CBTC安全可靠性分析

CBTC安全可靠性

1利用马尔可夫模型分析CBTC安全可靠性

C BT C具有可维修性，并且对系统的安全性会产生重要影响。在建立模型分析系统安全性时应考虑系统的这一特点。马尔可夫过程是分析可维修系统的常用工具。为此，需假定组成系统的各单个寿命分布及维修分布均服从指数分布。马尔可夫模型的缺点是状态个数随器件个数呈指数增长。例如，描述一个由20个器件组成的系统需要10个状态，而40个器件组成的系统需要10

126个状CBTC是一个由大量器件、子系统组成的大系统，系统的组件可能

上千个，必须很好地解决状态空间激增问题，才能利用马尔可夫过程分析系统的安全性。

根据CBTC特点，采用系统分解及模型压缩的方法解决状态空间的激增问题。由于在CBTC中不同类型设备的故障在导致行车事故方面相互并不影响，例如：道岔的故障对任何机车设备的故障是没有影响的。所以，可以为彼此独立的一类设备分别建立子模型，单独分析各类设备故障对系统安全性的影响，再组合各子模型的结果获得系统的故障率。此外，CBTC的一些子系统具有对称特性，例如，CBTC中一个道岔的子模型中含有100个道岔，假定每一个道岔的故障对系统安全产生的影响相同，在对该子模型进行分析时就没有必要区分具体是哪一个道岔发生故障，而只需要区分有几个道岔发生故障。因此，该子模型有101个状态，即0个道岔发生故障，1个道岔发生故障、??，100个道岔发生故障，根据子模型的这一特点，可以忽略一些出现概率极低、对系统安全性影响很小的事件，对子模型进一步简化。

CBTC中的一些设备发生失效将导致系统降级工作，此时系统暴露在人为失误之中，对应地需要分析人为因素对系统安全性的影响。一些设备发生失效将导致系统进入故障一安全状态，对应地需要分析设备故障覆盖率对系统安全性的影响。

2 人员因素的分析

现有列控系统是以人观察信号，控制列车加速、制动，以形成对列车的闭环控制。人在现有列控系统中代表一个单点故障，即在任何时间、地点都有可能因为人为失误而导致事故发生。从以往铁路行车事故的统计数字来看很大一部分是由人为失误造成的。CBTC中由硬件实现对列车的闭环控制。操作人员发出错误指令时，硬件将发现、提示并制止其在系统内的进一步传播。如果硬件失效，系统降级为由人员控制，则系统将暴露于人为失误之中。由于CBTC的人机交互特性，在马尔可夫模型中应同时包含人和硬件的因素。C BT C的一个简单模型如图9-16所示。

?H1?

23?H 图2 CBTC系统人/机模型

图9-16中，.N为设备的故障率和修复率；H为导致事故的人为差错率；μH为人的“修

复率”

状态1：硬件、人员正常工作； 状态2：硬件故障;

状态3：系统处于危险状态。 状态3的微分表达式为：

dP3(t)/dt = H P2(t)? μH P3（t） ..................................................9.6

假定人员随机地以固定差错率引入错误，故不同于硬件设备的是人具有“瞬时修复”特性。即在犯下一次错误前不需要“修复”。当P3(t)约为一个很小的正数时，则P3(t)的导数为一个很大的负数，P3(t)约迅速变为0。系统进入状态3后立即转移回状态2。状态3是一个“虚拟状态”，删除状态3对状态1、状态2的稳态概率没有影响。用一个“虚拟转移”来捕捉人员的“瞬时修复”特性。修改图9-16如图9-17所示。

1λμ2H

图9-17 利用虚拟转移表示CBTC事故率模型

利用事故率衡量系统的安全性，则人为因素引发事故的概率：

AH= H * P2(t) ........................................................................9.7 由于状态2存在降低了系统暴露于人为错误的时间，使得系统的安全性提高。

3设备的故障覆盖率

设备的故障覆盖率为设备发生可测故障的概率与设备发生故障的概率的比值。如果设备仅由非涉安单元组成，CBTC系统将检测到设备故障，设备的故障覆盖率为1。如果设备包含涉安单元，涉安单元的双机发生共因失效，则比较功能丧失，可能输出合理危险的结果，导致行车事故，设备的故障覆盖率小于1。假定设备由一涉安单元（双机比较）和一非涉安单元（单机）组成，将单元失效划分为独立失效和共因失效。独立失效是指非涉安单元失效或涉安单元中的一单机失效。共因失效是指共同的应力作用下，双机比较单元的双机同时一致地发生了失效，比较功能丧失。根据比较输出结果对系统安全性的影响，将共因失效划分为安全共因失效和危险共因失效。该设备的状态转移图如图9-19所示。其中效率、状态及状态转移有如下解释：

?1?2?2n??2sc21?2dc3

图9-19 设备的故障覆盖率

图9-19中，λ险共因失效率。

n1，λ

n2为非涉安、涉安单元独立失效率；λ

sc2，λ

dc2 为涉安单元安全、危

状态1：两个单元均正常工作。

状态2：系统降级工作或进入故障一安全状态。 状态3：系统处于危险状态。

状态1→状态2：当单机单元或双机比较单元发生独立失效或双机单元发生安全共因失效（双机比较功能丧失，比较输出不合理结果），系统将检测到设备失效，系统降级工作或进入故障安全状态。

状态1→状态3：:双机比较单元发生危险共因失效(双机比较功能丧失，比较输出合理结果，保守地认为这种情况都将导致事故发生)系统处于危险状态。

该设备的故障覆盖率为：

C = P2/( P2 + P3) ...........................................................9.9

4子模型的状态转移图

根据CBTC中设备失效对系统的影响将其分为两类。一类是设备发生失效后，系统进入故障一安全状态，称此类设备为故障一安全型设备，需要考虑设备故障覆盖率对系统安全性的影响。例如，道旁设备由于WIU发生独立失效，系统进入故障一安全状态，ROC发布命令，控制列车在相应道岔前停车，由司机与调度员确认道岔方向后，驾驶列车通过该道岔。保守地认为，WIU发生危险共因失效将引发行车事故。另一类是设备发生失效将导致系统降级操作，此时系统暴露于人为失误之中，称此类设备为故障一降级型设备，需要考虑人为因素的影响。例如，车载设备的通信单元发生独立失效将导致ROC无法获取列车的位置、速度信急或车载设备无法接收ROC的控制命令。此时调度员只有通过无线列调(语音)与受影响列车的司机保持联系，控制列车运行至故障解除。这段时间内调度员和司机的失误都可能引发事故。如果无线列调设备也发生故障，则相应列车必须停车等待故障单元被修复。车载设备的命令执行单元发生危险不可测失效将引发行车事故。在此，分别为两类设备建立子模型，分析其对系统安全性的影响。假定系统由100个同类故障一降级型设备和故障一安全型设备组成，每个设备均由一个涉安单元和一个非涉安单元构成。每种设备对系统安全性的影响是相互独立的，分别为两种设备建立子模型，其状态转移图示如图9-19所示。

100?1C199?1C198?1C10?112?123?13100?1(1?C1)99?1(1?C1)?2H98?1(1?C1)?3H97?1(1?C1)?4H 图9-19 故障-降级型设备子模型状态转移图 图中，λ

，C1分别为设备的失效率、修复率、故障覆盖率。 1、μ1、