基于動態貝葉斯網絡的CTCS3-300T列控車載系統運行可靠性及可用性評估

江 磊，王小敏，劉一騮，陳光武

(1. 西南交通大學 信息科學與技術學院， 四川 成都 610031；2. 西南交通大學 綜合交通大數據應用技術國家工程實驗室， 四川 成都 610031；3. 挪威科技大學 機械與工業工程學院， 特隆赫姆 挪威 7491；4. 蘭州交通大學 自動控制研究所，甘肅 蘭州 730070)

我國已基本建成以四縱四橫為骨干的高速鐵路網[1]。列車運行控制系統是保障高速鐵路網和列車安全高效運營的核心。列控車載系統作為安全苛求系統，依托武廣、鄭西等高速鐵路建設，我國建立了CTCS-3列控系統技術平臺，研發了不同類型的列控車載系統。目前CTCS3-300T型列控(以下簡稱300T)車載系統運營數量最多，覆蓋線路最廣，系統的可靠運行和維修維護給運營階段帶來極大挑戰。因此，300T車載系統的運行可靠性及可用性評估對高速鐵路網安全運營具有重要意義。

為提高列控車載系統可靠性和可用性，冗余技術(主動冗余和備份冗余)廣泛應用于系統設計階段。但冗余技術給系統可靠性和可用性評估帶來了動態失效和恢復機制等問題。因此，對系統運行可靠性及可用性進行建模時，需要考慮運營階段車載系統的具體工作過程，解決雙機熱備、冷備的動態失效及恢復機制等問題。可靠性框圖(RBD)、故障樹分析法(FTA)、動態故障樹(DFTA)、Markov模型、貝葉斯網絡(BN)等可靠性分析方法已應用于CTCS-3車載系統設計階段可靠性評估[2-4]。RBD、FTA及靜態BN不能決解系統動態失效，而DFTA和Markov模型建模存在狀態空間爆炸問題。文獻[5]采用動態貝葉斯網絡(DBN)對CTCS-3車載系統進行可靠性評估，將靜態BN進行時間序列的擴展，仍忽略了對車載系統運營過程、動態失效和恢復機制等問題的分析。在列控系統可用性評估方面，文獻[6]基于Statecharts仿真的方法對ETCS-2列控系統進行可用性評估，但仿真參數仍需要運營階段實際數據支撐。目前，鮮有論文同時對300T車載系統的運行可靠性和可用性進行評估。

BN和DBN廣泛應用于復雜工業系統的可靠性分析、風險評估與維護分析等[7-10]。DBN對BN進行時間上的擴展，能有效解決系統多狀態及動態失效等問題，實現模型正向推理、反向推理及敏感性分析。綜合考慮多狀態性、動態失效及恢復機制等問題，本文基于DBN對300T車載系統的運行可靠性及可用性進行評估，具體思路見圖1。根據系統運行過程，本文討論了定期切換冗余開關和備用動車組分別對運行可靠度和可用度的影響，為系統的智能維護管理提供依據。最后，通過中國鐵路某集團有限公司300T車載系統現場維護數據驗證本文分析結果準確性和有效性。

1 背景介紹

1.1 300T車載系統及功能分析

300T車載系統采用雙系冷備(主備系或AB系)的冗余設計，系統工作時只有主系統上電，備系統不上電[11]。CTCS3-300T車載系統結構采用模塊化設計，見圖2。系統根據功能結構可劃分為核心數據處理、無線通信處理、軌旁信號處理、司機及列車接口和電源總線支持功能5類，分別為:

(1) 核心數據處理功能(KN)由CTCS-3安全計算機(C3VC)、CTCS-2安全計算機(C2VC)、脈沖采集單元SDU及速度距離處理單元SDP實現。C3VC、C2VC均采用冷備2乘2取2結構，SDP采用雙機冷備，SDU采用雙機并聯設計。

(2) 無線通信處理功能(WP)由無線傳輸單元RTU及車載電臺移動終端MT完成，RTU及MT分別采用雙機冷備和熱備設計。

(3) 軌旁信號處理功能(LP)由軌道電路處理單元TCR及應答器處理單元BTM完成，TCR及BTM采用雙機冷備設計。

(4) 司機及列車接口功能(TD)由人機界面DMI及列車接口單元TIU模塊實現。DMI采用雙機冷備設計。TIU包括安全數字輸入輸出單元VDX和安全繼電器單元RLU。VDX1和VDX2采用互為采集的方式進行工作，只有輸出和回采都正確，才判斷VDX工作正常。RLU無冗余設計。

(5) 電源總線支持功能(PB)有電源模塊POWER及通信總線BUS完成，BUS及POWER分別采用冷備和熱備設計。

根據系統功能結構分析，得到CTCS3-300T車載系統可靠性框圖，見圖3。熱備系統切換方式為自動切換，冷備系統則通過冗余開關進行人工切換。其中，SDU1和SDU2采用并聯結構，VDX1和VDX2采用串聯結構。BTM、TCR及SDU模塊中分別包含其接收天線及傳感器。本文研究的假設條件為設備狀態相互獨立且故障率服從指數指數分布；設備維修后，狀態如新；冗余開關切換完全有效。

1.2 300T車載系統工作過程分析

300T車載系統運行可靠性和可用性的評估需要考慮系統工作過程，對運營時間的計算只需要考慮工作時間，車載系統工作時間及過程見圖4。300T車載系統每天平均工作時間為18 h，運營完成后，車載系統返回動車所進行維修維護作業。300T車載系統工作時，主系統上電完成安全監控功能。當主系統出現故障無法正常運行時，根據故障導向安全原則，列車制動后司機可手動通過冗余開關切換到備系統，恢復正常運行。車載系統不能進行在線維修，只能通過主系統和備系統切換實現功能恢復，否則運營安全和效率會受到極大影響。如果在當天的運營過程中，主系統和備系統都出現故障后，司機將列車切換到隔離模式行車，車載系統不再具備安全監控功能，系統功能恢復時間主要受到恢復機制和現場運營情況的影響。

2 基于DBN的可靠性及可用性建模

2.1 DBN簡介

靜態BN可以表示為三元組〈(V,E),P〉，其中(V,E)表示有向無環圖，P表示根節點概率和葉節點條件概率。如果離散隨機變量V={X1,X2,…,XN}，其聯合概率分布為

P(V)=P(X1,X2,…,XN)=

( 1 )

DBN是BN在時間上的擴展，包含有限個時間片段T。DBN片段間有向邊用于表示不同時間片段節點的條件關聯。假設片段間有向邊符合一階Markov過程，可得

( 2 )

展開式( 2 )，可得DBN聯合概率分布[12]

( 3 )

DBN包括結構學習和參數學習。

2.2 DBN結構學習

DBN結構學習可以通過系統可靠性框圖轉換得到，并能有效解決系統動態失效的問題，見圖5。圖5中W為節點工作狀態，F為失效狀態。300T車載系統可靠性框圖主要包括串聯、并聯、雙機冷備及熱備結構。串聯、并聯結構不涉及動態失效，轉換規則直接添加時間片段間有向邊，完成從t時刻到t+Δt時刻的擴展。如圖5(a)、5(b)，t+Δt時刻節點C1僅與t時刻節點C1相關。雙機冷備和熱備結構涉及動態失效，如圖5(c)，t+Δt時刻節點B同時與t時刻節點B和節點A相關。當節點A失效后，設備會自動或人工切換到節點B，繼續完成相應功能。

2.3 DBN參數學習

DBN參數學習主要包括根節點的先驗概率和葉子節點的條件概率。假設節點工作狀態W和失效狀態F服從失效率λ的指數分布，以圖5(c)中節點A為例，節點A在下一時間片段失效概率為

P{A(t+Δt)=F|A(t)=W}=1-e-λt

考慮設備維修情況，若節點A的維修率為μ，修復概率為

P{A(t+Δt)=F|A(t)=F}=1-e-λt

同理，可得節點B的條件概率，見表1、表2，表中α為休眠系數，當α=1時，設備為熱備；當α=0時，設備為冷備。

表1 不考慮維修的節點B條件概率

當系統采用冗余設計時，覆蓋因子c是衡量系統從失效狀態恢復的重要參數，有效反映出系統恢復機制的能力，如圖5(b)、5(c)中節點S的條件概率表。覆蓋因子c能合理說明在冗余系統中單個設備故障導致的系統故障[13]。本文將覆蓋因子c設置為0.95。圖5中，串聯、并聯結構節點S的條件概率見表3。

表3 串聯、并聯結構節點S條件概率

本文采用GeNIe軟件進行建模，完成DBN結構學習和參數學習后，利用聯合樹算法進行推理[14]。通過DBN正向推理，可以得到300T車載系統運行可靠性及可用性。通過DBN反向推理，可以得到各設備的后驗概率，為維修維護提供支持。通過DBN敏感性分析，得到設備先驗概率對整個系統可靠性及可用性的敏感程度。

2.4 DBN模型驗證

DBN模型驗證主要包模型可用性驗證與結果驗證，模型可用性驗證需要滿足文獻[15]提出的3個公理，本文分析結果通過300T車載系統現場維護數據進行驗證。

3 300T車載系統運行可靠性及可用性評估

根據300T車載系統功能結構分析，轉換系統可靠性框圖得到相應DBN，見圖6。根節點對應300T車載系統模塊單元，中間節點對應LP、WP、KN、TD、PB 5個功能模塊，子節點為CTCS-3 onboard。在DBN推理過程中，時間間隔Δt設置為1周(126 h)，初始時間段(t=0)，各模塊都完全可靠，根節點的先驗概率為1。各模塊的失效率見表4。根據2.3節DBN參數學習方法，可得到其余節點條件概率，實現參數學習。考慮到無線通信功能出現故障的時候，CTCS-3降級到CTCS-2的情況，CTCS-3 onboard節點有工作W，降級D和失效F三種狀態，其余節點都只有工作W和失效F兩種狀態。

3.1 系統可靠性及可用性評估

通過DBN正向推理，300T車載系統可靠度、可用度及降級概率分別見圖7—圖9，系統在運行階段，具有高可靠性和高可用性。本文考慮設備冗余結構得到0至100周系統設計可靠度，見圖7，然而，計算系統運行可靠度時，雙機冷備冗余結構只考慮主設備工作情況，并且不考慮司機人工切換冗余開關情況。可以看出，系統設計可靠度明顯高于運行可靠度，隨著系統運行周數的增加，運行可靠度的下降速度大于設計可靠度，在系統運行到第100周時，可靠度分別為0.81和0.502。

表4 元件失效率及100周先驗/后驗概率

考慮300T車載系統工作過程，設備維修時間主要決定于失效設備維修等待時間。因此，雙機熱備的主件和備件的平均維修等待時間都為9 h，而雙機冷備的主件和備件的平均維修時間分別為9、4.5 h。300T車載系統具有高可用度見圖8，在系統運行60 h，達到系統穩態可用度0.999 922。系統運行可用度大于0.999 9，達到設計標準。系統運行可用度遠大于運行可靠度，說明系統在失效后，能通過切換冗余開關及重啟系統等方法，迅速恢復系統功能。隨著系統運行周數的增加見圖9，系統降級模式概率逐漸增加，但增加速度較慢，第100周時降級概率為0.052，說明由于系統本身硬件造成的系統降級概率較小。

將CTCS-3 onboard節點的失效概率設置為1，實現 DBN反向推理，得到各元件后驗概率，找到系統薄弱環節。系統運行100周后，各元件的先驗概率和后驗概率見表4。根據系統5個功能模塊，比較系統在不同時間段的后驗概率和先驗概率，見圖10。為提高系統可靠性和可用性，各功能模塊重要度關注的順序依次為TD，KN，PB，LP，WP。因此，完成列車及司機接口及核心數據處理功能的相關設備為系統的薄弱環節，即：VDX，RLU，C3VC，C2VC等。

3.2 DBN敏感性分析

DBN敏感性分析假設元件輸入參數存在不確定性，本文通過對元件失效概率的不確定性設置10%，得到系統對各元件的敏感程度，見圖11。導致系統失效的敏感性元件順序為VDX2，VDX1，RLU，C3VC，C2VC，POWER。因此，在系統運營階段，需加強對以上敏感性元件的維護管理。敏感性分析論證了DBN反向推理的正確性。

3.3 討論

(1) 考慮司機人工切換冗余開關的運行可靠度

司機可通過冗余開關實現主系統和備系統的切換，每周切換的運行可靠度見圖12。考慮切換冗余開關后，系統的運行可靠度得到提高，當系統運行100周后，運行可靠度為0.705，而不考慮切換冗余開關情況下，運行可靠度為0.502。因此，在系統運行階段，對主系統和備系統進行定期切換，能有效提高運行可靠度。

(2) 考慮列車冗余的運行可用度

在高鐵運營過程中，在高鐵線路或中心樞紐車站設置備用動車組，當300T車載系統的主系統和備系統都失效后，通過調度備用動車組完成后續運營任務。假設一輛動車組和兩輛動車組分別將系統的失效維修等待時間縮短為3 h和2 h，本文討論了備用動車組對300T車載系統的可用性影響，見圖13。當備用一輛動車組和兩輛動車組時，系統運行可用度從0.999 922分別提高至0.999 955和0.999 961。因此，在系統運行階段，備用動車組可有效提高運行可用度。

3.4 DBN模型驗證

將根節點BTM1的初始失效概率從0設置為0.5，系統運行100周后，可靠度從0.81降低到0.781。繼續將根節點BTM2的初始失效概率從0設置為0.5，可靠度降低到0.578。然后，再將TCR1和TCR2的初始失效概率都設置為0.5，系統可靠度降低到0.411。通過以上敏感性分析，本文的DBN模型滿足文獻[15]提出的3個公理，DBN模型可用性得到驗證。

通過中國鐵路的某集團有限公司300T車載系統現場維護數據進行分析，驗證本文DBN模型的結果。根據2015年12月至2016年11月對300T車載系統的故障信息統計，以其中一條為例，具體情況是：設備類型CTCS3-300T型列控車載設備；其故障現象、處理經過和采取措施分別為：CRH380B-3582，運行至廣深港客專慶盛-廣州南間報ATP故障停車，換系統重啟后正常；恢復時間為12 min；故障原因為：TCR通信板問題。300T系統運行可用度A0為

A0=MUT/(MUT+MDT)

( 4 )

式中：MUT為系統運行過程中累計可工作時間；MDT為系統因故障導致的累計不能工作時間。

統計動車組數量為63，總共運行時間(MUT+MDT)為413 910 h，總共故障次數為78次，恢復時間共計為 1 562 min，即MDT為26 h，因此，得到300T車載系統運行可用度為0.999 937，DBN可用度分析結果得到驗證。

4 結論

本文針對300T車載系統多狀態性、動態失效及恢復機制等問題，基于DBN對系統運行可靠性及可用性進行評估，結合系統運行過程，實現DBN結構學習和參數學習。本文分析和討論結果對高速鐵路網安全運營具有以下重要參考意義：

(1) 300T車載系統具有高運行可靠度和可用度，系統失效后，能通過切換冗余開關迅速恢復系統功能；系統本身硬件造成的系統降級概率較小。

(2) 為提高系統可靠性和可用性，各功能模塊需要關注的順序為TD,KN,PB,LP,WP；300T車載系統的薄弱環節為VDX，RLU，C3VC，C2VC等。

(3) 導致系統失效的敏感性元件順序為VDX2,VDX1,RLU,C3VC,C2VC,POWER。

(4) 在系統運行階段，對主系統和備系統進行定期切換，能有效提高運行可靠度；備用動車組可有效提高運行可用度。

通過中國鐵路某集團有限公司2015年12月至2016年11月期間300T車載系統現場維護數據,可驗證本文分析結果準確性和有效性。