IEC61508中RBD法在鐵路信號冗余結(jié)構(gòu)中的適用性分析

張宏揚,盧佩玲,張 浩

(中國鐵道科學(xué)研究院集團有限公司通信信號研究所,北京 100081)

電氣/電子/可編程電子(Electrical/Electronic/ Programmable electronic，E/E/PE)安全相關(guān)系統(tǒng)廣泛應(yīng)用于石油化工、航空鐵路、礦業(yè)核能等領(lǐng)域，功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC61508—6[1](以下簡稱IEC61508)中提供了一種基于可靠性框圖(Reliability Block Diagram) 的硬件失效概率計算方法，以預(yù)測E/E/PE安全相關(guān)系統(tǒng)的硬件安全完整性能否達到規(guī)定等級，許多領(lǐng)域常利用該方法推導(dǎo)出的PFD(Average probability of failure on demand)/PFH(Average frequency of dangerous failure)公式對產(chǎn)品的安全性進行定量分析與評估。

工業(yè)過程控制領(lǐng)域中，王耀等[2]利用該方法中PFD計算公式對鍋爐爐膛的安全監(jiān)控系統(tǒng)中“爐膛風(fēng)量小于25%觸發(fā)主燃燒跳閘”這一安全功能進行了定量評估，結(jié)果顯示，為使系統(tǒng)滿足要求的SIL(Safety Integrity)2級，可將原來的電動執(zhí)行機構(gòu)由1oo1結(jié)構(gòu)改進為1oo2結(jié)構(gòu)；薛利俊[3]以某化工裝置的安全儀表系統(tǒng)中“當(dāng)溫度低于低聯(lián)鎖值時，應(yīng)立刻切斷閥門保護下游管道和設(shè)備”這一安全聯(lián)鎖功能為例，采用1oo1、2oo3結(jié)構(gòu)的PFD公式計算系統(tǒng)中的回路是否滿足相應(yīng)SIL等級，除考慮增加系統(tǒng)的冗余度外，文獻[1-2]均建議通過縮短離線的檢驗測試時間間隔T來提升系統(tǒng)的SIL等級；靳江紅[4]通過考慮誤動率、不完善檢驗測試等因素改進了PFD計算公式，并對某儲罐系統(tǒng)的壓力保護系統(tǒng)進行了安全評估。鐵路信號領(lǐng)域中，WANG等[5-6]分別采用標(biāo)準(zhǔn)中PFH公式計算了不同結(jié)構(gòu)計算機聯(lián)鎖系統(tǒng)的危險失效概率，以評價整個系統(tǒng)的SIL等級，但文獻[5]沒有對檢驗測試時間T的取值進行說明，文獻[6]中T取值為一年，但檢驗測試需在離線條件下進行，而計算機聯(lián)鎖系統(tǒng)具有常年連續(xù)不間斷運行的特點，難以定期執(zhí)行檢驗測試，且兩個文獻均未考慮2oo2結(jié)構(gòu)中共因失效對安全性的影響。

通過分析上述文獻可知，工業(yè)過程控制領(lǐng)域內(nèi)的安全生產(chǎn)過程一般由實現(xiàn)應(yīng)用功能的安全控制系統(tǒng)與對其進行監(jiān)控防護的安全防護系統(tǒng)共同完成，后者并不參與生產(chǎn)應(yīng)用功能，IEC61508中的PFD/PFH公式是根據(jù)其中防護系統(tǒng)的安全特性推導(dǎo)得出的，而鐵路信號地面控制系統(tǒng)的生產(chǎn)應(yīng)用功能與防護功能融為一體，一般不存在附加防護系統(tǒng)，但鐵路信號領(lǐng)域內(nèi)部分研究[7-8]在計算其冗余結(jié)構(gòu)的危險失效概率時直接采用了該標(biāo)準(zhǔn)中的公式，并沒有分析該公式的適用性，也有研究[9]對IEC61508所面向的工業(yè)領(lǐng)域內(nèi)單純實現(xiàn)防護功能的系統(tǒng)進行了分析，說明其與鐵路信號控制系統(tǒng)間的差異性，但文中只從定性角度進行了評判，并沒有給出定量評估。

以A類系統(tǒng)表示IEC61508所面向的主要用于實現(xiàn)安全防護功能的安全相關(guān)系統(tǒng)，以B類系統(tǒng)表示鐵路信號安全相關(guān)系統(tǒng)。從定性角度，分析兩類系統(tǒng)在系統(tǒng)結(jié)構(gòu)、控制對象、危險側(cè)判定等方面差異性；從定量角度，以兩類系統(tǒng)中常見的3種冗余結(jié)構(gòu)—1oo1、1oo2、2oo2為對象，首先，采用IEC61508中的可靠性框圖法計算A類系統(tǒng)這3種結(jié)構(gòu)的危險失效概率；然后，根據(jù)B類系統(tǒng)的安全特性，采用馬爾科夫鏈計算B類系統(tǒng)上述結(jié)構(gòu)的危險失效概率；最后，以實際參數(shù)為例進行仿真，比較兩類系統(tǒng)計算結(jié)果的差異性，對IEC61508推薦的可靠性框圖法在B類系統(tǒng)中的適用性進行分析。

1 A、B類系統(tǒng)安全特性比較

圖1為典型A類系統(tǒng)某化學(xué)反應(yīng)器的高完整性壓力保護系統(tǒng)結(jié)構(gòu)示意。圖2為典型B類系統(tǒng)某計算機聯(lián)鎖系統(tǒng)結(jié)構(gòu)示意。

圖1 A類系統(tǒng)高完整性壓力保護系統(tǒng)

圖2 B類系統(tǒng)某計算機聯(lián)鎖系統(tǒng)

如圖1所示，該生產(chǎn)過程由實現(xiàn)生產(chǎn)控制的化學(xué)反應(yīng)器和對其進行監(jiān)控防護的壓力保護系統(tǒng)共同完成。其中，壓力保護系統(tǒng)由2oo3結(jié)構(gòu)傳感器子系統(tǒng)、1oo1結(jié)構(gòu)邏輯控制器子系統(tǒng)和1oo2結(jié)構(gòu)執(zhí)行器子系統(tǒng)組成，它們各自實現(xiàn)不同的功能且與化學(xué)反應(yīng)器之間相互獨立。當(dāng)傳感器子系統(tǒng)中任意2個壓力傳感器PT(Pressure Transducer)檢測到化學(xué)反應(yīng)器頂部壓力過高時，邏輯控制器子系統(tǒng)的PLC(Programmable Logic Controller)將輸出控制信號來關(guān)閉執(zhí)行器子系統(tǒng)的任意閥門V(Valve)，從而切斷反應(yīng)器進料源，以防止反應(yīng)器內(nèi)因壓力過高而造成安全事故[10]。如圖2所示，以計算機聯(lián)鎖系統(tǒng)的核心部分—聯(lián)鎖邏輯子系統(tǒng)為例，它通過輸入子系統(tǒng)采集的現(xiàn)場設(shè)備狀態(tài)，結(jié)合操作顯示子系統(tǒng)下達的執(zhí)行命令，經(jīng)過邏輯運算并通過輸出子系統(tǒng)控制現(xiàn)場設(shè)備。整個系統(tǒng)不僅執(zhí)行正常的生產(chǎn)任務(wù)(控車)且保證行車安全，例如對于道岔轉(zhuǎn)換這一功能來說，聯(lián)鎖系統(tǒng)不僅控制道岔進行轉(zhuǎn)換，而且決定所轉(zhuǎn)向的位置，以防止轉(zhuǎn)換錯誤導(dǎo)致列車處于危險狀態(tài)。

由上述分析可知，在工業(yè)過程控制領(lǐng)域中，一個正常的安全生產(chǎn)過程通常由2個系統(tǒng)組成：用來執(zhí)行生產(chǎn)控制功能的安全控制系統(tǒng)與用來保證前者處于安全狀態(tài)的安全防護系統(tǒng)[11]。而IEC61508中的安全性定量分析主要面向其中的安全防護系統(tǒng)，但鐵路信號領(lǐng)域中安全相關(guān)系統(tǒng)直接面向信號系統(tǒng)的具體應(yīng)用需求，實現(xiàn)所有或主要的應(yīng)用功能，而非僅對受控設(shè)備進行“監(jiān)控”，這顯然與上述單純實現(xiàn)防護功能的系統(tǒng)之間存在差異。

此外，雖然在形式上“MooN”(以MooN(M≤N)表示在N個獨立完成相同功能通道結(jié)構(gòu)中的M個通道，當(dāng)采用以M為判值的表決原則構(gòu)成冗余時，MooN為標(biāo)準(zhǔn)可靠性模型中的M/N[G]表決系統(tǒng)，即該冗余系統(tǒng)功能完好的充要條件為：N個通道中有M個及M以上個完好)已足以表達大部分冗余結(jié)構(gòu)，但本質(zhì)上“MooN”能夠清晰表達的只包括輸出選擇方式(表決/比較/選擇)在內(nèi)的由多個“通道”構(gòu)成的基本冗余結(jié)構(gòu)或冗余關(guān)系，并未表達也無法表達該冗余結(jié)構(gòu)在“通道”故障后的處理原則。實際上，冗余系統(tǒng)故障檢出及之后的處理原則通常不僅是影響和決定MooN系統(tǒng)具體技術(shù)實現(xiàn)的關(guān)鍵因素，而且對冗余系統(tǒng)可靠性、安全性影響也至關(guān)重要，即冗余系統(tǒng)可靠性、安全性不但取決于其MooN結(jié)構(gòu)，還取決于其故障檢測的有效性和故障處理原則，而且一般還與其安全相關(guān)功能的性質(zhì)及實現(xiàn)方式密切相關(guān)。因此，這些因素直接影響對冗余系統(tǒng)可靠性和安全性分析與建模(可靠性框圖等)、計算，甚至還可能會使同一種MooN結(jié)構(gòu)對安全相關(guān)功能性質(zhì)及其實現(xiàn)方式不同的系統(tǒng)的安全性起到不同的作用。

下面以常見的1oo1、1oo2、2oo2結(jié)構(gòu)為對象，采用IEC61508中的方法計算A類系統(tǒng)這3種結(jié)構(gòu)的危險失效概率，采用馬爾科夫鏈計算B類系統(tǒng)這3種結(jié)構(gòu)的危險失效概率，從定量角度分析兩類系統(tǒng)安全性的差異。

2 A類與B類系統(tǒng)常見冗余結(jié)構(gòu)安全性定量分析

(1)假設(shè)單元模塊的失效率服從指數(shù)分布，其失效率用λ表示，危險失效率λD=0.5λ，λDD為可被在線檢測到的危險失效率，λDU為不能被在線檢測到的危險失效率，診斷覆蓋率DC=λDD/λD。

(2)共因失效部分采用β因子模型[12-13]，定義β=λDUC/λDU為具有共同原因的，沒有被檢測到的失效分數(shù)；βD=λDDC/λDD為具有共同原因的，已被檢測到的失效分數(shù)[1]；且檢測模塊與功能模塊之間互相獨立，不存在共因失效。

(3)冗余結(jié)構(gòu)中比較單元和切換單元不發(fā)生失效，均能可靠完成規(guī)定功能。

2.1 基于IEC61508中RBD法的A類系統(tǒng)安全性分析

2.1.1 1oo1結(jié)構(gòu)

(1)

圖3 1oo1結(jié)構(gòu)

2.1.2 1oo2結(jié)構(gòu)

1oo2結(jié)構(gòu)的物理塊圖如圖4(a)所示。

圖4 1oo2結(jié)構(gòu)

FA1oo2=2((1-β)λDU+(1-βD)λDD)tCE(1-β)×

(2)

2.1.3 2oo2結(jié)構(gòu)

2oo2結(jié)構(gòu)的物理塊圖如圖5(a)所示。由圖5可知，該結(jié)構(gòu)包括兩個并聯(lián)通道，只有當(dāng)兩通道在要求時均進行安全處理，系統(tǒng)才能實現(xiàn)安全功能，假設(shè)每個通道在檢測到任何失效時，均使本通道進入安全狀態(tài)，但兩通道中只要有一個發(fā)生不能被在線檢測到的失效，整個系統(tǒng)就會在要求時失效。建立其可靠性框圖如圖5(b)所示，是典型的兩個單通道串聯(lián)后結(jié)構(gòu)，根據(jù)2.1.1節(jié)中對1oo1結(jié)構(gòu)危險失效概率的計算，可得

(3)

圖5 2oo2結(jié)構(gòu)

2.2 基于Markov鏈的B類系統(tǒng)安全性分析

馬爾科夫鏈(Markov)研究隨機事件狀態(tài)變化及其之間的轉(zhuǎn)移規(guī)律[15-17]，適合描述和分析具有動態(tài)交互過程的鐵路信號系統(tǒng)的安全性，故這里采用馬爾科夫鏈分析鐵路信號系統(tǒng)不同冗余結(jié)構(gòu)的安全性。

2.2.1 1oo1結(jié)構(gòu)

圖6為鐵路信號系統(tǒng)典型的1oo1結(jié)構(gòu)。模塊A無失效發(fā)生時系統(tǒng)處于正常工作狀態(tài)；當(dāng)模塊A發(fā)生可被在線檢測到的失效后會在短時間內(nèi)被拒絕，使系統(tǒng)導(dǎo)向安全側(cè)[18]；當(dāng)模塊A發(fā)生不能被在線檢測到的失效后會致系統(tǒng)于危險側(cè)。對該系統(tǒng)的3種狀態(tài)定義及說明如表1所示。

圖6 1oo1結(jié)構(gòu)

表1 1oo1結(jié)構(gòu)系統(tǒng)狀態(tài)編號及說明

根據(jù)表1中3種狀態(tài)建立圖7所示的Markov模型。

圖7 1oo1結(jié)構(gòu)Markov模型

不同狀態(tài)之間轉(zhuǎn)換的相應(yīng)描述如下。

0→1：A發(fā)生可被在線檢測到的失效，系統(tǒng)無法正常工作，導(dǎo)向安全側(cè)。

0→2：A發(fā)生不能被在線檢測到的失效，可能導(dǎo)致事故的發(fā)生，系統(tǒng)處于危險側(cè)。

FB1oo1=P2=(1-DC)(1-e-λDt)≈(1-DC)λDt

(4)

2.2.2 1oo2結(jié)構(gòu)

圖8為以1oo2結(jié)構(gòu)在鐵路信號領(lǐng)域中最常見的實現(xiàn)方式，雙機熱備架構(gòu)為例，該結(jié)構(gòu)由兩個完成相同功能并具有主備關(guān)系的A、B兩系組成，正常時A、B均無失效發(fā)生，系統(tǒng)正常工作，以主系A(chǔ)的輸出有效，當(dāng)A發(fā)生可被在線檢測到的失效，拒絕A的輸出并由切換單元切換至B系保持系統(tǒng)的正常運行，從而實現(xiàn)冗余功能。對該結(jié)構(gòu)系統(tǒng)狀態(tài)定義及說明如表2所示。

圖8 雙機熱備結(jié)構(gòu)

表2 雙機設(shè)備系統(tǒng)狀態(tài)編號及說明

根據(jù)表2中5種狀態(tài)建立圖9所示的Markov模型。

圖9 雙機熱備Markov模型

不同狀態(tài)之間轉(zhuǎn)換的相應(yīng)描述如下。

0→1：A或B發(fā)生可被在線檢測到的失效，另一系可以代替失效的模塊繼續(xù)正常工作。

0→2：B發(fā)生不能被在線檢測到的失效，由于A正常，因此系統(tǒng)正常工作。

0→4：A發(fā)生不能被在線檢測到的失效或A、B發(fā)生不能被在線檢測到的共因失效，系統(tǒng)處于危險側(cè)。

0→3：A、B發(fā)生可被在線檢測到的共因失效，系統(tǒng)處于安全側(cè)。

1→3：對于僅有一系正常工作的狀態(tài)，當(dāng)該系出現(xiàn)可被在線檢測到的失效時，系統(tǒng)無法正常工作，導(dǎo)向安全側(cè)。

1→4：對于僅有一系正常工作的狀態(tài)，當(dāng)該系出現(xiàn)不能被在線檢測到的失效時，可能導(dǎo)致事故的發(fā)生，使系統(tǒng)處于危險側(cè)。

2→4：對于A正常、B出現(xiàn)不能被在線檢測到的失效的狀態(tài)時，當(dāng)A再次發(fā)生失效(不論是可被在線檢測到還是不能被在線檢測到的類型)，將置系統(tǒng)于危險側(cè)。

由圖9可知，該模型通過三條馬爾科夫鏈到達危險側(cè)狀態(tài)4，分別為：0→1→4、0→2→4、0→4，其中

(1)0→1→4

P41=2(1-βD)λDD(1-β)λDU×

(5)

(2)0→2→4

(6)

(3)0→4

P43=((1-β)λDU+βλDU)×

(7)

狀態(tài)4的發(fā)生概率為上述三條馬爾科夫鏈計算結(jié)果之和P4=P41+P42+P43。即系統(tǒng)的危險失效概率為

FB1oo2=P4

(8)

2.2.3 2oo2結(jié)構(gòu)

圖10為鐵路信號系統(tǒng)2oo2結(jié)構(gòu)，該系統(tǒng)由兩個完成相同規(guī)定功能的基本模塊A、B組成，兩模塊的輸出需由比較單元進行一致性校核，若一致才允許輸出[16]，否則系統(tǒng)在短時間內(nèi)導(dǎo)向安全側(cè)，以避免因錯誤執(zhí)行而產(chǎn)生風(fēng)險。通常情況下，比較單元比較周期的間隔不會超過最大數(shù)百毫秒的應(yīng)用軟件運行周期，這相對于電子器件的可靠壽命而言已足夠短[7]，且可編程電子器件構(gòu)成的大規(guī)模集成電路的失效組合數(shù)值空間巨大，擁有海量內(nèi)部狀態(tài)，因此，無論是什么類型的失效，只要導(dǎo)致輸出結(jié)果有差異，一般都可以通過比較檢測得到，故在極短時間內(nèi)連續(xù)發(fā)生多重失效且造成相同錯誤結(jié)果的可能性幾乎為零。綜上，該系統(tǒng)導(dǎo)向危險側(cè)只由不能被在線檢測到的共因失效造成，且必須是導(dǎo)致相同錯誤結(jié)果的共因失效類型。故

δ·β(1-DC)λDt

(9)

式中，δ為引發(fā)相同錯誤結(jié)果的失效率占總λDUC的比值。

圖10 2oo2結(jié)構(gòu)

3 算例分析

以第2節(jié)中A類系統(tǒng)與B類系統(tǒng)常用的3種結(jié)構(gòu)1oo1、1oo2、2oo2為例進行仿真，采用蒙特卡洛模擬法[20-21]消除DC、β參數(shù)變化導(dǎo)致的結(jié)果不確定性，假設(shè)DC與β均服從均勻分布，各參數(shù)取值如表3所示。

表3 參數(shù)取值

表4 蒙特卡洛模擬下A、B類系統(tǒng)不同冗余結(jié)構(gòu)危險失效概率均值及誤差

由表4可得如下結(jié)論。

4 結(jié)論

(1)工業(yè)領(lǐng)域中主要用于實現(xiàn)防護功能的安全相關(guān)系統(tǒng)與鐵路信號系統(tǒng)具有不同的系統(tǒng)結(jié)構(gòu)特點和安全控制特性，后者的生產(chǎn)應(yīng)用功能與防護功能融為一體，一般不存在附加防護系統(tǒng)。

(2)相比單一的1oo1結(jié)構(gòu)，1oo2與2oo2結(jié)構(gòu)在A、B兩類系統(tǒng)安全性方面所起的作用正好完全相反，這表明IEC61508所面向的工業(yè)領(lǐng)域中過程控制系統(tǒng)(即防護功能和控制功能分離的A類系統(tǒng))的可靠性框圖法并不適用于鐵路信號控制系統(tǒng)(控制與防護融為一體的B類系統(tǒng))的安全性定量分析。因此，在選擇安全相關(guān)系統(tǒng)的安全性定量分析方法時，需首先對系統(tǒng)本身的安全特性進行分析。