張宏揚(yáng),段 武,王龍生,梁志國,關(guān)惲琿

(1.中國鐵道科學(xué)研究院研究生部,北京 100081； 2.中國鐵道科學(xué)研究院集團(tuán)有限公司通信信號研究所,北京 100081)

近年來，隨著列車速度的不斷提高，信號系統(tǒng)的復(fù)雜度也隨之提升，導(dǎo)致其風(fēng)險(xiǎn)識別與控制難度大增，為了保證設(shè)備的可靠性與安全性符合相關(guān)標(biāo)準(zhǔn)，新研發(fā)的產(chǎn)品在上道使用之前，必須通過安全完整性認(rèn)證(Safety Integrity Level SIL)，其中的關(guān)鍵是危險(xiǎn)失效概率的計(jì)算。

針對此類問題，許多學(xué)者做了大量研究：文獻(xiàn)[1]使用ALARP模型風(fēng)險(xiǎn)分析方法對ATP(列車自動防護(hù))系統(tǒng)的安全完整性等級進(jìn)行了定性分析，然后采用IEC61508中的公式定量計(jì)算了其中冗余結(jié)構(gòu)的失效概率[1]，ATP與工業(yè)控制領(lǐng)域的“緊急停止”系統(tǒng)類似，可以離線測試，但這與典型的鐵路信號地面安全苛求系統(tǒng)(如聯(lián)鎖、列控中心等)不同，因此該方法并不能完全適用于鐵路信號地面控制系統(tǒng)；文獻(xiàn)[2]提出了一種共因失效的分析方法，以故障樹與門作為分析對象，結(jié)合β因子法和獨(dú)立性分析法對各種故障情況進(jìn)行分析，無需建立復(fù)雜的共因失效模型，簡化了分析和計(jì)算過程[2]，但主要是針對系統(tǒng)某模塊的共因失效，尚未全面考慮整個系統(tǒng)級的共因失效；文獻(xiàn)[3]利用故障樹分析法對全電子三相交流轉(zhuǎn)轍機(jī)控制模塊進(jìn)行可靠性與安全性的計(jì)算與評估，結(jié)果表明該模塊完全滿足信號系統(tǒng)對高安全性的要求[3]，但分析過程并沒有全面考慮共因失效，只是簡單對故障樹的結(jié)果進(jìn)行可靠度估計(jì)，就得出了高安全性的結(jié)論，可能過于理想；文獻(xiàn)[4]采用故障樹分析法和馬爾科夫方法對土耳其某線路聯(lián)鎖設(shè)備相關(guān)組件的功能安全進(jìn)行了評估，并在安全性相關(guān)的計(jì)算中考慮了平均修復(fù)時間MTTR[4]，但如聯(lián)鎖、列控中心等連續(xù)工作的地面信號設(shè)備，考慮維修時間便意味著停機(jī)或降級，這會影響危險(xiǎn)失效概率的計(jì)算精度；文獻(xiàn)[5]針對ZPW-2000A軌道電路的安全性進(jìn)行了定量計(jì)算，其中利用貝葉斯網(wǎng)絡(luò)分析了在考慮共因失效和不考慮共因失效情況下，系統(tǒng)失效概率的變化，結(jié)果表明共因失效的引入使得計(jì)算結(jié)果更加準(zhǔn)確[5]，但文章不足之處是沒有針對不同冗余結(jié)構(gòu)對共因失效的影響程度進(jìn)行區(qū)分。

通過以上分析可以看出，在鐵路信號設(shè)備安全性指標(biāo)的計(jì)算過程中，常忽略共因失效及不同冗余結(jié)構(gòu)對安全性的影響，使得計(jì)算結(jié)果偏于保守，雖然最新版的IEC61508中提出了結(jié)構(gòu)修正因子用來區(qū)分共因失效對不同冗余結(jié)構(gòu)的影響，但對于該參數(shù)如何取值并沒有給出相關(guān)的解釋或說明[6]，而且IEC61508中的方法并不完全適用于鐵路信號領(lǐng)域，因?yàn)檫@類方法所面向的工業(yè)過程控制系統(tǒng)與鐵路信號地面控制中心類的安全苛求系統(tǒng)之間存在差異性。

針對以上問題，引入由挪威工業(yè)科技研究院SINTEF開發(fā)的PDS方法，該方法基于IEC61508中的部分理論，針對鐵路信號系統(tǒng)提出了新的公式用于定量計(jì)算系統(tǒng)的PFH，該方法針對共因失效對系統(tǒng)危險(xiǎn)失效概率的影響給予了更高的權(quán)重，符合現(xiàn)場設(shè)備的實(shí)際使用情況。首先介紹了鐵路信號典型的3種冗余結(jié)構(gòu)，給出PFH的概念，然后重點(diǎn)分析共因失效對PFH的影響問題，其中改進(jìn)了常用的β參數(shù)模型，用來區(qū)別不同冗余結(jié)構(gòu)對共因失效的影響程度，以此構(gòu)建冗余結(jié)構(gòu)可靠性框圖，最后詳細(xì)分析了PDS方法的應(yīng)用流程，其中重點(diǎn)分析了結(jié)構(gòu)修正因子CMooN的取值問題，以雙機(jī)熱備、二乘二取二、三取二方式的冗余結(jié)構(gòu)為例，采用該方法計(jì)算其PFH，并在不同共因失效因子β下與IEC61508中方法計(jì)算的結(jié)果進(jìn)行比較。

1 鐵路信號冗余結(jié)構(gòu)介紹

冗余作為技術(shù)術(shù)語，狹義上多含有備份的意思，是用于提高可靠性和可用性非常有效的手段，即通過一個或多個額外的(通常是同等的)方法容錯。因?yàn)橛?jì)算機(jī)硬件成本的降低和性能的提升及安全苛求系統(tǒng)的復(fù)雜性日益增加，以及社會發(fā)展對可靠性特別是安全性的要求持續(xù)提高的原因，導(dǎo)致采用多重冗余、特別是整體多重系冗余結(jié)構(gòu)方式的鐵路信號計(jì)算機(jī)控制系統(tǒng)日益普遍[7]。

IEC61508中以MooN(M≤N)表示在N個獨(dú)立完成相同功能通道中的M個通道，系統(tǒng)功能完好的條件為：N個通道中由M個及M以上個完好。在此定義下，MooN在形式上可代表一大類冗余結(jié)構(gòu)，常見的雙機(jī)熱備、二乘二取二和三取二冗余，亦都可以統(tǒng)一納入這種表達(dá)方式，分別表示為1oo2，2×2oo2和2oo3[7]。如圖1所示。

圖1 典型冗余方式基本結(jié)構(gòu)

其中，1oo2作為最基本的可靠性冗余結(jié)構(gòu)，由兩個完成相同功能并具有備份關(guān)系的基本單元構(gòu)成，系統(tǒng)在某系出現(xiàn)故障時可以實(shí)現(xiàn)自動切換(該切換不對系統(tǒng)工作的連續(xù)性產(chǎn)生明顯影響)，且只要其中一個不失效時，就能夠執(zhí)行規(guī)定的功能；2×2oo2是二取二安全性和雙機(jī)熱備可靠性這兩種目的完全不同、但具有很強(qiáng)互補(bǔ)性的典型冗余結(jié)構(gòu)的組合，其中的二取二，在基于一致性比較原理實(shí)現(xiàn)安全冗余的同時，亦為其上一級的雙機(jī)熱備冗余提供了具有極高覆蓋率的故障檢測判據(jù)，使其可靠性冗余更加有效且易于實(shí)現(xiàn)；2oo3是基于表決原理的、兼顧了可靠性和安全性的典型多重系冗余結(jié)構(gòu)，它由3個完成相同規(guī)定功能的基本單元或子系構(gòu)成，其輸出符合多數(shù)表決原則(輸入一般也是如此)，能夠屏蔽任何一個單子系的任何可識別或不可識別的故障，使系統(tǒng)的整體功能在單子系故障時能夠保持正常。

2 鐵路信號冗余結(jié)構(gòu)PFH計(jì)算

首先介紹失效的分類進(jìn)而給出PFH的定義，然后討論共因失效對PFH的影響，并分析上述3種冗余方式中共因失效的作用問題，以此建立包含失效類別的系統(tǒng)可靠性框圖，最后介紹PDS方法，并將其引入鐵路信號冗余結(jié)構(gòu)PFH的計(jì)算中。

2.1 PFH定義

失效從機(jī)理特征的角度可分為系統(tǒng)性失效和隨機(jī)硬件失效兩大類，其中系統(tǒng)性失效是在系統(tǒng)/子系統(tǒng)/設(shè)備的規(guī)范、設(shè)計(jì)、制造、安裝、運(yùn)行或維護(hù)階段中因內(nèi)在缺陷引起，是在生命周期的各階段中由人為錯誤導(dǎo)致的失效，所以一般認(rèn)為系統(tǒng)性失效是無法進(jìn)行定量度量及預(yù)計(jì)的，而隨機(jī)硬件失效是完好的產(chǎn)品在運(yùn)用中因多種不確定因素的誘發(fā)而隨機(jī)出現(xiàn)的物理故障所導(dǎo)致的，是可能隨時發(fā)生、卻無法預(yù)知及控制其何時發(fā)生的失效(譬如，微電子器件因高能粒子的撞擊而產(chǎn)生的失效)，因?yàn)榫哂须S機(jī)特性，故其失效率可以用數(shù)學(xué)統(tǒng)計(jì)方法進(jìn)行定量度量和預(yù)計(jì)[8]，其量化指標(biāo)被稱作“硬件平均失效概率”，該指標(biāo)又分為“僅在要求時的危險(xiǎn)失效概率PFD(Probability Of Dangerous Failure On Demand，PFD)”和“每小時危險(xiǎn)失效概率PFH”[8]。

上述指標(biāo)反映的都是危險(xiǎn)失效率，其區(qū)別是應(yīng)用的操作模式不同，與PFD指標(biāo)相對應(yīng)的操作模式是低要求模式，在這種模式下，對一個安全相關(guān)系統(tǒng)提出操作要求的頻率不大于每年一次；與PFH指標(biāo)對應(yīng)的是高要求模式或連續(xù)模式，在這種模式下，對安全相關(guān)系統(tǒng)提出操作要求的頻率大于每年一次或安全功能是連續(xù)執(zhí)行的[9]。由于信號系統(tǒng)是要求連續(xù)工作的，屬于“連續(xù)要求模式”，因此其硬件失效的量化指標(biāo)為每小時危險(xiǎn)失效概率(PFH)。

2.2 考慮共因失效的系統(tǒng)可靠性框圖建立

2.2.1 共因失效介紹

共因失效(Common Cause Failure， CCF)是指由于某種共同原因造成的多個產(chǎn)品的失效，即多個產(chǎn)品的失效是由于同一原因引起的，它們可能是一個系統(tǒng)故障引起的(例如：設(shè)計(jì)或規(guī)范失誤)或者由一個外部應(yīng)力導(dǎo)致一個早期的隨機(jī)硬件失效引起的(例如：閃電或地震事件、維護(hù)中的操作錯誤等)，或者是上述兩種情況共同導(dǎo)致的[9]。存在共因失效的系統(tǒng)中若干個單元同時失效，單元正?；蚬收蠣顟B(tài)之間彼此統(tǒng)計(jì)相關(guān)，給系統(tǒng)可靠性、安全性分析帶來了極大困難[10-11]。

信號系統(tǒng)的組合式故障-安全以及反應(yīng)式故障-安全的結(jié)構(gòu)采用了大量冗余結(jié)構(gòu)，各通道的相似性使其具有相同或相似的故障集而較易受到CCF的影響，從而可能失去防護(hù)效果。因此，共因失效是導(dǎo)致鐵路微電子復(fù)雜多重系信號系統(tǒng)失效的重要因素，在進(jìn)行安全評估時，若不考慮其對冗余結(jié)構(gòu)的影響程度，可能無法準(zhǔn)確估算系統(tǒng)安全指標(biāo)，造成評估結(jié)果過于理想，進(jìn)而埋下人身和財(cái)產(chǎn)安全隱患[12]。所以在信號設(shè)備安全性的相關(guān)分析中考慮 CCF的影響是非常有必要的。

2.2.2 多β參數(shù)模型

自20世紀(jì)70年代以來，國內(nèi)外有關(guān)學(xué)者提出了許多描述共因失效的方法，如β因子模型、基本參數(shù)模型(BP)、混合參數(shù)模型(MGL)、α因子模型以及平方根模型等[13-14]。其中，β因子模型、MGL模型、α因子模型是應(yīng)用于概率風(fēng)險(xiǎn)評價(PRA)的模型，這些模型的構(gòu)造易于理解還能保守估計(jì)系統(tǒng)的失效概率，因此至今仍被廣泛應(yīng)用于共因失效的研究中。在β因子模型的基礎(chǔ)上，引入反映不同冗余結(jié)構(gòu)對共因失效影響的參數(shù)CMooN，構(gòu)成多β參數(shù)模型。

β因子模型假設(shè)系統(tǒng)失效QT由獨(dú)立失效因子QI和共因失效因子QC組成，即QT=QI+QC

參數(shù)β被定義為共因失效因子QC在系統(tǒng)失效QT中所占的比值[15]，即

QC=βQT→

QI=(1-β)QT

(1)

參數(shù)β的取值范圍可以由0取到25%，具體的取值需要考慮具體系統(tǒng)結(jié)構(gòu)的特點(diǎn)，根據(jù)專家經(jīng)驗(yàn)，在硬件失效領(lǐng)域，參數(shù)β的取值參考范圍為[0.1%，10%][16]。但目前多數(shù)研究對于任意MooN冗余結(jié)構(gòu)，所采用的β因子數(shù)值都是相同的，并沒有考慮到不同冗余結(jié)構(gòu)對共因失效的影響程度是有差別的，因此普通β因子模型對于不同的冗余結(jié)構(gòu)并不能很好地描述共因失效問題，故這里引入修正因子CMooN，構(gòu)成更具一般性的多β參數(shù)模型，以區(qū)分不同冗余結(jié)構(gòu)對共因失效的影響程度，即對于MooN的冗余結(jié)構(gòu)，多β參數(shù)為

β(MooN)=β·CMooN

(2)

如果N個冗余設(shè)備的失效率均為λ，那么MooN冗余結(jié)構(gòu)的共因失效率為

λMooN，C=CMooN·β·λ

(3)

2.2.3 可靠性框圖建立

計(jì)算系統(tǒng)危險(xiǎn)失效概率時，需要畫出系統(tǒng)硬件的可靠性框圖，介紹常規(guī)可靠性框圖的相關(guān)理論，然后轉(zhuǎn)換為包含失效類別的可靠性框圖。

(1)串聯(lián)系統(tǒng)的可靠性模型

一個系統(tǒng)由N個單元R1，R2，…，Rn組成，當(dāng)每一個單元都處于正常狀態(tài)時，系統(tǒng)才能夠完成指定功能，即只要其中任意一個單元失效時，系統(tǒng)就會失效，稱這種系統(tǒng)為串聯(lián)系統(tǒng)，其可靠性框圖如圖2所示。

圖2 串聯(lián)系統(tǒng)的可靠性框圖

因?yàn)榇?lián)系統(tǒng)不存在冗余通道，而本文討論的是共因失效對冗余結(jié)構(gòu)的影響，因此假設(shè)串聯(lián)系統(tǒng)不存在共因失效，所以將其轉(zhuǎn)為包含失效類別的可靠性框圖，如圖3所示：

圖3 包含失效類別的串聯(lián)系統(tǒng)可靠性框圖

(2)并聯(lián)系統(tǒng)的可靠性模型

一個系統(tǒng)由N個單元R1，R2，…，Rn組成，只要其中有一個單元處于正常工作狀態(tài)，則系統(tǒng)就可以完成指定功能，即只有當(dāng)所有單元均失效時，系統(tǒng)才會失效，稱這種系統(tǒng)為并聯(lián)系統(tǒng)。其可靠性框圖如圖4所示。

圖4 并聯(lián)系統(tǒng)的可靠性框圖

因?yàn)椴⒙?lián)系統(tǒng)就是典型的1ooN冗余結(jié)構(gòu)，故系統(tǒng)存在共因失效，所以將其轉(zhuǎn)為包含失效類別的可靠性框圖如圖5所示。

圖5 包含失效類別的并聯(lián)系統(tǒng)可靠性框圖

(3)冗余結(jié)構(gòu)可靠性框圖建立

①1oo2

如圖1(a)，雙機(jī)熱備結(jié)構(gòu)由2重系構(gòu)成，當(dāng)雙系中任意一系出現(xiàn)故障，系統(tǒng)會自動切換到另一系(備系)保證系統(tǒng)處于可用狀態(tài)，即只要其中一個CPU不失效，系統(tǒng)就能執(zhí)行正常功能，當(dāng)CPUA失效，CPUB也失效或者兩者發(fā)生共因失效時，系統(tǒng)失效，這符合典型并聯(lián)系統(tǒng)的工作模式，由此給出1oo2的可靠性框圖如圖6所示。

圖6 1oo2可靠性框圖

②2×2oo2

如圖1(b)，二乘二取二結(jié)構(gòu)由2重系組成，每系采用雙CPU且各自執(zhí)行全部處理功能，兩系之間通過高速通信通道交換信息，主系在每個處理周期的起始時刻向從系發(fā)出同步信號，令從系與主系保持周期同步，實(shí)現(xiàn)2重系的同步和切換。由其工作方式可知，單系中任何一個CPU失效，會導(dǎo)致本系不可用，此時切換單元會立刻切換到另一系，保證系統(tǒng)處于可用狀態(tài)，當(dāng)兩系各自CPU均有失效出現(xiàn)(例如CPUA1失效、CPUB1失效或CPUA2與CPUB2出現(xiàn)共因失效)，會導(dǎo)致系統(tǒng)失效，此時系統(tǒng)自動導(dǎo)向安全狀態(tài)。

由以上分析可知，雙系中任何一個CPU失效會導(dǎo)致本系不可用，兩系之間的共因失效會導(dǎo)致系統(tǒng)不可用，由此建立二乘二取二系統(tǒng)的可靠性框圖如圖7所示。

圖7 2×2oo2系統(tǒng)可靠性框圖

③2oo3

如圖1(c)，三取二結(jié)構(gòu)由3個子系構(gòu)成，在任何時刻，只要三者之間任意兩個CPU處于正常工作狀態(tài)，那么整個系統(tǒng)就可用，即系統(tǒng)具備容錯功能。當(dāng)兩個及以上CPU失效或者同時發(fā)生共因失效時，系統(tǒng)失效，因此給出2oo3的可靠性框圖如圖8所示。

圖8 2oo3可靠性框圖

2.3 基于PDS的冗余結(jié)構(gòu)PFH計(jì)算

PDS方法由挪威工業(yè)科技研究院SINTEF開發(fā)，是定量估計(jì)安全相關(guān)系統(tǒng)安全不可用性的方法，在石油、工業(yè)、鐵路等領(lǐng)域均有廣泛應(yīng)用，該方法復(fù)雜度較低，有助于降低數(shù)學(xué)運(yùn)算量[17]。本節(jié)首先介紹IEC61508中定量計(jì)算PFH方法的不足之處，然后介紹PDS方法并將其引入鐵路信號冗余結(jié)構(gòu)危險(xiǎn)失效概率的計(jì)算中，以此構(gòu)建簡潔高效的復(fù)雜多重系信號系統(tǒng)的危險(xiǎn)失效概率計(jì)算模型。

2.3.1 IEC61508中方法與PDS方法的差異性

IEC61508-6中提供的定量計(jì)算方法，雖然也考慮了共因失效的影響，但在應(yīng)用時會存在以下問題：

(1)IEC 61508只給出了幾種常見冗余結(jié)構(gòu)的計(jì)算公式，對于更為復(fù)雜的結(jié)構(gòu)，缺乏相關(guān)的指導(dǎo)；

(2) IEC 61508中的計(jì)算公式形式繁瑣，且隨著系統(tǒng)復(fù)雜度的提升，相關(guān)參數(shù)(如其中涉及到的“平均停機(jī)時間”)的選取會愈加困難；

(3)最新版IEC61508中針對共因失效部分提出了結(jié)構(gòu)修正因子，但對于該參數(shù)的取值大小并沒有給出詳細(xì)的解釋；

(4)鐵路信號尤其是以計(jì)算機(jī)聯(lián)鎖為代表，具有控制中心特征的地面信號控制系統(tǒng)，與一般工業(yè)過程控制領(lǐng)域中的安全(防護(hù))系統(tǒng)在涉及安全的工作方式、安全側(cè)定義等方面有著顯著不同，即在某些關(guān)鍵的安全特征方面，作為功能安全基礎(chǔ)標(biāo)準(zhǔn)的IEC61508與作為鐵路信號安全相關(guān)電子處理系統(tǒng)的EN50129各自所面向的對象之間，存在顯著差異，致使IEC61508中的一些內(nèi)容并不適用或并不完全適用于鐵路信號電子系統(tǒng)[18]。

2.3.2 PDS方法假設(shè)

本文PDS方法中的計(jì)算基于以下假設(shè)：

(1)假設(shè)同一種單元具有相同恒定的失效率，且均服從指數(shù)分布；

(2)假設(shè)所有可被在線檢測到的危險(xiǎn)故障都能夠被及時檢測到并被排除、修復(fù)或被有效限制，從而不會產(chǎn)生危害后果，因此忽略能夠被在線檢測到的危險(xiǎn)失效的失效率λDD，即PFH的取值主要取決于不能被在線檢測到的危險(xiǎn)失效的失效率λDU；

(3)不同于工業(yè)控制系統(tǒng)或車載ATP等類似存在降級模式的設(shè)備，聯(lián)鎖設(shè)備不存在降級操作，本文不考慮降級操作；

(4)λDU·τ應(yīng)足夠小(即λDU·τ≤0.2)，使得e-λDU·τ≈1-λDU·τ。

2.3.3 PDS方法應(yīng)用

由上面分析可知，系統(tǒng)的PFH由獨(dú)立失效和共因失效共同組成，即PFH=PFHCCF+PFHind。

(1)對于獨(dú)立失效

假設(shè)w(t)為某時刻t的無條件失效強(qiáng)度，則PFH在一個時間跨度[0，τ]上的平均值為

(4)

其中，τ為功能測試間隔，每經(jīng)過一個τ，w(t)均恢復(fù)為0，代表經(jīng)過一個功能測試后，所有失效均會被找出并修復(fù)。

對于1ooN系統(tǒng)，w(t)=N·[1-e-λDU·t)]N-1·λDU·e-λDU·t，因?yàn)?-e-λDU·τ≈λDU·τ，e-λDU·τ=1，所以

(5)

對于NooN系統(tǒng)，只要有一個單元失效，系統(tǒng)就失效，所以系統(tǒng)PFH等于所有單元失效率的總和，即

PFH=N·λDU

(6)

(7)

(2)對于共因失效

由上節(jié)分析可知，冗余結(jié)構(gòu)中完全獨(dú)立的單元并不存在，所以該結(jié)構(gòu)最大的缺點(diǎn)在于各個通道之間會互相影響，從而產(chǎn)生共因失效。因此PDS方法中重點(diǎn)考慮了共因失效，采用前一節(jié)提出的多β參數(shù)模型描述PFH中共因失效的部分，公式如下

(8)

綜上，PFH的計(jì)算公式為

(9)

為了確定CMooN，從兩個設(shè)備構(gòu)成的雙重冗余結(jié)構(gòu)入手分析，如圖9(a)所示。圓A、B分別表示兩個設(shè)備，β表示A失效時，B同時發(fā)生共因失效的概率。A、B兩個設(shè)備同時發(fā)生失效的共因失效率為：λ2，2=βλ，雙重冗余結(jié)構(gòu)1oo2的失效率為：λ1oo2=λ2，2=βλ，故C1oo2=1。

對于A、B、C三個設(shè)備構(gòu)成的三重冗余結(jié)構(gòu)，設(shè)β2為A、B兩個設(shè)備發(fā)生共因失效時，設(shè)備C也發(fā)生失效的概率，則A、B、C中任意兩個設(shè)備的共因失效率之和為：λ2，3=3(1-β2)βλ，A、B、C三個設(shè)備的共因失效率為 ：λ3，3=β2βλ，三重冗余結(jié)構(gòu)1oo3、2oo3的總失效率分別為：

λ1oo3=λ3，3=β2βλ，λ2oo3=λ2，3+λ3，3=(3-2β2)βλ，則有，C1oo3=β2，C2oo3=3-2β2，β2可以取[0，1]之間的值，即C1oo3∈[0，1]，C2oo3∈[1，3]，圖9(b)、圖9(c)給出了β2分別為1，0.5時的共因失效情況。β2=1時，與 舊版IEC61508中所述的β因子模型相同，即認(rèn)為任意兩個設(shè)備發(fā)生共因失效時，第三個設(shè)備一定也發(fā)生共因失效，此時C1oo3=C2oo3=1。實(shí)際上，A、B兩個設(shè)備發(fā)生共因失效時，第三個設(shè)備C不一定100%發(fā)生失效，其發(fā)生失效的概率通常難以確定[21]。

圖9 冗余結(jié)構(gòu)共因失效示意

同理，可以推廣至MooN冗余表決結(jié)構(gòu)。令βK(K≥2)為K個設(shè)備發(fā)生共因失效時，第K+1個設(shè)備發(fā)生共因失效的概率。對K=1也成立，這時有β1=β。當(dāng)K≥3時，有

M=1，2，…，N-2

(10)

根據(jù)以上分析，取β2為0.5。 得出表1所示的不同冗余結(jié)構(gòu)修正因子CMooN的取值。

表1 不同冗余結(jié)構(gòu)修正因子取值

3 實(shí)例驗(yàn)證

以雙機(jī)熱備、二乘二取二、三取二方式的冗余結(jié)構(gòu)為例，采用本文提出的方法計(jì)算其PFH。3種結(jié)構(gòu)的可靠性框圖如圖6～圖8所示。由通用公式(9)、表1，代入相關(guān)的參數(shù)得到1oo2、2oo2、 2oo3結(jié)構(gòu)的PFH計(jì)算公式如表2所示。

表2 PFH計(jì)算公式

因此

[(λDU，CPUB1+λDU，CPUB2)·τ]/τ+

(λDU，CPUA1·τ)·(λDU，CPUA2·τ)/τ+

(λDU，CPUA1·τ)·(λDU，CPUA3·τ)/τ+(λDU，CPUA2·τ)·

(λDU，CPUA3·τ)/τ+

各元器件失效率、功能測試時間間隔τ如表3所示，β因子分別取0.1，0.02，0.05。

表3 元器件參數(shù)

將上述參數(shù)代入以上3個公式，得到：

PFH1oo2=1.3×10-8

PFH2×2oo2=1.0×10-8

PFH2oo3=1.2×10-8

由計(jì)算結(jié)果可知，該方法與IEC61508中得出的2×2oo2安全度最高，2oo3次之，1oo2安全度最低的結(jié)論相一致。

接著在軟件中模擬不同β因子下，采用本文的方法和IEC61508中的方法求解這3種冗余結(jié)構(gòu)PFH的結(jié)果，對比如圖10所示。

圖10 不同β下采用兩種方法計(jì)算PFH的結(jié)果對比

由圖10可以看出，在β因子數(shù)值較低(一般≤5%)，即共因失效占比較小時，PDS方法與IEC61508中方法計(jì)算的結(jié)果差異不大，但隨著β因子的升高，即共因失效占失效率的比重提升，對比IEC61508中方法計(jì)算的結(jié)果，PDS計(jì)算的PFH值更高，這表明：相比IEC61508中的方法，PDS方法更加重視共因失效對系統(tǒng)安全性的影響，而在實(shí)際現(xiàn)場，常常會發(fā)生因?yàn)橥环N原因造成的冗余系統(tǒng)多通道同時失效的情況，因此該結(jié)果所呈現(xiàn)的規(guī)律也符合現(xiàn)場設(shè)備的實(shí)際使用情況。

4 結(jié)論

本文給出了一種定量估計(jì)鐵路信號冗余結(jié)構(gòu)危險(xiǎn)失效概率的方法，通過分析3種典型冗余結(jié)構(gòu)的特點(diǎn)，以β因子模型為基礎(chǔ)，引入結(jié)構(gòu)修正因子CMooN，并重點(diǎn)分析其取值問題，然后構(gòu)建了包含失效類別的系統(tǒng)可靠性框圖，采用PDS方法定量計(jì)算系統(tǒng)的PFH，最后在軟件中模擬了在不同β因子下，采用IEC61508中方法與本文方法計(jì)算的PFH的變化規(guī)律，結(jié)果顯示本文的方法更加注重共因失效對PFH的影響，這也符合現(xiàn)場設(shè)備的實(shí)際使用情況。本文忽略了能夠被在線檢測到的危險(xiǎn)失效率λDD以及診斷覆蓋率，下一步可將這些因素也考慮進(jìn)系統(tǒng)安全性的分析中，以建立更加精確的鐵路信號安全苛求系統(tǒng)的PFH計(jì)算模型。