基于馬爾柯夫過程的冗余系統(tǒng)工作策略研究

基于馬爾柯夫過程的冗余系統(tǒng)工作策略研究

乘二取二系統(tǒng)模型分析在可靠性系統(tǒng)的設(shè)計(jì)中，冗余技術(shù)是提高系統(tǒng)可靠性和安全性的主要技術(shù)。為了保障航空航天、鐵路、核電站、石油化工、武器裝備、機(jī)器人以及醫(yī)療儀器等高風(fēng)險(xiǎn)系統(tǒng)的可靠性和安全性,通常采用雙機(jī)熱備和三模冗余等結(jié)構(gòu),對(duì)這些結(jié)構(gòu)的可靠性、安全性及實(shí)現(xiàn)技術(shù)的研究可參看文獻(xiàn)。近年來,一種新的冗余結(jié)構(gòu)——“二乘二取二”冗余結(jié)構(gòu)開始在鐵路信號(hào)計(jì)算機(jī)聯(lián)鎖系統(tǒng)中應(yīng)用,對(duì)該結(jié)構(gòu)的可靠性和安全性分析主要有文獻(xiàn),但經(jīng)過仔細(xì)研究,這些分析都由于模型表述欠準(zhǔn)確而存在一定缺陷。文獻(xiàn)在使用馬爾可夫過程進(jìn)行模型分析時(shí),對(duì)于運(yùn)算模塊出現(xiàn)不可測故障的處理有待商榷:出現(xiàn)不可測故障的子系統(tǒng)繼續(xù)工作而不切換和檢修,抹煞了比較器的作用;狀態(tài)轉(zhuǎn)換圖中,運(yùn)算模塊存在不可測故障的狀態(tài)向故障安全或危險(xiǎn)狀態(tài)轉(zhuǎn)移的物理含義不清。文獻(xiàn)均將子系統(tǒng)作為一個(gè)整體來研究,降低了模型的復(fù)雜程度,有一定的借鑒作用,但模型沒有將通過輸出比較和模塊自檢發(fā)現(xiàn)的故障情況進(jìn)行區(qū)分,也有待商榷,而且文獻(xiàn)在進(jìn)行模型分析時(shí),狀態(tài)轉(zhuǎn)換還存在錯(cuò)誤,其中狀態(tài)P10P11的轉(zhuǎn)移率應(yīng)是原文獻(xiàn)的兩倍,若按原文獻(xiàn)的處理,實(shí)際上是冷備結(jié)構(gòu)而非熱備冗余結(jié)構(gòu)。針對(duì)上述問題,本文對(duì)“二乘二取二”系統(tǒng)的工作過程進(jìn)行了細(xì)分描述,提出了該系統(tǒng)的兩種不同工作策略,并采用馬爾可夫模型進(jìn)行了狀態(tài)劃分和轉(zhuǎn)換分析;在此基礎(chǔ)上,通過Matlab仿真計(jì)算,分析了該冗余系統(tǒng)不同策略下的可靠性和安全性以及影響可靠性和安全性的因素。與三模冗余和雙機(jī)熱備系統(tǒng)的對(duì)比研究表明,在實(shí)際應(yīng)用中,如果選擇策略1,則安全度最高,但其可靠度最低,如果選擇策略2,則可以在獲得最高可靠度的同時(shí)得到較高的安全度。1輸出選擇器的剩余時(shí)長為單模可測故障時(shí)二乘二取二冗余系統(tǒng)由兩個(gè)比較子系統(tǒng)和一個(gè)輸出選擇器組成,其基本結(jié)構(gòu)如圖1。比較子系統(tǒng):由兩個(gè)具有故障檢測功能的運(yùn)算模塊和一個(gè)比較器組成。當(dāng)運(yùn)算模塊檢測到自身出現(xiàn)故障時(shí),將向比較器發(fā)送一個(gè)控制信號(hào),如果模塊沒有檢測到故障即比較器沒有接收到模塊發(fā)出的故障信息時(shí),比較器將對(duì)兩個(gè)模塊的輸出進(jìn)行比較,如果相同,則將模塊的輸出作為子系統(tǒng)的輸出,如果不同則向輸出選擇器發(fā)送“子系統(tǒng)比較不一致故障”的控制信號(hào),該子系統(tǒng)輸出無效。當(dāng)任一模塊檢測到故障時(shí),系統(tǒng)有兩種不同的工作策略:策略1是直接向輸出選擇器發(fā)送“子系統(tǒng)可測故障”的控制信號(hào),子系統(tǒng)輸出無效;策略2是剩余模塊繼續(xù)工作,比較器將該模塊的輸出作為子系統(tǒng)的輸出,并向輸出選擇器發(fā)送“子系統(tǒng)單模可測故障”的控制信號(hào),當(dāng)另一個(gè)模塊又檢測到故障時(shí),則向輸出選擇器發(fā)送“子系統(tǒng)雙?？蓽y故障”(非共摸故障)的控制信號(hào),子系統(tǒng)停機(jī)?？傊?對(duì)于策略1,子系統(tǒng)的輸出有正常、比較器不一致故障和子系統(tǒng)可測故障三種情況,而策略2的輸出有正常、比較器不一致故障、子系統(tǒng)單?？蓽y故障和子系統(tǒng)雙?？蓽y故障四種情況。為了便于檢修和維護(hù),子系統(tǒng)在發(fā)生任何故障時(shí)都需要給出報(bào)警和提示信息。輸出選擇器:用來在兩個(gè)比較子系統(tǒng)中選擇一個(gè)子系統(tǒng)的輸出去控制被控對(duì)象,而輸出被選中的子系統(tǒng)稱為主機(jī)子系統(tǒng),未被選中的子系統(tǒng)稱為備機(jī)子系統(tǒng)。表1和表2為兩種策略下輸出選擇器的處理方法,其中列2和列3為故障發(fā)生前主備機(jī)子系統(tǒng)的狀態(tài),列4為新發(fā)生的故障,列5為新故障發(fā)生后輸出選擇器的輸出。從表中可以看出,正常情況下,兩個(gè)子系統(tǒng)都產(chǎn)生輸出,但只有一個(gè)子系統(tǒng)的輸出被選擇器選中去控制被控對(duì)象。當(dāng)子系統(tǒng)出現(xiàn)故障時(shí),如果是備機(jī)子系統(tǒng),則輸出選擇器不進(jìn)行輸出切換;如果是主機(jī)子系統(tǒng)出現(xiàn)故障,若備機(jī)子系統(tǒng)正常,則進(jìn)行輸出切換(這時(shí)備機(jī)子系統(tǒng)變成主機(jī)子系統(tǒng)),若備機(jī)子系統(tǒng)有故障,此時(shí)存在兩種工作策略:策略1:輸出選擇器向?qū)⒈豢貙?duì)象發(fā)送一個(gè)使其導(dǎo)向安全的輸出(即故障安全輸出)。策略2:如果主機(jī)子系統(tǒng)是“單模塊可測故障”,則輸出選擇器不進(jìn)行輸出切換,如果主機(jī)子系統(tǒng)是“比較不一致故障或雙?？蓽y故障”,在備機(jī)子系統(tǒng)是“比較不一致故障或雙?？蓽y故障”時(shí),輸出選擇器向被控對(duì)象發(fā)送一個(gè)使其導(dǎo)向安全的輸出;在備機(jī)子系統(tǒng)是“單模塊可測故障”時(shí),輸出選擇器選擇備機(jī)子系統(tǒng)剩余模塊的輸出作為系統(tǒng)的輸出,這時(shí)整個(gè)系統(tǒng)降級(jí)成為單個(gè)模塊的工作方式。為了便于說明,在以下的討論中,記策略1和2下的“二乘二取二冗余系統(tǒng)”為DVRS-1(DVRS:Double2-Vote-2RedundancySystem)和DVRS-2。2乘二取二冗余系統(tǒng)的假設(shè)對(duì)于比較子系統(tǒng)而言,當(dāng)兩個(gè)模塊發(fā)生共模故障且都沒有被檢測到時(shí),比較器將無法通過比較檢測到這個(gè)故障,此時(shí)子系統(tǒng)的輸出將不可靠,如果該輸出被輸出選擇器選中去控制被控對(duì)象,則系統(tǒng)將可能處于危險(xiǎn)狀態(tài)。由于共模故障概率較小,且可以使用時(shí)間相異性等設(shè)計(jì)方法減小,在進(jìn)行可靠性和安全性分析時(shí),通常不考慮共模故障情況。在分析二乘二取二冗余系統(tǒng)時(shí),作以下假設(shè):(1)四個(gè)模塊的設(shè)計(jì)完全相同,即各個(gè)模塊的故障率、修復(fù)率和故障檢測覆蓋率均相同且是常數(shù)。(2)輸出選擇器和比較器完全可靠。如果考慮選擇器和比較器不可靠情況,情況將變得十分復(fù)雜,在大多數(shù)針對(duì)多處理單元系統(tǒng)進(jìn)行可靠性分析時(shí),普遍采用上述假設(shè)。由假設(shè)(1)可知,若某模塊在時(shí)刻t正常工作,則在t+?t發(fā)生故障的概率為p=1-e-λ?t,式中,λ為故障率,即單位時(shí)間如1小時(shí)內(nèi)出現(xiàn)的故障數(shù)。對(duì)于很小的?t,該式可簡化為p=1-e-λ?t≈λ?t,考慮到故障檢測覆蓋率c(運(yùn)算模塊中任一故障被檢測出來的概率,實(shí)用中常用被檢測到的故障類別百分比表示),則運(yùn)算模塊出現(xiàn)故障且被檢測到的概率為cλ?t,不能被檢測到的概率為(1-c)λ?t。同樣若某運(yùn)算模塊在時(shí)刻t出現(xiàn)故障,則在t+?t時(shí)被修復(fù)的概率為p=1-e-μ?t≈μ?t,式中,μ為修復(fù)率,即單位時(shí)間如1小時(shí)內(nèi)修復(fù)的故障數(shù)?；谝陨霞僭O(shè),在只有一組維修工的情況下,DVRS-1和DVRS-2的馬爾柯夫模型狀態(tài)轉(zhuǎn)換圖見圖2、圖3。2.1各系統(tǒng)停機(jī)試驗(yàn)方案DVRS-1的狀態(tài)轉(zhuǎn)換圖見圖2,其馬爾可夫狀態(tài)含義為:狀態(tài)0:四個(gè)模塊都正常。狀態(tài)1:一個(gè)模塊出現(xiàn)可測故障。狀態(tài)2:一個(gè)子系統(tǒng)兩個(gè)模塊均出現(xiàn)可測故障。狀態(tài)3:兩個(gè)子系統(tǒng)都存在故障,系統(tǒng)停機(jī)。狀態(tài)4:一個(gè)模塊出現(xiàn)不可測故障。狀態(tài)5:一個(gè)子系統(tǒng)兩個(gè)模塊一個(gè)出現(xiàn)不可測故障、一個(gè)出現(xiàn)可測故障。記pj(t)=p(X(t)=j),表示t時(shí)刻系統(tǒng)處于狀態(tài)j的概率,j∈{0,1,2,3,4,5},令P(t)=[p0(t),p1(t),p2(t),p3(t),p4(t),p5(t)],則P(t)滿足方程:式中,A為狀態(tài)轉(zhuǎn)移密度矩陣,由狀態(tài)轉(zhuǎn)換圖易知:求解方程(1),并代入初始條件P(0)=,可得到t時(shí)刻各個(gè)狀態(tài)的概率,從而求得系統(tǒng)的可靠度R(t)和安全度S(t):由于所有的狀態(tài)都是安全的狀態(tài),故安全度S(t)≡1。2.2主、備機(jī)子系統(tǒng)故障DVRS-2的狀態(tài)轉(zhuǎn)換圖見圖3,其中狀態(tài)0、1、2、4的含義同策略1,其他狀態(tài)含義為:狀態(tài)3:單模塊工作正常,其他模塊均可測故障。狀態(tài)5:主機(jī)子系統(tǒng)單模塊工作、備機(jī)子系統(tǒng)一個(gè),模塊出現(xiàn)不可測故障。狀態(tài)6:主備機(jī)子系統(tǒng)各有一個(gè)模塊出現(xiàn)可測故障。狀態(tài)7:主機(jī)子系統(tǒng)正常、備機(jī)子系統(tǒng)一個(gè)模塊是可測故障,一個(gè)是不可測故障。狀態(tài)8:主機(jī)系統(tǒng)單模塊工作,備機(jī)子系統(tǒng)一個(gè)模塊是可測故障,一個(gè)是不可測故障。狀態(tài)9:子系統(tǒng)都失效或停機(jī)。狀態(tài)10:系統(tǒng)單模塊工作時(shí),該模塊又出現(xiàn)不可測故障,系統(tǒng)處于危險(xiǎn)狀態(tài)。同樣用pj(t)=p(X(t)=j),表示t時(shí)刻系統(tǒng)處于狀態(tài)j的概率,j∈{0,1,2,3,4,5,6,7,8,9,10},P(t)=[p0(t),p1(t),p2(t),p3(t),p4(t),p5(t),p6(t),p7(t),p8(t),p9(t),p10(t)],系統(tǒng)的狀態(tài)轉(zhuǎn)移密度矩陣A為:將A和P(t)帶入方程(1)求解,并代入初始條件P(0)=[1,0,0,0,0,0,0,0,0,0,0],可得到t時(shí)刻各個(gè)狀態(tài)的概率,從而得到系統(tǒng)的可靠度和安全度:3不同修復(fù)率的仿真結(jié)果對(duì)于方程(1),可以通過Laplace變換等方法求得其解析解,進(jìn)而求得系統(tǒng)的可靠度和安全度,但結(jié)果比較繁瑣,為此使用Matlab的Ode4指令進(jìn)行仿真計(jì)算。假設(shè)系統(tǒng)的故障率λ為0.0001次/h,時(shí)間范圍為0~10000h。先令μ=0.9次/h,考察故障檢測覆蓋度c對(duì)可靠度R(t)和不安全度U(t)的影響(不安全度U(t):系統(tǒng)產(chǎn)生危險(xiǎn)輸出的概率,即U(t)=1-S(t),因S(t)變化較小,這里使用U(t)來表征各參數(shù)對(duì)系統(tǒng)安全性的影響),其結(jié)果見表3和表4。再令c=0.95,考察修復(fù)率μ在不同的策略和參數(shù)t下,對(duì)可靠度和不安全度的影響,結(jié)果見表5和表6。從表3和表4可以看出,當(dāng)μ=0.9時(shí),隨著c的增大,DVRS-1和DVRS-2的可靠度大幅增大,DVRS-1的不安全度為0即安全度為1(由2.1節(jié)可知在不考慮共模失效時(shí),安全度恒為1,下面的討論,若不特別說明,均不包含DVRS-1的安全度),DVRS-2的不安全度先增大后減小即安全度先減小后增大,但總體變化很小;當(dāng)c≥0.9時(shí),二乘二取二冗余系統(tǒng)能獲得較大的可靠度和安全度。由表5和表6可知,當(dāng)系統(tǒng)的故障檢測覆蓋率c為0.95時(shí),除DVRS-1的安全度不變外,DVRS-1和DVRS-2的可靠度以及DVRS-2的安全度均隨著修復(fù)率μ的增大而增大(表中DVRS-2的不安全度隨著修復(fù)率μ的增大而減小)。當(dāng)μ較大如大于0.1時(shí),μ的變化對(duì)DVRS-1和DVRS-2的可靠度影響較小,而當(dāng)μ較小時(shí),對(duì)可靠度的影響較大,比較而言,μ對(duì)DVRS-1的影響要大于對(duì)DVRS-2的影響。進(jìn)一步仿真發(fā)現(xiàn),當(dāng)c取其他值時(shí),該結(jié)論也成立。綜合表3、表4、表5、表6,可以發(fā)現(xiàn),當(dāng)c≠0時(shí),對(duì)于所有的c和μ,DVRS-1的安全度要大于DVRS-2,可靠度要小于DVRS-2;當(dāng)c=0時(shí),DVRS-1和DVRS-2的可靠度和安全度相同。后者是因?yàn)樵赾=0時(shí),DVRS-1和DVRS-2可簡化成三個(gè)狀態(tài):四個(gè)模塊均正常、一個(gè)模塊不可測故障、兩個(gè)子系統(tǒng)各有一個(gè)模塊不可測故障,使用Laplace變換可得系統(tǒng)的可靠度R(t):從上式可以看出,R(t)與μ無關(guān)。取λ為0.0001次/h,t為10000h,則R(t)=0.2524。同樣,可得到系統(tǒng)的安全度S(t)≡1。4/對(duì)于仿真度的影響為了進(jìn)一步討論二乘二取二冗余系統(tǒng)的適用范圍,本文選擇常用的三模冗余和普通雙機(jī)熱備與其進(jìn)行對(duì)比研究。同樣令故障率λ為0.0001次/h,時(shí)間范圍為0~10000h,故障檢測覆蓋率c為0.95,并分別在μ=0.9(可修復(fù))和μ=0(不可修復(fù))時(shí)對(duì)系統(tǒng)的可靠度和安全度進(jìn)行仿真,其仿真曲線見圖4、圖5、圖6和圖7。其中三模冗余和普通雙機(jī)熱備系統(tǒng)的詳細(xì)分析參見文獻(xiàn)。從圖4、圖5、圖6、圖7可以看出,DVRS-1的可靠度最小,但其安全度最高;當(dāng)μ=0.9時(shí),DVRS-2的安全度和可靠度均要高于三模冗余和雙機(jī)熱備結(jié)構(gòu),當(dāng)μ=0時(shí),DVRS-2的可靠度最高,但其安全度略低于三模冗余。因而在實(shí)際使用中,如果對(duì)安全度要求及其嚴(yán)格,我們使用DVRS-1,其他情況下,使用DVRS-2能獲得較高的安全度和可靠度。5c+0情況下,dvrs-1和dvrs-2在c的0下的安全度和安全度比較本文研究了二乘二取二冗余系統(tǒng)的基本原理和工作策略,并使用馬爾可夫模型對(duì)其可靠性和安全性進(jìn)行了分析,通過Matlab仿真以及與三模冗余和雙機(jī)熱備結(jié)構(gòu)相比,可以得出如下結(jié)論:(1)當(dāng)c=0時(shí),兩種策略的