故障安全技术课件.ppt

第三章故障安全技术第1页，共63页第三章故障安全技术v第一节 故障安全原理v第二节信号安全技术第2页，共63页第三章故障安全技术v第一节 故障安全原理v一安全性和可靠性概念v二故障安全原理v三系统输入输出信号安全要求和对策v四安全性评估第3页，共63页第一节故障安全原理v一安全性和可靠性概念v安全性：在规定的条件下，在规定的时间内，系统不陷入危险状态的性能v可靠性：系统在给定的条件下，到给定的时刻t，不发生故障的概率v失效：一是系统或系统的部件不能在规定的限制内执行所要求的功能二是一个功能单元执行所要求的功能的能力的终结三是程序操作偏离了程序的需求失效是导致错误发生的主要原因v错误：指系统陷入不正常状态或执行非正常操作错误可能由硬件失效、软件失效、环境干扰等原因引起，错误的严重性可以分为5类v故障：由于错误造成系统的部件或软件或系统丧失必要的功能即由于各种原因所造成的系统的不正常状态第4页，共63页第一节故障安全原理v失误：人为的失败和错误通常指人的错误操作v危害：有可能给人类或财产带来不良影响的事情v风险：用来表示危及安全的事件发生频度以及事件危害程度（或严重程度）的指标v容错：指一个系统在其中的故障已经暴露之后仍能提供要求的功能的存活的属性。

第5页，共63页第一节故障安全原理v安全性评估：采用解析或测试的方法，对系统的安全性能进行估算和分析，从而对系统的安全性能做出定量或定性的评价用与安全性评估的指标主要是安全性完善度和安全性完善等级v安全性完善度：在给定的条件下，到给定的时刻t，系统维持所要求的安全功能的概率它是表示系统所能达到安全性要求程度高低的指标v安全性完善等级：表示系统所能达到安全性水平等级通常较小的等级表示安全性水平低，较大的等级表示安全性水平低高（例如：1级安全性完善等级为最低级）第6页，共63页第一节故障安全原理v二故障安全原理v故障安全：系统在发生故障的情况下，能够维持安全状态或向安全状态转移v这种与安全相关的系统特性就是故障安全在信号系统中常称为故障倒向安全原则又称FS(FailSafe)原则第7页，共63页第一节故障安全原理v铁路信号的重要作用之一是保证列车运行的安全，而这种安全的实现总是把“系统故障时让列车停止运行”为首要方针规定系统故障时把信号显示变为让列车停止运行的红灯作为安全侧，这是传统的铁路信号安全技术的一个重要特点v在继电信号设备中，故障安全的实现是以具有非对称错误特性的信号继电器和闭路原理为基础，实现信号设备的整体性的故障安全。

这是铁路信号安全技术的第二个特点第8页，共63页第一节故障安全原理v随着可靠性理论的发展，促使对故障的分析建立在概率论的基础上，进而揭示了故障安全也应是一个具有概率特性的概念v首先，客观上可靠度为百分之百的信号设备是不存在的，也就是说设备的故障是不可避免的用全故障率t表示，我们希望它足够小，但不可能为零v对设备的故障根据它所带来的后果可以分为危险侧故障和安全侧故障，分别用危险侧故障率d和安全侧故障率s表示，则有t=d+sv信号继电器的危险侧故障率d为1010小时，安全侧故障率s为107小时危险侧的故障率虽低，但它并非是零，因此传统的故障安全概念不是绝对的v危险侧故障率d相对全故障率t小到可以忽略的程度时，该设备才是故障安全的，即危险比=d/t应足够小第9页，共63页第一节故障安全原理v将危险比写成另一种形式v=v上式中的d/s=称为非对称错误概率，它应该足够小v事实上，由于信号设备发生故障时列车停止运行，安全侧故障率s越大，故障恢复时间越长，越容易引起列车的阻塞这不仅会降低运输效率，还可能诱发重大事故因此，s也应尽可能的小v总之，为了实现故障安全，危险侧故障率和安全侧故障率都应该尽可能的小。

在此前提下危险比和非对称错误概率也要足够小也就是说，信号设备的故障安全特性是建立在设备的高可靠性基础上的第10页，共63页第一节故障安全原理v为了对故障安全特性进行进一步的研究，对设备故障引起的事故用下面的关系式来描述：v事故=故障危险侧v若把中的真值取为1，伪值取为0，即中的变量为二值逻辑变量，则可将上式的否定形式认为具有安全的含义根据摩根法则可得下式：没有事故=没有故障安全侧v还可以将安全性用下列逻辑式表示：安全性=高可靠性故障安全性第11页，共63页第一节故障安全原理v三系统输入输出信号安全要求和对策v（一）故障安全输入接口v故障安全输入接口必须做到以下两点：v(1)采用光电隔离技术：通常，接点输入电路要经过光电耦合才能接至输入接口，以便有效地抑止接点输入电路的电磁干扰v(2)采用编码输入或过程输入方式，以便有效地实现故障安全原则v过程输入方式又有两类：一类是输入接口采用多重模块结构，并使用软件进行校验的空间冗余法；另一类是采用诊断技术检查输入值的时间冗余法第12页，共63页第一节故障安全原理v1.编码方式的故障安全输入接口v图中将轨道继电器GJ的状态输入到计算机的输入接口v由于是由输入接口的若干位信息的编码反映轨道继电器的状态，因此可避免因混线断线或干扰信号引起的错误采样，从而保证输入接口电路的故障安全特性第13页，共63页。

第一节故障安全原理v图中用了两个光电耦合器G1和G2vG1的输出级和G2的输入级并联,并由输入信号GJ控制其电源的通断G1的输入级和G2的输出级共用微型计算机电源（5V），且G1的输入级由微型计算机的输出进行控制若微型计算机按1010输出控制信号，当GJ接点闭合时，则计算机就会从输入接口电路接收一个与控制信号相反的信号0101，当GJ接点断开或G1，G2发生故障时，计算机的输入接口只能收到稳态信号，因此保证了输入信息的故障安全第14页，共63页第一节故障安全原理v3.采用多重模块结构、并使用软件校验的方法v每个继电器接点输入接口是由三个模块组成的，每个模块包括光电隔离、锁存器、缓冲器等部件，每1个模块的输出分配到三个计算机的总线上，每个计算机分三次读取数据，并用软件检查三个数据的一致性第15页，共63页第一节故障安全原理v由代码动/静态变换电路是计算机输出控制信号所必须经历的过程这种变换可分成软件变换和硬件变换两种实现方式v软件变换是根据逻辑运算结果（代码形式）在需要输出危险侧控制信号时，借助软件的执行使计算机不断地输出脉冲串这种方式节省了硬件，但占用了计算机的处理时间v硬件变换可以采用振荡式的故障安全逻辑元件来实现，还可以采用移位寄存器来实现。

后者的基本原理是将危险侧代码并行输送到移位寄存器中，然后再有控制时钟推动移位寄存器，使其输出串行脉冲序列第16页，共63页第一节故障安全原理v动/静态电平变换电路是一种只有当输入为脉冲序列时其输出才为高电平v而在输入为稳态电平或电路发生故障时均为低电平的输出电路，所以称这类电路是动态鉴别电路，又称为故障安全驱动电路第17页，共63页第一节故障安全原理v根据需要可连接一个安全型继电器作为控制输出的执行部件v在此电路中，放大器本身必须设计成不会因元器件性能改变和失效而产生自激振荡，脉冲变压器的主次线圈之间绝缘良好，这些是比较容易实现的第18页，共63页第一节故障安全原理v一种三模系统故障安全输出电路v由于该系统的故障安全比较器不能检出输出电路的故障，所以对直接控制信号设备的输出电路必须采用故障安全输出电路v图的输出电路是由电平变换电路，C形故障安全逻辑单元故障，安全继电器驱动电路所组成第19页，共63页第一节故障安全原理v四安全性评估v(一)硬件系统的可靠性和安全性评估指标v对于铁路信号应用微机系统，为了满足铁路运输的高效和安全的要求，必须具有极高的可靠性和安全性v在定量地考虑系统的可靠性时，一般用平均故障间隔时间MTBF(MeanTimeBetweenFailures来衡量系统的可靠性。

第20页，共63页第一节故障安全原理v1.可靠性和安全性的评估依据v必要作一些合理的简化和假设：v首先，在系统中若有表决器、比较器、自动转换装置以及系统之间接口电路等模块，则认为它们较微型计算机系统具有更高的可靠性，在计算它们时可对它们的可靠度作为1处理而仅考虑微机系统的可靠性v另外，为了便于不同冗余结构的系统之间进行比较，假定各系统所用的微型计算机的可靠性指标是相同的第21页，共63页第一节故障安全原理v在计算安全度时，需要分析在什么情况下才发生危险侧故障在采用双重软件进行比较的情况下，假定只有当发生两次故障且两次故障的后果一致并且不能通过比较被发现时，才有导致危险侧故障的可能具体的情况是：v(1)微机第一次发生故障，使得基本的或冗余的信息中出现了一个错误的信息v(2)在第一次故障尚未被检出期间，或者说在检测时间D内又发生了第二次故障对于动态切换系统来说，这是指同一微机发生了第二次故障，对于三中取二系统来说这是指另一个微机系统发生了故障，这次故障也产生了另一个错误信息v(3)这两个错误的信息恰巧构成了两个相同的、然而是错误的有效代码，因而不能检出v(4)错误的有效代码又是危险侧代码，从而产生了一个危及行车安全的控制命令。

v只有上述四个条件都存在时才算是出现了危险侧故障第22页，共63页第一节故障安全原理v2.单机系统的可靠性和安全性估算v当采用单个微机系统构成铁路信号自动控制设备时，通常是采用双套软件来保证系统安全性的v(二)软件系统的可靠性和安全性评估v1.软件的可靠性评估v软件可靠性是指软件在所规定的环境条件下和规定的时间内，一直能按需求规格说明正确地完成任务的能力第23页，共63页第一节故障安全原理v软件可靠性的概率度量则称为软件可靠度v对于面向用户的软件可靠度定义，可以有以下两种：v(1)程序在规定的时间内对一组随机选择的输入数据能给出正确输出的概率；v(2)程序在规定的时间和规定的用户环境中，对一组典型的输入数据，给出正确输出的概率第24页，共63页第一节故障安全原理v2.软件安全性评估v将软件系统的安全性工作归结为如下九项：v(1)确定系统及系统中软件的安全性要求v(2)将系统安全性说明中的要求准确地转化为系统或分系统说明的要求、转化为软件需说明的要求，并将这些要求在软件设计及编码中实现v(3)在系统、分系统说明及软件需求说明中确定当可能发生安全事故时的系统对策这些对策包括故障一安全、故障降级使用、故障容错使用等内容。

v(4)确定软件系统中安全关键单元，安全关键单元是指那些对系统安全性有关键影响的程序、分程序和模块v(5)对软件的安全关键单元进行分析v(6)通过分析、验证，确保软件系统安全性要求的实现，验证不存在有损于安全性的单个或多个失效事件，保证系统的安全性要求不致引起新的危险v(7)确保编制出的程序不会因为触发危险功能、或阻碍正常功能的执行而使系统处于危险状态v(8)保证系统中的软件能有效地减少硬件的安全风险v(9)保证对系统进行充分的安全性测试，包括失效事件发生的测试第25页，共63页第一节故障安全原理v为了进行软件安全性评估，必须掌握下列各种资料和信息；v(1)系统或分系统说明、软件需求说明、各种接口说明等有关资料v(2)系统生存周期中软件及其组成单元的工作情况、功能、工作时序等有关资料v(3)程序各种功能的流程图、编程语言、储存和时序等相关资料v(4)系统及软件在测试、生产、运输、装卸、储存、维修等各个环节与安全有关的经验、教训v(5)已知的危险事件源，包括能源及有毒物源，特别是可由软件控制的危险事件源v(6)软件开发计划、软件质量评估计划、软件配置管理计划和其它系统、分系统开发计划的文档。

v(7)系统测试计划、软件测试计划和其它测试文档第26页，共63页第一节故障安全原理v软件安全性分析包括以下七个工作项目：v(1)软件需求危险分析利用系统初步危险分析的结果，初步确定软件的安全关键单元v(2)概要设计危险分析在软件需求说明评审后开始，是软件需求危。