三取二表决模型的可靠性与安全性分析
杨毅;黄海;陈祥献
【摘 要】In order to improve the reliability and safety of 2-out-of-3 safety computer system, this paper analyzes the different 2-out-of-3 voting models. They use the logic gates as minimal system unit and simplify the original voting model by different logical combinations. By analyzing these models according to Markov modeling method, it calculates the reliability and safety of Special-1 model, Special-2 model, and compares the results with Classic model. Comparison results show that the Mean Time to Failure(MTTF) of designed Special-1 model is higher about 10% than Classic model, and reliability is 0.333.%为提高安全计算机系统的可靠性和安全性,对三取二表决模型进行分析.以逻辑门作为最小系统单元,通过不同的逻辑组合方式实现对原始表决模型的简化,根据马尔科夫理论分析表决模型,比较Special-1模型、Special-2模型与Classic模型的可靠性与安全性.对比结果表明,设计的Special-1模型平均无故障时间比Classic模型高出11%,安全度为0.333.
【期刊名称】《计算机工程》
【年(卷),期】2012(038)014
【总页数】4页(P280-282,286)
【关键词】冗余系统;安全计算机;可靠性;安全性;平均无故障时间帅客
【作 者】杨毅;黄海;陈祥献
【作者单位】浙江大学仪器科学与工程学系,杭州310027;浙江大学仪器科学与工程学系,杭州310027;浙江大学仪器科学与工程学系,杭州310027奔驰s500参数
【正文语种】中 文
【中图分类】N945.12
1 概述
在铁路、城市轨道交通和石化等领域,安全计算机得到了越来越广泛的应用。安全计算机系统除了要求具有极高的可靠性,还需要具备极高的安全性。目前一般采用冗余容错技术
来提高安全计算机的可靠性和安全性。国内外铁路和城市轨道交通领域的信号系统一般都采用结构为二乘二取二或者三取二架构的安全计算机系统[1]。
IEC61508推荐了5种安全系统的结构,并计算了各种结构的可靠性,三取二是其中可靠性最高的一种[2]。分析其计算过程可知,在对系统模型进行可靠性建模计算时,表决器都是假设为绝对可靠的,然而实际中表决器同样存在失效的概率,并且对系统的可靠性有决定性的影响[3],因此,本文提出 2种基于三取二的表决模型,通过马尔科夫(Markov)模型的分析计算方法,比较这2种模型与传统模型的可靠性和安全性。
2 可靠性与安全性
2.1 可靠性
可靠性是指一个系统在一定的环境下,在给定的时间内完成预定功能的概率[4]。一个可靠的系统并不一定是完全没有故障的,系统中发生的故障只要不影响正常功能的执行,系统仍然是可靠的。因此,为了提高系统的可靠性一般采用容错技术,通过使用三取二或者二乘二取二的冗余系统结构,保证系统某个子模块发生故障时,系统仍能正常工作[5]。
欧宝insignia
描述系统可靠性的基本参数主要有可靠度 R(t)以及平均无故障时间(Mean Time to Failure, MTTF)[6]。可靠度的定义如下,它与元器件的失效率λ成指数关系:
平均无故障时间是指一个系统正常工作直到首次发生故障的时间,计算公式如下:
2.2 安全性
安全性是指系统免于危险情况发生的概率,与可靠性不同的是,安全性关注的是故障结果是否会造成危险情况发生,因此,安全性指标对于安全计算机来说是至关重要的。EN50129[7]对安全完整性等级做出明确的规定,在SIL4等级的安全系统中,系统的安全功能每小时能够容忍的危险概率范围是 10−8~10−9。
在安全计算机系统中,系统故障的结果有2种:导向安全侧与导向危险侧。安全侧的定义为系统失效,但不会造成危险的情况,系统保持安全状态;危险侧的定义为系统失效并且导致危险的发生。安全度 S(t)就是指系统能够不产生危险侧情况的概率。
3 马尔科夫理论基础
马尔科夫过程是指在某一时刻,系统由一种状态转移到另一种状态的概率,其只与现在所处状态有关,与之前所处状态无关的一种随机过程。可以用于研究系统“状态”与状态之间相互转移的关系与系统处于某种状态的概率。因此,使用马尔科夫模型对系统建模、计算能够有效地预测将来发生故障的分布,是对动态系统可靠性分析的有效方法[8]。
4 三取二表决模型建模
wey是什么车传统三取二表决模型如式(3)所示,然而在设计表决器时,也要考虑到结构过于复杂从而导致可靠性降低的问题。
因此,本文提出式(4)、式(5)这2种模型的形式有所简化,但本质上仍是三取二的表决模型。可以看出,式(3)所表示的原始的三取二表决模型使用了3个“与”逻辑与2个“或”逻辑,而式(4)、式(5)分别只用了2个“与”逻辑,以及2个“或”逻辑。
沃尔沃卡车价格其中,X1、X2和 X3分别代表三取二表决模型的 3个输入;OUT代表表决结果输出。
为了表示方便,称式(3)为三取二表决的 Classic模型,式(4)为三取二表决的 Special-1模型,式(5)为三取二表决的Special-2模型,将“与”逻辑用A(AND logic)标识,“或”逻辑用O(O
R logic)标识。如图1~图3所示为3种表决模型的示意图。
图1 Classic表决模型
图2 Special-1表决模型
图3 Special-2表决模型
在利用马尔科夫模型对3种表决模型进行建模分析前,首先要做如下假设:
(1)当表决发生错误时,输出1代表危险侧;输出0代表安全侧。
(2)“与”逻辑的故障率用 a表示;“或”逻辑的故障率用 o表示,并且均为常数。当没有输入信号或输入信号为 0时,“与”逻辑和“或”逻辑均无法产生1的危险侧输出。
(3)同时出现2次或更多次故障的概率为0。
(4)每次故障事件与所有其他事件无关。力帆x60
(5)系统分为正常、故障-安全、故障-危险3种状态。
根据“或”逻辑的真值表可知,“或”逻辑的故障模型为当逻辑满足需要输出 1时,却输出的是 0。而根据“与”逻辑的真值表可知,“与”逻辑的故障模型有 2种:(1)选择任意一路输入信号输出。(2)逻辑满足需要输出1时,却输出的是 0。因此,在判断系统状态时,需要带入故障模块的故障模型,寻出最坏的结果。如果有情况使得表决结果为危险的一侧输出 1,或者为任意一路的输入信号,则系统状态为故障-危险。如果最坏情况为使得表决结果为0,则系统状态为故障-安全。如果最坏情况为使得表决结果为某两路的表决结果,则系统状态为正常。根据可靠性与安全性的定义,及假设系统状态可知,系统可靠性为系统处于正常工作状态的概率,而安全性为系统处于故障-危险状态之外的概率之和。
4.1 Classic模型分析
如图4所示为三取二Classic表决模型的状态转移图,各种状态定义如表1所示,其中,1~10分别代表了系统处于的10种不同状态,每2个状态之间的连线代表状态转移概率,而指向状态本身的箭头线代表系统保持状态的概率。每种状态的区别在于故障数或者故障组合不同。如状态2代表了此时系统只有一个逻辑单元发生故障,可能是A1、A2或者A3中任意一个;状态 5代表此时系统有 5个逻辑单元发生故障,可能的组合是A1和A2发生故障、A1和A3发生故障或者A2和A3发生故障,以此类推。