《故障-安全技术》由会员分享,可在线阅读,更多相关《故障-安全技术(63页珍藏版)》请在金锄头文库上搜索。
1、第三章 故障-,第三章 故障-安全技术,第一节故障-安全原理 第二节 信号安全技术,第三章 故障-安全技术,第一节故障-安全原理 一 安全性和可靠性概念 二 故障-安全原理 三 系统输入输出信号安全要求和对策 四 安全性评估,第一节 故障安全原理,一 安全性和可靠性概念 安全性:在规定的条件下,在规定的时间内,系统不陷入危险状态的性能。 可靠性:系统在给定的条件下,到给定的时刻t,不发生故障的概率。 失效:一是系统或系统的部件不能在规定的限制内执行所要求的功能。二是一个功能单元执行所要求的功能的能力的终结。三是程序操作偏离了程序的需求。失效是导致错误发生的主要原因。 错误:指系统陷入不正常状态
2、或执行非正常操作。错误可能由硬件失效、软件失效、环境干扰等原因引起,错误的严重性可以分为5类。 故障:由于错误造成系统的部件或软件或系统丧失必要的功能。即由于各种原因所造成的系统的不正常状态。,第一节 故障安全原理,失误:人为的失败和错误。通常指人的错误操作。 危害:有可能给人类或财产带来不良影响的事情。 风险:用来表示危及安全的事件发生频度以及事件危害程度(或严重程度)的指标。 容错:指一个系统在其中的故障已经暴露之后仍能提供要求的功能的存活的属性。,第一节 故障安全原理,安全性评估:采用解析或测试的方法,对系统的安全性能进行估算和分析,从而对系统的安全性能做出定量或定性的评价。用与安全性评
3、估的指标主要是安全性完善度和安全性完善等级。 安全性完善度:在给定的条件下,到给定的时刻t,系统维持所要求的安全功能的概率。它是表示系统所能达到安全性要求程度高低的指标。 安全性完善等级:表示系统所能达到安全性水平等级。通常较小的等级表示安全性水平低,较大的等级表示安全性水平低高(例如:1级安全性完善等级为最低级)。,第一节 故障安全原理,二 故障-安全原理 故障-安全:系统在发生故障的情况下,能够维持安全状态或向安全状态转移。 这种与安全相关的系统特性就是故障-安全。在信号系统中常称为故障倒向安全原则。又称F-S (Fail-Safe) 原则。,第一节 故障安全原理,铁路信号的重要作用之一是
4、保证列车运行的安全,而这种安全的实现总是把“系统故障时让列车停止运行”为首要方针。规定系统故障时把信号显示变为让列车停止运行的红灯作为安全侧,这是传统的铁路信号安全技术的一个重要特点。 在继电信号设备中,故障-安全的实现是以具有非对称错误特性的信号继电器和闭路原理为基础,实现信号设备的整体性的故障-安全。这是铁路信号安全技术的第二个特点。,第一节 故障安全原理,随着可靠性理论的发展,促使对故障的分析建立在概率论的基础上,进而揭示了故障-安全也应是一个具有概率特性的概念。 首先,客观上可靠度为百分之百的信号设备是不存在的,也就是说设备的故障是不可避免的。用全故障率t表示,我们希望它足够小,但不可
5、能为零。 对设备的故障根据它所带来的后果可以分为危险侧故障和安全侧故障,分别用危险侧故障率d和安全侧故障率s表示,则有t = d+s 。 信号继电器的危险侧故障率d为10-10小时,安全侧故障率s为10-7小时。危险侧的故障率虽低,但它并非是零,因此传统的故障-安全概念不是绝对的。 危险侧故障率d相对全故障率t小到可以忽略的程度时,该设备才是故障-安全的,即危险比 = d/t应足够小。,第一节 故障安全原理,将危险比写成另一种形式 = 上式中的d/s =称为非对称错误概率,它应该足够小。 事实上,由于信号设备发生故障时列车停止运行,安全侧故障率s 越大,故障恢复时间越长,越容易引起列车的阻塞。
6、这不仅会降低运输效率,还可能诱发重大事故。因此,s也应尽可能的小。 总之,为了实现故障-安全,危险侧故障率和安全侧故障率都应该尽可能的小。在此前提下危险比和非对称错误概率也要足够小。也就是说,信号设备的故障-安全特性是建立在设备的高可靠性基础上的。,第一节 故障安全原理,为了对故障-安全特性进行进一步的研究,对设备故障引起的事故用下面的关系式来描述: 事故 = 故障 危险侧 若把 中的真值取为1,伪值取为0,即 中的变量为二值逻辑变量,则可将上式的否定形式认为具有安全的含义。根据摩根法则可得下式: 没有事故 = 没有故障 安全侧 还可以将安全性用下列逻辑式表示: 安全性 = 高可靠性 故障安全
7、性,第一节 故障安全原理,三 系统输入输出信号安全要求和对策 (一)故障-安全输入接口 故障-安全输入接口必须做到以下两点: (1) 采用光电隔离技术:通常,接点输入电路要经过光电耦合才能接至输入接口,以便有效地抑止接点输入电路的电磁干扰。 (2) 采用编码输入或过程输入方式,以便有效地实现故障-安全原则。 过程输入方式又有两类:一类是输入接口采用多重模块结构,并使用软件进行校验的空间冗余法;另一类是采用诊断技术检查输入值的时间冗余法。,第一节 故障安全原理,1.编码方式的故障-安全输入接口 图中将轨道继电器GJ的状态输入到计算机的输入接口。 由于是由输入接口的若干位信息的编码反映轨道继电器的
8、状态,因此可避免因混线断线或干扰信号引起的错误采样,从而保证输入接口电路的故障-安全特性,第一节 故障安全原理,图中用了两个光电耦合器G1和G2。 G1的输出级和G2的输入级并联,并由输入信号GJ控制其电源的通断。G1的输入级和G2的输出级共用微型计算机电源(5V),且G1的输入级由微型计算机的输出进行控制。若微型计算机按1010输出控制信号,当GJ接点闭合时,则计算机就会从输入接口电路接收一个与控制信号相反的信号0101,当GJ接点断开或G1,G2发生故障时,计算机的输入接口只能收到稳态信号,因此保证了输入信息的故障-安全。,第一节 故障安全原理,3.采用多重模块结构、并使用软件校验的方法。
9、 每个继电器接点输入接口是由三个模块组成的,每个模块包括光电隔离、锁存器、缓冲器等部件,每1个模块的输出分配到三个计算机的总线上,每个计算机分三次读取数据,并用软件检查三个数据的一致性。,第一节 故障安全原理,由代码动/静态变换电路是计算机输出控制信号所必须经历的过程。这种变换可分成软件变换和硬件变换两种实现方式。 软件变换是根据逻辑运算结果(代码形式)在需要输出危险侧控制信号时,借助软件的执行使计算机不断地输出脉冲串。这种方式节省了硬件,但占用了计算机的处理时间。 硬件变换可以采用振荡式的故障-安全逻辑元件来实现,还可以采用移位寄存器来实现。后者的基本原理是将危险侧代码并行输送到移位寄存器中
10、,然后再有控制时钟推动移位寄存器,使其输出串行脉冲序列。,第一节 故障安全原理,动/静态电平变换电路是一种只有当输入为脉冲序列时其输出才为高电平。 而在输入为稳态电平或电路发生故障时均为低电平的输出电路,所以称这类电路是动态鉴别电路,又称为故障-安全驱动电路。,第一节 故障安全原理,根据需要可连接一个安全型继电器作为控制输出的执行部件。 在此电路中,放大器本身必须设计成不会因元器件性能改变和失效而产生自激振荡,脉冲变压器的主次线圈之间绝缘良好,这些是比较容易实现的。,第一节 故障安全原理,一种三模系统故障安全输出电路。 由于该系统的故障-安全比较器不能检出输出电路的故障,所以对直接控制信号设备
11、的输出电路必须采用故障安全输出电路。 图的输出电路是由电平变换电路,C形故障-安全逻辑单元故障,安全继电器驱动电路所组成。,第一节 故障安全原理,四 安全性评估 (一) 硬件系统的可靠性和安全性评估指标 对于铁路信号应用微机系统,为了满足铁路运输的高效和安全的要求,必须具有极高的可靠性和安全性。 在定量地考虑系统的可靠性时,一般用平均故障间隔时间MTBF (Mean Time Between Failures来衡量系统的可靠性。,第一节 故障安全原理,1.可靠性和安全性的评估依据 必要作一些合理的简化和假设: 首先,在系统中若有表决器、比较器、自动转换装置以及系统之间接口电路等模块,则认为它们
12、较微型计算机系统具有更高的可靠性,在计算它们时可对它们的可靠度作为1处理而仅考虑微机系统的可靠性。 另外,为了便于不同冗余结构的系统之间进行比较,假定各系统所用的微型计算机的可靠性指标是相同的。,第一节 故障安全原理,在计算安全度时,需要分析在什么情况下才发生危险侧故障。在采用双重软件进行比较的情况下,假定只有当发生两次故障且两次故障的后果一致并且不能通过比较被发现时,才有导致危险侧故障的可能。具体的情况是: (1) 微机第一次发生故障,使得基本的或冗余的信息中出现了一个错误的信息。 (2) 在第一次故障尚未被检出期间,或者说在检测时间D内又发生了第二次故障。对于动态切换系统来说,这是指同一微
13、机发生了第二次故障,对于三中取二系统来说这是指另一个微机系统发生了故障,这次故障也产生了另一个错误信息。 (3) 这两个错误的信息恰巧构成了两个相同的、然而是错误的有效代码,因而不能检出。 (4) 错误的有效代码又是危险侧代码,从而产生了一个危及行车安全的控制命令。 只有上述四个条件都存在时才算是出现了危险侧故障。,第一节 故障安全原理,2. 单机系统的可靠性和安全性估算 当采用单个微机系统构成铁路信号自动控制设备时,通常是采用双套软件来保证系统安全性的。 (二) 软件系统的可靠性和安全性评估 1. 软件的可靠性评估 软件可靠性是指软件在所规定的环境条件下和规定的时间内,一直能按需求规格说明正
14、确地完成任务的能力。,第一节 故障安全原理,软件可靠性的概率度量则称为软件可靠度。 对于面向用户的软件可靠度定义,可以有以下两种: (1) 程序在规定的时间内对一组随机选择的输入数据能给出正确输出的概率; (2) 程序在规定的时间和规定的用户环境中,对一组典型的输入数据,给出正确输出的概率。,第一节 故障安全原理,2. 软件安全性评估 将软件系统的安全性工作归结为如下九项: (1) 确定系统及系统中软件的安全性要求。 (2) 将系统安全性说明中的要求准确地转化为系统或分系统说明的要求、转化为软件需说明的要求,并将这些要求在软件设计及编码中实现。 (3) 在系统、分系统说明及软件需求说明中确定当
15、可能发生安全事故时的系统对策。这些 对策包括故障一安全、故障降级使用、故障容错使用等内容。 (4) 确定软件系统中安全关键单元,安全关键单元是指那些对系统安全性有关键影响的程序、分程序和模块。 (5) 对软件的安全关键单元进行分析。 (6) 通过分析、验证,确保软件系统安全性要求的实现,验证不存在有损于安全性的单个或多个失效事件,保证系统的安全性要求不致引起新的危险。 (7) 确保编制出的程序不会因为触发危险功能、或阻碍正常功能的执行而使系统处于危险状态。 (8) 保证系统中的软件能有效地减少硬件的安全风险。 (9) 保证对系统进行充分的安全性测试,包括失效事件发生的测试。,第一节 故障安全原
16、理,为了进行软件安全性评估,必须掌握下列各种资料和信息; (1) 系统或分系统说明、软件需求说明、各种接口说明等有关资料。 (2) 系统生存周期中软件及其组成单元的工作情况、功能、工作时序等有关资料。 (3) 程序各种功能的流程图、编程语言、储存和时序等相关资料。 (4) 系统及软件在测试、生产、运输、装卸、储存、维修等各个环节与安全有关的经验、教训。 (5) 已知的危险事件源,包括能源及有毒物源,特别是可由软件控制的危险事件源。 (6) 软件开发计划、软件质量评估计划、软件配置管理计划和其它系统、分系统开发计划的文档。 (7) 系统测试计划、软件测试计划和其它测试文档。,第一节 故障安全原理,软件安全性分析包括以下七个工作项目: (1) 软件需求危险分析。利用系统初步危险分析的结果,初步确定软件的安全关键单元。 (2) 概要设计危险分析。在软件需求说明评审后开始,是软件需求危险分析的深入和继续。分析的结果提交初步设计评审,作为初步设计评审的内容。 (3) 详细设计危险分析。安排在初步设计评审之后进行,它是概要设计危险分析的深入和继续。详细设计
