文 俊，苏宏升，沈 强

(1.兰州交通大学自动化与电气工程学院，兰州 730070；2.西安铁路局宝鸡供电段，陕西宝鸡 721000)

两种铁路信号系统双机热备结构可靠性与安全性分析

文 俊1，苏宏升1，沈 强2

(1.兰州交通大学自动化与电气工程学院，兰州 730070；2.西安铁路局宝鸡供电段，陕西宝鸡 721000)

双机热备系统已广泛应用于现代铁路信号系统中，国内外学者对其可靠性和安全性进行广泛而深入的研究，但在研究的过程中并没有区分不同的系统结构，鉴于此，分析传统的仅具有故障自检和同时具备自检与比较程序互检的两种不同的双机热备结构。综合考虑共因失效、在线诊断、多故障模式等因素，建立两种双机热备结构的同构马尔可夫模型并对其进行仿真，根据仿真结果对两种双机热备结构的可靠性、安全性进行分析比较。分析结果表明，带比较程序的双机热备结构具有更高的可靠性和安全性，更适合在铁路上推广应用。

铁路信号系统；双机热备；马尔可夫模型；可靠性；安全性；故障检测

随着计算机和可编程电子产品大量应用于现代铁路信号系统，为满足系统的高安全性和高可靠性要求，广泛应用各种冗余和重构设计以及在线故障诊断技术来提高系统的可靠性和安全性。就安全性、可靠性和成本上看，双机热备冗余结构是一种理想的设计方案，并且已经被广泛应用现代铁路信号系统[1-2]。为提高系统的可靠性与安全性，在系统软硬件上进行了不同程度的改进，因此产生了不同的双机热备结构，典型的有仅具有自检功能和同时具备自检与比较程序互检的两种不同的双机热备结构。随着双机热备结构在现代铁路信号系统中的广泛应用，国内外学者对其安全性和可靠性进行了广泛而深入的研究[3-7]。但在研究的过程中并没有对不同的系统结构进行区分。文献[4]在分析系统可靠性与安全性的过程中引入了故障可用系数，对实际应用中考察双机热备联锁控制系统的综合性能指标有一定的意义，但在建模过程中，未考虑共因失效、多故障模式等诸多因素，同时未考虑不同的系统结构，模型建立相对简单。文献[5]中分析了一般双机热备和相互比较双机热备结构的可靠性与安全性，虽然考虑了不同的系统结构，但结构的不同之处仅仅在于两单元是否进行了比较，而现有的双机热备系统为达到较高的可靠性与安全性，一般均采用两单元进行比较的结构。文献[6]中分析了单机和双机热备计算机联锁系统的可靠性与安全性，指出了减小故障检测时间、提高故障检测率是提高双机热备系统可靠性与安全性的重要技术措施，也提出通过改进系统软硬件结构的方法来提高系统可靠性与安全性，但并未从理论上加以证明。文献[7]中综合考虑共因失效、故障检测率及维修性对双机热备系统可靠性的影响，利用马尔可夫模型对可维修双机热备系统进行可靠性分析，得出维修率对可维修双机热备系统达到平稳状态所需时间贡献较大等结论，同样未考虑不同的系统结构。

在前人研究的基础上，对已广泛应用于高铁中的两种双机热备系统在不可修复的条件下对各自工作方式和失效模式进行深入分析，综合考虑共因失效、多故障模式等因素，对两种双机热备结构分别进行马尔科夫建模和分析，就可靠性、安全性方面对两种双机热备结构进行比较。

1 两种双机热备系统结构及比较

图1为传统的、仅具有自检功能的双机热备计算机联锁控制系统(以下简称为传统双机热备结构)，系统一般由2个独立的、具有相同硬件结构的单元组成。系统正常工作时，2个单元同时采集数据，只有主单元的输出有效，经切换单元输出。其结构特点是2个单元均具有完善的自检功能，分别安装一套版本不同的软件，即单通道执行单版本软件，运行过程中它们相互比较。如果比较结果一致，则其中的一个单元充当工作单元执行输出。反之，则进行故障定位并进行单元切换。这种结构主要是针对那些安全性要求不高，产生错误时不会危及行车安全的系统，例如参与行车指挥的信息系统、进路预排系统以及车站联锁系统中的监视控制机等。

图1 传统双机热备结构

图1所示的双机热备系统虽然每个单元具有自检功能，能发现大部分硬件故障，但不易发现软件故障。在如图2所示的结构(以下简称为带比较程序的双机热备结构)中，每个单元除了安装完善的自诊断程序进行连续不断的在线监测外，每个通道执行两相异软件来确保系统的安全性，并且2套软件完全独立，运行过程中比较中间结果和最后结果，如果一致，则执行输出，否则就进行单元切换，在软件上实现了二取二，不仅可以发现硬件故障还可以发现软件故障。根据该模型开发的系统已投入铁路实际运营中，例如，广泛应用于区域计算机联锁的TYJL-Ⅱ型计算机联锁系统利用完善的自检测功能、双版本软件冗余比较和动态脉冲的输入、输出性能来保证安全[8-9]，每套程序的数据来自于物理地址不同的存储空间，提高了联锁运算的安全性；通号总公司研制的DS6-11型双机热备系统，联锁软件采用双份编码、模块化和结构化设计。2套程序执行的结果在输出级进行比较，比较一数时进行输出；比较不一致时，输出安全侧命令，同时给出报警标志。典型的系统还有瑞典的EBILOCK850和EBI-LOCK950计算机联锁系统等[10]。

图2 带比较程序的双机热备系统结构

2 两种双机热备模型可靠性及安全性分析

2.1 模型假设

在系统可靠性与安全性分析之前，需做一些基本假定：

(1)比较器和开关单元是完全可靠的，可靠度为1；

(2)单元具有相同的失效率和维修率，均服从指数分布；

(3)自诊断检测覆盖率为c，比较程序的诊断覆盖率为C1，可以检测到自诊断无法检测到的故障。

2.2 失效模式划分

共因失效指同一种应力(原因)导致一个以上部件、模件、单元或者系统发生失效。共因失效抵消了容错系统的优点，因此在分析高可靠性与高安全性的计算机联锁系统时共因失效是一个不容忽视的因素。采用被广泛应用于共因失效分析的β模型。β模型是利用β因子把单元的失效率(以下记为λ)划分为共因失效率λC和常规失效率λN两部分。用以下方程表示

为了详细描述马尔可夫模型中的转移，结合诊断覆盖率c和共因失效因子β等参数对失效模式进行划分。划分后的失效率分为以下8类[11]。

SDN:安全，检测到，一般失效；SDC:安全，检测到，共因失效；SUN:安全，未检测到，一般失效；SUC:安全，未检测到，共因失效；DDN:危险，检测到，一般失效；DDC:危险，检测到，共因失效；DUN:危险，未检测到，一般失效；DUC:危险，未检测到，共因失效。

结合安全比例失效因子α，单元失效分为安全失效λS和危险失效λD两部分，即

(1)

(2)

考虑故障诊断覆盖率，安全失效率可分为两部分，即安全可测故障λSD与安全不可测故障λSU，即

(3)

同理，危险失效也可分为两部分，即危险可测故障λDD与危险不可测故障λDU

(4)

考虑共因失效，式(2)～式(3)中的4种失效率均可分为一般失效与共因失效两部分，以λSD为例，即

(5)

将故障检测覆盖率c及共因失效因子β代入，以安全可测共因失效λSDC为例，有

(6)

同理可求出其他失效率。

2.3 可靠性及安全性分析

两种双机热备系统均具有单元自诊断能力，其主要区别在于联锁单元的实现上，传统双机热备结构采用单机执行单版本软件，带比较程序的双机热备结构采用单机执行双版本软件，若比较程序的诊断覆盖率为C1，当C1=0意味着没有任何比较发生，此时，系统结构为传统的双机热备结构；当C1≠0时，意味着系统除具有完善的自检测能力外，比较程序的互诊断提供了另一个层次的安全保护功能，此时系统结构为带有比较程序的双机热备结构。

据以上分析，两种双机热备冗余结构的马尔可夫模型是同构的。因此，可以建立一个如图3所示的统一模型。图3中令C1=0时即为传统的双机热备Markov模型。

图3 带比较程序的双机热备系统Markov模型

根据系统的工作原理，如下定义系统的状态。

状态0：主、备单元均正常工作，系统正常工作。

状态1：主、备单元任一单元发生可测故障，另一单元正常工作，系统正常工作。

状态2：系统故障-安全状态。

状态3：系统非故障-安全状态。

图3中系统状态转移解释如下。

状态0～1：一单元出现故障，被自检测程序检测到，或自检测程序未检测到但比较程序检测到，另一单元正常工作，系统处于工作状态。

状态0～2：系统发生共因失效或一单元发生自检测程序及比较程序均未检测到的安全不可测故障，系统处于故障-安全状态。

状态0～3：系统发生共因失效或一单元发生自检测程序及比较程序均未检测到的危险不可测故障，系统处于非故障-安全状态。

状态1～2：一单元故障，另一单元发生安全失效，系统处于故障-安全状态。

状态1～3：一单元故障，另一单元发生危险失效，系统处于非故障-安全状态。

则据图3中的状态转移可得到如下方程组

(7)

当Δt足够小时，运用微分公式

将上述方程进行代数变化，进行求极限后，进一步转化为如下方程[12]

(8)

令C1=0，由式(8)得

可得传统双机热备系统可靠度R1(t)与不安全度F1(t)分别为

(9)

(10)

对式(8)直接求解得带比较程序的双机热备系统可靠度R2(t)与不安全度F2(t)分别为

(11)

(12)

3 仿真结果及分析

设定参数λ=0.001/h，β=0.075，c=0.75，C1=0.95，α=0.1，仿真时间为5 000 h，根据式(9)、式(11)，对系统可靠度进行仿真，仿真结果如图4所示。根据式(10)、式(12)，对系统不安全度进行仿真，仿真结果如图5所示。

图4 可靠性比较

图5 安全性比较

分析比较图4、图5，带比较程序的双机热备系统的可靠度高于传统的双机热备系统，其不安全度低于传统的双机热备系统，即前者具有较高的可靠性与安全性。这是因为自诊断程序检测到并提示出现一个故障，就能立即修理。但如果自诊断程序没有检测到该故障，该故障将成为一个潜在的危险源从而诱发系统出现失效。双版本软件的冗余比较提供了另一个层次的安全保障功能，能够发现自诊断没有发现的故障。因此在单机执行双版本软件之后，系统的可靠度与安全度明显提高。

4 结论

本文在系统不可修复的前提下，建立了2种双机热备结构的同构马尔可夫模型，根据模型对其进行可靠性与安全性对比研究。分析比较结果表明，带比较程序的双机热备系统具有更高的可靠性和安全性，因其不仅能发现大部分硬件故障，同时还能发现大部分软件故障，更适合在铁路上推广应用。

[1] Su H. Reliability and Security Analysis on Two-Cell Dynamic Redundant System[J]. TELKOMNIKA Indonesian Journal of Electrical Engineering， 2013，11(5):2594-2604.

[2] 卡哈尔江，准东北站区域计算机联锁系统解决方案[J].铁道标准设计，2014，58(1):112-116.

[3] 覃庆努，魏学业，于蓉蓉，等.基于双机联合故障检测的双机热备系统可靠性和安全性研究[J].系统工程与电子技术，2011，33(12):2776-2781.

[4] 孙蕾，徐洪泽.双机热备计算机联锁控制系统的安全性和可用性分析[J].中国安全科学学报，2005，14(7):30-33.

[5] 闫剑平，汪希时.两种方式双机热备结构的可靠性和安全性分析[J].铁道学报，2000，22(3):124-127.

[6] 高继祥，郑俊杰.双机热备计算机联锁系统可靠性与安全性指标分析[J].北方交通大学学报，1998，22(5):73-77.[7] 于敏，何正友，钱清泉.基于Markov模型的可维修双机热备系统可靠性分析[J].计算机工程与设计，2009(8):2040-2042.

[8] 何梅芳.TYJL—Ⅱ型车站计算机联锁系统，TYJL—TR9型容错计算机联锁系统[J].中国铁道科学，2002，23(1):140-142.

[9] 张萍，赵阳，何梅芳.铁路区域性计算机联锁控制系统的研制[J].仪器仪表学报，2003，24(4):356-359.

[10]于金帆.现代化高速铁路设计、施工与线路提速改造新技术实务全书[M].长春:吉林科学技术出版社，2004.

[11]威廉·戈布尔，白焰，等译.控制系统安全评估与可靠性[M].北京:中国电力出版社，2008.

[12]Hong G， Yuan X H. Control strategy and reliability study of iLOCK high-speed railway interlocking system[C]∥Remote Sensing， Environment and Transportation Engineering (RSETE)， 2011 International Conference on. IEEE， 2011:3950-3953.

Reliability and Security Analysis on Two Railway Signal Dual Computer Hot Standby Systems

WEN Jun1， SU Hong-sheng1， SHEN Qiang2

(1.School of Automation and Electrical Engineering Academy of Lanzhou Jiaotong University， Lanzhou 730070;2.Baoji Power Supply Division of Xi’an Railway Administration Bureau， Baoji 721000， China)

Dual computer hot standby system has been widely used in modern railway signal system and scholars from home and abroad have conducted extensive and deep researches on the system reliability and security， but failed to address the differences in system structures. In view of this， this paper analyzes two types of dual computer hot standby systems， namely the traditional system with only self-diagnosing， and the system with both self-diagnosing and program comparison. With reference to such factors as common-cause failure， online diagnosis and multi-failure modes， the isomorphic Markov model of dual computer hot standby system with different structure is established. According to simulation results， the reliability and security of the two structures are compared. The results show that dual computer hot standby system with comparative program is more reliable and safer， and even more applicable to railway.

Railway signal system: Dual computer hot standby system， Markov model; Reliability， Security， Fault detection

2014-05-15；

2014-06-30

甘肃省自然科学基金(1212RJZA071)

文 俊(1991—)，女，硕士研究生，E-mail：shiran1991@126.com。

1004-2954(2015)03-0110-04

U284.3

A

10.13238/j.issn.1004-2954.2015.03.026