靠性的方法之一。
Markov模型可以综合反映多种失效模式对系统性能指标的影响,对Markov模型进行定性和定量分析,可以提供对系统的可靠性和安全性设计方案的比较和评价。
许多文献深入研究了系统的安全性,引入了表示单元失效导致系统处于安全状态所占的比例的安全失效比例因子以及表示系统中任意故障被检测出来的概率的故障覆盖。
另外一些文献利用β因子把冗余系统的失效划分。
可分为独立失效和共因失效。
这些系数的引入,为更深入地分析系统的状态,进一步研究计算机联锁控制系统的可靠性、安全性指标提供了重要的理论依据。
双机热备系统的研究现在越来越受关注,前人对此的研究很多例如:
计算机联锁系统系统安全可靠性性设计分析研[5],主要针对计算机联锁系统的硬件的结构、功能和软件的结构、功能以及在工程设计中的方法进行研究;基于动态故障计算机联锁系统可靠性和性能研究[6],主要是通过建立二乘二取二系统的动态故障树模型,对其进行安全可靠性分析,并与双机热备计算机联锁系统进行比较,得出二乘二取二系统的安全可靠性比双机热备系统要好;双机热备计算机联锁系统安全可靠性指标分析[9],主要针对双机热备计算机联锁系统安全和可靠性指标得出系统的故障安全模型,从而得到系统的安全可靠度表达式,并对其进行定性和定量分析。
经过总结大量的工程实践,通常联锁系统出现的故障可分为系统级故障(包括联锁计算机故障、电源故障等)、板级故障、通道级故障、元件级故障,现场出现的故障90%以上为板级、通道级或元件级故障。
由于双机热备计算机联锁控制系统采用动态驱动保障安全机制,使得三种故障产生时,系统不会发生危险侧输出。
在实际应用过程中,如果备机出现故障则会马上停机维护,若此时主机也出现故障,由于主机出现系统级故障的概率非常小,通常以元件级或通道级故障为主,那么,故障主要影响某一路的输出。
根据铁路作业的要求,现场作业不能停止,而此时主机仍可以坚持工作来保证安全作业的连续,因此双机热备系统大大提高了系统的可靠性。
1.3课题的研究内容与目标
计算机联锁系统即要求具有比较好的可靠性,又要求具有比较好的安全性。
因此本课题是在了解双机热备计算机联锁系统安全可靠性的一些影响因素之后,如平均故障间隔时间、失效率、故障检测覆盖率等,利用可靠性分析理论,采用故障树分析法建立联锁设备的故障安全模型,对其进行可靠性分析,同时建立马尔可夫模型,即双机热备系统的各个工作状态之间的转化关系,由此列出一系列的关系式,通过计算得出安全可靠度的表达式,通过计算得出的安全度和可靠度表达式,进一步定量的分析双机热备计算机联锁系统的安全可靠性,结果可知,故障检测覆盖率对系统的安全可靠性都有影响,也就是,提高系统的故障检测覆盖率,可以提高系统的安全靠度,最后再通过仿真得到安全可靠性曲线,通过比较曲线可以直观、明了,清楚的看到故障检测覆盖率对安全可靠性的影响。
同时为了更加深刻的说明双机热备系统的性能,将双机热备系统与单机系统的安全度进行比较研究,得出双机热备系统的安全度要低于单机系统,可靠度高于单机系统。
通过本课题的研究,在以后的工程设计或理论计算中可以根据不同的作业情况对双机热备计算机联锁系统的安全可靠性的具体要求做出更加合理的参数,以至于高效的完成任务。
2计算机联锁系统
2.1计算机联锁系统的基本概念
计算机联锁系统的安全可靠性是研究、开发、生产计算机联锁设备必须遵循的永恒的主题,也是验证计算机联锁系统性能的主要依据。
计算机联锁系统是一种连续工作的实时系统,也是一种故障安全系统,要求具有很高的安全和可靠性。
2.1.1可靠性指标
计算机联锁系统可靠性的定义是:
该系统在规定的时间内,在规定的条件下,完成规定功能的能力;度量可靠性的定量标准时可靠度,计算机联锁系统的可靠度用自身的平均无故障间隔时间MTBF(MeanTimeBetweenFailures)来表征。
平均故障间隔时间MTBF是指系统连续发生两次故障之间的平均间隔时间。
可靠度
的定义是:
从功能相同的产品测试过程中,在测试的特定时刻样品的幸存数于样品总数的比为可靠度。
可靠度与平均故障间隔时间之间的关系:
失效率
的定义是:
一种器件或系统的失效率是指单位时间内一个该类器件或系统发生失效的预期次数,其单位可取为失效/h,失效可用来比较系统或元件的可靠性,失效率越低的系统或元件其可靠性程度越高。
2.1.2安全性指标
计算机联锁系统安全性的定义是:
当系统的任何部分发生故障时,其后果不会导致人身伤亡或者财产的重大损失的性能。
度量系统安全性的技术指标是系统产生不安全性输出的平均间隔时间即平均危险侧故障间隔时间MTBFAS(MeanTimeBetweenFailuresofAlarmSide)。
假设故障安全联锁系统处于各种状态的概率分别为:
是系统处于正常状态的概率:
是系统处于故障安全状态的概率;
是系统处于非故障安全状态的概率。
系统安全度
:
系统在规定是时间内,按规定的条件不发生危险侧输出的概率。
则安全度的计算公式为
系统的不安全度
是指系统在规定的时间内,按规定的条件产生危险侧输出的概率,则系统不安全度的计算公式为
故障检测覆盖率的定义是:
是指系统执行检测、故障定位、故障包容及故障恢复的能力。
其中故障恢复是指故障发生后系统维持或重新回到正常工作状态的过程。
2.1.3计算机联锁系统的构成特点
计算机联锁系统的人机会话层的接口设备既可以采用传统的专用控制台,也可以采用通用的计算机人机接口设备,如:
鼠标器、图形输入板(俗称数字化仪板)、键盘以及显示器等,而这类设备由于是通用产品,产量很大,价格便宜,便于与计算机结合,而且使用灵活,所以又取代专用控制台的趋势。
计算机联锁系统的联锁机构是由计算机构成的。
在我国多采用工业控制的微型计算机(简称工控机)构成联锁机构,以后称它为联锁机。
用计算机取代继电器电路构成的联锁机构原因如下:
(1)计算机的逻辑运算功能与继电逻辑电路具有共同的理论基础;
(2)由于可靠性技术和容错技术和安全技术的进步,使得用计算机实现联锁控制
成为可能;
(3)工业控制级计算机商品化,为保证系统可靠性和降低造价提供了条件;
(4)为铁路信号向智能化和网络化方向发展创造了条件;
(5)以计算机技术取代继电器继电电路优点:
减少继电器检修工作量;减少系统
设计、施工和维护的工作量;减少建筑使用面积。
2.2计算机联锁系统的冗余结构
对于计算机联锁系统,即要求具有比较好的可靠性,又要求具有比较好的安全性。
这是因为该系统不仅需要昼夜不停地连续运转,而且一旦出现故障,就有可能导致人身伤亡或者造成财产的重大损失。
所以,计算机联锁系统需要利用近年来逐渐发展起来而到目前已经比较成熟的冗余技术,使得其自身构成容错控制系统。
利用冗余技术构成的具有容错控制功能的计算机联锁系统,无论在其硬件结构方面还是在其软件结构方面均存在着一些明显的特点。
2.2.1计算机联锁系统的可靠性冗余结构
计算机联锁系统的可靠性的定义由2.1.1可知:
该系统在规定的时间内、在规定的条件下完成规定功能的能力。
度量可靠性的定量标准时可靠度。
对于一般的电子产品,其OEM板级产品的MTBF约为
h,而计算机系统由若干块的OEM板级产品组成,其MTBF约为
h。
而对于计算机联锁系统,依据有关的技术标准,要求其MTBF值达到
h,亦即要求至少在系统进行技术改造前(一般可以按15年计算)不出现故障。
显然只依靠单个计算机构成的单机系统是不能够达到该目标值,必须导入冗余资以构成双机乃至多机的冗余系统,使得整个系统的可靠性达到或者超过该目标值。
计算机联锁系统的可靠性冗余结构,就是指为了使系统的可靠性指标达到或者超过目标值而采取的冗余结构。
系统的可靠性冗余结构,往往采用双机互为备用的或门二重系统,其原理结构图如图2.1所示:
图2.1可靠性冗余结构
双机热备系统的MTBF值可概略地估算如下:
若单机系统的MTBF值约为
h,在单机系统的每一个故障均能够被检测到并且倒机逻辑电路的故障率为零时,双机系统的MTBF值可能打到
~
h。
在系统的MTBF值要求在
h以上时,采用图2.1所示的冗余结构可以达到。
2.2.2计算机联锁系统的安全性冗余结构
计算机联锁系统的安全性的定义有2.1.2可知:
当系统的任何部分发生故障时,其后果不会导致人身伤亡或者财产的重大损失的性能。
对于计算机联锁系统,依据有关的技术标准要求产生不安全性输出的平均间隔时间为
h以上。
显然,对于平均故障间隔时间为106h的可靠性冗余系统而言,如果不进而采取必要的安全性技术措施,是不能够达到安全性要求的。
计算机联锁系统的安全性冗余结构就是指为了使系统的安全性指标达到或者超过目标值而采取的冗余结构。
系统的安全性冗余结构,往往采用双机同时工作并彼此间频繁比较的与门二重冗余构造,其基本结构如图2.2所示:
图2.2安全性冗余结构图
双机比较的安全性冗余结构的原理是这样的:
在极短上网时间间隔内,两台计算机同时出错并且错误呈现同一种模式的概率几乎为零。
从这个原理出发,要求两台计算的校核频率要相当高,亦即校核的时间间隔要足够短,最好短到可以用计算机的机械周期来计算的程度。
2.3计算机联锁系统的硬件结构
2.3.1系统的硬件构成
为了使系统达到所要求的可靠度,联锁计算机的硬件结构拟采用双机热备的二重冗余系统,其中的一台计算机为主用机,另一台为备用机。
当主用机发生故障时,备用机变成主用机,而故障机的维修时间不大于8h。
为了使系统达到所要求的安全度,拟采用运行双版本联锁程序。
2.3.2系统的硬件层次结构
铁信号联锁是“通过技术方法,使信号、道岔、进路必须按照一定程序并满足一定条件,才能动作或建立起来的相互关系”。
也就是为了保证车站安全,必须制定一系列联锁规则来制约信号的开放与关闭、道岔转换、进路的建立与取消。
一定用技术的手段实现这些联锁规则。
信号系统以信号机、转辙机、轨道电路作为室外三大信号基础设备。
用电气设备或电子设备实现联锁功能,并且采用集中控制方式对道岔和信号机进行控制。
联锁系统的层次结构图如图2.3所示:
图2.3联锁系统的结构图
人机会话层即上位机部分设于车站值班室里,主要功能是操作人员可以通过一定的操作向联锁层输入操作信息;接受联锁层输出的反映设备工作情况和行车作业状况的表示信息。
一般在联锁系统的结构分析过程中,把此部分定义为非安全层。
连锁机构即下位机部分是联锁系统的核心,由它实现联锁功能。
联锁机构比须具备故障安全性能。
系统的联锁机构除了接受来自人机会话层的操纵信息之外,还接受来自监控层的反映信号机、转辙机和轨道电路状态的信息。
联锁机构的功能是根据联锁条件,对输入的控制信息、状态信息进行处理,产生相应的输出,及信号控制命令和道岔控制命令,并交给监控层控制电路执行。
联锁系统监控层的主要功能是:
监控层一方面接受联锁层的控制命令,经过信号控制电路,改变信号的显示;接受联锁层的道岔控制命令,驱动道岔进行转换;另一方面向联锁层传输信号显示状态、道岔状态和轨道电路状态信息。
由于计算机联锁系统的安全性和可靠性要求很高,所以系统的结构可采用双机热备结构,可以大大的提高系统的性能。
3双机热备计算机联锁系统
3.1双机热备计算机联锁系统的结构组成
双机热备计算机联锁系统的组成是:
联锁控制机、执行表示机和控制监视机、电务维修机。
配套设备还有打印机、高分辨率彩色显示器、控制台和配电柜。
系统中所有主要设备均为主、备双套,联锁机和执表机具有热备和自动切换功能,控制监视机由人工切换。
各备用微机同样构成系统与主机同步工作,备用系统还可作为调试维修用。
双机热备计算机联锁系统的结构图如图3.1所示:
图3.1双机热备计算机联锁系统结构图
从双机热备计算机联锁系统的结构图3.1可以看出双机热备系统由两个独立的模块组成,两个模块即单机均能独立完成规定的相同的功能。
正常工作时,俩模块均加电工作,但是只有其中一个模块的输出有效,即就是同一时刻只有一个模块的输出能够通过切换装置去控制被控对象,而另一模块的输出则不控制被控对象,其中每一模块都有自检测和自诊断功能,模块发现自身出现故障时,就会给出控制信号,驱动切换开关进行切换,从而将故障模块的输出与系统隔离,把热备模块的输出接向系统,开始工作,此时系统给出故障报警和提示。
上位机主要是供行车调度人员使用,发送相关的操作命令和反馈现场设备的状态。
维修机主要用来记录各种操作命令和设备的状态,方便维修人员进行设备的维护。
维修机是作为上位机的备用机,在上位机故障时,经授权、登记,来替代上位机工作。
联锁机即下位机主要进行联锁逻辑运算和判断,输出相关安全的控制命令和有关设备的状态的表示信息。
在双机热备计算机联锁系统中,联锁机采用双机热备的动态冗余技术。
继电器接口电路主要是与轨道电路、信号机、道岔等室外设备进行信息的相互交换,如继电器接口电路根据联锁机送来的控制命令来驱动室外设备,同时将室外设备信息实时地反映给联锁机。
3.2双机热备计算机联锁系统的工作形式
双机热备计算机联锁系统具有以下几种工作形式:
(1)一个模块工作,另一个模块热备,两个模块均无故障;
(2)一个模块故障,另一个模块故障待修,系统可以完成规定的功能;
(3)两个模块均故障,系统失效。
双机热备计算机联锁系统为了提高可自身的可靠性和安全性采用了比较完备的故障检测技术和安全输入输出技术,因此单故障大多数可以检测出来,而且故障不会造成系统的危险输出。
当系统出现不可测故障时,系统有可能会给出危险输出,此时系统就会处于非故障安全状态,双机热备系统的简化设备组成图如图3.2所示:
图3.2双机热备的设备组成简化图
从图3.2可以看出在双机热备计算机联锁系统中联锁机采用双机,互为备用的冗余方式来完成联锁功能的,其中有主用设备A为主机,则备用设备B为备机。
正常工作时,俩设备均加电工作,但是只有其中一个设备的输出有效,即就是同一时刻只有一个设备的输出能够通过切换装置去控制被控对象,而另一设备的输出则不控制被控对象,其中每一设备A和B都有自检测和自诊断功能,设备发现自身出现故障时,就会给出控制信号,驱动切换开关进行切换,从而将故障设备的输出与系统隔离,把备用设备的输出接向系统,开始工作。
4利用动态故障树分析双机热备联锁系统安全可靠性
4.1故障树分析
4.1.1故障树定义
(1)故障树分析(FTA)的产生
故障树分析(FTA)技术是由美国贝尔电话实验室于1962年开发的,它采用逻辑分析的方法,可以形象地进行危险的分析工作,具有直观明了、思路清晰、逻辑性强的特点,不仅可以做定性分析,也可以做定量分析。
体现了以系统工程方法来研究安全问题的系统性、准确性和预测性,它是安全系统工程所采用的主要分析方法之一。
一般来讲,安全系统工程的发展是以故障树分析为主要标志的。
于1974年美国原子能委员会发表了关于核电