基于动态故障树的计算机联锁系统安全性及性能分析研究

李军丽，张友鹏

(兰州交通大学 自动化与电气工程学院，甘肃 兰州 730070)

摘 要：针对2种常用冗余结构计算机联锁系统中的联锁机子系统，在考虑单元模块、比较模块和系统间切换模块全故障模式的情况下，建立双机热备和2×2取2计算机联锁系统的危险失效概率PFD和安全失效概率PFS的动态故障树模型。由于故障树概率近似法和Markov方法计算结果非常近似且概率近似法的求解过程简单和存储要求低等特点，采用概率近似法求解对应的PFD和PFS，实例对比分析2种冗余结构计算机联锁系统的安全性。研究结果表明：在全故障模式下，2×2取2计算机联锁系统的安全性高于双机热备。

关键词：计算机联锁；安全性；动态故障树；概率近似法；危险失效概率；安全失效概率

计算机联锁系统用于保证列车及调车车列的运行安全，为提高可靠性和安全性采用了冗余结构。自1997年至今，相关学者主要采用可靠性框图、马尔科夫、故障树和动态故障树方法对计算机联锁硬件系统可靠性和安全性进行了相关研 究[1−4]。马尔科夫通过系统状态的转移来描述动态冗余系统，系统规模决定了系统状态的多少和建模的复杂程度。故障树无法处理类似于冗余系统中的动态行为[5]。同时对要求高可靠性和高安全性的计算机联锁系统来说，也无法采用蒙特卡洛仿真方法分析计算其安全性[6]；动态故障树结合了马尔科夫和故障树的优点，具有顺序相关、冗余等特性，能够表达动态冗余系统的相关特性。计算机联锁系统是一种典型的动态冗余系统，故可以用动态故障树分析其可靠性和安全性。冯雪等[3]采用动态故障树对计算机联锁系统可靠性进行了分析研究，对建立的动态故障树模型进行了模块化，将独立的静态子树和动态子树分别采用BDD(Binary Decisions Diagrams,二元决策图)和马尔科夫进行了分析，但建立的动态故障树模型只考虑了故障检测覆盖率对系统可靠性的影响。许崇[4]采用动态故障树对2×2取2结构计算机联锁系统进行了分析研究，建模过程中考虑了故障检测覆盖率、单元模块失效、比较模块失效以及切换模块失效等因素对系统可靠性的影响。张文韬等[7]采用动态故障树对CTCS-3级ATP系统可靠性进行了分析研究，采用解析法和马尔科夫矩阵迭代法求解其子树，但运算量还是会随着动态子树的数量而增大。苏宏升等[8]采用动态故障树对区域计算机联锁安全性进行了分析研究，建模过程中考虑了故障检测覆盖率、维修率和共因失效对系统安全性的影响，同时，采用概率近似法求解动态故障树，该方法减少了运算量且在同样条件下与Markov计算结果非常接近，但是在建模过程中未考虑比较模块失效和切换模块失效对系统安全性的影响。基于此，本文针对2种常用冗余结构计算机联锁系统，在考虑单元模块故障(主要考虑故障检测覆盖率、共因失效、维修率等因素的影响)、比较模块故障和系统间切换模块故障[9](主要考虑故障检测覆盖率、常规失效、维修率等因素的影响)的基础上，建立其动态故障树模型，并采用概率近似法求取安全性相关指标，最后通过实例进行对比分析。

1 计算机联锁系统的结构

计算机联锁系统应能实现联锁、显示、故障检测及诊断等功能，且需要昼夜不停不间断工作，可靠性和安全性要求高。相应要求计算机联锁系统采用多层的层次结构，典型计算机联锁系统的层次结构如图1所示。

图1 典型计算机联锁系统的层次结构图

Fig. 1 Hierarchical chart of typical computer based interlocking system

计算机联锁硬件系统的可靠性和安全性很大程度上决定了整个计算机联锁系统的可靠性和安全性[10]。而在整个层次结构中，最关键的是联锁运算层的联锁计算机，联锁机的可靠性和安全性决定了整个计算机联锁系统的可靠性和安全性[11]。为了提高联锁机的可靠性和安全性，联锁机主要采用了2种冗余结构，即双机热备和2×2取2，其结构分别如图2和图3所示。

图2 双机热备结构示意图

Fig. 2 Schematic diagram of hot standby

图2所示的双机热备冗余结构由2个相同的功能单元组成，且2个单元同时工作，但仅有1个单元产生对外输出的有效运算结果。当工作单元故障，通过切换模块Q输出备用单元的运算结果作为系统的输出[12]。

图3 2×2取2结构示意图

Fig. 3 Schematic diagram of 2 out of 2 plus 2

图3所示的2×2取2冗余结构由4个单元组成，4个单元分为相同的两系，每一系中的2个单元同步执行相同的联锁运算，两者只有在运算结果完全相同时才能对外输出；当单系中2个CPU失去同步或者比较不一致，则该系不应对外输出有效运算结果，两系互为主备[12]。

计算机联锁系统的不同冗余类型是根据计算机联锁系统中最为关键的联锁机的冗余方式来界定的[13]，为此，本文重点对联锁机进行系统的动态故障树分析。

2 基本假设及失效模式划分

2.1 基本假设

为了便于分析，进行了如下的假设[4]：

1) 系统中各个单元模块相互独立，且失效率服从指数分布。单元模块的失效率为λ，比较模块的失效率为b，切换模块的失效率为q；

(1)直接销售。民宿经营者在接到游客电话预定或是直接到店登记时，首先要给出有效、真实、准确的民宿信息，同时积极留住游客。经营者可以有专用的号码接收预订者来电，提高效率。还可以利用“电话或上门预订民宿，可有上下山接送”，或是推出游客直接与经营者预订，赠送庐山纪念品等，吸引游客成为直线门市客。

2) 系统开始工作时，各个单元模块均处于正常工作状态。对于双机热备，A机为主机，B机为备机；对于2×2取2，I系为工作系，Ⅱ系为备用系；

3) 考虑到比较模块和切换模块没有相应的故障诊断电路，故将其失效看作是不可测失效；

4) 对于2×2取2冗余结构而言，故障系的定义有2种情况，一种是某一系中的任一单元模块发生可测故障；另一种是某一系中的任一单元模块发生了不可测故障，但比较模块正常工作能够判断出2个模块的输出不一致；

5) 考虑单元模块与切换模块及(或)比较模块因同样差错结果导致的多重非共因故障；

6) 不考虑比较模块与切换模块因同样差错结果导致的多重非共因故障；

7) 假设备机B机(或备用系Ⅱ系)先发生可测故障后，及时进行维修，维修期间系统的其他模块不会发生任何故障。

2.2 概率近似法

当失效率服从指数分布时，其可靠度，不可靠度。根据指数函数的展开式，则有

(1)

考虑到联锁机的失效率非常低，式(1)可以近似为：

(2)

对式(2)进行变换后得，

(3)

式(3)表明，当λt很小时，可以用失效率与时间间隔的乘积来近似表示一个元件在给定时间间隔的故障概率[14]。

计算机联锁系统作为一个可维修系统，维修方式有在线维修和定期维修。其中，设TR为平均维修时间，适用于所有可测故障的维修时间。对于定期维修，假设系统在任意时刻发生失效的概率是相同的，则周期性检查时间T就是定期维修时间[15]。当采用概率近似方法计算系统在给定时间间隔的故障概率时，TR或T就是对应的时间间隔。

2.3 性能指标

1) 安全失效概率PFS：发生失效时，系统处于安全状态的概率；

2) 危险失效概率PFD：发生失效时，系统处于危险状态的概率。

这2个指标是描述系统非正常运行(发生了失效)时的2个指标。

2.4 失效模式划分

计算机联锁系统作为一种安全苛求系统，对失效安全有严格的要求。若用λ表示失效率，根据失效后系统输出的是安全侧结果还是危险侧结果，有安全失效λS和危险失效λD。即，

(4)

根据危险比，能够计算出和。

(5)

(6)

联锁机单元模块设有自诊断程序，准确的诊断既能够提高安全性和增强可用性，又有利于减少系统修复时间，同时，诊断特性控制着一些容错结构的运行。设自诊断程序的诊断覆盖率为c，对安全失效和危险失效2种失效模式，则有：

(7)

(8)

式中：为安全可测失效率；λSU为安全不可测失效率；为危险可测失效率；λDU为危险不可测失效率。

共因失效会抵消容错系统的优点，导致系统安全性和可靠性降低。β模型将每个部件的失效分为共因失效和常规失效。设共因失效因子为β，则有，

(9)

(10)

其中：为共因失效率；为常规失效率。

由此可知：

(11)

(12)

综合以上因素，对于双机热备冗余结构，仅考虑切换器的常规失效。对于2×2取2冗余结构，仅考虑每一系中2个单元模块的共因失效、比较模块及切换模块的常规失效。

3 不同冗余结构计算机联锁系统动态故障树分析

3.1 动态故障树

动态故障树通过引入表征动态特性的新的逻辑门类型，如优先与门，建立并分析相应的动态故障树，是解决具有顺序相关性以及各种可修复系统等动态冗余特性系统的可靠性和安全性分析的有效途径[16]。其中，优先与门如图4所示。

图4 优先与门示意图

Fig. 4 Schematic diagram of priority-AND

当系统的故障模式不仅与基本事件的组合有关，还与事件发生的顺序有关时，此时用优先与门进行表示。即，事件X和事件Y都发生，且事件X早于事件Y发生，此时，事件Z才发生[17]。

3.2 动态故障树模型的建立与求解

3.2.1 双机热备计算机联锁系统的动态故障树

双机热备计算机联锁系统在工作机发生可测故障后，系统顺利倒机至备用机的关键在于切换模块是否正常。根据假设条件，在切换模块正常工作的前提下工作机先发生故障，备用机接替故障机工作，之后系统的状态取决于备用机的工作状态，此时，系统失效采用优先与门表示。在工作机工作的过程中，如若备用机先于工作机发生了不可测故障，之后工作机发生可测故障，系统顺利倒向备用机后系统的状态就取决于先发生故障的单元模块，此时，系统失效时也采用优先与门表示。当切换模块故障，系统无法实现倒机，此时，系统状态取决于切换模块的失效状态或由切换模块与工作单元模块状态共同决定，此时，系统失效采用与优先与门表示。其工作模式分析情况如表1所示。

可以结合逆向选择和道德风险，研究委托代理关系。其中的两方：委托人和代理人。因为信息不对称，前者不能完整的了解掌握后者的信息，一旦某些不合格的代理人通过审查，也将给委托人带来损失。接着分析道德风险，信息劣势方只能观察到行动表面信息。隐藏在行动中的一些信息没有得到充分展示，提升了信息劣势方收益遭到破坏的机会。

由表1可得双机热备计算机联锁系统的系统危险失效PFD1和系统安全失效PFS1的动态故障树模型分别如图5和图6所示。

表1 双机热备计算机联锁系统的工作模式分析情况

Table 1 Analysis table of the working mode of computer based interlocking for hot standby

故障情况说明系统状态 A无故障，B无故障，Q无故障系统正常 A可测故障，Q无故障，B无故障系统正常 A可测故障，Q无故障，B安全或危险故障由B的失效状态决定 A可测故障，Q不可测故障由A和Q的失效状态共同决定 A不可测故障，Q无故障由A的失效状态决定 A不可测故障，Q不可测故障由A和Q的失效状态共同决定 A无故障，Q不可测故障由Q的失效状态决定 B先可测故障系统正常 B先不可测故障，A无故障，Q无故障系统正常 B先不可测故障，A后可测故障，Q无故障由B的失效状态决定 B先不可测故障，A无故障，Q不可测故障由Q的失效状态决定 B先不可测故障，A后可测故障，Q不可测故障由A和Q的失效状态共同决定 B先不可测故障，A后不可测故障，Q无故障由A的失效状态决定 B先不可测故障，A后不可测故障，Q不可测故障由A和Q的失效状态共同决定 A和B发生共因失效由A和B的失效状态共同决定

注：A，B和Q分别表示单元模块和切换模块。

图5 双机热备计算机联锁系统的PFD动态故障树模型

Fig. 5 PFD dynamic fault tree model of computer based interlocking for hot standby

由图5可知，双机热备计算机联锁系统发生危险失效的概率PFD1为：

(13)

由图6可知，双机热备计算机联锁系统发生安全失效的概率PFS1为：

(14)

3.2.2 2×2取2计算机联锁系统的动态故障树

根据2×2取2的工作模式及2.2节中的相关假设条件，其工作模式分析情况如表2所示。

图6 双机热备计算机联锁系统的PFS动态故障树模型

Fig. 6 PFS dynamic fault tree model of computer based interlocking for hot standby

表2 2×2取2结构计算机联锁系统的工作模式分析情况

Table 2 Analysis table of the working mode of computer based interlocking for 2 out of 2 plus 2

故障情况说明系统状态 Ⅰ系无故障， Q无故障，Ⅱ系无故障系统正常 Ⅰ系A/B可测故障，M无故障，Q无故障，Ⅱ系无故障系统正常 Ⅰ系无故障，M不可测故障，Q无故障由M的失效状态决定 Ⅰ系无故障，M无故障，Q不可测故障由Q的失效状态决定 Ⅰ系A/B可测故障，M无故障，Q不可测故障由Ⅰ系与Q的失效状态共同决定 Ⅰ系A/B可测故障，M无故障，Q无故障，Ⅱ系C/D故障(安全或危险)由Ⅱ系的失效状态决定 Ⅰ系A/B可测故障，M无故障，Q无故障，Ⅱ系C和D共因失效由C和D的失效状态共同决定 Ⅰ系A/B可测故障，M不可测故障由Ⅰ系与M的失效状态共同决定 Ⅰ系A/B不可测故障，M无故障，Q无故障，Ⅱ系无故障系统正常 Ⅰ系A/B不可测故障，M无故障，Q不可测故障由Ⅰ系与Q的失效状态决定

Ⅰ系A/B不可测故障，M无故障，Q无故障，Ⅱ系故障(安全或危险)由Ⅱ系的失效状态决定 Ⅰ系A/B不可测故障，M不可测故障，Q无故障由Ⅰ系与M的失效状态共同决定 Ⅰ系A/B不可测故障，M无故障，Q无故障，Ⅱ系C和D共因失效由C和D的失效状态共同决定 Ⅱ系C/D先可测故障系统正常 Ⅱ系C/D先不可测故障，Ⅰ系A/B后可测故障，M无故障，Q无故障由Ⅱ系的失效状态决定 Ⅱ系C/D先不可测故障，Ⅰ系A/B后可测故障，M不可测故障，Q无故障由Ⅰ系和M的失效状态共同决定 Ⅱ系C/D先不可测故障，Ⅰ系A/B后可测故障，M无故障，Q不可测故障由Ⅰ系和Q的失效状态共同决定 Ⅱ系C/D先不可测故障，Ⅰ系A/B后不可测故障，M无故障，Q无故障由Ⅱ系的失效状态决定 Ⅱ系C/D先不可测故障，Ⅰ系A/B后不可测故障，M不可测故障，Q无故障由Ⅰ系和M的失效状态共同决定 Ⅱ系C/D先不可测故障，Ⅰ系A/B后不可测故障，M无故障，Q不可测故障由Ⅰ系和Q的失效状态共同决定 Ⅰ系A和B共因失效，M无故障，Q无故障由A和B的失效状态决定

注：1) A，B，C和D分别表示4个相同的单元模块；2) M表示比较模块；3) Q表示切换模块。

由表2中2×2取2计算机联锁系统的各种工作模式组合情况表可以得出2×2取2计算机联锁系统危险失效PFD2和系统安全失效PFS2的动态故障树模型分别如图7和图8所示。

图7 2×2取2计算机联锁系统的PFD动态故障树模型

Fig. 7 PFD dynamic fault tree model of computer based interlocking for 2 out of 2 plus 2

图8 2×2取2计算机联锁系统的PFS动态故障树模型

Fig. 8 PFS dynamic fault tree model of computer based interlocking for 2 out of 2 plus 2

由图7可知，2×2取2计算机联锁系统发生危险失效的概率PFD2为：

(15)

由图8可知，2×2取2计算机联锁系统发生安全失效的概率PFS2为：

(16)

4 实例仿真对比分析

利用Matlab对式(13)~(16)进行计算，分析计算过程中各个参数的选取如表3所示[1, 3, 6]。

一是强化定额管理。将用水定额和清洁生产定额作为水资源论证、取水审批、用水计划制定、节水评估和用水审计等工作的重要依据。二是强化计划用水管理。对所有工商业取水户和市区500 t/月以上的自来水用水单位全面执行计划用水管理，用户年度用水计划经公示后由政府发文执行，并强化计划执行情况的监管力度。三是全面实施节水 “三同时”管理。通过水资源论证和取水许可验收环节严把节水“三同时”关，公共设施建设项目节水“三同时”工作已纳入行政服务中心归口管理。四是探索开展用水审计工作。2014年在2家企业开展了用水审计工作。此外，积极主持开展企业用水标准和节水导则的宣贯工作。

将表3中的参数代入式(13)~(16)，可得结果如表4所示。

在大数据时代下，电子文件是档案资料的主要呈现方式，对其安全性提出了很大挑战，如果在档案管理过程中，没有严格管理电子文件，会很容易遭到不法分子的攻击，一旦这些档案信息被泄露，就会对档案管理部门及个人造成严重损失，甚至会给国家带来一定的危机。所以，必须借助大数据技术，对档案数据加强管理，以保护数据的安全与隐私。

表3 参数表

Table 3 Parameter lists

参数取值 危险比σ10−3 单个联锁机模块的失效率λ1×10−5 h−1 单元模块的诊断覆盖率c0.999 共因失效因子β0.075 系统重启时间SD24 h 平均修理时间TR8 h 定期维修周期T8 760 h 比较模块失效率b、切换模块失效率q2×10−5 h−1

表4 计算结果

Table 4 Calculation results

双机热备2×2取2q=b=2×10−5q=b=2×10−7 PFDPFSPFDPFS 不考虑Q和M9.905 4×10−89.895 5×10−59.905 4×10−89.895 5×10−5 1.815 0×10−81.813 2×10−51.815 0×10−81.813 2×10−5 考虑Q2.611 8×10−72.608 9×10−41.006 8×10−71.005 7×10−4 1.803 1×10−71.800 8×10−41.977 2×10−81.975 1×10−5 考虑M———— 1.803 1×10−71.800 8×10−41.977 2×10−81.975 1×10−5 考虑Q和M———— 3.424 7×10−73.420 3×10−42.139 3×10−82.137 1×10−5

由表4的计算结果可以看出：1) 对2种不同冗余结构计算机联锁系统来说，在分析过程中无论是否考虑切换模块和(或)比较模块及其切换模块和比较模块在不同的故障概率下，均有PFD小于PFS，满足“故障−安全”原则；2) 建立系统的动态故障树模型时考虑的影响因素越多，系统的PFD和PFS越大；且当切换模块和比较模块发生故障的概率越小，系统的PFD及PFS越小；3) 当切换模块和比较模块均非完全可靠且在不同的故障概率条件下，双机热备的PFD及PFS均比2×2取2的低，即2×2取2计算机联锁系统的安全性高于双机热备计算机联锁系统的安全性。

本研究以橡胶草的胚性愈伤组织为材料，从接种量、继代时间、细胞形态、悬浮细胞的鲜重、干重、培养基pH值等方面，来研究橡胶草胚性悬浮细胞体系的特性，以期建立橡胶草的胚性悬浮细胞体系。同时，利用悬浮培养得到的胚性愈伤组织来建立橡胶草悬浮细胞再生体系，使橡胶草的生长周期缩短，获得更高的经济效益。

5 结论

1) 基于2种常用冗余结构计算机联锁系统的工作情况，建立了全故障模式下计算机联锁系统的PFD和PFS动态故障树模型，使得所建立的模型更加完善，更加符合系统的实际工作情况。

2) 实际情况下，由主机(主系)倒向备机(备系)后，故障机切除后不会影响系统性能，但是在建立系统动态故障树模型时，此时采用优先与门表示两个事件发生的关系。所以，采用动态故障树分析具有冗余特性的计算机联锁系统，结果相对保守。

3) 建立模块动态故障树时考虑的因素越多，2×2取2系统的安全性能更好，这符合铁路对计算机联锁系统高安全性的发展要求。同时，当系统中的切换模块和比较模块越可靠，系统的安全性 越高。

参考文献：

[1] 张萍, 赵阳. 铁路车站计算机联锁控制系统的可靠性和安全性分析[J]. 中国安全科学学报, 2003, 13(4): 48−50.ZHANG Ping, ZHAO Yang. Analysis on the reliability and safety of the interlocking control system of railway computer[J].China Safety Science Journal, 2003, 13(4): 48−50.

[2] 张佳楠, 王海峰, 蒋大明. 计算机联锁系统二乘二取二容错结构分析[J]. 铁路计算机应用, 2006, 15(11): 46−49. ZHANG Jianan, WANG Haifeng, JIANG Daming. Analysis of double 2-vote-2 fault-tolerant architecture used in computer based interlocking system[J].Railway Computer Implication, 2006, 15(11): 46−49.

[3] 冯雪, 王喜富. 基于动态故障树的计算机联锁系统可靠性及性能分析研究[J]. 铁道学报, 2011, 33(12): 78− 82. FENG Xue, WANG Xifu. Analysis on reliability and performance of computer based interlocking system with the dynamic fault tree method[J]. Journal of the China Railway Society, 2011, 33(12): 78−82.

[4] 许崇. 二乘二取二系统的可靠性和安全性[D]. 合肥: 合肥工业大学, 2013: 10−35. XU Chong. Reliability and safety of double 2-vote-2 redundancy system[D]. Hefei: Hefei University of Technology, 2013: 10−35.

[5] Sohag Kabir. An overview of fault tree analysis and its application in model based dependability analysis[J]. Experts Systems With Applications, 2017(77): 114−135.

[6] Sergey Porotsky. Rare-event estimation for dynamic fault trees[J]. Statistics, 2016(2): 1−10.

[7] 张文韬, 张友鹏, 苏宏升, 等. 基于动态故障树的CTCS-3级ATP系统可靠性分析[J]. 工程设计学报, 2014, 21(1): 18−26. ZHANG Wentao, ZHANG Youpeng, SU Hongsheng, et al. Reliability analysis on ATP system of CTCS-3 based on dynamic fault tree[J]. Chinese Journal of Engineering Design, 2014, 21(1): 18−26.

[8] 苏宏升, 文俊. 区域计算机联锁系统安全性分析的动态故障树模型与方法研究[J]. 铁道学报, 2015, 37(3): 46−53. SU Hongsheng, WEN Jun. Research on modeling of dynamic fault tree in regional computer based interlocking system safety analysis[J]. Journal of the China Railway Society, 2015, 37(3): 46−53.

[9] Mykhaylo Lobur, Tetyana Stefanovych, Serhiy Shcherbovskykh. Modeling of type I and II errors of switching device for systems with hot and cold redundancy based on two-terminal dynamic fault trees: CAD Systems in Microelectronics (CADSM)[C]// The 14th International Conference the Experience of Designing and Application.Lviv, Ukraine: IEEE, 2017: 19−21.

[10] 单冬. 铁道行业标准《铁路车站计算机联锁技术条件》修订解析[J]. 铁道技术监督, 2016, 44(8): 1−6. SHAN Dong. Railway industry standard《computer based interlocking technical specifications》revision interpretation[J]. Railway Quality Control, 2016, 44(8): 1−6.

[11] 卢佩玲. TYJL-ECC容错计算机联锁系统的可靠性评估[J]. 中国铁道科学, 2005, 26(6): 102−105. LU Peiling. Reliability evaluation of TYJL—ECC fault-tolerant computer interlocking control system[J]. China Railway Science, 2005, 26(6): 102−105.

[12] TB/T 3027—2015, 铁路车站计算机联锁技术条件[S]. TB/T 3027—2015, Computer based interlocking technical specifications[S].

[13] 中国铁路总公司. 计算机联锁系统[M]. 北京: 中国铁道出版社, 2015: 48−65. China Railway. Computer based interlocking system[M]. Beijing: China Railway Press, 2015: 48-65.

[14] 李永强. 国铁与地铁信号联锁技术差异简谈[J]. 铁路通信信号工程技术, 2017, 14(5): 121−123. LI Yongqiang. Introduction and analysis of the technical differences between the national railway and subway signal interlocking systems[J]. Railway Signaling & Communication Engineering, 2017, 14(5): 121−123.

[15] 威廉·戈布尔. 控制系统的安全评估与可靠性[M]. 白焰, 董玲, 杨国田, 译. 北京: 中国电力出版社, 2008: 65−278. William Goble. Control systems safety evaluation and reliability[M]. BAI Yan, DONG Ling, YANG Guotian, trans. Beijing: China Electric Power Press, 2008: 65-278.

[16] 季会媛. 动态故障树分析方法研究[D]. 长沙: 国防科学技术大学, 2002: 1−16. JI Huiyuan. Research analysis method of the dynamic fault tree[D]. Changsha: National University of Defense Technology, 2002: 1−16.

[17] Manno G, Chiacchio F, Compagno L, et al. Conception of repairable dynamic fault trees and resolution by use of RAATSS, a Matlab toolbox based on the ATS formalism[J]. Reliability Engineering and System Safety, 2014(121): 250−262.

Research on safety and performance analysis of computer based interlocking system based on dynamic fault tree analysis

LI Junli, ZHANG Youpeng

(School of Automation & Electrical Engineering, Lanzhou Jiaotong University, Lanzhou 730070, China)

Abstract:For two common redundant computer based interlocking systems’ interlocking computer, considering all faults for unit module as well as the comparison module and switching module, dynamic fault tree analysis model of probability of falling danger (PFD) and probability of falling safety (PFS) were established for hot standby and 2 out of 2 plus 2 computer based interlocking systems. In addition, the calculation results of fault tree probability approximation method and Markov method were very similar, and the calculation process of probability approximation method was simple and the storage requirements are low. In consequence, the PFD and PFS were solved using the probabilistic approximation method. Finally, the safety for two redundant computer based interlocking systems was contrasted and analyzed by instance. The results show that the 2 out of 2 plus 2 computer-based interlocking is more secure than the hot standby in the condition of all faults.

Key words:computer based interlocking; safety; dynamic fault tree analysis; probabilistic approximate method; probability of falling danger; probability of falling safety

中图分类号：U284.3

文献标志码：A

文章编号：1672 − 7029(2019)06− 1543 − 10

DOI: 10.19713/j.cnki.43−1423/u.2019.06.026

收稿日期：2018−08−31

基金项目：国家自然科学基金资助项目(51867013)

通信作者：李军丽(1987−)，女，甘肃定西人，博士研究生，从事交通信息工程及控制系统可靠性与安全性研究；E−mail：lijunli_2012@126.com

(编辑 蒋学东)