基于PDS的鐵路信號(hào)冗余結(jié)構(gòu)危險(xiǎn)失效概率計(jì)算方法

張宏揚(yáng),段 武,王龍生,梁志國(guó),關(guān)惲琿

(1.中國(guó)鐵道科學(xué)研究院研究生部,北京 100081； 2.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司通信信號(hào)研究所,北京 100081)

近年來(lái)，隨著列車(chē)速度的不斷提高，信號(hào)系統(tǒng)的復(fù)雜度也隨之提升，導(dǎo)致其風(fēng)險(xiǎn)識(shí)別與控制難度大增，為了保證設(shè)備的可靠性與安全性符合相關(guān)標(biāo)準(zhǔn)，新研發(fā)的產(chǎn)品在上道使用之前，必須通過(guò)安全完整性認(rèn)證(Safety Integrity Level SIL)，其中的關(guān)鍵是危險(xiǎn)失效概率的計(jì)算。

針對(duì)此類(lèi)問(wèn)題，許多學(xué)者做了大量研究：文獻(xiàn)[1]使用ALARP模型風(fēng)險(xiǎn)分析方法對(duì)ATP(列車(chē)自動(dòng)防護(hù))系統(tǒng)的安全完整性等級(jí)進(jìn)行了定性分析，然后采用IEC61508中的公式定量計(jì)算了其中冗余結(jié)構(gòu)的失效概率[1]，ATP與工業(yè)控制領(lǐng)域的“緊急停止”系統(tǒng)類(lèi)似，可以離線(xiàn)測(cè)試，但這與典型的鐵路信號(hào)地面安全苛求系統(tǒng)(如聯(lián)鎖、列控中心等)不同，因此該方法并不能完全適用于鐵路信號(hào)地面控制系統(tǒng)；文獻(xiàn)[2]提出了一種共因失效的分析方法，以故障樹(shù)與門(mén)作為分析對(duì)象，結(jié)合β因子法和獨(dú)立性分析法對(duì)各種故障情況進(jìn)行分析，無(wú)需建立復(fù)雜的共因失效模型，簡(jiǎn)化了分析和計(jì)算過(guò)程[2]，但主要是針對(duì)系統(tǒng)某模塊的共因失效，尚未全面考慮整個(gè)系統(tǒng)級(jí)的共因失效；文獻(xiàn)[3]利用故障樹(shù)分析法對(duì)全電子三相交流轉(zhuǎn)轍機(jī)控制模塊進(jìn)行可靠性與安全性的計(jì)算與評(píng)估，結(jié)果表明該模塊完全滿(mǎn)足信號(hào)系統(tǒng)對(duì)高安全性的要求[3]，但分析過(guò)程并沒(méi)有全面考慮共因失效，只是簡(jiǎn)單對(duì)故障樹(shù)的結(jié)果進(jìn)行可靠度估計(jì)，就得出了高安全性的結(jié)論，可能過(guò)于理想；文獻(xiàn)[4]采用故障樹(shù)分析法和馬爾科夫方法對(duì)土耳其某線(xiàn)路聯(lián)鎖設(shè)備相關(guān)組件的功能安全進(jìn)行了評(píng)估，并在安全性相關(guān)的計(jì)算中考慮了平均修復(fù)時(shí)間MTTR[4]，但如聯(lián)鎖、列控中心等連續(xù)工作的地面信號(hào)設(shè)備，考慮維修時(shí)間便意味著停機(jī)或降級(jí)，這會(huì)影響危險(xiǎn)失效概率的計(jì)算精度；文獻(xiàn)[5]針對(duì)ZPW-2000A軌道電路的安全性進(jìn)行了定量計(jì)算，其中利用貝葉斯網(wǎng)絡(luò)分析了在考慮共因失效和不考慮共因失效情況下，系統(tǒng)失效概率的變化，結(jié)果表明共因失效的引入使得計(jì)算結(jié)果更加準(zhǔn)確[5]，但文章不足之處是沒(méi)有針對(duì)不同冗余結(jié)構(gòu)對(duì)共因失效的影響程度進(jìn)行區(qū)分。

通過(guò)以上分析可以看出，在鐵路信號(hào)設(shè)備安全性指標(biāo)的計(jì)算過(guò)程中，常忽略共因失效及不同冗余結(jié)構(gòu)對(duì)安全性的影響，使得計(jì)算結(jié)果偏于保守，雖然最新版的IEC61508中提出了結(jié)構(gòu)修正因子用來(lái)區(qū)分共因失效對(duì)不同冗余結(jié)構(gòu)的影響，但對(duì)于該參數(shù)如何取值并沒(méi)有給出相關(guān)的解釋或說(shuō)明[6]，而且IEC61508中的方法并不完全適用于鐵路信號(hào)領(lǐng)域，因?yàn)檫@類(lèi)方法所面向的工業(yè)過(guò)程控制系統(tǒng)與鐵路信號(hào)地面控制中心類(lèi)的安全苛求系統(tǒng)之間存在差異性。

針對(duì)以上問(wèn)題，引入由挪威工業(yè)科技研究院SINTEF開(kāi)發(fā)的PDS方法，該方法基于IEC61508中的部分理論，針對(duì)鐵路信號(hào)系統(tǒng)提出了新的公式用于定量計(jì)算系統(tǒng)的PFH，該方法針對(duì)共因失效對(duì)系統(tǒng)危險(xiǎn)失效概率的影響給予了更高的權(quán)重，符合現(xiàn)場(chǎng)設(shè)備的實(shí)際使用情況。首先介紹了鐵路信號(hào)典型的3種冗余結(jié)構(gòu)，給出PFH的概念，然后重點(diǎn)分析共因失效對(duì)PFH的影響問(wèn)題，其中改進(jìn)了常用的β參數(shù)模型，用來(lái)區(qū)別不同冗余結(jié)構(gòu)對(duì)共因失效的影響程度，以此構(gòu)建冗余結(jié)構(gòu)可靠性框圖，最后詳細(xì)分析了PDS方法的應(yīng)用流程，其中重點(diǎn)分析了結(jié)構(gòu)修正因子CMooN的取值問(wèn)題，以雙機(jī)熱備、二乘二取二、三取二方式的冗余結(jié)構(gòu)為例，采用該方法計(jì)算其PFH，并在不同共因失效因子β下與IEC61508中方法計(jì)算的結(jié)果進(jìn)行比較。

1 鐵路信號(hào)冗余結(jié)構(gòu)介紹

冗余作為技術(shù)術(shù)語(yǔ)，狹義上多含有備份的意思，是用于提高可靠性和可用性非常有效的手段，即通過(guò)一個(gè)或多個(gè)額外的(通常是同等的)方法容錯(cuò)。因?yàn)橛?jì)算機(jī)硬件成本的降低和性能的提升及安全苛求系統(tǒng)的復(fù)雜性日益增加，以及社會(huì)發(fā)展對(duì)可靠性特別是安全性的要求持續(xù)提高的原因，導(dǎo)致采用多重冗余、特別是整體多重系冗余結(jié)構(gòu)方式的鐵路信號(hào)計(jì)算機(jī)控制系統(tǒng)日益普遍[7]。

IEC61508中以MooN(M≤N)表示在N個(gè)獨(dú)立完成相同功能通道中的M個(gè)通道，系統(tǒng)功能完好的條件為：N個(gè)通道中由M個(gè)及M以上個(gè)完好。在此定義下，MooN在形式上可代表一大類(lèi)冗余結(jié)構(gòu)，常見(jiàn)的雙機(jī)熱備、二乘二取二和三取二冗余，亦都可以統(tǒng)一納入這種表達(dá)方式，分別表示為1oo2，2×2oo2和2oo3[7]。如圖1所示。

圖1 典型冗余方式基本結(jié)構(gòu)

其中，1oo2作為最基本的可靠性冗余結(jié)構(gòu)，由兩個(gè)完成相同功能并具有備份關(guān)系的基本單元構(gòu)成，系統(tǒng)在某系出現(xiàn)故障時(shí)可以實(shí)現(xiàn)自動(dòng)切換(該切換不對(duì)系統(tǒng)工作的連續(xù)性產(chǎn)生明顯影響)，且只要其中一個(gè)不失效時(shí)，就能夠執(zhí)行規(guī)定的功能；2×2oo2是二取二安全性和雙機(jī)熱備可靠性這兩種目的完全不同、但具有很強(qiáng)互補(bǔ)性的典型冗余結(jié)構(gòu)的組合，其中的二取二，在基于一致性比較原理實(shí)現(xiàn)安全冗余的同時(shí)，亦為其上一級(jí)的雙機(jī)熱備冗余提供了具有極高覆蓋率的故障檢測(cè)判據(jù)，使其可靠性冗余更加有效且易于實(shí)現(xiàn)；2oo3是基于表決原理的、兼顧了可靠性和安全性的典型多重系冗余結(jié)構(gòu)，它由3個(gè)完成相同規(guī)定功能的基本單元或子系構(gòu)成，其輸出符合多數(shù)表決原則(輸入一般也是如此)，能夠屏蔽任何一個(gè)單子系的任何可識(shí)別或不可識(shí)別的故障，使系統(tǒng)的整體功能在單子系故障時(shí)能夠保持正常。

2 鐵路信號(hào)冗余結(jié)構(gòu)PFH計(jì)算

首先介紹失效的分類(lèi)進(jìn)而給出PFH的定義，然后討論共因失效對(duì)PFH的影響，并分析上述3種冗余方式中共因失效的作用問(wèn)題，以此建立包含失效類(lèi)別的系統(tǒng)可靠性框圖，最后介紹PDS方法，并將其引入鐵路信號(hào)冗余結(jié)構(gòu)PFH的計(jì)算中。

2.1 PFH定義

失效從機(jī)理特征的角度可分為系統(tǒng)性失效和隨機(jī)硬件失效兩大類(lèi)，其中系統(tǒng)性失效是在系統(tǒng)/子系統(tǒng)/設(shè)備的規(guī)范、設(shè)計(jì)、制造、安裝、運(yùn)行或維護(hù)階段中因內(nèi)在缺陷引起，是在生命周期的各階段中由人為錯(cuò)誤導(dǎo)致的失效，所以一般認(rèn)為系統(tǒng)性失效是無(wú)法進(jìn)行定量度量及預(yù)計(jì)的，而隨機(jī)硬件失效是完好的產(chǎn)品在運(yùn)用中因多種不確定因素的誘發(fā)而隨機(jī)出現(xiàn)的物理故障所導(dǎo)致的，是可能隨時(shí)發(fā)生、卻無(wú)法預(yù)知及控制其何時(shí)發(fā)生的失效(譬如，微電子器件因高能粒子的撞擊而產(chǎn)生的失效)，因?yàn)榫哂须S機(jī)特性，故其失效率可以用數(shù)學(xué)統(tǒng)計(jì)方法進(jìn)行定量度量和預(yù)計(jì)[8]，其量化指標(biāo)被稱(chēng)作“硬件平均失效概率”，該指標(biāo)又分為“僅在要求時(shí)的危險(xiǎn)失效概率PFD(Probability Of Dangerous Failure On Demand，PFD)”和“每小時(shí)危險(xiǎn)失效概率PFH”[8]。

上述指標(biāo)反映的都是危險(xiǎn)失效率，其區(qū)別是應(yīng)用的操作模式不同，與PFD指標(biāo)相對(duì)應(yīng)的操作模式是低要求模式，在這種模式下，對(duì)一個(gè)安全相關(guān)系統(tǒng)提出操作要求的頻率不大于每年一次；與PFH指標(biāo)對(duì)應(yīng)的是高要求模式或連續(xù)模式，在這種模式下，對(duì)安全相關(guān)系統(tǒng)提出操作要求的頻率大于每年一次或安全功能是連續(xù)執(zhí)行的[9]。由于信號(hào)系統(tǒng)是要求連續(xù)工作的，屬于“連續(xù)要求模式”，因此其硬件失效的量化指標(biāo)為每小時(shí)危險(xiǎn)失效概率(PFH)。

2.2 考慮共因失效的系統(tǒng)可靠性框圖建立

2.2.1 共因失效介紹

共因失效(Common Cause Failure， CCF)是指由于某種共同原因造成的多個(gè)產(chǎn)品的失效，即多個(gè)產(chǎn)品的失效是由于同一原因引起的，它們可能是一個(gè)系統(tǒng)故障引起的(例如：設(shè)計(jì)或規(guī)范失誤)或者由一個(gè)外部應(yīng)力導(dǎo)致一個(gè)早期的隨機(jī)硬件失效引起的(例如：閃電或地震事件、維護(hù)中的操作錯(cuò)誤等)，或者是上述兩種情況共同導(dǎo)致的[9]。存在共因失效的系統(tǒng)中若干個(gè)單元同時(shí)失效，單元正常或故障狀態(tài)之間彼此統(tǒng)計(jì)相關(guān)，給系統(tǒng)可靠性、安全性分析帶來(lái)了極大困難[10-11]。

信號(hào)系統(tǒng)的組合式故障-安全以及反應(yīng)式故障-安全的結(jié)構(gòu)采用了大量冗余結(jié)構(gòu)，各通道的相似性使其具有相同或相似的故障集而較易受到CCF的影響，從而可能失去防護(hù)效果。因此，共因失效是導(dǎo)致鐵路微電子復(fù)雜多重系信號(hào)系統(tǒng)失效的重要因素，在進(jìn)行安全評(píng)估時(shí)，若不考慮其對(duì)冗余結(jié)構(gòu)的影響程度，可能無(wú)法準(zhǔn)確估算系統(tǒng)安全指標(biāo)，造成評(píng)估結(jié)果過(guò)于理想，進(jìn)而埋下人身和財(cái)產(chǎn)安全隱患[12]。所以在信號(hào)設(shè)備安全性的相關(guān)分析中考慮 CCF的影響是非常有必要的。

2.2.2 多β參數(shù)模型

自20世紀(jì)70年代以來(lái)，國(guó)內(nèi)外有關(guān)學(xué)者提出了許多描述共因失效的方法，如β因子模型、基本參數(shù)模型(BP)、混合參數(shù)模型(MGL)、α因子模型以及平方根模型等[13-14]。其中，β因子模型、MGL模型、α因子模型是應(yīng)用于概率風(fēng)險(xiǎn)評(píng)價(jià)(PRA)的模型，這些模型的構(gòu)造易于理解還能保守估計(jì)系統(tǒng)的失效概率，因此至今仍被廣泛應(yīng)用于共因失效的研究中。在β因子模型的基礎(chǔ)上，引入反映不同冗余結(jié)構(gòu)對(duì)共因失效影響的參數(shù)CMooN，構(gòu)成多β參數(shù)模型。

β因子模型假設(shè)系統(tǒng)失效QT由獨(dú)立失效因子QI和共因失效因子QC組成，即QT=QI+QC

參數(shù)β被定義為共因失效因子QC在系統(tǒng)失效QT中所占的比值[15]，即

QC=βQT→

QI=(1-β)QT

(1)

參數(shù)β的取值范圍可以由0取到25%，具體的取值需要考慮具體系統(tǒng)結(jié)構(gòu)的特點(diǎn)，根據(jù)專(zhuān)家經(jīng)驗(yàn)，在硬件失效領(lǐng)域，參數(shù)β的取值參考范圍為[0.1%，10%][16]。但目前多數(shù)研究對(duì)于任意MooN冗余結(jié)構(gòu)，所采用的β因子數(shù)值都是相同的，并沒(méi)有考慮到不同冗余結(jié)構(gòu)對(duì)共因失效的影響程度是有差別的，因此普通β因子模型對(duì)于不同的冗余結(jié)構(gòu)并不能很好地描述共因失效問(wèn)題，故這里引入修正因子CMooN，構(gòu)成更具一般性的多β參數(shù)模型，以區(qū)分不同冗余結(jié)構(gòu)對(duì)共因失效的影響程度，即對(duì)于MooN的冗余結(jié)構(gòu)，多β參數(shù)為

β(MooN)=β·CMooN

(2)

如果N個(gè)冗余設(shè)備的失效率均為λ，那么MooN冗余結(jié)構(gòu)的共因失效率為

λMooN，C=CMooN·β·λ

(3)

2.2.3 可靠性框圖建立

計(jì)算系統(tǒng)危險(xiǎn)失效概率時(shí)，需要畫(huà)出系統(tǒng)硬件的可靠性框圖，介紹常規(guī)可靠性框圖的相關(guān)理論，然后轉(zhuǎn)換為包含失效類(lèi)別的可靠性框圖。

(1)串聯(lián)系統(tǒng)的可靠性模型

一個(gè)系統(tǒng)由N個(gè)單元R1，R2，…，Rn組成，當(dāng)每一個(gè)單元都處于正常狀態(tài)時(shí)，系統(tǒng)才能夠完成指定功能，即只要其中任意一個(gè)單元失效時(shí)，系統(tǒng)就會(huì)失效，稱(chēng)這種系統(tǒng)為串聯(lián)系統(tǒng)，其可靠性框圖如圖2所示。

圖2 串聯(lián)系統(tǒng)的可靠性框圖

因?yàn)榇?lián)系統(tǒng)不存在冗余通道，而本文討論的是共因失效對(duì)冗余結(jié)構(gòu)的影響，因此假設(shè)串聯(lián)系統(tǒng)不存在共因失效，所以將其轉(zhuǎn)為包含失效類(lèi)別的可靠性框圖，如圖3所示：

圖3 包含失效類(lèi)別的串聯(lián)系統(tǒng)可靠性框圖

(2)并聯(lián)系統(tǒng)的可靠性模型

一個(gè)系統(tǒng)由N個(gè)單元R1，R2，…，Rn組成，只要其中有一個(gè)單元處于正常工作狀態(tài)，則系統(tǒng)就可以完成指定功能，即只有當(dāng)所有單元均失效時(shí)，系統(tǒng)才會(huì)失效，稱(chēng)這種系統(tǒng)為并聯(lián)系統(tǒng)。其可靠性框圖如圖4所示。

圖4 并聯(lián)系統(tǒng)的可靠性框圖

因?yàn)椴⒙?lián)系統(tǒng)就是典型的1ooN冗余結(jié)構(gòu)，故系統(tǒng)存在共因失效，所以將其轉(zhuǎn)為包含失效類(lèi)別的可靠性框圖如圖5所示。

圖5 包含失效類(lèi)別的并聯(lián)系統(tǒng)可靠性框圖

(3)冗余結(jié)構(gòu)可靠性框圖建立

①1oo2

如圖1(a)，雙機(jī)熱備結(jié)構(gòu)由2重系構(gòu)成，當(dāng)雙系中任意一系出現(xiàn)故障，系統(tǒng)會(huì)自動(dòng)切換到另一系(備系)保證系統(tǒng)處于可用狀態(tài)，即只要其中一個(gè)CPU不失效，系統(tǒng)就能執(zhí)行正常功能，當(dāng)CPUA失效，CPUB也失效或者兩者發(fā)生共因失效時(shí)，系統(tǒng)失效，這符合典型并聯(lián)系統(tǒng)的工作模式，由此給出1oo2的可靠性框圖如圖6所示。

圖6 1oo2可靠性框圖

②2×2oo2

如圖1(b)，二乘二取二結(jié)構(gòu)由2重系組成，每系采用雙CPU且各自執(zhí)行全部處理功能，兩系之間通過(guò)高速通信通道交換信息，主系在每個(gè)處理周期的起始時(shí)刻向從系發(fā)出同步信號(hào)，令從系與主系保持周期同步，實(shí)現(xiàn)2重系的同步和切換。由其工作方式可知，單系中任何一個(gè)CPU失效，會(huì)導(dǎo)致本系不可用，此時(shí)切換單元會(huì)立刻切換到另一系，保證系統(tǒng)處于可用狀態(tài)，當(dāng)兩系各自CPU均有失效出現(xiàn)(例如CPUA1失效、CPUB1失效或CPUA2與CPUB2出現(xiàn)共因失效)，會(huì)導(dǎo)致系統(tǒng)失效，此時(shí)系統(tǒng)自動(dòng)導(dǎo)向安全狀態(tài)。

由以上分析可知，雙系中任何一個(gè)CPU失效會(huì)導(dǎo)致本系不可用，兩系之間的共因失效會(huì)導(dǎo)致系統(tǒng)不可用，由此建立二乘二取二系統(tǒng)的可靠性框圖如圖7所示。

圖7 2×2oo2系統(tǒng)可靠性框圖

③2oo3

如圖1(c)，三取二結(jié)構(gòu)由3個(gè)子系構(gòu)成，在任何時(shí)刻，只要三者之間任意兩個(gè)CPU處于正常工作狀態(tài)，那么整個(gè)系統(tǒng)就可用，即系統(tǒng)具備容錯(cuò)功能。當(dāng)兩個(gè)及以上CPU失效或者同時(shí)發(fā)生共因失效時(shí)，系統(tǒng)失效，因此給出2oo3的可靠性框圖如圖8所示。

圖8 2oo3可靠性框圖

2.3 基于PDS的冗余結(jié)構(gòu)PFH計(jì)算

PDS方法由挪威工業(yè)科技研究院SINTEF開(kāi)發(fā)，是定量估計(jì)安全相關(guān)系統(tǒng)安全不可用性的方法，在石油、工業(yè)、鐵路等領(lǐng)域均有廣泛應(yīng)用，該方法復(fù)雜度較低，有助于降低數(shù)學(xué)運(yùn)算量[17]。本節(jié)首先介紹IEC61508中定量計(jì)算PFH方法的不足之處，然后介紹PDS方法并將其引入鐵路信號(hào)冗余結(jié)構(gòu)危險(xiǎn)失效概率的計(jì)算中，以此構(gòu)建簡(jiǎn)潔高效的復(fù)雜多重系信號(hào)系統(tǒng)的危險(xiǎn)失效概率計(jì)算模型。

2.3.1 IEC61508中方法與PDS方法的差異性

IEC61508-6中提供的定量計(jì)算方法，雖然也考慮了共因失效的影響，但在應(yīng)用時(shí)會(huì)存在以下問(wèn)題：

(1)IEC 61508只給出了幾種常見(jiàn)冗余結(jié)構(gòu)的計(jì)算公式，對(duì)于更為復(fù)雜的結(jié)構(gòu)，缺乏相關(guān)的指導(dǎo)；

(2) IEC 61508中的計(jì)算公式形式繁瑣，且隨著系統(tǒng)復(fù)雜度的提升，相關(guān)參數(shù)(如其中涉及到的“平均停機(jī)時(shí)間”)的選取會(huì)愈加困難；

(3)最新版IEC61508中針對(duì)共因失效部分提出了結(jié)構(gòu)修正因子，但對(duì)于該參數(shù)的取值大小并沒(méi)有給出詳細(xì)的解釋?zhuān)?/p>

(4)鐵路信號(hào)尤其是以計(jì)算機(jī)聯(lián)鎖為代表，具有控制中心特征的地面信號(hào)控制系統(tǒng)，與一般工業(yè)過(guò)程控制領(lǐng)域中的安全(防護(hù))系統(tǒng)在涉及安全的工作方式、安全側(cè)定義等方面有著顯著不同，即在某些關(guān)鍵的安全特征方面，作為功能安全基礎(chǔ)標(biāo)準(zhǔn)的IEC61508與作為鐵路信號(hào)安全相關(guān)電子處理系統(tǒng)的EN50129各自所面向的對(duì)象之間，存在顯著差異，致使IEC61508中的一些內(nèi)容并不適用或并不完全適用于鐵路信號(hào)電子系統(tǒng)[18]。

2.3.2 PDS方法假設(shè)

本文PDS方法中的計(jì)算基于以下假設(shè)：

(1)假設(shè)同一種單元具有相同恒定的失效率，且均服從指數(shù)分布；

(2)假設(shè)所有可被在線(xiàn)檢測(cè)到的危險(xiǎn)故障都能夠被及時(shí)檢測(cè)到并被排除、修復(fù)或被有效限制，從而不會(huì)產(chǎn)生危害后果，因此忽略能夠被在線(xiàn)檢測(cè)到的危險(xiǎn)失效的失效率λDD，即PFH的取值主要取決于不能被在線(xiàn)檢測(cè)到的危險(xiǎn)失效的失效率λDU；

(3)不同于工業(yè)控制系統(tǒng)或車(chē)載ATP等類(lèi)似存在降級(jí)模式的設(shè)備，聯(lián)鎖設(shè)備不存在降級(jí)操作，本文不考慮降級(jí)操作；

(4)λDU·τ應(yīng)足夠小(即λDU·τ≤0.2)，使得e-λDU·τ≈1-λDU·τ。

2.3.3 PDS方法應(yīng)用

由上面分析可知，系統(tǒng)的PFH由獨(dú)立失效和共因失效共同組成，即PFH=PFHCCF+PFHind。

(1)對(duì)于獨(dú)立失效

假設(shè)w(t)為某時(shí)刻t的無(wú)條件失效強(qiáng)度，則PFH在一個(gè)時(shí)間跨度[0，τ]上的平均值為

(4)

其中，τ為功能測(cè)試間隔，每經(jīng)過(guò)一個(gè)τ，w(t)均恢復(fù)為0，代表經(jīng)過(guò)一個(gè)功能測(cè)試后，所有失效均會(huì)被找出并修復(fù)。

對(duì)于1ooN系統(tǒng)，w(t)=N·[1-e-λDU·t)]N-1·λDU·e-λDU·t，因?yàn)?-e-λDU·τ≈λDU·τ，e-λDU·τ=1，所以

(5)

對(duì)于NooN系統(tǒng)，只要有一個(gè)單元失效，系統(tǒng)就失效，所以系統(tǒng)PFH等于所有單元失效率的總和，即

PFH=N·λDU

(6)

(7)

(2)對(duì)于共因失效

由上節(jié)分析可知，冗余結(jié)構(gòu)中完全獨(dú)立的單元并不存在，所以該結(jié)構(gòu)最大的缺點(diǎn)在于各個(gè)通道之間會(huì)互相影響，從而產(chǎn)生共因失效。因此PDS方法中重點(diǎn)考慮了共因失效，采用前一節(jié)提出的多β參數(shù)模型描述PFH中共因失效的部分，公式如下

(8)

綜上，PFH的計(jì)算公式為

(9)

為了確定CMooN，從兩個(gè)設(shè)備構(gòu)成的雙重冗余結(jié)構(gòu)入手分析，如圖9(a)所示。圓A、B分別表示兩個(gè)設(shè)備，β表示A失效時(shí)，B同時(shí)發(fā)生共因失效的概率。A、B兩個(gè)設(shè)備同時(shí)發(fā)生失效的共因失效率為：λ2，2=βλ，雙重冗余結(jié)構(gòu)1oo2的失效率為：λ1oo2=λ2，2=βλ，故C1oo2=1。

對(duì)于A、B、C三個(gè)設(shè)備構(gòu)成的三重冗余結(jié)構(gòu)，設(shè)β2為A、B兩個(gè)設(shè)備發(fā)生共因失效時(shí)，設(shè)備C也發(fā)生失效的概率，則A、B、C中任意兩個(gè)設(shè)備的共因失效率之和為：λ2，3=3(1-β2)βλ，A、B、C三個(gè)設(shè)備的共因失效率為 ：λ3，3=β2βλ，三重冗余結(jié)構(gòu)1oo3、2oo3的總失效率分別為：

λ1oo3=λ3，3=β2βλ，λ2oo3=λ2，3+λ3，3=(3-2β2)βλ，則有，C1oo3=β2，C2oo3=3-2β2，β2可以取[0，1]之間的值，即C1oo3∈[0，1]，C2oo3∈[1，3]，圖9(b)、圖9(c)給出了β2分別為1，0.5時(shí)的共因失效情況。β2=1時(shí)，與 舊版IEC61508中所述的β因子模型相同，即認(rèn)為任意兩個(gè)設(shè)備發(fā)生共因失效時(shí)，第三個(gè)設(shè)備一定也發(fā)生共因失效，此時(shí)C1oo3=C2oo3=1。實(shí)際上，A、B兩個(gè)設(shè)備發(fā)生共因失效時(shí)，第三個(gè)設(shè)備C不一定100%發(fā)生失效，其發(fā)生失效的概率通常難以確定[21]。

圖9 冗余結(jié)構(gòu)共因失效示意

同理，可以推廣至MooN冗余表決結(jié)構(gòu)。令βK(K≥2)為K個(gè)設(shè)備發(fā)生共因失效時(shí)，第K+1個(gè)設(shè)備發(fā)生共因失效的概率。對(duì)K=1也成立，這時(shí)有β1=β。當(dāng)K≥3時(shí)，有

M=1，2，…，N-2

(10)

根據(jù)以上分析，取β2為0.5。 得出表1所示的不同冗余結(jié)構(gòu)修正因子CMooN的取值。

表1 不同冗余結(jié)構(gòu)修正因子取值

3 實(shí)例驗(yàn)證

以雙機(jī)熱備、二乘二取二、三取二方式的冗余結(jié)構(gòu)為例，采用本文提出的方法計(jì)算其PFH。3種結(jié)構(gòu)的可靠性框圖如圖6～圖8所示。由通用公式(9)、表1，代入相關(guān)的參數(shù)得到1oo2、2oo2、 2oo3結(jié)構(gòu)的PFH計(jì)算公式如表2所示。

表2 PFH計(jì)算公式

因此

[(λDU，CPUB1+λDU，CPUB2)·τ]/τ+

(λDU，CPUA1·τ)·(λDU，CPUA2·τ)/τ+

(λDU，CPUA1·τ)·(λDU，CPUA3·τ)/τ+(λDU，CPUA2·τ)·

(λDU，CPUA3·τ)/τ+

各元器件失效率、功能測(cè)試時(shí)間間隔τ如表3所示，β因子分別取0.1，0.02，0.05。

表3 元器件參數(shù)

將上述參數(shù)代入以上3個(gè)公式，得到：

PFH1oo2=1.3×10-8

PFH2×2oo2=1.0×10-8

PFH2oo3=1.2×10-8

由計(jì)算結(jié)果可知，該方法與IEC61508中得出的2×2oo2安全度最高，2oo3次之，1oo2安全度最低的結(jié)論相一致。

接著在軟件中模擬不同β因子下，采用本文的方法和IEC61508中的方法求解這3種冗余結(jié)構(gòu)PFH的結(jié)果，對(duì)比如圖10所示。

圖10 不同β下采用兩種方法計(jì)算PFH的結(jié)果對(duì)比

由圖10可以看出，在β因子數(shù)值較低(一般≤5%)，即共因失效占比較小時(shí)，PDS方法與IEC61508中方法計(jì)算的結(jié)果差異不大，但隨著β因子的升高，即共因失效占失效率的比重提升，對(duì)比IEC61508中方法計(jì)算的結(jié)果，PDS計(jì)算的PFH值更高，這表明：相比IEC61508中的方法，PDS方法更加重視共因失效對(duì)系統(tǒng)安全性的影響，而在實(shí)際現(xiàn)場(chǎng)，常常會(huì)發(fā)生因?yàn)橥环N原因造成的冗余系統(tǒng)多通道同時(shí)失效的情況，因此該結(jié)果所呈現(xiàn)的規(guī)律也符合現(xiàn)場(chǎng)設(shè)備的實(shí)際使用情況。

4 結(jié)論

本文給出了一種定量估計(jì)鐵路信號(hào)冗余結(jié)構(gòu)危險(xiǎn)失效概率的方法，通過(guò)分析3種典型冗余結(jié)構(gòu)的特點(diǎn)，以β因子模型為基礎(chǔ)，引入結(jié)構(gòu)修正因子CMooN，并重點(diǎn)分析其取值問(wèn)題，然后構(gòu)建了包含失效類(lèi)別的系統(tǒng)可靠性框圖，采用PDS方法定量計(jì)算系統(tǒng)的PFH，最后在軟件中模擬了在不同β因子下，采用IEC61508中方法與本文方法計(jì)算的PFH的變化規(guī)律，結(jié)果顯示本文的方法更加注重共因失效對(duì)PFH的影響，這也符合現(xiàn)場(chǎng)設(shè)備的實(shí)際使用情況。本文忽略了能夠被在線(xiàn)檢測(cè)到的危險(xiǎn)失效率λDD以及診斷覆蓋率，下一步可將這些因素也考慮進(jìn)系統(tǒng)安全性的分析中，以建立更加精確的鐵路信號(hào)安全苛求系統(tǒng)的PFH計(jì)算模型。