故障-安全技術(shù)

1、第三章 故障-安全技術(shù) 第三章 故障-安全技術(shù) v第一節(jié) 故障-安全原理 v第二節(jié) 信號(hào)安全技術(shù) 第三章 故障-安全技術(shù) v第一節(jié) 故障-安全原理 v一 安全性和可靠性概念 v二 故障-安全原理 v三 系統(tǒng)輸入輸出信號(hào)安全要求和對(duì)策 v四 安全性評(píng)估 第一節(jié) 故障安全原理 v一 安全性和可靠性概念 v安全性：在規(guī)定的條件下，在規(guī)定的時(shí)間內(nèi)，系統(tǒng)不陷入危 險(xiǎn)狀態(tài)的性能。 v可靠性：系統(tǒng)在給定的條件下，到給定的時(shí)刻t，不發(fā)生故障 的概率。 v失效：一是系統(tǒng)或系統(tǒng)的部件不能在規(guī)定的限制內(nèi)執(zhí)行所要 求的功能。二是一個(gè)功能單元執(zhí)行所要求的功能的能力的終 結(jié)。三是程序操作偏離了程序的需求。失效是導(dǎo)致錯(cuò)誤發(fā)

2、生 的主要原因。 v錯(cuò)誤：指系統(tǒng)陷入不正常狀態(tài)或執(zhí)行非正常操作。錯(cuò)誤可能 由硬件失效、軟件失效、環(huán)境干擾等原因引起，錯(cuò)誤的嚴(yán)重 性可以分為5類。 v故障：由于錯(cuò)誤造成系統(tǒng)的部件或軟件或系統(tǒng)喪失必要的功 能。即由于各種原因所造成的系統(tǒng)的不正常狀態(tài)。 第一節(jié) 故障安全原理 v失誤：人為的失敗和錯(cuò)誤。 通常指人的錯(cuò)誤操作。 v危害：有可能給人類或財(cái)產(chǎn) 帶來(lái)不良影響的事情。 v風(fēng)險(xiǎn)：用來(lái)表示危及安全的 事件發(fā)生頻度以及事件危害 程度（或嚴(yán)重程度）的指標(biāo)。 v容錯(cuò)：指一個(gè)系統(tǒng)在其中的 故障已經(jīng)暴露之后仍能提供 要求的功能的存活的屬性。 第一節(jié) 故障安全原理 v安全性評(píng)估：采用解析或測(cè)試的 方法，對(duì)系統(tǒng)的

3、安全性能進(jìn)行估 算和分析，從而對(duì)系統(tǒng)的安全性 能做出定量或定性的評(píng)價(jià)。用與 安全性評(píng)估的指標(biāo)主要是安全性 完善度和安全性完善等級(jí)。 v安全性完善度：在給定的條件下， 到給定的時(shí)刻t，系統(tǒng)維持所要求 的安全功能的概率。它是表示系 統(tǒng)所能達(dá)到安全性要求程度高低 的指標(biāo)。 v安全性完善等級(jí)：表示系統(tǒng)所能 達(dá)到安全性水平等級(jí)。通常較小 的等級(jí)表示安全性水平低，較大 的等級(jí)表示安全性水平低高（例 如：1級(jí)安全性完善等級(jí)為最低 級(jí)）。 第一節(jié) 故障安全原理 v二 故障-安全原理 v 故障-安全：系統(tǒng)在發(fā)生故障的情況下，能夠 維持安全狀態(tài)或向安全狀態(tài)轉(zhuǎn)移。 v這種與安全相關(guān)的系統(tǒng)特性就是故障-安全。 在信號(hào)

4、系統(tǒng)中常稱為故障倒向安全原則。又 稱F-S (Fail-Safe) 原則。 第一節(jié) 故障安全原理 v鐵路信號(hào)的重要作用之一是保證列車運(yùn)行的安全， 而這種安全的實(shí)現(xiàn)總是把“系統(tǒng)故障時(shí)讓列車停止 運(yùn)行”為首要方針。規(guī)定系統(tǒng)故障時(shí)把信號(hào)顯示變 為讓列車停止運(yùn)行的紅燈作為安全側(cè)，這是傳統(tǒng)的 鐵路信號(hào)安全技術(shù)的一個(gè)重要特點(diǎn)。 v在繼電信號(hào)設(shè)備中，故障-安全的實(shí)現(xiàn)是以具有非對(duì) 稱錯(cuò)誤特性的信號(hào)繼電器和閉路原理為基礎(chǔ)，實(shí)現(xiàn) 信號(hào)設(shè)備的整體性的故障-安全。這是鐵路信號(hào)安全 技術(shù)的第二個(gè)特點(diǎn)。 第一節(jié) 故障安全原理 v 隨著可靠性理論的發(fā)展，促使對(duì)故障的分析建立在概率論的基礎(chǔ)上，進(jìn) 而揭示了故障-安全也應(yīng)是一個(gè)

5、具有概率特性的概念。 v首先，客觀上可靠度為百分之百的信號(hào)設(shè)備是不存在的，也就是說(shuō)設(shè)備 的故障是不可避免的。用全故障率t表示，我們希望它足夠小，但不可 能為零。 v對(duì)設(shè)備的故障根據(jù)它所帶來(lái)的后果可以分為危險(xiǎn)側(cè)故障和安全側(cè)故障， 分別用危險(xiǎn)側(cè)故障率d和安全側(cè)故障率s表示，則有t = d+s 。 v信號(hào)繼電器的危險(xiǎn)側(cè)故障率d為10-10小時(shí)，安全側(cè)故障率s為10-7小時(shí)。 危險(xiǎn)側(cè)的故障率雖低，但它并非是零，因此傳統(tǒng)的故障-安全概念不是絕 對(duì)的。 v危險(xiǎn)側(cè)故障率d相對(duì)全故障率t小到可以忽略的程度時(shí)，該設(shè)備才是故 障-安全的，即危險(xiǎn)比 = d/t應(yīng)足夠小。 第一節(jié) 故障安全原理 v 將危險(xiǎn)比寫成另一種

6、形式 v = v上式中的d/s =稱為非對(duì)稱錯(cuò)誤概率，它應(yīng)該足夠小。 v事實(shí)上，由于信號(hào)設(shè)備發(fā)生故障時(shí)列車停止運(yùn)行，安全側(cè)故 障率s 越大，故障恢復(fù)時(shí)間越長(zhǎng)，越容易引起列車的阻塞。 這不僅會(huì)降低運(yùn)輸效率，還可能誘發(fā)重大事故。因此，s也 應(yīng)盡可能的小。 v總之，為了實(shí)現(xiàn)故障-安全，危險(xiǎn)側(cè)故障率和安全側(cè)故障率 都應(yīng)該盡可能的小。在此前提下危險(xiǎn)比和非對(duì)稱錯(cuò)誤概率 也要足夠小。也就是說(shuō)，信號(hào)設(shè)備的故障-安全特性是建立 在設(shè)備的高可靠性基礎(chǔ)上的。 1 1 1 d s 第一節(jié) 故障安全原理 v為了對(duì)故障-安全特性進(jìn)行進(jìn)一步的 研究，對(duì)設(shè)備故障引起的事故用下面 的關(guān)系式來(lái)描述： v 事故 = 故障 危險(xiǎn)側(cè)

7、v若把 中的真值取為1，偽值取為0， 即 中的變量為二值邏輯變量，則可 將上式的否定形式認(rèn)為具有安全的含 義。根據(jù)摩根法則可得下式： 沒(méi)有事故 = 沒(méi)有故障 安全側(cè) v還可以將安全性用下列邏輯式表示： 安全性 = 高可靠性 故障安全性 第一節(jié) 故障安全原理 v三 系統(tǒng)輸入輸出信號(hào)安全要求和對(duì)策 v（一）故障-安全輸入接口 v故障-安全輸入接口必須做到以下兩點(diǎn)： v(1) 采用光電隔離技術(shù)：通常，接點(diǎn)輸入電路要經(jīng)過(guò)光電耦 合才能接至輸入接口，以便有效地抑止接點(diǎn)輸入電路的電磁 干擾。 v(2) 采用編碼輸入或過(guò)程輸入方式，以便有效地實(shí)現(xiàn)故障-安 全原則。 v過(guò)程輸入方式又有兩類：一類是輸入接口采用

8、多重模塊結(jié)構(gòu)， 并使用軟件進(jìn)行校驗(yàn)的空間冗余法；另一類是采用診斷技術(shù) 檢查輸入值的時(shí)間冗余法。 第一節(jié) 故障安全原理 v1.編碼方式的故障-安全輸 入接口 v圖中將軌道繼電器GJ的狀 態(tài)輸入到計(jì)算機(jī)的輸入接 口。 v由于是由輸入接口的若干 位信息的編碼反映軌道繼 電器的狀態(tài)，因此可避免 因混線斷線或干擾信號(hào)引 起的錯(cuò)誤采樣，從而保證 輸入接口電路的故障-安全 特性 第一節(jié) 故障安全原理 v圖中用了兩個(gè)光電耦合器G1和G2。 vG1的輸出級(jí)和G2的輸入級(jí)并聯(lián),并由 輸入信號(hào)GJ控制其電源的通斷。G1 的輸入級(jí)和G2的輸出級(jí)共用微型計(jì) 算機(jī)電源（5V），且G1的輸入級(jí)由 微型計(jì)算機(jī)的輸出進(jìn)行控制。

9、若微型 計(jì)算機(jī)按1010輸出控制信號(hào)， 當(dāng)GJ接點(diǎn)閉合時(shí)，則計(jì)算機(jī)就會(huì)從 輸入接口電路接收一個(gè)與控制信號(hào)相 反的信號(hào)0101，當(dāng)GJ接點(diǎn)斷開或G1， G2發(fā)生故障時(shí)，計(jì)算機(jī)的輸入接口 只能收到穩(wěn)態(tài)信號(hào)，因此保證了輸入 信息的故障-安全。 第一節(jié) 故障安全原理 v3.采用多重模塊結(jié)構(gòu)、并 使用軟件校驗(yàn)的方法。 v 每個(gè)繼電器接點(diǎn)輸入接口 是由三個(gè)模塊組成的，每 個(gè)模塊包括光電隔離、鎖 存器、緩沖器等部件，每 1個(gè)模塊的輸出分配到三 個(gè)計(jì)算機(jī)的總線上，每個(gè) 計(jì)算機(jī)分三次讀取數(shù)據(jù)， 并用軟件檢查三個(gè)數(shù)據(jù)的 一致性。 第一節(jié) 故障安全原理 v由代碼動(dòng)/靜態(tài)變換電路是計(jì)算 機(jī)輸出控制信號(hào)所必須經(jīng)歷的過(guò)

10、程。這種變換可分成軟件變換和 硬件變換兩種實(shí)現(xiàn)方式。 v軟件變換是根據(jù)邏輯運(yùn)算結(jié)果 （代碼形式）在需要輸出危險(xiǎn)側(cè) 控制信號(hào)時(shí)，借助軟件的執(zhí)行使 計(jì)算機(jī)不斷地輸出脈沖串。這種 方式節(jié)省了硬件，但占用了計(jì)算 機(jī)的處理時(shí)間。 v硬件變換可以采用振蕩式的故障- 安全邏輯元件來(lái)實(shí)現(xiàn)，還可以采 用移位寄存器來(lái)實(shí)現(xiàn)。后者的基 本原理是將危險(xiǎn)側(cè)代碼并行輸送 到移位寄存器中，然后再有控制 時(shí)鐘推動(dòng)移位寄存器，使其輸出 串行脈沖序列。 第一節(jié) 故障安全原理 v動(dòng)/靜態(tài)電平變換電路是一種只有當(dāng)輸入為 脈沖序列時(shí)其輸出才為高電平。 v而在輸入為穩(wěn)態(tài)電平或電路發(fā)生故障時(shí)均為 低電平的輸出電路，所以稱這類電路是動(dòng)態(tài) 鑒別

11、電路，又稱為故障-安全驅(qū)動(dòng)電路。 第一節(jié) 故障安全原理 v根據(jù)需要可連接一個(gè)安 全型繼電器作為控制輸 出的執(zhí)行部件。 v在此電路中，放大器本 身必須設(shè)計(jì)成不會(huì)因元 器件性能改變和失效而 產(chǎn)生自激振蕩，脈沖變 壓器的主次線圈之間絕 緣良好，這些是比較容 易實(shí)現(xiàn)的。 第一節(jié) 故障安全原理 v一種三模系統(tǒng)故障-安全 輸出電路。 v由于該系統(tǒng)的故障-安全比 較器不能檢出輸出電路的故 障，所以對(duì)直接控制信號(hào)設(shè) 備的輸出電路必須采用故 障安全輸出電路。 v圖的輸出電路是由電平變換 電路，C形故障-安全邏輯 單元故障，安全繼電器驅(qū)動(dòng) 電路所組成。 第一節(jié) 故障安全原理 v四 安全性評(píng)估 v(一) 硬件系統(tǒng)的

12、可靠性和安全性評(píng)估指標(biāo) v對(duì)于鐵路信號(hào)應(yīng)用微機(jī)系統(tǒng)，為了滿足鐵路 運(yùn)輸?shù)母咝Ш桶踩囊?，必須具有極高的 可靠性和安全性。 v在定量地考慮系統(tǒng)的可靠性時(shí)，一般用平均 故障間隔時(shí)間MTBF (Mean Time Between Failures來(lái)衡量系統(tǒng)的可靠性。 第一節(jié) 故障安全原理 v1.可靠性和安全性的評(píng)估依據(jù) v必要作一些合理的簡(jiǎn)化和假設(shè)： v首先，在系統(tǒng)中若有表決器、比較器、自動(dòng)轉(zhuǎn)換裝 置以及系統(tǒng)之間接口電路等模塊，則認(rèn)為它們較微 型計(jì)算機(jī)系統(tǒng)具有更高的可靠性，在計(jì)算它們時(shí)可 對(duì)它們的可靠度作為1處理而僅考慮微機(jī)系統(tǒng)的可 靠性。 v另外，為了便于不同冗余結(jié)構(gòu)的系統(tǒng)之間進(jìn)行比較， 假定各

13、系統(tǒng)所用的微型計(jì)算機(jī)的可靠性指標(biāo)是相同 的。 第一節(jié) 故障安全原理 v在計(jì)算安全度時(shí)，需要分析在什么情況下才發(fā)生危險(xiǎn)側(cè)故障。在采用雙 重軟件進(jìn)行比較的情況下，假定只有當(dāng)發(fā)生兩次故障且兩次故障的后果 一致并且不能通過(guò)比較被發(fā)現(xiàn)時(shí)，才有導(dǎo)致危險(xiǎn)側(cè)故障的可能。具體的 情況是： v(1) 微機(jī)第一次發(fā)生故障，使得基本的或冗余的信息中出現(xiàn)了一個(gè)錯(cuò)誤的 信息。 v(2) 在第一次故障尚未被檢出期間，或者說(shuō)在檢測(cè)時(shí)間D內(nèi)又發(fā)生了第二 次故障。對(duì)于動(dòng)態(tài)切換系統(tǒng)來(lái)說(shuō)，這是指同一微機(jī)發(fā)生了第二次故障， 對(duì)于三中取二系統(tǒng)來(lái)說(shuō)這是指另一個(gè)微機(jī)系統(tǒng)發(fā)生了故障，這次故障也 產(chǎn)生了另一個(gè)錯(cuò)誤信息。 v(3) 這兩個(gè)錯(cuò)誤的信

14、息恰巧構(gòu)成了兩個(gè)相同的、然而是錯(cuò)誤的有效代碼， 因而不能檢出。 v(4) 錯(cuò)誤的有效代碼又是危險(xiǎn)側(cè)代碼，從而產(chǎn)生了一個(gè)危及行車安全的控 制命令。 v只有上述四個(gè)條件都存在時(shí)才算是出現(xiàn)了危險(xiǎn)側(cè)故障。 第一節(jié) 故障安全原理 v2. 單機(jī)系統(tǒng)的可靠性和安全性估算 v當(dāng)采用單個(gè)微機(jī)系統(tǒng)構(gòu)成鐵路信號(hào)自動(dòng)控制 設(shè)備時(shí)，通常是采用雙套軟件來(lái)保證系統(tǒng)安 全性的。 v (二) 軟件系統(tǒng)的可靠性和安全性評(píng)估 v1. 軟件的可靠性評(píng)估 v軟件可靠性是指軟件在所規(guī)定的環(huán)境條件下 和規(guī)定的時(shí)間內(nèi)，一直能按需求規(guī)格說(shuō)明正 確地完成任務(wù)的能力。 第一節(jié) 故障安全原理 v軟件可靠性的概率度量則稱為軟件可靠度。 v對(duì)于面向用戶

15、的軟件可靠度定義，可以有以 下兩種： v(1) 程序在規(guī)定的時(shí)間內(nèi)對(duì)一組隨機(jī)選擇的輸 入數(shù)據(jù)能給出正確輸出的概率； v(2) 程序在規(guī)定的時(shí)間和規(guī)定的用戶環(huán)境中， 對(duì)一組典型的輸入數(shù)據(jù)，給出正確輸出的概 率。 第一節(jié) 故障安全原理 v 2. 軟件安全性評(píng)估 v將軟件系統(tǒng)的安全性工作歸結(jié)為如下九項(xiàng)： v(1) 確定系統(tǒng)及系統(tǒng)中軟件的安全性要求。 v(2) 將系統(tǒng)安全性說(shuō)明中的要求準(zhǔn)確地轉(zhuǎn)化為系統(tǒng)或分系統(tǒng)說(shuō)明的要求、轉(zhuǎn)化為軟件需說(shuō) 明的要求，并將這些要求在軟件設(shè)計(jì)及編碼中實(shí)現(xiàn)。 v(3) 在系統(tǒng)、分系統(tǒng)說(shuō)明及軟件需求說(shuō)明中確定當(dāng)可能發(fā)生安全事故時(shí)的系統(tǒng)對(duì)策。這些 對(duì)策包括故障一安全、故障降級(jí)使用、

16、故障容錯(cuò)使用等內(nèi)容。 v (4) 確定軟件系統(tǒng)中安全關(guān)鍵單元，安全關(guān)鍵單元是指那些對(duì)系統(tǒng)安全性有關(guān)鍵影響的程 序、分程序和模塊。 v(5) 對(duì)軟件的安全關(guān)鍵單元進(jìn)行分析。 v(6) 通過(guò)分析、驗(yàn)證，確保軟件系統(tǒng)安全性要求的實(shí)現(xiàn)，驗(yàn)證不存在有損于安全性的單個(gè) 或多個(gè)失效事件，保證系統(tǒng)的安全性要求不致引起新的危險(xiǎn)。 v(7) 確保編制出的程序不會(huì)因?yàn)橛|發(fā)危險(xiǎn)功能、或阻礙正常功能的執(zhí)行而使系統(tǒng)處于危險(xiǎn) 狀態(tài)。 v(8) 保證系統(tǒng)中的軟件能有效地減少硬件的安全風(fēng)險(xiǎn)。 v(9) 保證對(duì)系統(tǒng)進(jìn)行充分的安全性測(cè)試，包括失效事件發(fā)生的測(cè)試。 第一節(jié) 故障安全原理 v為了進(jìn)行軟件安全性評(píng)估，必須掌握下列各種資料

17、和信息； v(1) 系統(tǒng)或分系統(tǒng)說(shuō)明、軟件需求說(shuō)明、各種接口說(shuō)明等有 關(guān)資料。 v(2) 系統(tǒng)生存周期中軟件及其組成單元的工作情況、功能、 工作時(shí)序等有關(guān)資料。 v(3) 程序各種功能的流程圖、編程語(yǔ)言、儲(chǔ)存和時(shí)序等相關(guān) 資料。 v(4) 系統(tǒng)及軟件在測(cè)試、生產(chǎn)、運(yùn)輸、裝卸、儲(chǔ)存、維修等 各個(gè)環(huán)節(jié)與安全有關(guān)的經(jīng)驗(yàn)、教訓(xùn)。 v(5) 已知的危險(xiǎn)事件源，包括能源及有毒物源，特別是可由 軟件控制的危險(xiǎn)事件源。 v(6) 軟件開發(fā)計(jì)劃、軟件質(zhì)量評(píng)估計(jì)劃、軟件配置管理計(jì)劃 和其它系統(tǒng)、分系統(tǒng)開發(fā)計(jì)劃的文檔。 v (7) 系統(tǒng)測(cè)試計(jì)劃、軟件測(cè)試計(jì)劃和其它測(cè)試文檔。 第一節(jié) 故障安全原理 v軟件安全性分析包

18、括以下七個(gè)工作項(xiàng)目： v(1) 軟件需求危險(xiǎn)分析。利用系統(tǒng)初步危險(xiǎn)分析的結(jié)果，初步確定軟件的 安全關(guān)鍵單元。 v (2) 概要設(shè)計(jì)危險(xiǎn)分析。在軟件需求說(shuō)明評(píng)審后開始，是軟件需求危險(xiǎn) 分析的深入和繼續(xù)。分析的結(jié)果提交初步設(shè)計(jì)評(píng)審，作為初步設(shè)計(jì)評(píng)審 的內(nèi)容。 v (3) 詳細(xì)設(shè)計(jì)危險(xiǎn)分析。安排在初步設(shè)計(jì)評(píng)審之后進(jìn)行，它是概要設(shè)計(jì) 危險(xiǎn)分析的深入和繼續(xù)。詳細(xì)設(shè)計(jì)危險(xiǎn)分析應(yīng)在軟件編碼之前進(jìn)行，分 析的結(jié)果提交給關(guān)鍵設(shè)計(jì)評(píng)審，作為關(guān)鍵設(shè)計(jì)評(píng)審的內(nèi)容。 v (4) 軟件編程危險(xiǎn)分析。這項(xiàng)分析是用來(lái)考察軟件的安全關(guān)鍵單元，以 及其它單元的源程序和目標(biāo)程序是否實(shí)現(xiàn)了安全性設(shè)計(jì)的要求。此工作 應(yīng)與編程同時(shí)進(jìn)行，

19、應(yīng)該按照安全性的要求不斷地修改程序，一直到測(cè) 試完成。分析中需要確定危險(xiǎn)事件發(fā)生的可能性所降低的程度。分析人 員還應(yīng)參加程序的專查和評(píng)審。 第一節(jié) 故障安全原理 v(5) 軟件安全性分析。這個(gè)項(xiàng)目的工作要點(diǎn)是： v 對(duì)安全關(guān)鍵單元進(jìn)行安全性測(cè)試，保證使危險(xiǎn)事件發(fā)生的可能性降低到可以接受的水平。 v 向測(cè)試人員提供軟件安全關(guān)鍵單元的安全性測(cè)試案例。 v 確保所有的軟件安全關(guān)鍵單元按預(yù)定的測(cè)試方案進(jìn)行安全性測(cè)試，準(zhǔn)確地記錄測(cè)試記錄。 v 除了在正常狀態(tài)下進(jìn)行的測(cè)試外，還要在異常的環(huán)境和異常的輸入狀態(tài)下測(cè)試軟件確保軟件在這些 狀態(tài)下仍能安全運(yùn)行。 v 進(jìn)行軟件強(qiáng)度測(cè)試，確保軟件的安全運(yùn)行。 v 確保

20、外購(gòu)軟件的安全運(yùn)行。 v 訂購(gòu)方所提供的軟件，不管是否進(jìn)行了修改，都需要進(jìn)行測(cè)試，以保證這些軟件在系統(tǒng)中安全運(yùn)行。 v 確保系統(tǒng)綜合測(cè)試和系統(tǒng)驗(yàn)收測(cè)試中所發(fā)現(xiàn)的危險(xiǎn)事件已經(jīng)得到了糾正，確保對(duì)這些事件進(jìn)行了重 新測(cè)試，沒(méi)有遺留問(wèn)題。 v(6) 軟件與用戶接口危險(xiǎn)分析。 v(7) 軟件更改危險(xiǎn)分析。 v軟件更改危險(xiǎn)分析是用來(lái)考察和分析說(shuō)明書、軟件設(shè)計(jì)、源程序和目標(biāo)程序的更改對(duì)安全性的影響。 第二節(jié) 信號(hào)安全技術(shù) v1. 故障一安全計(jì)算機(jī)系統(tǒng)的三大部分： v(1) 故障一安全計(jì)算機(jī)：實(shí)現(xiàn)數(shù)據(jù)處理過(guò)程的故障-安全； v(2) 輸入輸出接口：實(shí)現(xiàn)數(shù)據(jù)采集和控制過(guò)程的故障-安全； v(3) 信息傳輸：實(shí)現(xiàn)

21、遠(yuǎn)距離數(shù)據(jù)傳輸過(guò)程的故障安全。 v2. 故障-安全計(jì)算機(jī)的構(gòu)成方法: v(1) 采用非對(duì)稱性錯(cuò)誤特性的元件的構(gòu)成方法； v(2) 采用通用的對(duì)稱性錯(cuò)誤特性的元件的構(gòu)成方法； v(3) 采用通用計(jì)算機(jī)或處理器的構(gòu)成方法。 第二節(jié) 信號(hào)安全技術(shù) v 軟件的相異性就是在一臺(tái)微型計(jì)算機(jī)上配置兩套相異的軟件， 藉此進(jìn)行故障診斷和錯(cuò)誤檢測(cè)，從而實(shí)現(xiàn)故障一安全的一種 方式。這類方式又包括以下三種實(shí)現(xiàn)形式： v雙版本軟件方式， v軟件自校驗(yàn)方式; v數(shù)據(jù)的相異性方式 v硬件的相異性就是把相同的軟件配置在兩臺(tái)微型計(jì)算機(jī)上， 高頻度地對(duì)數(shù)據(jù)(廣義的)進(jìn)行校驗(yàn)，在檢出異常時(shí)，把輸出 保持在安全狀態(tài)的一種方式。這類方

22、式也包括以下三種實(shí)現(xiàn) 形式： v緊密耦合的總線同步方式; v時(shí)差同步式； v程序同步式。 第二節(jié) 信號(hào)安全技術(shù) v各種方式的故障安全計(jì)算機(jī)結(jié)構(gòu) 第二節(jié) 信號(hào)安全技術(shù) v (二) 信號(hào)設(shè)備微型計(jì)算機(jī)化的主要特點(diǎn) v1.從使用的器件來(lái)看 v現(xiàn)有的信號(hào)設(shè)備是具有非對(duì)稱性錯(cuò)誤特性且故障 模式可知的器件作為基本故障-安全組成的，藉此 保證信號(hào)設(shè)備整體具有故障-安全性。 v2. 從使用的技術(shù)來(lái)看 v現(xiàn)有信號(hào)設(shè)備是依據(jù)長(zhǎng)期經(jīng)驗(yàn)積累起來(lái)的以故障 一安全技術(shù)為中心的鐵路信號(hào)安全技術(shù)，通過(guò)對(duì) 信號(hào)繼電器的結(jié)構(gòu)設(shè)計(jì)和繼電器電路的合理設(shè)計(jì) 確保故障一安全性能的實(shí)現(xiàn)。 第二節(jié) 信號(hào)安全技術(shù) v 3. 從設(shè)備的功能來(lái)看

23、v 微型計(jì)算機(jī)以其高速處理能力和智能化顯示出它強(qiáng)大的生命 力。而信號(hào)設(shè)備的微型計(jì)算機(jī)化，不僅能使信號(hào)設(shè)備的功能 顯著加強(qiáng)和擴(kuò)充，而且使信號(hào)設(shè)備具有了高速化和智能化， 從而對(duì)保證列車運(yùn)行安全和提高鐵路運(yùn)輸效率方面能夠作出 更大貢獻(xiàn) v4.從設(shè)備的抗干擾能力來(lái)看 v鐵路信號(hào)設(shè)備的工作環(huán)境是極其惡劣的，尤其是處在強(qiáng)烈的 電磁干擾環(huán)境和雷害地區(qū)的設(shè)備所受環(huán)境影響是極為嚴(yán)重的。 現(xiàn)行信號(hào)設(shè)備采用了驅(qū)動(dòng)功率較大、轉(zhuǎn)換時(shí)間較長(zhǎng)的信號(hào)用 繼電器，因而具有較強(qiáng)的抗干擾能力，整個(gè)沒(méi)備在環(huán)境干擾 較強(qiáng)時(shí)仍能穩(wěn)定可靠地工作。 第二節(jié) 信號(hào)安全技術(shù) v二 硬件安全性技術(shù)分類 v在微型計(jì)算機(jī)化的信號(hào)設(shè)備中，通過(guò)硬件實(shí) 現(xiàn)

24、故障-安全性能的技術(shù)主要有以下幾類： v (一) 多重化技術(shù) v (二) 高可靠技術(shù) v (三) 故障檢測(cè)技術(shù) v (四) 電路構(gòu)成技術(shù) 第二節(jié) 信號(hào)安全技術(shù) v (一) 多重化技術(shù) v1. 在處理器級(jí)采用的多重化技術(shù)。 v2.在輸入輸出級(jí)采用的多重化技術(shù)。 v3.在裝置之間接口采用的多重化技術(shù) 。 v4.在系統(tǒng)級(jí)采用的多重化技術(shù)。 第二節(jié) 信號(hào)安全技術(shù) v (二) 高可靠技術(shù) v 1在處理器級(jí)。 v 2在輸入輸出級(jí) 。 v 3.在裝置之間接口。 v 4在系統(tǒng)級(jí)。 第二節(jié) 信號(hào)安全技術(shù) v (三) 故障檢測(cè)技術(shù) v1. 在處理器級(jí) v(1) 用互補(bǔ)數(shù)據(jù)進(jìn)行比較; v(2) 對(duì)ROMRAM實(shí)行故

25、障檢測(cè)； v(3) 用交流信號(hào)實(shí)現(xiàn)故障檢測(cè)； v(4) 對(duì)附加檢驗(yàn)信息的數(shù)據(jù)進(jìn)行處理。 v2在輸入輸出級(jí) v(1) 用專用的測(cè)試信號(hào)進(jìn)行故障檢測(cè)； v(2) 用照查脈沖作為執(zhí)行部件的輸入條件； v(3) 用交流輸出檢測(cè)故障； v(4) 對(duì)輸入信息的譯碼進(jìn)行故障檢測(cè)； v(5) 對(duì)輸出信息的譯碼進(jìn)行故障檢測(cè)； v(6) 對(duì)表示設(shè)備的故障進(jìn)行故障檢測(cè)。 v3在系統(tǒng)級(jí) v(1) 用偽信號(hào)附加功能檢測(cè)機(jī)構(gòu); v(2) 采用動(dòng)作監(jiān)督器。 第二節(jié) 信號(hào)安全技術(shù) v(四) 電路構(gòu)成技術(shù) v1在處理器級(jí) v(1) 進(jìn)行故障-安全的頻率變換、交直流變換； v(2) 對(duì)看門狗定時(shí)器進(jìn)行故障安全化。 v2在輸入輸出

26、級(jí) v(1) 在發(fā)生故障時(shí)輸出安全側(cè)信號(hào)； v(2) 構(gòu)成故障安全輸入電路; v(3) 對(duì)二重化系統(tǒng)輸出電路實(shí)現(xiàn)故障安全化; v(4) 對(duì)固定信息進(jìn)行設(shè)置和生成。 第二節(jié) 信號(hào)安全技術(shù) v三 軟件安全性技術(shù)分類 v在微型計(jì)算機(jī)化的信號(hào)設(shè)備中，通過(guò)軟件實(shí) 現(xiàn)故障安全性能的技術(shù)主要有以下幾類。 v(一) 高可靠技術(shù) v(二) 故障檢測(cè)技術(shù) v(三) 故障屏蔽和恢復(fù)技術(shù) v(四) 人機(jī)技術(shù) 第二節(jié) 信號(hào)安全技術(shù) v四 容錯(cuò)技術(shù) v1.計(jì)算機(jī)系統(tǒng)中發(fā)生的故障分類： v(1) 硬件故障，存在于計(jì)算機(jī)系統(tǒng)的硬件之中， 是對(duì)于邏輯變量的設(shè)計(jì)值的各種偏離。 v(2) 軟件故障，是由于在翻譯一種所執(zhí)行的程 序的

27、算法的原始說(shuō)明時(shí)發(fā)生錯(cuò)誤，而未能執(zhí) 行正確的程序軟件故障的原因可以是軟件 失效。 第二節(jié) 信號(hào)安全技術(shù) v(3) 對(duì)計(jì)算機(jī)系統(tǒng)的外界干擾，例如電磁輻射 功率超出一定限度、振動(dòng)或雷擊、電源電壓 的波動(dòng)范圍超過(guò)允許值等，將會(huì)使計(jì)算機(jī)系 統(tǒng)的運(yùn)行偏離正常狀態(tài)。 v采用容錯(cuò)技術(shù)的目的，是使系統(tǒng)在發(fā)生上述 故障的情況下，仍能正確地執(zhí)行給定的算法、 或正確執(zhí)行預(yù)期的操作。 第二節(jié) 信號(hào)安全技術(shù) v2. 判斷是否正確執(zhí)行程序的四個(gè)標(biāo)準(zhǔn)： v(1) 程序或數(shù)據(jù)不為故障所改變或中止； v(2) 運(yùn)算的結(jié)果不包含由故障所帶來(lái)的差錯(cuò)； v(3) 每個(gè)程序的執(zhí)行時(shí)間不超過(guò)某一規(guī)定的限 界； v(4) 每個(gè)程序可利用的

28、存鍺容量保持在某一規(guī) 定的范圍之內(nèi)。 第二節(jié) 信號(hào)安全技術(shù) v3.避錯(cuò)技術(shù) 和局限性 v僅僅采用避錯(cuò)技術(shù)并不能完全解決計(jì)算機(jī)系統(tǒng)的可靠性問(wèn)題， 原因如下： v(1) 避錯(cuò)技術(shù)的目標(biāo)是盡量減小系統(tǒng)發(fā)生故障的概率。 v(2) 避錯(cuò)技術(shù)只能使故障率減小，但永遠(yuǎn)不可能使硬件和軟 件的故障率減為0，因而計(jì)算機(jī)系統(tǒng)的故障是不可避免要發(fā) 生的，系統(tǒng)的失效是必然會(huì)發(fā)生的； v(3) 避錯(cuò)技術(shù)對(duì)故障的處理均由系統(tǒng)外部提供，在計(jì)算機(jī)硬 件成本日益降低的情況下，使計(jì)算機(jī)的維護(hù)成本相對(duì)提高， 不僅如此，一旦計(jì)算機(jī)系境發(fā)生故障，對(duì)某些實(shí)時(shí)系統(tǒng)(如 航天飛機(jī)、交通控制等)而言，可能造成嚴(yán)重的經(jīng)濟(jì)損失， 有時(shí)甚至發(fā)生災(zāi)難性

29、的后果。 第二節(jié) 信號(hào)安全技術(shù) v4.容錯(cuò)技術(shù)的作用 v容錯(cuò)技術(shù)是以承認(rèn)故障的不可避免為前提的，也就是在容忍 故障存在的條件下采用以下兩種方法提高系統(tǒng)的可靠性： v靜態(tài)的方法：它的基本思想是當(dāng)系統(tǒng)發(fā)生故障時(shí)，掩蔽故障 的影響，使系統(tǒng)不產(chǎn)生錯(cuò)誤的輸出，因而也不導(dǎo)致系統(tǒng)失效。 這種方法的典型實(shí)例是使用多數(shù)表決邏輯。 v動(dòng)態(tài)的方法：它的基本思想是讓故障的影響表現(xiàn)出來(lái)，檢測(cè) 故障所引起的錯(cuò)誤，從而診斷出故障根源，進(jìn)而切除故障部 件或修復(fù)軟件故障，最后使系統(tǒng)恢復(fù)正常這種方法的典型 實(shí)例是使用雙機(jī)比較運(yùn)行結(jié)果。 第二節(jié) 信號(hào)安全技術(shù) v(二) 實(shí)現(xiàn)容錯(cuò)技術(shù)的主要方法 v 1. 硬件冗余 v 2. 時(shí)間冗余

30、 v 3.信息冗余 v 4. 軟件冗余 v 5. 各種冗佘技術(shù)的綜合應(yīng)用 第二節(jié) 信號(hào)安全技術(shù) v 1. 硬件冗余 v廣泛應(yīng)用的硬件冗余技術(shù)之一是硬件重復(fù)冗 余，在物理級(jí)可通過(guò)元器件的重復(fù)而獲得 （如相同的元器件串、并聯(lián)，四倍元器件 等）。物理域的恢復(fù)作用是自動(dòng)的，即不需 單獨(dú)的檢測(cè)，但每一次失效將削弱防衛(wèi)。在 邏輯域可采用多數(shù)表決方案，如三模冗余、N 模冗余、分段冗余、修復(fù)機(jī)構(gòu)等。 第二節(jié) 信號(hào)安全技術(shù) v2. 時(shí)間冗余 v時(shí)間冗余是通過(guò)稍耗時(shí)間資源來(lái)達(dá)到容錯(cuò)目 的的。時(shí)間冗余的一個(gè)應(yīng)用是程序卷回。這 種技術(shù)用來(lái)檢驗(yàn)一段程序完成時(shí)的計(jì)算數(shù)據(jù)， 如有錯(cuò)，則卷回重算那個(gè)部分。如果一次卷 回不解決

31、問(wèn)題，還可以多次卷回，直到故障 消除或判定不能消除故障為止。 第二節(jié) 信號(hào)安全技術(shù) v 3.信息冗余 v信息冗余是依靠增加信息的多余度來(lái)提高可靠性的。 這些附加的信息位具有如下功能：當(dāng)代碼中某些信 息位發(fā)生錯(cuò)誤(包括附加位本身的錯(cuò)誤)時(shí)能及時(shí)發(fā) 現(xiàn)錯(cuò)誤，即檢錯(cuò)信息位，或者能將發(fā)生錯(cuò)誤的信息 位恢復(fù)成原來(lái)的信息，即糾錯(cuò)信息位一般而言， 附加的信息位越多，其檢錯(cuò)或糾錯(cuò)能力越強(qiáng)在數(shù) 字系統(tǒng)中的信息傳送，算術(shù)邏輯運(yùn)算中廣泛使用的 奇偶碼、海明碼、乘積碼、循環(huán)瑪及各種算術(shù)誤差 碼都有很強(qiáng)的檢錯(cuò)或糾錯(cuò)能力。 第二節(jié) 信號(hào)安全技術(shù) v 4. 軟件冗余 v提高軟件可靠性有兩種方法。一種是研究無(wú) 錯(cuò)誤軟件，另一

32、種是研究容錯(cuò)軟件。 v無(wú)錯(cuò)誤軟件的研究主要包括三方面的內(nèi)容： v(1) 尋求導(dǎo)致高可靠軟件產(chǎn)品的程序設(shè)計(jì)方法。 v(2) 軟件測(cè)試技術(shù)。 v(3) 程序正確性證明。 第二節(jié) 信號(hào)安全技術(shù) v(三) 容錯(cuò)技術(shù)的分類 v(1) 故障限制。限制故障的傳播范圍，防止故障對(duì)其它區(qū)域的影響。 v(2) 故障檢測(cè)。盡快發(fā)現(xiàn)故障，減少故障潛伏期，可以采用聯(lián)機(jī)檢測(cè)或脫步檢測(cè) 的方法。 v(3) 故障屏蔽。掩蓋故障對(duì)輸出的影響。 v(4) 重試。重新運(yùn)行一次或若干次，消除對(duì)不引起物理破壞的瞬時(shí)故障的影響。 v(5) 診斷。確定故障的部位辦。 v(6) 重組。切除故障部件，換上備份部件。 v(7) 恢復(fù)。檢測(cè)和重組

33、后，使系統(tǒng)操作回到故障檢測(cè)前的處理點(diǎn)。 v(8)重啟。當(dāng)恢復(fù)不能消除的故障影響時(shí)，采用“熱”啟動(dòng)(從故障檢測(cè)點(diǎn)恢復(fù)所 有的操作)或“冷”啟動(dòng)(重新引導(dǎo)裝入系統(tǒng))。 v(9) 修復(fù)。對(duì)故障部件進(jìn)行修理補(bǔ)使之復(fù)原，修復(fù)也可聯(lián)機(jī)進(jìn)行或脫機(jī)進(jìn)行。 v(10) 重構(gòu)。把修復(fù)出了的部件加入系統(tǒng)，若修復(fù)是聯(lián)機(jī)進(jìn)行的，則重構(gòu)不能中斷 系統(tǒng)的運(yùn)行。 第二節(jié) 信號(hào)安全技術(shù) v (四) 容錯(cuò)系統(tǒng)的類型 v 1. 高可用度系統(tǒng) v 2. 長(zhǎng)壽命系統(tǒng) v 3. 延遲維修系統(tǒng) v 4. 高性能計(jì)算系統(tǒng) v 5. 關(guān)鍵任務(wù)計(jì)算機(jī)系統(tǒng) 第二節(jié) 信號(hào)安全技術(shù) v1. 高可用度系統(tǒng) v可用度是指系統(tǒng)在某時(shí)刻可運(yùn)行的概率。高可用度

34、 系統(tǒng)一般面向通用計(jì)算機(jī)，執(zhí)行各種各樣要求無(wú)法 預(yù)測(cè)的用戶程序。因?yàn)檫@類系統(tǒng)主要面向費(fèi)用敏感 的商用市場(chǎng)，因此它們定對(duì)岸現(xiàn)有設(shè)計(jì)都盡量少做 修改。漢明編碼存儲(chǔ)器、總線奇偶校驗(yàn)、超時(shí)計(jì)數(shù) 器、診斷、軟件合法性檢查等是主要的冗余方 法由此可見這種系統(tǒng)的故障覆蓋率較低，但在多 處理器系統(tǒng)中，故障一旦被發(fā)現(xiàn)就能將其隔離，使 系統(tǒng)繼續(xù)運(yùn)行或降級(jí)運(yùn)行。 第二節(jié) 信號(hào)安全技術(shù) v 2. 長(zhǎng)壽命系統(tǒng) v長(zhǎng)壽命系統(tǒng)在其生命周期中(通常在五年以上) 不能進(jìn)行人工維修，常用于無(wú)人宇宙飛船、 衛(wèi)星等控制系統(tǒng)中。長(zhǎng)壽命系境必須高度冗 余，有足夠多的備件，以便經(jīng)受住多次出現(xiàn) 故障的沖擊。冗余管理可以自動(dòng) ( 在飛船上 )

35、 或遙控(在地面站)進(jìn)行。 第二節(jié) 信號(hào)安全技術(shù) v 3. 延遲維修系統(tǒng) v與長(zhǎng)壽命系統(tǒng)密切相關(guān)的另一類系統(tǒng)是延遲維修系 統(tǒng)，這種系統(tǒng)能在進(jìn)行周期性維修前暫時(shí)容忍已發(fā) 生的故障從而保持系統(tǒng)生存。在某些應(yīng)用中，系統(tǒng) 的現(xiàn)場(chǎng)維修非常困難或昂貴，增加冗余比準(zhǔn)備隨時(shí) 維修付出的代價(jià)要少例如在汽車、飛機(jī)、輪船或 坦克的運(yùn)行中難以維修，通常都要在返回基地后才 能進(jìn)行維修。許多車載、機(jī)載和艦載計(jì)算機(jī)都應(yīng)用 了延遲維修容錯(cuò)計(jì)算機(jī)。 第二節(jié) 信號(hào)安全技術(shù) v 4. 高性能計(jì)算系統(tǒng) v高性能計(jì)算系統(tǒng)(如信號(hào)處理機(jī))對(duì)瞬時(shí)故障 (由于過(guò)緊的定時(shí)容限而引起)和永久故障(由 于復(fù)雜性引起)均很敏感，要提高系統(tǒng)性能， 增加平均無(wú)故障時(shí)間對(duì)瞬時(shí)故障的自動(dòng)恢復(fù) 能力，必須進(jìn)行容錯(cuò)設(shè)計(jì)。 第二節(jié) 信號(hào)安全技術(shù) v5. 關(guān)鍵任務(wù)計(jì)算機(jī)系統(tǒng) v對(duì)容錯(cuò)計(jì)算要求最嚴(yán)的是在實(shí)時(shí)應(yīng)用環(huán)境下， 其中錯(cuò)誤的計(jì)算可能危及人的生命，或造成 重大的經(jīng)濟(jì)損失在這種系統(tǒng)中不僅要求計(jì) 算正確，而且要求從故障中恢復(fù)的時(shí)間最短， 不致影響應(yīng)用任務(wù)的執(zhí)行。 第二節(jié) 信號(hào)安全技術(shù) v五 鐵路信號(hào)安全技術(shù) v鐵路信號(hào)安全技術(shù)可分為： v(一) 故障-安全技術(shù) v(二) 危險(xiǎn)側(cè)故障