故障-安全技術(shù)

1、第三章 故障-安全技術(shù)第三章 故障-安全技術(shù)v第一節(jié) 故障-安全原理v第二節(jié) 信號(hào)安全技術(shù)第三章 故障-安全技術(shù)v第一節(jié) 故障-安全原理v一 安全性和可靠性概念v二 故障-安全原理v三 系統(tǒng)輸入輸出信號(hào)安全要求和對(duì)策v四 安全性評(píng)估第一節(jié) 故障安全原理v一 安全性和可靠性概念v安全性：在規(guī)定的條件下，在規(guī)定的時(shí)間內(nèi)，系統(tǒng)不陷入危險(xiǎn)狀態(tài)的性能。v可靠性：系統(tǒng)在給定的條件下，到給定的時(shí)刻t，不發(fā)生故障的概率。v失效：一是系統(tǒng)或系統(tǒng)的部件不能在規(guī)定的限制內(nèi)執(zhí)行所要求的功能。二是一個(gè)功能單元執(zhí)行所要求的功能的能力的終結(jié)。三是程序操作偏離了程序的需求。失效是導(dǎo)致錯(cuò)誤發(fā)生的主要原因。v錯(cuò)誤：指系統(tǒng)陷入不正

2、常狀態(tài)或執(zhí)行非正常操作。錯(cuò)誤可能由硬件失效、軟件失效、環(huán)境干擾等原因引起，錯(cuò)誤的嚴(yán)重性可以分為5類。v故障：由于錯(cuò)誤造成系統(tǒng)的部件或軟件或系統(tǒng)喪失必要的功能。即由于各種原因所造成的系統(tǒng)的不正常狀態(tài)。第一節(jié) 故障安全原理v失誤：人為的失敗和錯(cuò)誤。通常指人的錯(cuò)誤操作。v危害：有可能給人類或財(cái)產(chǎn)帶來不良影響的事情。v風(fēng)險(xiǎn)：用來表示危及安全的事件發(fā)生頻度以及事件危害程度（或嚴(yán)重程度）的指標(biāo)。v容錯(cuò)：指一個(gè)系統(tǒng)在其中的故障已經(jīng)暴露之后仍能提供要求的功能的存活的屬性。 第一節(jié) 故障安全原理v安全性評(píng)估：采用解析或測試的方法，對(duì)系統(tǒng)的安全性能進(jìn)行估算和分析，從而對(duì)系統(tǒng)的安全性能做出定量或定性的評(píng)價(jià)。用與安全

3、性評(píng)估的指標(biāo)主要是安全性完善度和安全性完善等級(jí)。v安全性完善度：在給定的條件下，到給定的時(shí)刻t，系統(tǒng)維持所要求的安全功能的概率。它是表示系統(tǒng)所能達(dá)到安全性要求程度高低的指標(biāo)。v安全性完善等級(jí)：表示系統(tǒng)所能達(dá)到安全性水平等級(jí)。通常較小的等級(jí)表示安全性水平低，較大的等級(jí)表示安全性水平低高（例如：1級(jí)安全性完善等級(jí)為最低級(jí)）。第一節(jié) 故障安全原理v二 故障-安全原理v 故障-安全：系統(tǒng)在發(fā)生故障的情況下，能夠維持安全狀態(tài)或向安全狀態(tài)轉(zhuǎn)移。v這種與安全相關(guān)的系統(tǒng)特性就是故障-安全。在信號(hào)系統(tǒng)中常稱為故障倒向安全原則。又稱F-S (Fail-Safe) 原則。第一節(jié) 故障安全原理v鐵路信號(hào)的重要作用之一

4、是保證列車運(yùn)行的安全，而這種安全的實(shí)現(xiàn)總是把“系統(tǒng)故障時(shí)讓列車停止運(yùn)行”為首要方針。規(guī)定系統(tǒng)故障時(shí)把信號(hào)顯示變?yōu)樽屃熊囃Ｖ惯\(yùn)行的紅燈作為安全側(cè)，這是傳統(tǒng)的鐵路信號(hào)安全技術(shù)的一個(gè)重要特點(diǎn)。v在繼電信號(hào)設(shè)備中，故障-安全的實(shí)現(xiàn)是以具有非對(duì)稱錯(cuò)誤特性的信號(hào)繼電器和閉路原理為基礎(chǔ)，實(shí)現(xiàn)信號(hào)設(shè)備的整體性的故障-安全。這是鐵路信號(hào)安全技術(shù)的第二個(gè)特點(diǎn)。 第一節(jié) 故障安全原理v 隨著可靠性理論的發(fā)展，促使對(duì)故障的分析建立在概率論的基礎(chǔ)上，進(jìn)而揭示了故障-安全也應(yīng)是一個(gè)具有概率特性的概念。v首先，客觀上可靠度為百分之百的信號(hào)設(shè)備是不存在的，也就是說設(shè)備的故障是不可避免的。用全故障率t表示，我們希望它足夠小，但

5、不可能為零。v對(duì)設(shè)備的故障根據(jù)它所帶來的后果可以分為危險(xiǎn)側(cè)故障和安全側(cè)故障，分別用危險(xiǎn)側(cè)故障率d和安全側(cè)故障率s表示，則有t = d+s 。v信號(hào)繼電器的危險(xiǎn)側(cè)故障率d為10-10小時(shí)，安全側(cè)故障率s為10-7小時(shí)。危險(xiǎn)側(cè)的故障率雖低，但它并非是零，因此傳統(tǒng)的故障-安全概念不是絕對(duì)的。v危險(xiǎn)側(cè)故障率d相對(duì)全故障率t小到可以忽略的程度時(shí)，該設(shè)備才是故障-安全的，即危險(xiǎn)比 = d/t應(yīng)足夠小。第一節(jié) 故障安全原理v 將危險(xiǎn)比寫成另一種形式v =v上式中的d/s =稱為非對(duì)稱錯(cuò)誤概率，它應(yīng)該足夠小。v事實(shí)上，由于信號(hào)設(shè)備發(fā)生故障時(shí)列車停止運(yùn)行，安全側(cè)故障率s 越大，故障恢復(fù)時(shí)間越長，越容易引起列車的

6、阻塞。這不僅會(huì)降低運(yùn)輸效率，還可能誘發(fā)重大事故。因此，s也應(yīng)盡可能的小。v總之，為了實(shí)現(xiàn)故障-安全，危險(xiǎn)側(cè)故障率和安全側(cè)故障率都應(yīng)該盡可能的小。在此前提下危險(xiǎn)比和非對(duì)稱錯(cuò)誤概率也要足夠小。也就是說，信號(hào)設(shè)備的故障-安全特性是建立在設(shè)備的高可靠性基礎(chǔ)上的。111ds第一節(jié) 故障安全原理v為了對(duì)故障-安全特性進(jìn)行進(jìn)一步的研究，對(duì)設(shè)備故障引起的事故用下面的關(guān)系式來描述：v 事故 = 故障 危險(xiǎn)側(cè)v若把 中的真值取為1，偽值取為0，即 中的變量為二值邏輯變量，則可將上式的否定形式認(rèn)為具有安全的含義。根據(jù)摩根法則可得下式： 沒有事故 = 沒有故障 安全側(cè)v還可以將安全性用下列邏輯式表示： 安全性 = 高

7、可靠性 故障安全性第一節(jié) 故障安全原理v三 系統(tǒng)輸入輸出信號(hào)安全要求和對(duì)策v（一）故障-安全輸入接口 v故障-安全輸入接口必須做到以下兩點(diǎn)：v(1) 采用光電隔離技術(shù)：通常，接點(diǎn)輸入電路要經(jīng)過光電耦合才能接至輸入接口，以便有效地抑止接點(diǎn)輸入電路的電磁干擾。v(2) 采用編碼輸入或過程輸入方式，以便有效地實(shí)現(xiàn)故障-安全原則。v過程輸入方式又有兩類：一類是輸入接口采用多重模塊結(jié)構(gòu)，并使用軟件進(jìn)行校驗(yàn)的空間冗余法；另一類是采用診斷技術(shù)檢查輸入值的時(shí)間冗余法。第一節(jié) 故障安全原理v1.編碼方式的故障-安全輸入接口v圖中將軌道繼電器GJ的狀態(tài)輸入到計(jì)算機(jī)的輸入接口。v由于是由輸入接口的若干位信息的編碼反

8、映軌道繼電器的狀態(tài)，因此可避免因混線斷線或干擾信號(hào)引起的錯(cuò)誤采樣，從而保證輸入接口電路的故障-安全特性 第一節(jié) 故障安全原理v圖中用了兩個(gè)光電耦合器G1和G2。vG1的輸出級(jí)和G2的輸入級(jí)并聯(lián),并由輸入信號(hào)GJ控制其電源的通斷。G1的輸入級(jí)和G2的輸出級(jí)共用微型計(jì)算機(jī)電源（5V），且G1的輸入級(jí)由微型計(jì)算機(jī)的輸出進(jìn)行控制。若微型計(jì)算機(jī)按1010輸出控制信號(hào)，當(dāng)GJ接點(diǎn)閉合時(shí)，則計(jì)算機(jī)就會(huì)從輸入接口電路接收一個(gè)與控制信號(hào)相反的信號(hào)0101，當(dāng)GJ接點(diǎn)斷開或G1，G2發(fā)生故障時(shí)，計(jì)算機(jī)的輸入接口只能收到穩(wěn)態(tài)信號(hào)，因此保證了輸入信息的故障-安全。第一節(jié) 故障安全原理v3.采用多重模塊結(jié)構(gòu)、并使用軟件

9、校驗(yàn)的方法。v 每個(gè)繼電器接點(diǎn)輸入接口是由三個(gè)模塊組成的，每個(gè)模塊包括光電隔離、鎖存器、緩沖器等部件，每1個(gè)模塊的輸出分配到三個(gè)計(jì)算機(jī)的總線上，每個(gè)計(jì)算機(jī)分三次讀取數(shù)據(jù)，并用軟件檢查三個(gè)數(shù)據(jù)的一致性。第一節(jié) 故障安全原理v由代碼動(dòng)/靜態(tài)變換電路是計(jì)算機(jī)輸出控制信號(hào)所必須經(jīng)歷的過程。這種變換可分成軟件變換和硬件變換兩種實(shí)現(xiàn)方式。v軟件變換是根據(jù)邏輯運(yùn)算結(jié)果（代碼形式）在需要輸出危險(xiǎn)側(cè)控制信號(hào)時(shí)，借助軟件的執(zhí)行使計(jì)算機(jī)不斷地輸出脈沖串。這種方式節(jié)省了硬件，但占用了計(jì)算機(jī)的處理時(shí)間。v硬件變換可以采用振蕩式的故障-安全邏輯元件來實(shí)現(xiàn)，還可以采用移位寄存器來實(shí)現(xiàn)。后者的基本原理是將危險(xiǎn)側(cè)代碼并行輸送到

10、移位寄存器中，然后再有控制時(shí)鐘推動(dòng)移位寄存器，使其輸出串行脈沖序列。 第一節(jié) 故障安全原理v動(dòng)/靜態(tài)電平變換電路是一種只有當(dāng)輸入為脈沖序列時(shí)其輸出才為高電平。v而在輸入為穩(wěn)態(tài)電平或電路發(fā)生故障時(shí)均為低電平的輸出電路，所以稱這類電路是動(dòng)態(tài)鑒別電路，又稱為故障-安全驅(qū)動(dòng)電路。 第一節(jié) 故障安全原理v根據(jù)需要可連接一個(gè)安全型繼電器作為控制輸出的執(zhí)行部件。v在此電路中，放大器本身必須設(shè)計(jì)成不會(huì)因元器件性能改變和失效而產(chǎn)生自激振蕩，脈沖變壓器的主次線圈之間絕緣良好，這些是比較容易實(shí)現(xiàn)的。第一節(jié) 故障安全原理v一種三模系統(tǒng)故障-安全輸出電路。v由于該系統(tǒng)的故障-安全比較器不能檢出輸出電路的故障，所以對(duì)直接

11、控制信號(hào)設(shè)備的輸出電路必須采用故障安全輸出電路。v圖的輸出電路是由電平變換電路，C形故障-安全邏輯單元故障，安全繼電器驅(qū)動(dòng)電路所組成。第一節(jié) 故障安全原理v四 安全性評(píng)估v(一) 硬件系統(tǒng)的可靠性和安全性評(píng)估指標(biāo)v對(duì)于鐵路信號(hào)應(yīng)用微機(jī)系統(tǒng)，為了滿足鐵路運(yùn)輸?shù)母咝Ш桶踩囊?，必須具有極高的可靠性和安全性。 v在定量地考慮系統(tǒng)的可靠性時(shí)，一般用平均故障間隔時(shí)間MTBF (Mean Time Between Failures來衡量系統(tǒng)的可靠性。 第一節(jié) 故障安全原理v1.可靠性和安全性的評(píng)估依據(jù) v必要作一些合理的簡化和假設(shè)：v首先，在系統(tǒng)中若有表決器、比較器、自動(dòng)轉(zhuǎn)換裝置以及系統(tǒng)之間接口電路等模

12、塊，則認(rèn)為它們較微型計(jì)算機(jī)系統(tǒng)具有更高的可靠性，在計(jì)算它們時(shí)可對(duì)它們的可靠度作為1處理而僅考慮微機(jī)系統(tǒng)的可靠性。v另外，為了便于不同冗余結(jié)構(gòu)的系統(tǒng)之間進(jìn)行比較，假定各系統(tǒng)所用的微型計(jì)算機(jī)的可靠性指標(biāo)是相同的。 第一節(jié) 故障安全原理v在計(jì)算安全度時(shí)，需要分析在什么情況下才發(fā)生危險(xiǎn)側(cè)故障。在采用雙重軟件進(jìn)行比較的情況下，假定只有當(dāng)發(fā)生兩次故障且兩次故障的后果一致并且不能通過比較被發(fā)現(xiàn)時(shí)，才有導(dǎo)致危險(xiǎn)側(cè)故障的可能。具體的情況是：v(1) 微機(jī)第一次發(fā)生故障，使得基本的或冗余的信息中出現(xiàn)了一個(gè)錯(cuò)誤的信息。v(2) 在第一次故障尚未被檢出期間，或者說在檢測時(shí)間D內(nèi)又發(fā)生了第二次故障。對(duì)于動(dòng)態(tài)切換系統(tǒng)來說

13、，這是指同一微機(jī)發(fā)生了第二次故障，對(duì)于三中取二系統(tǒng)來說這是指另一個(gè)微機(jī)系統(tǒng)發(fā)生了故障，這次故障也產(chǎn)生了另一個(gè)錯(cuò)誤信息。v(3) 這兩個(gè)錯(cuò)誤的信息恰巧構(gòu)成了兩個(gè)相同的、然而是錯(cuò)誤的有效代碼，因而不能檢出。v(4) 錯(cuò)誤的有效代碼又是危險(xiǎn)側(cè)代碼，從而產(chǎn)生了一個(gè)危及行車安全的控制命令。 v只有上述四個(gè)條件都存在時(shí)才算是出現(xiàn)了危險(xiǎn)側(cè)故障。 第一節(jié) 故障安全原理v2. 單機(jī)系統(tǒng)的可靠性和安全性估算v當(dāng)采用單個(gè)微機(jī)系統(tǒng)構(gòu)成鐵路信號(hào)自動(dòng)控制設(shè)備時(shí)，通常是采用雙套軟件來保證系統(tǒng)安全性的。v (二) 軟件系統(tǒng)的可靠性和安全性評(píng)估v1. 軟件的可靠性評(píng)估v軟件可靠性是指軟件在所規(guī)定的環(huán)境條件下和規(guī)定的時(shí)間內(nèi)，一直

14、能按需求規(guī)格說明正確地完成任務(wù)的能力。第一節(jié) 故障安全原理v軟件可靠性的概率度量則稱為軟件可靠度。v對(duì)于面向用戶的軟件可靠度定義，可以有以下兩種：v(1) 程序在規(guī)定的時(shí)間內(nèi)對(duì)一組隨機(jī)選擇的輸入數(shù)據(jù)能給出正確輸出的概率；v(2) 程序在規(guī)定的時(shí)間和規(guī)定的用戶環(huán)境中，對(duì)一組典型的輸入數(shù)據(jù)，給出正確輸出的概率。第一節(jié) 故障安全原理v 2. 軟件安全性評(píng)估v將軟件系統(tǒng)的安全性工作歸結(jié)為如下九項(xiàng)：v(1) 確定系統(tǒng)及系統(tǒng)中軟件的安全性要求。v(2) 將系統(tǒng)安全性說明中的要求準(zhǔn)確地轉(zhuǎn)化為系統(tǒng)或分系統(tǒng)說明的要求、轉(zhuǎn)化為軟件需說明的要求，并將這些要求在軟件設(shè)計(jì)及編碼中實(shí)現(xiàn)。v(3) 在系統(tǒng)、分系統(tǒng)說明及軟件

15、需求說明中確定當(dāng)可能發(fā)生安全事故時(shí)的系統(tǒng)對(duì)策。這些 對(duì)策包括故障一安全、故障降級(jí)使用、故障容錯(cuò)使用等內(nèi)容。v (4) 確定軟件系統(tǒng)中安全關(guān)鍵單元，安全關(guān)鍵單元是指那些對(duì)系統(tǒng)安全性有關(guān)鍵影響的程序、分程序和模塊。 v(5) 對(duì)軟件的安全關(guān)鍵單元進(jìn)行分析。v(6) 通過分析、驗(yàn)證，確保軟件系統(tǒng)安全性要求的實(shí)現(xiàn)，驗(yàn)證不存在有損于安全性的單個(gè)或多個(gè)失效事件，保證系統(tǒng)的安全性要求不致引起新的危險(xiǎn)。 v(7) 確保編制出的程序不會(huì)因?yàn)橛|發(fā)危險(xiǎn)功能、或阻礙正常功能的執(zhí)行而使系統(tǒng)處于危險(xiǎn)狀態(tài)。v(8) 保證系統(tǒng)中的軟件能有效地減少硬件的安全風(fēng)險(xiǎn)。v(9) 保證對(duì)系統(tǒng)進(jìn)行充分的安全性測試，包括失效事件發(fā)生的測試

16、。 第一節(jié) 故障安全原理v為了進(jìn)行軟件安全性評(píng)估，必須掌握下列各種資料和信息；v(1) 系統(tǒng)或分系統(tǒng)說明、軟件需求說明、各種接口說明等有關(guān)資料。 v(2) 系統(tǒng)生存周期中軟件及其組成單元的工作情況、功能、工作時(shí)序等有關(guān)資料。v(3) 程序各種功能的流程圖、編程語言、儲(chǔ)存和時(shí)序等相關(guān)資料。v(4) 系統(tǒng)及軟件在測試、生產(chǎn)、運(yùn)輸、裝卸、儲(chǔ)存、維修等各個(gè)環(huán)節(jié)與安全有關(guān)的經(jīng)驗(yàn)、教訓(xùn)。v(5) 已知的危險(xiǎn)事件源，包括能源及有毒物源，特別是可由軟件控制的危險(xiǎn)事件源。v(6) 軟件開發(fā)計(jì)劃、軟件質(zhì)量評(píng)估計(jì)劃、軟件配置管理計(jì)劃和其它系統(tǒng)、分系統(tǒng)開發(fā)計(jì)劃的文檔。v (7) 系統(tǒng)測試計(jì)劃、軟件測試計(jì)劃和其它測試文

17、檔。第一節(jié) 故障安全原理v軟件安全性分析包括以下七個(gè)工作項(xiàng)目：v(1) 軟件需求危險(xiǎn)分析。利用系統(tǒng)初步危險(xiǎn)分析的結(jié)果，初步確定軟件的安全關(guān)鍵單元。v (2) 概要設(shè)計(jì)危險(xiǎn)分析。在軟件需求說明評(píng)審后開始，是軟件需求危險(xiǎn)分析的深入和繼續(xù)。分析的結(jié)果提交初步設(shè)計(jì)評(píng)審，作為初步設(shè)計(jì)評(píng)審的內(nèi)容。v (3) 詳細(xì)設(shè)計(jì)危險(xiǎn)分析。安排在初步設(shè)計(jì)評(píng)審之后進(jìn)行，它是概要設(shè)計(jì)危險(xiǎn)分析的深入和繼續(xù)。詳細(xì)設(shè)計(jì)危險(xiǎn)分析應(yīng)在軟件編碼之前進(jìn)行，分析的結(jié)果提交給關(guān)鍵設(shè)計(jì)評(píng)審，作為關(guān)鍵設(shè)計(jì)評(píng)審的內(nèi)容。v (4) 軟件編程危險(xiǎn)分析。這項(xiàng)分析是用來考察軟件的安全關(guān)鍵單元，以及其它單元的源程序和目標(biāo)程序是否實(shí)現(xiàn)了安全性設(shè)計(jì)的要求。此工

18、作應(yīng)與編程同時(shí)進(jìn)行，應(yīng)該按照安全性的要求不斷地修改程序，一直到測試完成。分析中需要確定危險(xiǎn)事件發(fā)生的可能性所降低的程度。分析人員還應(yīng)參加程序的專查和評(píng)審。第一節(jié) 故障安全原理v(5) 軟件安全性分析。這個(gè)項(xiàng)目的工作要點(diǎn)是： v 對(duì)安全關(guān)鍵單元進(jìn)行安全性測試，保證使危險(xiǎn)事件發(fā)生的可能性降低到可以接受的水平。v 向測試人員提供軟件安全關(guān)鍵單元的安全性測試案例。v 確保所有的軟件安全關(guān)鍵單元按預(yù)定的測試方案進(jìn)行安全性測試，準(zhǔn)確地記錄測試記錄。v 除了在正常狀態(tài)下進(jìn)行的測試外，還要在異常的環(huán)境和異常的輸入狀態(tài)下測試軟件確保軟件在這些狀態(tài)下仍能安全運(yùn)行。v 進(jìn)行軟件強(qiáng)度測試，確保軟件的安全運(yùn)行。v 確保

19、外購軟件的安全運(yùn)行。v 訂購方所提供的軟件，不管是否進(jìn)行了修改，都需要進(jìn)行測試，以保證這些軟件在系統(tǒng)中安全運(yùn)行。v 確保系統(tǒng)綜合測試和系統(tǒng)驗(yàn)收測試中所發(fā)現(xiàn)的危險(xiǎn)事件已經(jīng)得到了糾正，確保對(duì)這些事件進(jìn)行了重新測試，沒有遺留問題。v(6) 軟件與用戶接口危險(xiǎn)分析。v(7) 軟件更改危險(xiǎn)分析。v軟件更改危險(xiǎn)分析是用來考察和分析說明書、軟件設(shè)計(jì)、源程序和目標(biāo)程序的更改對(duì)安全性的影響。 第二節(jié) 信號(hào)安全技術(shù)v1. 故障一安全計(jì)算機(jī)系統(tǒng)的三大部分：v(1) 故障一安全計(jì)算機(jī)：實(shí)現(xiàn)數(shù)據(jù)處理過程的故障-安全；v(2) 輸入輸出接口：實(shí)現(xiàn)數(shù)據(jù)采集和控制過程的故障-安全；v(3) 信息傳輸：實(shí)現(xiàn)遠(yuǎn)距離數(shù)據(jù)傳輸過程的

20、故障安全。v2. 故障-安全計(jì)算機(jī)的構(gòu)成方法:v(1) 采用非對(duì)稱性錯(cuò)誤特性的元件的構(gòu)成方法；v(2) 采用通用的對(duì)稱性錯(cuò)誤特性的元件的構(gòu)成方法；v(3) 采用通用計(jì)算機(jī)或處理器的構(gòu)成方法。 第二節(jié) 信號(hào)安全技術(shù)v 軟件的相異性就是在一臺(tái)微型計(jì)算機(jī)上配置兩套相異的軟件，藉此進(jìn)行故障診斷和錯(cuò)誤檢測，從而實(shí)現(xiàn)故障一安全的一種方式。這類方式又包括以下三種實(shí)現(xiàn)形式：v雙版本軟件方式，v軟件自校驗(yàn)方式;v數(shù)據(jù)的相異性方式v硬件的相異性就是把相同的軟件配置在兩臺(tái)微型計(jì)算機(jī)上，高頻度地對(duì)數(shù)據(jù)(廣義的)進(jìn)行校驗(yàn)，在檢出異常時(shí)，把輸出保持在安全狀態(tài)的一種方式。這類方式也包括以下三種實(shí)現(xiàn)形式：v緊密耦合的總線同步

21、方式;v時(shí)差同步式；v程序同步式。第二節(jié) 信號(hào)安全技術(shù)v各種方式的故障安全計(jì)算機(jī)結(jié)構(gòu)第二節(jié) 信號(hào)安全技術(shù)v (二) 信號(hào)設(shè)備微型計(jì)算機(jī)化的主要特點(diǎn)v1.從使用的器件來看v現(xiàn)有的信號(hào)設(shè)備是具有非對(duì)稱性錯(cuò)誤特性且故障模式可知的器件作為基本故障-安全組成的，藉此保證信號(hào)設(shè)備整體具有故障-安全性。v2. 從使用的技術(shù)來看v現(xiàn)有信號(hào)設(shè)備是依據(jù)長期經(jīng)驗(yàn)積累起來的以故障一安全技術(shù)為中心的鐵路信號(hào)安全技術(shù)，通過對(duì)信號(hào)繼電器的結(jié)構(gòu)設(shè)計(jì)和繼電器電路的合理設(shè)計(jì)確保故障一安全性能的實(shí)現(xiàn)。第二節(jié) 信號(hào)安全技術(shù)v 3. 從設(shè)備的功能來看v 微型計(jì)算機(jī)以其高速處理能力和智能化顯示出它強(qiáng)大的生命力。而信號(hào)設(shè)備的微型計(jì)算機(jī)化，

22、不僅能使信號(hào)設(shè)備的功能顯著加強(qiáng)和擴(kuò)充，而且使信號(hào)設(shè)備具有了高速化和智能化，從而對(duì)保證列車運(yùn)行安全和提高鐵路運(yùn)輸效率方面能夠作出更大貢獻(xiàn) v4.從設(shè)備的抗干擾能力來看v鐵路信號(hào)設(shè)備的工作環(huán)境是極其惡劣的，尤其是處在強(qiáng)烈的電磁干擾環(huán)境和雷害地區(qū)的設(shè)備所受環(huán)境影響是極為嚴(yán)重的?，F(xiàn)行信號(hào)設(shè)備采用了驅(qū)動(dòng)功率較大、轉(zhuǎn)換時(shí)間較長的信號(hào)用繼電器，因而具有較強(qiáng)的抗干擾能力，整個(gè)沒備在環(huán)境干擾較強(qiáng)時(shí)仍能穩(wěn)定可靠地工作。第二節(jié) 信號(hào)安全技術(shù)v二 硬件安全性技術(shù)分類v在微型計(jì)算機(jī)化的信號(hào)設(shè)備中，通過硬件實(shí)現(xiàn)故障-安全性能的技術(shù)主要有以下幾類： v (一) 多重化技術(shù)v (二) 高可靠技術(shù)v (三) 故障檢測技術(shù)v (

23、四) 電路構(gòu)成技術(shù)第二節(jié) 信號(hào)安全技術(shù)v (一) 多重化技術(shù)v1. 在處理器級(jí)采用的多重化技術(shù)。v2.在輸入輸出級(jí)采用的多重化技術(shù)。v3.在裝置之間接口采用的多重化技術(shù) 。v4.在系統(tǒng)級(jí)采用的多重化技術(shù)。 第二節(jié) 信號(hào)安全技術(shù)v (二) 高可靠技術(shù)v 1在處理器級(jí)。v 2在輸入輸出級(jí) 。v 3.在裝置之間接口。v 4在系統(tǒng)級(jí)。第二節(jié) 信號(hào)安全技術(shù)v (三) 故障檢測技術(shù)v1. 在處理器級(jí)v(1) 用互補(bǔ)數(shù)據(jù)進(jìn)行比較;v(2) 對(duì)ROMRAM實(shí)行故障檢測；v(3) 用交流信號(hào)實(shí)現(xiàn)故障檢測；v(4) 對(duì)附加檢驗(yàn)信息的數(shù)據(jù)進(jìn)行處理。v2在輸入輸出級(jí)v(1) 用專用的測試信號(hào)進(jìn)行故障檢測；v(2) 用

24、照查脈沖作為執(zhí)行部件的輸入條件； v(3) 用交流輸出檢測故障；v(4) 對(duì)輸入信息的譯碼進(jìn)行故障檢測；v(5) 對(duì)輸出信息的譯碼進(jìn)行故障檢測； v(6) 對(duì)表示設(shè)備的故障進(jìn)行故障檢測。v3在系統(tǒng)級(jí)v(1) 用偽信號(hào)附加功能檢測機(jī)構(gòu);v(2) 采用動(dòng)作監(jiān)督器。第二節(jié) 信號(hào)安全技術(shù)v(四) 電路構(gòu)成技術(shù)v1在處理器級(jí)v(1) 進(jìn)行故障-安全的頻率變換、交直流變換； v(2) 對(duì)看門狗定時(shí)器進(jìn)行故障安全化。 v2在輸入輸出級(jí)v(1) 在發(fā)生故障時(shí)輸出安全側(cè)信號(hào)；v(2) 構(gòu)成故障安全輸入電路;v(3) 對(duì)二重化系統(tǒng)輸出電路實(shí)現(xiàn)故障安全化;v(4) 對(duì)固定信息進(jìn)行設(shè)置和生成。 第二節(jié) 信號(hào)安全技術(shù)v

25、三 軟件安全性技術(shù)分類v在微型計(jì)算機(jī)化的信號(hào)設(shè)備中，通過軟件實(shí)現(xiàn)故障安全性能的技術(shù)主要有以下幾類。v(一) 高可靠技術(shù) v(二) 故障檢測技術(shù)v(三) 故障屏蔽和恢復(fù)技術(shù)v(四) 人機(jī)技術(shù)第二節(jié) 信號(hào)安全技術(shù)v四 容錯(cuò)技術(shù)v1.計(jì)算機(jī)系統(tǒng)中發(fā)生的故障分類：v(1) 硬件故障，存在于計(jì)算機(jī)系統(tǒng)的硬件之中，是對(duì)于邏輯變量的設(shè)計(jì)值的各種偏離。v(2) 軟件故障，是由于在翻譯一種所執(zhí)行的程序的算法的原始說明時(shí)發(fā)生錯(cuò)誤，而未能執(zhí)行正確的程序軟件故障的原因可以是軟件失效。 第二節(jié) 信號(hào)安全技術(shù)v(3) 對(duì)計(jì)算機(jī)系統(tǒng)的外界干擾，例如電磁輻射功率超出一定限度、振動(dòng)或雷擊、電源電壓的波動(dòng)范圍超過允許值等，將會(huì)使

26、計(jì)算機(jī)系統(tǒng)的運(yùn)行偏離正常狀態(tài)。v采用容錯(cuò)技術(shù)的目的，是使系統(tǒng)在發(fā)生上述故障的情況下，仍能正確地執(zhí)行給定的算法、或正確執(zhí)行預(yù)期的操作。第二節(jié) 信號(hào)安全技術(shù)v2. 判斷是否正確執(zhí)行程序的四個(gè)標(biāo)準(zhǔn)：v(1) 程序或數(shù)據(jù)不為故障所改變或中止；v(2) 運(yùn)算的結(jié)果不包含由故障所帶來的差錯(cuò)；v(3) 每個(gè)程序的執(zhí)行時(shí)間不超過某一規(guī)定的限界；v(4) 每個(gè)程序可利用的存鍺容量保持在某一規(guī)定的范圍之內(nèi)。第二節(jié) 信號(hào)安全技術(shù)v3.避錯(cuò)技術(shù) 和局限性v僅僅采用避錯(cuò)技術(shù)并不能完全解決計(jì)算機(jī)系統(tǒng)的可靠性問題，原因如下：v(1) 避錯(cuò)技術(shù)的目標(biāo)是盡量減小系統(tǒng)發(fā)生故障的概率。 v(2) 避錯(cuò)技術(shù)只能使故障率減小，但永遠(yuǎn)不

27、可能使硬件和軟件的故障率減為0，因而計(jì)算機(jī)系統(tǒng)的故障是不可避免要發(fā)生的，系統(tǒng)的失效是必然會(huì)發(fā)生的；v(3) 避錯(cuò)技術(shù)對(duì)故障的處理均由系統(tǒng)外部提供，在計(jì)算機(jī)硬件成本日益降低的情況下，使計(jì)算機(jī)的維護(hù)成本相對(duì)提高，不僅如此，一旦計(jì)算機(jī)系境發(fā)生故障，對(duì)某些實(shí)時(shí)系統(tǒng)(如航天飛機(jī)、交通控制等)而言，可能造成嚴(yán)重的經(jīng)濟(jì)損失，有時(shí)甚至發(fā)生災(zāi)難性的后果。第二節(jié) 信號(hào)安全技術(shù)v4.容錯(cuò)技術(shù)的作用v容錯(cuò)技術(shù)是以承認(rèn)故障的不可避免為前提的，也就是在容忍故障存在的條件下采用以下兩種方法提高系統(tǒng)的可靠性：v靜態(tài)的方法：它的基本思想是當(dāng)系統(tǒng)發(fā)生故障時(shí)，掩蔽故障的影響，使系統(tǒng)不產(chǎn)生錯(cuò)誤的輸出，因而也不導(dǎo)致系統(tǒng)失效。這種方法的

28、典型實(shí)例是使用多數(shù)表決邏輯。v動(dòng)態(tài)的方法：它的基本思想是讓故障的影響表現(xiàn)出來，檢測故障所引起的錯(cuò)誤，從而診斷出故障根源，進(jìn)而切除故障部件或修復(fù)軟件故障，最后使系統(tǒng)恢復(fù)正常這種方法的典型實(shí)例是使用雙機(jī)比較運(yùn)行結(jié)果。第二節(jié) 信號(hào)安全技術(shù)v(二) 實(shí)現(xiàn)容錯(cuò)技術(shù)的主要方法 v 1. 硬件冗余v 2. 時(shí)間冗余v 3.信息冗余 v 4. 軟件冗余 v 5. 各種冗佘技術(shù)的綜合應(yīng)用 第二節(jié) 信號(hào)安全技術(shù)v 1. 硬件冗余v廣泛應(yīng)用的硬件冗余技術(shù)之一是硬件重復(fù)冗余，在物理級(jí)可通過元器件的重復(fù)而獲得（如相同的元器件串、并聯(lián)，四倍元器件等）。物理域的恢復(fù)作用是自動(dòng)的，即不需單獨(dú)的檢測，但每一次失效將削弱防衛(wèi)。在

29、邏輯域可采用多數(shù)表決方案，如三模冗余、N模冗余、分段冗余、修復(fù)機(jī)構(gòu)等。第二節(jié) 信號(hào)安全技術(shù)v2. 時(shí)間冗余v時(shí)間冗余是通過稍耗時(shí)間資源來達(dá)到容錯(cuò)目的的。時(shí)間冗余的一個(gè)應(yīng)用是程序卷回。這種技術(shù)用來檢驗(yàn)一段程序完成時(shí)的計(jì)算數(shù)據(jù)，如有錯(cuò)，則卷回重算那個(gè)部分。如果一次卷回不解決問題，還可以多次卷回，直到故障消除或判定不能消除故障為止。第二節(jié) 信號(hào)安全技術(shù)v 3.信息冗余v信息冗余是依靠增加信息的多余度來提高可靠性的。這些附加的信息位具有如下功能：當(dāng)代碼中某些信息位發(fā)生錯(cuò)誤(包括附加位本身的錯(cuò)誤)時(shí)能及時(shí)發(fā)現(xiàn)錯(cuò)誤，即檢錯(cuò)信息位，或者能將發(fā)生錯(cuò)誤的信息位恢復(fù)成原來的信息，即糾錯(cuò)信息位一般而言，附加的信息位

30、越多，其檢錯(cuò)或糾錯(cuò)能力越強(qiáng)在數(shù)字系統(tǒng)中的信息傳送，算術(shù)邏輯運(yùn)算中廣泛使用的奇偶碼、海明碼、乘積碼、循環(huán)瑪及各種算術(shù)誤差碼都有很強(qiáng)的檢錯(cuò)或糾錯(cuò)能力。 第二節(jié) 信號(hào)安全技術(shù)v 4. 軟件冗余v提高軟件可靠性有兩種方法。一種是研究無錯(cuò)誤軟件，另一種是研究容錯(cuò)軟件。v無錯(cuò)誤軟件的研究主要包括三方面的內(nèi)容：v(1) 尋求導(dǎo)致高可靠軟件產(chǎn)品的程序設(shè)計(jì)方法。 v(2) 軟件測試技術(shù)。v(3) 程序正確性證明。 第二節(jié) 信號(hào)安全技術(shù)v(三) 容錯(cuò)技術(shù)的分類 v(1) 故障限制。限制故障的傳播范圍，防止故障對(duì)其它區(qū)域的影響。v(2) 故障檢測。盡快發(fā)現(xiàn)故障，減少故障潛伏期，可以采用聯(lián)機(jī)檢測或脫步檢測的方法。v(

31、3) 故障屏蔽。掩蓋故障對(duì)輸出的影響。 v(4) 重試。重新運(yùn)行一次或若干次，消除對(duì)不引起物理破壞的瞬時(shí)故障的影響。v(5) 診斷。確定故障的部位辦。v(6) 重組。切除故障部件，換上備份部件。v(7) 恢復(fù)。檢測和重組后，使系統(tǒng)操作回到故障檢測前的處理點(diǎn)。v(8)重啟。當(dāng)恢復(fù)不能消除的故障影響時(shí)，采用“熱”啟動(dòng)(從故障檢測點(diǎn)恢復(fù)所有的操作)或“冷”啟動(dòng)(重新引導(dǎo)裝入系統(tǒng))。v(9) 修復(fù)。對(duì)故障部件進(jìn)行修理補(bǔ)使之復(fù)原，修復(fù)也可聯(lián)機(jī)進(jìn)行或脫機(jī)進(jìn)行。 v(10) 重構(gòu)。把修復(fù)出了的部件加入系統(tǒng)，若修復(fù)是聯(lián)機(jī)進(jìn)行的，則重構(gòu)不能中斷系統(tǒng)的運(yùn)行。第二節(jié) 信號(hào)安全技術(shù)v (四) 容錯(cuò)系統(tǒng)的類型v 1.

32、高可用度系統(tǒng)v 2. 長壽命系統(tǒng)v 3. 延遲維修系統(tǒng)v 4. 高性能計(jì)算系統(tǒng)v 5. 關(guān)鍵任務(wù)計(jì)算機(jī)系統(tǒng)第二節(jié) 信號(hào)安全技術(shù)v1. 高可用度系統(tǒng)v可用度是指系統(tǒng)在某時(shí)刻可運(yùn)行的概率。高可用度系統(tǒng)一般面向通用計(jì)算機(jī)，執(zhí)行各種各樣要求無法預(yù)測的用戶程序。因?yàn)檫@類系統(tǒng)主要面向費(fèi)用敏感的商用市場，因此它們定對(duì)岸現(xiàn)有設(shè)計(jì)都盡量少做修改。漢明編碼存儲(chǔ)器、總線奇偶校驗(yàn)、超時(shí)計(jì)數(shù)器、診斷、軟件合法性檢查等是主要的冗余方法由此可見這種系統(tǒng)的故障覆蓋率較低，但在多處理器系統(tǒng)中，故障一旦被發(fā)現(xiàn)就能將其隔離，使系統(tǒng)繼續(xù)運(yùn)行或降級(jí)運(yùn)行。第二節(jié) 信號(hào)安全技術(shù)v 2. 長壽命系統(tǒng)v長壽命系統(tǒng)在其生命周期中(通常在五年以上

33、)不能進(jìn)行人工維修，常用于無人宇宙飛船、衛(wèi)星等控制系統(tǒng)中。長壽命系境必須高度冗余，有足夠多的備件，以便經(jīng)受住多次出現(xiàn)故障的沖擊。冗余管理可以自動(dòng) ( 在飛船上 )或遙控(在地面站)進(jìn)行。第二節(jié) 信號(hào)安全技術(shù)v 3. 延遲維修系統(tǒng)v與長壽命系統(tǒng)密切相關(guān)的另一類系統(tǒng)是延遲維修系統(tǒng)，這種系統(tǒng)能在進(jìn)行周期性維修前暫時(shí)容忍已發(fā)生的故障從而保持系統(tǒng)生存。在某些應(yīng)用中，系統(tǒng)的現(xiàn)場維修非常困難或昂貴，增加冗余比準(zhǔn)備隨時(shí)維修付出的代價(jià)要少例如在汽車、飛機(jī)、輪船或坦克的運(yùn)行中難以維修，通常都要在返回基地后才能進(jìn)行維修。許多車載、機(jī)載和艦載計(jì)算機(jī)都應(yīng)用了延遲維修容錯(cuò)計(jì)算機(jī)。 第二節(jié) 信號(hào)安全技術(shù)v 4. 高性能計(jì)算系統(tǒng)v高性能計(jì)算系統(tǒng)(如信號(hào)處理機(jī))對(duì)瞬時(shí)故障(由于過緊的定時(shí)容限而引起)和永久故障(由于復(fù)雜性引起)均很敏感，要提高系統(tǒng)性能，增加平均無故障時(shí)間對(duì)瞬時(shí)故障的自動(dòng)恢復(fù)能力，必須進(jìn)行容錯(cuò)設(shè)計(jì)。第二節(jié) 信號(hào)安全技術(shù)v5. 關(guān)鍵任務(wù)計(jì)算機(jī)系統(tǒng)v對(duì)容錯(cuò)計(jì)算要求最嚴(yán)的是在實(shí)時(shí)應(yīng)用環(huán)境下，其中錯(cuò)誤的計(jì)算可能危及人的生命，或造成重大的經(jīng)濟(jì)損失在這種系統(tǒng)中不僅要求計(jì)算正確，而且要求從故障中恢復(fù)的時(shí)間最短，不致影響應(yīng)用任務(wù)的執(zhí)行。 第二節(jié) 信號(hào)安全技術(shù)v五 鐵路信號(hào)安全技術(shù)v鐵路信號(hào)安全技術(shù)可分為：v(一) 故障-安