TMR微機(jī)聯(lián)鎖系統(tǒng)的可靠度與安全度分析

占自才

(華東交通大學(xué)電氣與電子工程學(xué)院,江西南昌330013)

計(jì)算機(jī)聯(lián)鎖系統(tǒng)的可靠度包括硬件可靠度和軟件可靠度兩部分,本文只對系統(tǒng)的硬件可靠度與安全度進(jìn)行討論。微機(jī)聯(lián)鎖系統(tǒng)為了達(dá)到故障—安全的要求,廣泛采用了冗余結(jié)構(gòu)容錯(cuò)系統(tǒng),有雙模冷、熱備結(jié)構(gòu)與三模冗余結(jié)構(gòu)。不論采用何種結(jié)構(gòu),系統(tǒng)的可靠度與安全度都是一項(xiàng)非常重要的指標(biāo)。對于雙模系統(tǒng)分析起來相對簡單,可以參閱相關(guān)文獻(xiàn)[1]。TMR冗余系統(tǒng)狀態(tài)組合多,可靠側(cè)與安全側(cè)的狀態(tài)不是唯一。本文利用馬爾可夫模型[2]對TMR的可靠度與安全度進(jìn)行評估分析,得出了定量的推理結(jié)論,對計(jì)算機(jī)模擬設(shè)計(jì)有一定的指導(dǎo)作用[3,4]。

1 TMR微機(jī)聯(lián)鎖系統(tǒng)可靠度模型與分析

在計(jì)算系統(tǒng)的可靠度時(shí),如果某一模塊的失效將導(dǎo)致整個(gè)系統(tǒng)失效,這時(shí)對后面模塊的失效狀況就不再予以考慮,且設(shè)每個(gè)模塊的失效率都相同。TMR系統(tǒng)具有23=8種狀態(tài),分別設(shè)為0(000),1(001),…,7(111)。當(dāng)某一模塊發(fā)生故障時(shí),不會(huì)影響系統(tǒng)的正常工作,但當(dāng)失效模塊大于或等于2時(shí),則系統(tǒng)失效。這個(gè)狀態(tài)可視為馬爾可夫吸收態(tài)[5]?？紤]到可修復(fù)TMR系統(tǒng),當(dāng)一個(gè)模塊發(fā)生故障時(shí),整個(gè)系統(tǒng)并未失效,且失效模塊有修復(fù)的可能性,修復(fù)率為μ,可得到如圖1所示的TMR系統(tǒng)的狀態(tài)轉(zhuǎn)移圖[6]。

圖1 TMR系統(tǒng)的狀態(tài)轉(zhuǎn)移圖

圖2 TMR系統(tǒng)簡化狀態(tài)轉(zhuǎn)移圖

由于系統(tǒng)進(jìn)入2個(gè)模塊失效的狀態(tài)時(shí),整個(gè)系統(tǒng)實(shí)際上已經(jīng)失效,以后的狀態(tài)變化就沒有必要再考慮了。因此,系統(tǒng)狀態(tài)完全可簡化為3個(gè)模塊正常工作,1個(gè)模塊失效和2個(gè)模塊失效。簡化狀態(tài)圖如圖2所示。

系統(tǒng)的狀態(tài)轉(zhuǎn)移矩陣為

將狀態(tài)轉(zhuǎn)移矩陣P中與狀態(tài)2(2個(gè)模塊失效)有關(guān)的行和列去掉可得正常工作轉(zhuǎn)移矩陣為

其中:B=(1 0 0…0);I是單位矩陣;A是元素為1的列向量。令 t=τ+t為整數(shù),0≤Δ t≤1,于是有:R(t)=1-(Π?P)C。其中:初始概率分布 Π=1,0,0,…,0;C為最后一個(gè)元素是1,而其余皆為0的列向量P=RDR-1。

2 TMR微機(jī)聯(lián)鎖系統(tǒng)安全度模型與分析

假設(shè)TMR系統(tǒng)3個(gè)同時(shí)工作的冗余模塊分別為A,B和C。由于采用三取二表決方式,所以一個(gè)模塊故障不影響系統(tǒng)的正常工作,只有當(dāng)兩個(gè)或兩個(gè)以上的模塊發(fā)生故障時(shí),系統(tǒng)才會(huì)失效。TMR系統(tǒng)具有一個(gè)突出的優(yōu)點(diǎn)即能檢測出單模塊的故障,這就大大提高了系統(tǒng)的安全性。我們將3個(gè)冗余模塊以外的其它模塊作為一個(gè)整體,統(tǒng)稱為外圍設(shè)備,并把它稱為D模塊。為了簡化分析過程,不妨作以下假設(shè)[7]:

(1)由于兩個(gè)或兩個(gè)以上模塊同時(shí)發(fā)生故障的概率很小,與單模塊的故障概率相比可忽略不計(jì);

(2)單模塊的故障不會(huì)導(dǎo)致危險(xiǎn)輸出,并且單模塊故障可被檢出,理論推導(dǎo)可以采用這個(gè)假設(shè),實(shí)際應(yīng)用中可以不考慮這個(gè)假設(shè);

(3)當(dāng)發(fā)生單模塊故障,并且在故障未被檢出期間,如果有另一模塊又發(fā)生故障,則保守地認(rèn)為系統(tǒng)會(huì)給出危險(xiǎn)側(cè)輸出;

(4)故障是隨機(jī)的,其運(yùn)行符合馬爾可夫過程;

(5)系統(tǒng)修復(fù)后,完好如初。

系統(tǒng)中每個(gè)模塊都存在兩種狀態(tài):正常工作狀態(tài)和故障狀態(tài)。那么4個(gè)模塊共有16種工作狀態(tài),其中3個(gè)模塊都故障的4種情況和4個(gè)模塊全部故障的1種情況不在考慮范圍之內(nèi),其余的11種工作狀態(tài)分列如下:這里按照1,2,3和4的順序構(gòu)成各個(gè)狀態(tài),以“H”代表四模塊正常工作狀態(tài),H(14)代表一模塊故障狀態(tài)四種情況,H12,H13,H14,H23,H24,H34代表兩模塊故障狀態(tài)的6種情況。系統(tǒng)的狀態(tài)轉(zhuǎn)移圖如圖3所示。

λi是一個(gè)模塊壞的概率,μi是單個(gè)模塊修復(fù)的概率,μij是兩個(gè)壞模塊同時(shí)修復(fù)的概率。由于上述狀態(tài)轉(zhuǎn)移圖太復(fù)雜,我們假定各模塊的故障率和修復(fù)率都是相同的,以簡化分析過程。設(shè):λ1=λ2=λ3=λ4=λ,μ1=μ2=μ3=μ4=μ,μ12=μ13=μ14=μ23=μ24=μ34=ν,則可以得到簡化的系統(tǒng)狀態(tài)轉(zhuǎn)移圖,見圖

4。圖4中A為系統(tǒng)正常工作狀態(tài);B為系統(tǒng)非危險(xiǎn)故障狀態(tài);C為系統(tǒng)危險(xiǎn)故障狀態(tài)。

圖3 TMR系統(tǒng)狀態(tài)轉(zhuǎn)移圖

圖4 TMR系統(tǒng)簡化后狀態(tài)轉(zhuǎn)移圖

對圖4的狀態(tài)轉(zhuǎn)移系統(tǒng)列出以下微分方程,且知它們的初始值為:PA(0)=1,PB(0)=0,PC(0)=0,并利用拉氏變換原理求出

解微分方程組的解如下

以上就是評估過程所推算出的各種狀態(tài)下的穩(wěn)態(tài)概率,將相關(guān)參數(shù)代入,可得TMR系統(tǒng)處于各狀態(tài)的概率為

安全度為

故障安全度為

3 結(jié)論

從S(t)表達(dá)式可以看出:當(dāng)λ很小,即模塊發(fā)生故障的概率很小,而修復(fù)的概率 μ和ν一般較大,所以S(t)的值基本上是接近1的,也就是系統(tǒng)幾乎整個(gè)時(shí)間段是安全的,同理可得出故障安全度D(t)也接近1,系統(tǒng)也是故障安全的。也就是說,三模系統(tǒng)在能快速修復(fù)或排除故障的情況下,可以保證系統(tǒng)是安全的,根據(jù)這個(gè)指導(dǎo),可以對計(jì)算機(jī)聯(lián)鎖進(jìn)行安全性仿真,這個(gè)不是本文的重點(diǎn),可以參考相關(guān)文獻(xiàn)[8]。

[1]胡謀.計(jì)算機(jī)容錯(cuò)技術(shù)[M].北京:中國鐵道出版社,1995.

[2]傅佩璨,趙霖,張軍英.計(jì)算機(jī)系統(tǒng)硬件軟件可靠性理論及其應(yīng)用[M].北京:國防工業(yè)出版社,1990.

[3]宓漣.計(jì)算機(jī)聯(lián)鎖系統(tǒng)的輔助設(shè)計(jì)[J].鐵道通信信號,2000,36(7):7-8.

[4]趙志.計(jì)算機(jī)機(jī)輔助設(shè)計(jì)在微機(jī)聯(lián)鎖中的應(yīng)用[J].電氣化鐵道,1999(4):44-46.

[5]西沃賴克 D P.可靠系統(tǒng)的設(shè)計(jì)理論與實(shí)踐[M].袁由光,譯.北京:科學(xué)出版社,1988.

[6]趙志熙.計(jì)算機(jī)聯(lián)鎖系統(tǒng)技術(shù)[M].北京:中國鐵道出版社,1995.

[7]趙志熙.車站信號控制系統(tǒng)[M].北京:中國鐵道出版社,1992.

[8]陳杰.基于仿真技術(shù)的鐵路計(jì)算機(jī)聯(lián)鎖培訓(xùn)系統(tǒng)的研究[J].微型電腦應(yīng)用,2003,19(5):11-13.