《故障安全原理(63页)》由会员分享,可在线阅读,更多相关《故障安全原理(63页)(63页珍藏版)》请在金锄头文库上搜索。
1、第三章 故障安全技术第三章 故障安全技术v第一节 故障安全原理v第二节 信号安全技术第三章 故障安全技术v第一节 故障安全原理v一 安全性和可靠性概念v二 故障安全原理v三 系统输入输出信号安全要求和对策v四 安全性评估第一节 故障安全原理v一 安全性和可靠性概念v安全性:在规定的条件下,在规定的时间内,系统不陷入危 险状态的性能。v可靠性:系统在给定的条件下,到给定的时刻t,不发生故障 的概率。v失效:一是系统或系统的部件不能在规定的限制内执行所要 求的功能。二是一个功能单元执行所要求的功能的能力的终 结。三是程序操作偏离了程序的需求。失效是导致错误发生 的主要原因。v错误:指系统陷入不正常
2、状态或执行非正常操作。错误可能 由硬件失效、软件失效、环境干扰等原因引起,错误的严重 性可以分为5类。v故障:由于错误造成系统的部件或软件或系统丧失必要的功 能。即由于各种原因所造成的系统的不正常状态。第一节 故障安全原理v失误:人为的失败和错误。 通常指人的错误操作。v危害:有可能给人类或财产 带来不良影响的事情。v风险:用来表示危及安全的 事件发生频度以及事件危害 程度(或严重程度)的指标 。v容错:指一个系统在其中的 故障已经暴露之后仍能提供 要求的功能的存活的属性。 第一节 故障安全原理v安全性评估:采用解析或测试的 方法,对系统的安全性能进行估 算和分析,从而对系统的安全性 能做出定
3、量或定性的评价。用与 安全性评估的指标主要是安全性 完善度和安全性完善等级。v安全性完善度:在给定的条件下 ,到给定的时刻t,系统维持所要 求的安全功能的概率。它是表示 系统所能达到安全性要求程度高 低的指标。v安全性完善等级:表示系统所能 达到安全性水平等级。通常较小 的等级表示安全性水平低,较大 的等级表示安全性水平低高(例 如:1级安全性完善等级为最低 级)。第一节 故障安全原理v二 故障安全原理v 故障安全:系统在发生故障的情况下,能够 维持安全状态或向安全状态转移。v这种与安全相关的系统特性就是故障安全。 在信号系统中常称为故障倒向安全原则。又 称FS (FailSafe) 原则。第
4、一节 故障安全原理v铁路信号的重要作用之一是保证列车运行的安全, 而这种安全的实现总是把“系统故障时让列车停止运 行”为首要方针。规定系统故障时把信号显示变为让 列车停止运行的红灯作为安全侧,这是传统的铁路 信号安全技术的一个重要特点。v在继电信号设备中,故障安全的实现是以具有非对 称错误特性的信号继电器和闭路原理为基础,实现 信号设备的整体性的故障安全。这是铁路信号安全 技术的第二个特点。 第一节 故障安全原理v 随着可靠性理论的发展,促使对故障的分析建立在概率论的基础上,进 而揭示了故障安全也应是一个具有概率特性的概念。v首先,客观上可靠度为百分之百的信号设备是不存在的,也就是说设备 的故
5、障是不可避免的。用全故障率t表示,我们希望它足够小,但不可 能为零。v对设备的故障根据它所带来的后果可以分为危险侧故障和安全侧故障, 分别用危险侧故障率d和安全侧故障率s表示,则有t = d+s 。v信号继电器的危险侧故障率d为1010小时,安全侧故障率s为107小时 。危险侧的故障率虽低,但它并非是零,因此传统的故障安全概念不是 绝对的。v危险侧故障率d相对全故障率t小到可以忽略的程度时,该设备才是故 障安全的,即危险比 = d/t应足够小。第一节 故障安全原理v 将危险比写成另一种形式v =v上式中的d/s =称为非对称错误概率,它应该足够小。v事实上,由于信号设备发生故障时列车停止运行,
6、安全侧故 障率s 越大,故障恢复时间越长,越容易引起列车的阻塞。 这不仅会降低运输效率,还可能诱发重大事故。因此,s也 应尽可能的小。v总之,为了实现故障安全,危险侧故障率和安全侧故障率 都应该尽可能的小。在此前提下危险比和非对称错误概率 也要足够小。也就是说,信号设备的故障安全特性是建立 在设备的高可靠性基础上的。第一节 故障安全原理v为了对故障安全特性进行进一步的 研究,对设备故障引起的事故用下面 的关系式来描述:v 事故 = 故障 危险侧v若把 中的真值取为1,伪值取为0, 即 中的变量为二值逻辑变量,则可 将上式的否定形式认为具有安全的含 义。根据摩根法则可得下式:没有事故 = 没有故
7、障 安全侧v还可以将安全性用下列逻辑式表示:安全性 = 高可靠性 故障安全性 第一节 故障安全原理v三 系统输入输出信号安全要求和对策v(一)故障安全输入接口 v故障安全输入接口必须做到以下两点:v(1) 采用光电隔离技术:通常,接点输入电路要经过光电耦 合才能接至输入接口,以便有效地抑止接点输入电路的电磁 干扰。v(2) 采用编码输入或过程输入方式,以便有效地实现故障安 全原则。v过程输入方式又有两类:一类是输入接口采用多重模块结构 ,并使用软件进行校验的空间冗余法;另一类是采用诊断技 术检查输入值的时间冗余法。第一节 故障安全原理v1.编码方式的故障安全输 入接口v图中将轨道继电器GJ的状
8、 态输入到计算机的输入接 口。v由于是由输入接口的若干 位信息的编码反映轨道继 电器的状态,因此可避免 因混线断线或干扰信号引 起的错误采样,从而保证 输入接口电路的故障安全 特性 第一节 故障安全原理v图中用了两个光电耦合器G1和G2。vG1的输出级和G2的输入级并联,并由 输入信号GJ控制其电源的通断。G1 的输入级和G2的输出级共用微型计 算机电源(5V),且G1的输入级由 微型计算机的输出进行控制。若微型 计算机按1010输出控制信号, 当GJ接点闭合时,则计算机就会从 输入接口电路接收一个与控制信号相 反的信号0101,当GJ接点断开或G1 ,G2发生故障时,计算机的输入接 口只能收
9、到稳态信号,因此保证了输 入信息的故障安全。第一节 故障安全原理v3.采用多重模块结构、并 使用软件校验的方法。v 每个继电器接点输入接口 是由三个模块组成的,每 个模块包括光电隔离、锁 存器、缓冲器等部件,每 1个模块的输出分配到三 个计算机的总线上,每个 计算机分三次读取数据, 并用软件检查三个数据的 一致性。第一节 故障安全原理v由代码动/静态变换电路是计算 机输出控制信号所必须经历的过 程。这种变换可分成软件变换和 硬件变换两种实现方式。v软件变换是根据逻辑运算结果( 代码形式)在需要输出危险侧控 制信号时,借助软件的执行使计 算机不断地输出脉冲串。这种方 式节省了硬件,但占用了计算机
10、 的处理时间。v硬件变换可以采用振荡式的故障 安全逻辑元件来实现,还可以采 用移位寄存器来实现。后者的基 本原理是将危险侧代码并行输送 到移位寄存器中,然后再有控制 时钟推动移位寄存器,使其输出 串行脉冲序列。 第一节 故障安全原理v动/静态电平变换电路是一种只有当输入为 脉冲序列时其输出才为高电平。v而在输入为稳态电平或电路发生故障时均为 低电平的输出电路,所以称这类电路是动态 鉴别电路,又称为故障安全驱动电路。 第一节 故障安全原理v根据需要可连接一个安 全型继电器作为控制输 出的执行部件。v在此电路中,放大器本 身必须设计成不会因元 器件性能改变和失效而 产生自激振荡,脉冲变 压器的主次
11、线圈之间绝 缘良好,这些是比较容 易实现的。第一节 故障安全原理v一种三模系统故障 安全输 出电路。v由于该系统的故障安全比 较器不能检出输出电路的故 障,所以对直接控制信号设 备的输出电路必须采用故障 安全输出电路。v图的输出电路是由电平变换 电路,C形故障 安全逻辑 单元故障,安全继电器驱动 电路所组成。第一节 故障安全原理v四 安全性评估v(一) 硬件系统的可靠性和安全性评估指标v对于铁路信号应用微机系统,为了满足铁路 运输的高效和安全的要求,必须具有极高的 可靠性和安全性。 v在定量地考虑系统的可靠性时,一般用平均 故障间隔时间MTBF (Mean Time Between Failu
12、res来衡量系统的可靠性。 第一节 故障安全原理v1.可靠性和安全性的评估依据 v必要作一些合理的简化和假设:v首先,在系统中若有表决器、比较器、自动转换装 置以及系统之间接口电路等模块,则认为它们较微 型计算机系统具有更高的可靠性,在计算它们时可 对它们的可靠度作为1处理而仅考虑微机系统的可 靠性。v另外,为了便于不同冗余结构的系统之间进行比较 ,假定各系统所用的微型计算机的可靠性指标是相 同的。 第一节 故障安全原理v在计算安全度时,需要分析在什么情况下才发生危险侧故障。在采用双 重软件进行比较的情况下,假定只有当发生两次故障且两次故障的后果 一致并且不能通过比较被发现时,才有导致危险侧故
13、障的可能。具体的 情况是:v(1) 微机第一次发生故障,使得基本的或冗余的信息中出现了一个错误的 信息。v(2) 在第一次故障尚未被检出期间,或者说在检测时间D内又发生了第二 次故障。对于动态切换系统来说,这是指同一微机发生了第二次故障, 对于三中取二系统来说这是指另一个微机系统发生了故障,这次故障也 产生了另一个错误信息。v(3) 这两个错误的信息恰巧构成了两个相同的、然而是错误的有效代码, 因而不能检出。v(4) 错误的有效代码又是危险侧代码,从而产生了一个危及行车安全的控 制命令。 v只有上述四个条件都存在时才算是出现了危险侧故障。 第一节 故障安全原理v2. 单机系统的可靠性和安全性估
14、算v当采用单个微机系统构成铁路信号自动控制 设备时,通常是采用双套软件来保证系统安 全性的。v (二) 软件系统的可靠性和安全性评估v1. 软件的可靠性评估v软件可靠性是指软件在所规定的环境条件下 和规定的时间内,一直能按需求规格说明正 确地完成任务的能力。第一节 故障安全原理v软件可靠性的概率度量则称为软件可靠度。v对于面向用户的软件可靠度定义,可以有以 下两种:v(1) 程序在规定的时间内对一组随机选择的输 入数据能给出正确输出的概率;v(2) 程序在规定的时间和规定的用户环境中, 对一组典型的输入数据,给出正确输出的概 率。第一节 故障安全原理v 2. 软件安全性评估v将软件系统的安全性
15、工作归结为如下九项:v(1) 确定系统及系统中软件的安全性要求。v(2) 将系统安全性说明中的要求准确地转化为系统或分系统说明的要求、转化为软件需说 明的要求,并将这些要求在软件设计及编码中实现。v(3) 在系统、分系统说明及软件需求说明中确定当可能发生安全事故时的系统对策。这些 对策包括故障一安全、故障降级使用、故障容错使用等内容。v (4) 确定软件系统中安全关键单元,安全关键单元是指那些对系统安全性有关键影响的程 序、分程序和模块。 v(5) 对软件的安全关键单元进行分析。v(6) 通过分析、验证,确保软件系统安全性要求的实现,验证不存在有损于安全性的单个 或多个失效事件,保证系统的安全
16、性要求不致引起新的危险。 v(7) 确保编制出的程序不会因为触发危险功能、或阻碍正常功能的执行而使系统处于危险 状态。v(8) 保证系统中的软件能有效地减少硬件的安全风险。v(9) 保证对系统进行充分的安全性测试,包括失效事件发生的测试。 第一节 故障安全原理v为了进行软件安全性评估,必须掌握下列各种资料和信息;v(1) 系统或分系统说明、软件需求说明、各种接口说明等有 关资料。 v(2) 系统生存周期中软件及其组成单元的工作情况、功能、 工作时序等有关资料。v(3) 程序各种功能的流程图、编程语言、储存和时序等相关 资料。v(4) 系统及软件在测试、生产、运输、装卸、储存、维修等 各个环节与安全有关的经验、教训。v(5) 已知的危险事件源,包括能源及有毒物源,特别是可由 软件控制的危险事件源。v(6) 软件开发计划、软件质量评估计划、软件配置管理计
