考慮不確定性的鐵路信號安全計算機硬件SIL驗證

張宏揚，梁志國，王龍生，齊志華，白 帥，喬亞瓊

(1.中國鐵道科學研究院集團有限公司 研究生部， 北京 100081；2.中國鐵道科學研究院集團有限公司 通信信號研究所，北京 100081)

鐵路信號安全計算機平臺一般采用冗余配置，是基于失效—安全原則設計、須滿足安全完整性等級(Safety Integrity Level，SIL)要求的高安全性計算機實時控制系統，在正式投入使用之前須由第三方認證機構進行SIL認證，其中硬件SIL驗證是認證工作的重點，國內外有關學者對此做了大量研究。

文獻[1-4]采用IEC 61508中提供的PFH(Probability of a dangerous Failure per Hour)公式[5]計算了不同冗余結構信號設備的安全完整性等級。文獻[6-7]利用PDS方法[8]計算了某信號安全計算機的安全性指標PFH，進而驗證其安全完整性等級滿足相關的要求。文獻[9-10]通過建立ATP(Automatic Train Protection)及其子單元的故障樹來求解危險失效概率，由此判斷所滿足的SIL。另有一些文獻采用馬爾科夫鏈[11]、動態故障樹[12-13]等動態方法對不同結構鐵路信號設備的危險失效概率、安全完整性等級進行計算驗證。上述文獻在SIL驗證中均假設失效率等相關參數為固定值，由此得到的是單一精確的安全性定量指標及對應的SIL，但在鐵路信號系統的安全性分析中常存在失效數據不充足、失效模式未被完全辨識等客觀因素，因此難以獲取精確的故障數據，從而導致其硬件SIL的驗證過程常受到不確定性因素的影響，但上述文獻并未對此進行分析。而有研究對低要求模式下安全相關系統SIL驗證中的不確定性進行了分析，如文獻[14-15]利用蒙特卡洛法(Monte Carlo Analysis，MCA)模擬了常見冗余結構(Probability of dangerous Failure on Demand，PFD)公式中各參數概率分布已知類型的不確定性，有效減少了數據缺乏等不確定性因素對SIL驗證結果的影響，但鐵路信號領域內的失效參數通常難以獲取其概率的分布類型，因此MCA的適用性也有限。模糊理論(Fuzzy Theory，FT)[16]可有效解決參數概率分布未知情況下的不確定性問題，有學者將其引入安全儀表系統的SIL驗證中，如文獻[17-18]將共因失效因子、診斷覆蓋率的精確值替換為模糊數，并根據不同截集對結果進行判定，但截集取何值需要人為指定，從而可能二次引入不確定性，因此如何對結果進行評估須進一步考量。

綜上，鐵路信號設備SIL驗證有關的文獻大多未考慮驗證過程中失效參數不確定性的影響，而常用的MCA、FT等不確定性分析方法多應用在安全儀表系統的SIL驗證中。本文將上述應用在工業領域內安全相關系統SIL驗證中的不確定分析方法引入鐵路信號安全計算機的硬件SIL驗證中，并對其進行改進。首先對鐵路信號安全計算機常見冗余結構及其SIL驗證模型進行介紹，分析SIL驗證過程中可能存在的不確定性類型；然后針對參數不確定性中概率分布已知和未知這兩種類型，分別采用蒙特卡洛法和模糊理論構建了硬件SIL的驗證模型，并從三種測度角度對基于模糊理論得出的結果進行評價，同時從符合性概率角度對兩種方法得出的結果進行比較；最后以某實際1oo2結構的鐵路信號安全計算機為例對所提出的方法進行了仿真驗證，證明了該方法的有效性。

1 鐵路信號安全計算機硬件SIL驗證模型及不確定性類型

1.1 常見硬件冗余結構及SIL驗證模型

以MooN(M≤N)表示在N個獨立完成相同功能通道中的M個通道(系統功能完好的條件為N個通道中有M個及M以上個完好)，鐵路信號安全計算機常見的雙機熱備、二取二和三取二冗余，可分別表示為1oo2，2oo2和2oo3[19]。圖1為IEC 61508給出的三種冗余方式的結構圖及對應的可靠性框圖。

圖1 冗余結構可靠性框圖

IEC 61508-6中提供的上述結構中每小時危險失效概率PFH的計算公式為其硬件SIL的驗證模型[5]，即

PFH1oo2=2[(1-β)λDU+

(1-βD)λDD](1-β)λDUtCE+βλDU

( 1 )

PFH2oo2=2λDU

( 2 )

PFH2oo3=6[(1-β)λDU+

(1-βD)λDD](1-β)λDUtCE+βλDU

( 3 )

式中：tCE=(1-DC)(0.5T+MRT)+DC·MTTR為等效平均停止工作時間；DC為診斷覆蓋率；MRT為平均維修時間;MTTR為平均恢復時間，當忽略故障檢測時間時，MRT=MTTR；λDD=λDDC為可被在線檢測到的危險失效率；λDU=λD(1-DC)為不能被在線檢測到的危險失效率；λD為危險失效率；β和βD分別為無法檢測和可檢測的共因失效分數；T為檢驗測試時間間隔。

1.2 硬件SIL驗證中的不確定性類型分析

對于鐵路信號安全計算機這類現代高可靠可編程電子設備來說，由于失效次數較少，現場失效數據統計不足，因此不容易捕獲到失效參數的精確概率[20]。而評估人員在SIL驗證中通常假定器件的失效參數已經準確獲得，即定義為精確數值，但這時選取的參數只是其中一個工作條件點處的值，忽略了不確定性因素的影響，由此得到的SIL驗證結果實際上只是關于這個點的精確值，這導致SIL驗證中對分析驗證人員經驗的強烈依賴，使得最終驗證結果的可信度不高，從而可能增加做出錯誤決策的風險[21]。

針對硬件SIL驗證中的不確定性，IEC 61508在其最新版本中給出了結構約束的路線2，該路線增加了SIL定量評估中對可靠性數據不確定性分析的要求，也增加了對結果置信度的要求，但標準中卻沒有給出具體可參照或執行的步驟與方法[22]。

鑒于此，首先對SIL驗證中存在的不確定性類型進行分析，為之后選擇不同的方法處理奠定基礎。本文從不確定性因素的來源將其分為模型不確定性、參數不確定性和人為引入不確定性三類[23]。其中模型不確定性是在最初建立數學模型時，由概念和數學模型不能精確描述現實而引起的不確定性(如一些研究在分析冗余系統的安全性時假設系統中各部件相互獨立，未考慮共因失效)；參數不確定性是由模型中不能得到精確參數而引起的不確定性[18]；人為引入不確定性指技術人員在進行分析評估時由于理解能力差異等造成的不確定性。在硬件SIL驗證中，由于失效數據不夠充分、可靠性試驗不足或存在專家經驗等主觀因素，導致λD，DC，β，βD，MTTR，MRT等參數通常難以獲得質量較高的數據，因此“參數不確定性”成為了硬件SIL驗證中最容易產生且最為重要的一類不確定性問題。本文主要對這類不確定性進行分析，根據已知參數信息量的多少，可將參數不確定性問題大致分為表1中的三類[14]。

表1 硬件SIL驗證中的參數不確定性類型

如表1所示，針對參數概率分布已知的“部分信息”類型，擬采用蒙特卡洛法進行仿真模擬；而針對參數概率分布未知的“極少信息”類型，擬采用模糊理論進行分析。此外，為有效區分參數不確定導致的結果分布于多個SIL區間的現象，根據表2所示的IEC 61508中高要求或連續操作模式下安全功能目標失效量對應SIL的劃分標準，定義每個級別SIL對應PFH量值的上限為SILRU，得到如表3所示的劃分范圍。

表2 高要求或連續操作模式下安全功能目標失效量對應SIL

表3 SILRU對應量值及等級

2 參數概率分布已知下的硬件SIL驗證

2.1 蒙特卡洛法

蒙特卡洛法(Monte Carlo Analysis，MCA)又稱概率模擬方法，它以概率論、隨機過程和數理統計為理論基礎，是基于給定參數概率密度函數的一種隨機抽樣方法，可用于對參數滿足某種概率分布的問題進行研究。其基本思想是：針對待求問題，根據物理現象本身的統計規律或人為構造合適的依賴隨機變量的概率模型，使某些隨機變量的統計量為待求問題的解，通過對大量模擬仿真試驗(大統計量的統計實驗方法或計算機隨機模擬方法)結果的分析來計算所求參數，得出實際問題的近似解。和確定性方法的計算結果不同，采用MCA得到的是輸出結果的分布區間，這在一定程度上比不考慮不確定因素，僅用單一值來描述輸出結果更加全面準確。該方法能夠比較逼真地描述具有隨機性質的事物特點及物理實驗過程，且與所求解問題的幾何維數關系不大，甚至幾何越復雜，其優點越明顯[15]。此外，實現該方法的程序結構簡單，所需存貯單元比其他數值方法少，容易使用個人計算機編寫通用性很強的應用軟件。

2.2 基于MCA的硬件SIL驗證

根據2.1節MCA基本思想的介紹，提出基于MCA的鐵路信號安全計算機硬件SIL驗證步驟Step1～Step5，其中Step5改變了以往對結果的分布區間進行判定評估以得到最終結論的方式，采用以95%的置信度判定系統所滿足的SIL等級，以此滿足結構約束中有關結果置信度的要求，使結果更加可信。

Step1根據每個輸入參數所服從的概率分布(一般有Uniform分布，Normal分布，Beta分布，Lognormal分布，Gamma分布等)，在仿真軟件中使用隨機數生成一組輸入參數的隨機值。

Step2將Step1生成的一組隨機值代入相應的SIL驗證模型中得到輸出結果y(PFH)。

Step3重復執行Step1和Step2，直到產生n個獨立的輸出結果。

Step4從獲得的樣本中生成輸出結果的統計數據，如最大值、最小值、均值等。

Step5根據95%的置信度來判定計算得到的y(PFH)值是否包含在所需SILRU內，若樣本值滿足

P(y

( 4 )

則表示安全完整性等級可達到SILRU對應的SIL等級(采用表3進行判定)。式(4)中,P表示累積概率分布函數?；玖鞒桃妶D2。

圖2 基于MCA的鐵路信號安全計算機硬件SIL驗證流程

根據概率論相關理論知識，當仿真次數n趨于無窮大時，隨機變量的算術平均值將近似等于它的數學期望，即只要n取到足夠大，便可逼近所求的真實解，使評估結果更加可靠，因此可通過增加抽樣次數來提高結果的精度，保證統計數據的穩定性。為保證樣本充足，本文在計算機性能允許的范圍內取n=105。

2.3 算例分析

采用2.2節基于MCA的硬件SIL驗證方法分析某1oo2結構的安全計算機。各參數取值如表4所示。其中λD服從三角分布，上下邊界選取IEC 61508-6在計算冗余結構的PFH時提供的算例表中λD的取值范圍：0.5×10-7～2.5×10-5，其最可能取值(即眾數)為參考文獻[24]中推薦的典型值5×10-6。對于DC，IEC 61508-6算例表中推薦的取值點為0、60%、90%、99%，但考慮鐵路信號安全計算機屬于高可靠設備，文獻[4，25-27]等研究鐵路信號設備安全性相關的文獻中均指定DC∈(0.90,0.99)，故本例亦取DC為0.90～0.99并服從均勻分布(為使其取值在相同長度間隔的分布概率為等可能)；對于β和βD，鑒于難以獲取共因失效有關數據，故取標準中推薦的最大范圍，即β為0.02～0.20、βD為0.01～0.10，且同樣服從均勻分布；對于MRT與MTTR，由維護人員決定，通常固定不變，均取標準中推薦的值：8 h；對于T，鐵路信號設備通常執行半年檢或年檢(如文獻[12]推薦計算機聯鎖系統的檢驗測試周期為一年)，這里取IEC 61508-6中針對高要求操作模式的系統所推薦的最長時間間隔1 a(8 760 h)。

表4 各參數取值

將表4參數代入1oo2結構的SIL驗證模型(即式(1)中)進行仿真，得到輸出結果的統計指標如表5所示，其中ymin、ymax、ymean分別表示結果的最小值、最大值和均值。樣本累計概率分布函數見圖3。

表5 MCA模擬下1oo2結構PFH相關指標輸出結果

圖3 輸出樣本累計概率分布函數

由表5可知，輸出結果的均值6.77×10-8與各參數取單一固定值(取表4中各參數取值范圍的均值作為參數的固定值)計算得到的結果(3.08×10-8)屬于同一個數量級，均對應SIL3。但按照式(4)在圖3中進行驗證可得：P(y<2.08×10-7)=0.95，這表明結果有95%的可能性滿足SIL2，這與前述結論相差一個等級。且若使系統滿足其他安全完整性等級，可得表6所示結果在不同SIL的置信度。

表6 輸出結果符合相關SIL的概率

由表6可得，P(y<10-5)=P(y<10-6)=1，即滿足SIL2的可能性為100%；P(y<10-7)=0.76，即有76%的可能性滿足SIL3；P(y<10-8)=0.07，即有7%的可能性滿足SIL4?？梢钥闯觯紤]參數不確定性的結果根據不同的概率值分布在不同的等級范圍內，這表明若輸入的參數存在不確定性，那么不同時刻或不同批次的輸出結果也有差異，必須對該差異，即輸出區間進行考察評定，才能從安全評估的角度給出合理的評估結果，因此這種形式的描述方式比單一確定值表示的結果更具意義。

3 參數概率分布未知下的硬件SIL驗證

第2節對參數不確定性中概率分布已知的情況做了分析，但多數情況下參數可獲取的信息極少，為此本節利用模糊理論(FT)中的有關方法對參數概率分布未知的情況進行分析。

3.1 模糊理論

定義1：在論域U上，存在映射為

( 5 )

Aα={u|u∈U,A(u)≥α}

( 6 )

圖4 α截集下模糊集的支集與核

有研究表明，在系統安全性分析中，參數的隸屬函數常由梯形、三角形等模糊數定義[28]，且梯形模糊數(三角模糊數是特殊的梯形模糊數)是一種線性分布函數，其外形直觀、代數計算簡潔[29]。因此這里采用梯形模糊數描述各參數的不確定性，其隸屬函數表達式如下

( 7 )

隸屬函數見圖5。

圖5 梯形模糊數的隸屬函數

( 8 )

參數經模糊代數運算后的結果為一模糊數，解模糊化是將該結果轉換成一個單一的清晰值，該數值表示所估計模糊變量中最可能的值。解模糊法包括加權平均法、最大隸屬度法、最大平均值法、重心法等。這里對最常用的重心法(Center of Gravity，CoG)、最大隸屬度法(Maximum Membership,MM)進行介紹。

定義5：最大隸屬度法是取模糊數在截集α=1處的值，即

( 9 )

定義6：重心法又稱面積中心法或質心法，該指標考慮了模糊數的整體變化，即[31]

(10)

3.2 基于FT的硬件SIL驗證

根據3.1節對模糊理論有關概念的介紹，本節提出基于FT的鐵路信號安全計算機硬件SIL驗證方法，其基本思路是：首先確定各參數的模糊數取值，然后代入目標系統的SIL驗證模型(即1.1節中給出的PFH計算公式)中，接著通過模糊運算得到模糊數形式的結果，最后對結果進行評估，判定所滿足的SIL等級。該方法的重點是如何對結果進行評估，傳統方式是根據不同水平的α截集計算得到結果的左右區間邊界，以此判斷系統滿足的SIL；或通過重心法、最大隸屬度法等對結果解模糊化得到其清晰值，從而判斷滿足的SIL。但該方式存在如下問題：①即使α=0時結果的取值范圍最為保守，但實際中能達到α=0的情況可能并不常見；②如果取最高隸屬度α=1，那么就忽略了結果的不確定性，為了避免這種情況，分析人員通常選擇其他任意值的水平截集(如0.9、0.8等)，但這會導致α取值的主觀性，即在計算中人為二次引入了不確定性；③雖然重心法去模糊化后的結果更符合實際，但該指標并不包含置信度，即并未像MCA一樣從置信度的角度對結果進行評判，因此可信程度無從得知?；谝陨显颍竟澨岢鰪闹眯哦鹊慕嵌葘τ嬎愠龅哪：Y果所滿足的SIL進行評價。

(1)測度理論

采用Zadeh提出的可能性測度及必然性測度[32]來評估命題“計算得到的PFH小于等于SILRU”。首先定義兩個模糊子集A和B，其中A中元素表示利用SIL驗證公式計算獲得的PFH模糊數，B中元素表示小于等于SILRU的值，給出可能性測度Pos{A→B}與必然性測度Nec{A→B}示意圖，見圖6，其表達式為

圖6 可能性測度及必然性測度

(11)

式中：Sup表示集合最小的上界；Inf表示集合最大的下界。

由圖6可知，可能性測度度量了元素u同屬于A和B的最大程度，其取決于兩個模糊子集A、B相交點的高度；而必然性測度度量了B包含A的程度。兩個測度可以理解為模糊事件“PFH取值小于等于SILRU”發生概率的上限和下限。事實上，基于可能性測度可理解為秉持著樂觀積極的態度去解決問題，結果更傾向模糊事件的發生，而基于必然性測度可理解為秉持著悲觀消極的態度去解決問題，結果更傾向模糊事件的不發生，但這并不意味著一個模糊事件的可能性為1，該事件就一定成立，另一方面，一個模糊事件的必然性為0也并不意味著該事件一定不成立。鑒于可能性測度與必然性測度間存在的矛盾，引入文獻[33]提出的可信性測度Cr，其定義為

(12)

由式(12)可以看出，可信性測度中和了可能性測度與必然性測度，采取基于二者平均值的一種中間態度。假如一個模糊事件的可信性為1，則該事件必然成立；反之，若一個模糊事件的可信性為0，則該事件必然不成立[34]。

(2)符合性概率

該指標利用對模糊數隸屬函數的積分，驗證結果與SILRU的符合概率。定義計算得到的結果PFH(事件A)小于等于SILRU(事件B)的概率為PF，符合性概率示意見圖7，其計算式為

圖7 符合性概率示意

(13)

3.3 算例分析

為了與采用MCA仿真得到的結果作比較，本節依舊對1oo2結構的系統進行分析，各參數模糊數取值如表7所示，采用安全性分析中最常用的梯形模糊數，其中模糊區間上下限與表4的取值相同。在計算機中仿真得到輸出結果的隸屬函數見圖8，給出不同α截集下輸出結果的左右區間數如表8所示。

表7 各參數取值

圖8 輸出結果的隸屬函數

表8 不同α截集對應左右區間數

由圖8及表8可知，采用模糊數計算得到PFH的支集即PFH(α=0)=(5.01×10-10,5.57×10-7)比采用MCA得到的極限值(1.42×10-9,4.46×10-7)的區間范圍要寬；采用最大隸屬度法解模糊化得到的值2.55×10-8與采用MCA求得的均值6.77×10-8非常接近，而最大隸屬度得到的值即是隸屬度為1處所取的值，即忽略了參數不確定性的非保守值。由此可見，與MCA相比，模糊數提供了更為寬泛的不確定性，更適合處理存在高度不確定性的問題，這在驗證包含極少信息的系統的安全完整性等級時更有參考意義。此外，在仿真軟件中采用MCA完成本節提供的例子耗時0.746 s，而采用模糊理論僅耗時0.007 s，相差達100倍，這意味著采用模糊理論得到結果邊界的用時更短。

根據表6中的參數，采用式(11)求解得出結果的可能性測度和必然性測度如表9所示。

表9 可能性測度與必然性測度計算結果

由表9可知，結果滿足SIL2的可能性測度和必然性測度均為1；滿足SIL3的可能性測度為1而必然性為0.140 3；滿足SIL4的可能性測度為0.379 1而必然性為0.140 3?？梢钥闯?，必然性測度的結果較可能性測度更為保守，符合3.2節對兩種測度的描述。然后采用式(12)計算結果的可信性測度如表10所示。

表10 可信性測度計算結果

由表10可知，從可信性測度分析，結果所能聲明的最大安全完整性等級為2級。

最后，將前述計算得到的結果代入式(13)得到結果的符合性概率，并與第2節采用MCA求得的不同SIL下的概率進行對比，結果如表11所示。

表11 符合性概率計算結果及與采用MCA計算結果的對比

由表可知，從符合性概率角度來看，基于FT所能聲明的最大SIL等級與基于MCA相同，均為SIL2。而結果符合SIL3、SIL4的概率值有：PF(A≤10-7)

4 結論

針對鐵路信號安全計算機硬件SIL驗證中存在的參數不確定性問題，首先采用蒙特卡洛法分析了參數概率分布已知類型的不確定性，然后利用模糊理論對參數概率分布未知類型的不確定性進行分析，并從三種測度和符合性概率角度對利用模糊理論得到的結果進行評價，同時與基于蒙特卡洛法得到的結果進行比較。結果表明：

(1)采用模糊理論計算得到的模糊數在截集α=0處的支集(最不確定性區間)包含了采用MCA抽樣得到的概率分布的上下界，這表明模糊理論更加保守。從可信性測度和符合性概率角度來看，基于模糊理論得到的結果所能聲明的最大安全完整性等級均與基于MCA得到的結果一致，且前者計算過程耗時更短。

(2)考慮參數不確定性的輸出結果根據不同的概率值、測度值提供了不同等級的安全完整性，這比采用固定參數值輸出的單一精確結果更具意義。