張振海，王悅榕，黨建武

(1.蘭州交通大學 自動化與電氣工程學院，甘肅 蘭州 730070；2.甘肅省人工智能與圖形圖像處理工程研究中心，甘肅 蘭州 730070)

CTCS-3級列控系統(tǒng)是中國列車運行控制系統(tǒng)的重要組成部分，它根據(jù)列車的實際運行情況，對列車運行速度、制動方式等進行監(jiān)督和控制，以保證行車安全和提高行車效率，所以列控系統(tǒng)的可靠性是列車運行安全的重要保證[1]。車載子系統(tǒng)是列控系統(tǒng)的主要子系統(tǒng)，是實現(xiàn)列車速度控制的關(guān)鍵設(shè)備，對其進行可靠性評估，有助于改善系統(tǒng)設(shè)計和提高維修水平。

列控車載子系統(tǒng)是安全苛求系統(tǒng)，在其配置上多采用冗余方式提高可靠性，故而共同原因失效是不可避免的問題。一旦因同一種原因?qū)е孪嚓P(guān)冗余元件發(fā)生關(guān)聯(lián)失效，不僅會降低系統(tǒng)的可靠性，而且會增加系統(tǒng)失效的發(fā)生概率，給行車安全埋下隱患。同時，恢復機制和系統(tǒng)降級運行也同樣影響著可靠性評估的結(jié)果[1]。

文獻[2-3]利用動態(tài)故障樹分析方法，在分析列控系統(tǒng)和列控中心結(jié)構(gòu)及其功能的基礎(chǔ)上，建立故障樹模型并進行可靠性分析。文獻[4-5]采用Markov模型分別對列控系統(tǒng)和列控中心進行可靠性分析。但故障樹分析法和Markov模型存在計算復雜、狀態(tài)空間爆炸以及對復雜系統(tǒng)計算精度低等問題。文獻[6-7]采用β因子模型對系統(tǒng)共因失效進行量化計算。β因子模型簡單易計算，但對β因子取值的區(qū)間大且分類簡單，不利于獲得精確的共因失效率。

貝葉斯網(wǎng)絡(luò)(Bayesian Network, BN)基于概率推理理論，能表達隨機變量之間的關(guān)系，同時貝葉斯網(wǎng)絡(luò)對復雜多態(tài)系統(tǒng)易表達和推理，且可以通過增加共因失效節(jié)點的方式表達共因失效。目前利用貝葉斯網(wǎng)絡(luò)進行可靠性分析已被應用于各個領(lǐng)域，在鐵路信號領(lǐng)域中也有應用[6-8]。另外，文獻[9]提出將α因子模型應用在列控安全計算機的共因失效分數(shù)計算中，獲得更加精確的平均危險側(cè)失效概率?；诖?，本文在現(xiàn)有文獻研究的基礎(chǔ)上，利用貝葉斯網(wǎng)絡(luò)建立考慮共因失效的列控車載子系統(tǒng)可靠性分析模型，綜合考慮恢復機制和降級運行問題，比較β因子模型和α因子模型對共因失效問題進行可靠性量化分析結(jié)果的差別，以更好地實現(xiàn)對列控車載子系統(tǒng)的可靠性評估。

1 CTCS-3級列控車載子系統(tǒng)

1.1 系統(tǒng)結(jié)構(gòu)

列控車載子系統(tǒng)是保障行車安全的關(guān)鍵設(shè)備，目前在用的CTCS-3級列控車載子系統(tǒng)有CTCS3-300T、CTCS3-300S和CTCS3-300H等型號。其中300T車載子系統(tǒng)采用雙系冷備冗余方式，當主系統(tǒng)出現(xiàn)故障時，由司機撥動冗余開關(guān)切換至備用系統(tǒng)。300T型車載子系統(tǒng)結(jié)構(gòu)見圖1，其中虛框部分為冷備設(shè)備。該系統(tǒng)主要包括車載安全計算機、軌道電路信息讀取器、GSM-R無線通信單元、列車接口單元、應答器信息接收單元、測速測距單元、人機界面等。

圖1 300T型車載子系統(tǒng)結(jié)構(gòu)

列控車載子系統(tǒng)主要功能是實現(xiàn)速度監(jiān)控、人機交互等。其中，安全計算機承擔著核心數(shù)據(jù)的處理任務(wù)，負責從其他模塊獲取信息、生成速度監(jiān)控曲線、監(jiān)控列車運行。安全計算機設(shè)置CTCS-2、CTCS-3級控制單元，通常情況下由CTCS-3級控制單元控車，CTCS-2級控制單元處于冷備狀態(tài)。當CTCS-3級控制單元出現(xiàn)通信故障或無線閉塞中心RBC故障時，又或者在非RBC控制區(qū)域運行時，降級至CTCS-2級控制單元控車。無線通信模塊和GSM-R電臺承擔著無線通信信息的傳輸和處理任務(wù)，與RBC共同構(gòu)建了車-地之間的雙向信息傳輸通道。人機界面完成車載設(shè)備和司機的交互功能，司機通過人機界面進行司機號、車次號和模式轉(zhuǎn)換等操作，人機界面向司機提供運行速度、目標速度和警示信息等提示。軌道電路信息讀取器和應答器信息接收單元承擔著軌旁信號的接收和處理任務(wù)，包括軌道電路的低頻信息、載頻信息和應答器報文等。測速測距單元主要處理速度傳感器和雷達信號，實時獲得列車速度和距離等信息。列車接口單元是車載子系統(tǒng)和動車組的接口，完成將控制命令輸出至動車組并獲得反饋信息等功能。司法記錄單元完成數(shù)據(jù)記錄功能，記錄車載系統(tǒng)的工作模式、司機操作等信息。

1.2 故障樹建立

首先，根據(jù)故障樹的建立方法和步驟[10]，在分析系統(tǒng)結(jié)構(gòu)和功能的基礎(chǔ)上，選擇車載子系統(tǒng)故障為頂事件。其次，由于車載子系統(tǒng)的主要功能是對列車速度進行控制，保證列車在規(guī)定的安全速度、距離內(nèi)運行，所以選擇對系統(tǒng)功能影響較大的關(guān)鍵設(shè)備作為基本事件，其中人機界面、應答器信息接收單元和應答器天線為雙系冷備冗余，其他關(guān)鍵設(shè)備采用雙機熱備冗余。根據(jù)事件間信息傳遞關(guān)系以及邏輯關(guān)系建立300T型列控車載子系統(tǒng)故障樹模型，見圖2。圖2中各節(jié)點及單元名稱見表1。

圖2 300T型車載子系統(tǒng)故障樹模型

表1 節(jié)點及單元名稱

2 共因失效

共因失效(Common Cause Failure，CCF)是指由于某種共同原因?qū)е聝蓚€以上的部件在同一時間或短時內(nèi)失效。共因失效的存在會提高系統(tǒng)的失效風險，對結(jié)構(gòu)復雜的冗余系統(tǒng)影響很大，所以共因失效對列控車載子系統(tǒng)的影響不可忽視。對存在共因失效的系統(tǒng)進行可靠性研究主要包括兩方面，一是可靠性模型構(gòu)建，二是定量計算共因失效單元的失效率。

2.1 可靠性模型構(gòu)建

本文采用貝葉斯網(wǎng)絡(luò)構(gòu)建可靠性模型，根據(jù)貝葉斯網(wǎng)絡(luò)與故障樹之間的對應關(guān)系[11]，完成故障樹向貝葉斯網(wǎng)絡(luò)轉(zhuǎn)化的圖形映射和數(shù)值映射。考慮到冗余系統(tǒng)的恢復機制問題，用覆蓋參數(shù)c反映冗余系統(tǒng)的不完全覆蓋程度，即系統(tǒng)從失效狀態(tài)恢復能力[12]。記事件發(fā)生狀態(tài)為l，事件發(fā)生為l=1，事件不發(fā)生為l=0；P為概率。熱備門和冷備門向貝葉斯網(wǎng)絡(luò)的轉(zhuǎn)化過程見圖3。

圖3 熱備門和冷備門向貝葉斯網(wǎng)絡(luò)的轉(zhuǎn)化過程

考慮共因失效的雙機冗余貝葉斯網(wǎng)絡(luò)模型見圖4。其中：單元E1和E2并聯(lián)構(gòu)成系統(tǒng)D1；單元E1由獨立失效因子E1I和共因失效因子E串聯(lián)構(gòu)成；單元E2由獨立失效因子E2I和共因失效因子E串聯(lián)構(gòu)成。

圖4 考慮共因失效的貝葉斯網(wǎng)絡(luò)模型

為保證運營效率，在CTCS-3級線路中出現(xiàn)GSM-R網(wǎng)絡(luò)或無線閉塞中心RBC設(shè)備故障時，車載子系統(tǒng)可在不停車的情況下由CTCS-3級切換到CTCS-2級(以下簡稱“C3”和“C2”)。由C3級控車模塊控車時，C2級控車模塊接收軌道電路、應答器和列車速度等信息，但不對外輸出。當出現(xiàn)無線超時情況時，觸發(fā)C3降級到C2邏輯，C2控制模塊進入熱備狀態(tài)并周期性地向C3模塊發(fā)送允許速度，當列車速度降至C2允許速度之下后，系統(tǒng)轉(zhuǎn)入C2級運行。貝葉斯網(wǎng)絡(luò)能簡單清楚地表達多狀態(tài)系統(tǒng)。針對上述場景，假設(shè)C3控制模塊有正常、故障和降級狀態(tài)，分別用lC3=0、lC3=1和lC3=2表示；C2控制模塊有正常和故障狀態(tài)，分別用lC2=0，和lC2=1表示。采用貝葉斯網(wǎng)絡(luò)構(gòu)建的可靠性模型見圖5。其中，節(jié)點T為車載子系統(tǒng)，節(jié)點C2為C2控制模塊，節(jié)點C3為C3控制模塊。

圖5 采用貝葉斯網(wǎng)絡(luò)構(gòu)建的可靠性模型

2.2 共因失效率計算

對共因失效進行量化計算時，由于直接精確統(tǒng)計共因失效事件的發(fā)生概率非常困難，所以現(xiàn)有研究通常利用參數(shù)模型量化共因失效發(fā)生概率。常用的參數(shù)模型有α因子模型、β因子模型和多希臘字母模型等[13-15]，這些參數(shù)值通常從工程經(jīng)驗或現(xiàn)有相關(guān)文獻中獲取。由于多希臘字母模型是β因子模型的擴展，故而本文主要采用α因子模型和β因子模型對系統(tǒng)進行可靠性分析，并加以比較。如圖4所示，設(shè)節(jié)點E1I的失效率為λE1I，節(jié)點E的失效率為λE，則節(jié)點E1的失效率λE1為

λE1=λE1I+λE

(1)

(1)β因子模型

設(shè)某部件總失效率Qt由獨立概率QI和相關(guān)概率QC組成，β表示相關(guān)概率和總失效率的比值，則對于具有獨立失效率λI和共因失效率λC的部件，其β因子的計算公式為

(2)

β因子的取值一般在0～0.25之間，但在實際應用中，專家經(jīng)驗給出對于硬件失效，β因子的取值一般在0.1%～10%之間。β因子反映的是部件對環(huán)境應力的敏感程度，部件對外部條件越敏感，其β值越高。在對共因失效進行量化時，為了簡化計算，認為部件一旦受到共因失效影響，部件會完全失效。

(2)α因子模型

(3)

(4)

式中：αk為k個單元發(fā)生共因失效的事件占總失效事件的比例。

在計算共因失效率時，需要確定參數(shù)αk的值。設(shè)系統(tǒng)中k個單元發(fā)生共因失效次數(shù)為ak，發(fā)生其余類型失效次數(shù)為bk，且αk的先驗數(shù)據(jù)服從β分布，即

(5)

(6)

αk的值一般由歷次共因失效數(shù)據(jù)的統(tǒng)計數(shù)據(jù)而得出，但由于列控系統(tǒng)的共同原因失效數(shù)據(jù)不足，本文參考文獻[9，16]引入共因失效數(shù)據(jù)，以此作為參考確定αk。

3 考慮共因失效的貝葉斯網(wǎng)絡(luò)可靠性分析

貝葉斯網(wǎng)絡(luò)能進行正反向推理，即可以因果推理和診斷推理。當給原因變量提供了證據(jù)時，貝葉斯網(wǎng)絡(luò)能從更新模型中推理出結(jié)果變量的概率，同理，當給結(jié)果變量提供了證據(jù)時，貝葉斯網(wǎng)絡(luò)能反向推理出原因變量的概率。假設(shè)T為頂事件，Ei為底事件和中間事件，各節(jié)點間存在條件獨立性，則得到聯(lián)合概率分布為

(7)

式中：n為節(jié)點數(shù)量；ei∈{0,1}表征Ei事件是否發(fā)生。

如圖4所示的雙機冗余結(jié)構(gòu)，設(shè)基本單元壽命服從指數(shù)分布，則單元E1和E2的可靠度為

(8)

如果不考慮共因失效，則系統(tǒng)D1的可靠度表達式為

RD1=1-[(1-RE1)(1-RE2)]

(9)

當考慮共因失效時，系統(tǒng)D1的可靠度表達式為

(10)

4 CTCS-3級列控車載子系統(tǒng)可靠性分析

4.1 共因失效組的確定及其故障率的分解

共因失效組的選擇直接影響共因失效分析的結(jié)果，所以確定共因失效組是共因失效系統(tǒng)可靠性分析的基礎(chǔ)。根據(jù)共因失效組選擇原則，考慮到同一冗余上的部件功能具有相同性或相關(guān)性，且其工作環(huán)境可能相同，故這些部件常常被選擇作為共因失效組。在列控車載子系統(tǒng)中，由于應答器信息接收單元、應答器天線和人機界面為雙系冷備冗余，備系在主系無故障時不工作，所以將其視為單系。而其余關(guān)鍵設(shè)備采用雙系熱備冗余，備系在主系無故障時處于工作狀態(tài)，所以主備系確定為一組共因失效組。

以CTCS-2級控制單元E1、E2為例，E1、E2組成一組共因失效組。首先對其進行失效部件分解，分解成獨立失效因子J1、J2和共因失效因子J12，見圖6。然后對共因失效組中的失效部件進行故障率分解。設(shè)部件獨立失效率為λJ1、λJ2，共因失效率為λJ12，由式(1)可得

圖6 共因失效部件分解

(11)

(12)

(1) 采用β因子模型對故障率分解

假設(shè)列控車載子系統(tǒng)處于最惡劣的環(huán)境下，故而取β=10%，各單元壽命為t=2×104h。根據(jù)列控車載子系統(tǒng)各單元的可靠性參數(shù)和式(2)，得到各單元的獨立失效率和共因失效率，見表2。

表2 考慮共因失效的各單元失效率 h-1

(2) 采用α因子模型對故障率分解

由于列車運行控制系統(tǒng)缺少共同原因失效的統(tǒng)計數(shù)據(jù)，本文參考文獻[9，16]的無歷史數(shù)據(jù)情況下的αk取值，見表3。

表3 共因參數(shù)值

根據(jù)表3中的數(shù)據(jù)，α1取0.974 269，α2取0.025 731，結(jié)合某電務(wù)段的歷史運營數(shù)據(jù)和文獻[4]系統(tǒng)各單元的可靠性參數(shù)，帶入式(3)計算車載子系統(tǒng)各共因失效組部件的失效率和共因失效率，計算結(jié)果見表4。

表4 共因失效部件故障率分解

4.2 系統(tǒng)模型構(gòu)建

根據(jù)列控車載子系統(tǒng)故障樹分析模型，綜合考慮共因失效、恢復機制等因素，利用MSBNx建立車載子系統(tǒng)貝葉斯網(wǎng)絡(luò)模型，見圖7。

圖7 列控車載子系統(tǒng)貝葉斯網(wǎng)絡(luò)模型

考慮車載子系統(tǒng)存在正常工作和故障兩種情況時，車載安全計算機有工作和失效兩種狀態(tài)，分別用0和1表示。其中：狀態(tài)0表示CTCS-3級列控車載子系統(tǒng)正常運行，即C3控車模塊和C2控車模塊有一個及以上正常工作；狀態(tài)1表示CTCS-3級列控車載子系統(tǒng)發(fā)生故障，即C3控車模塊和C2控車模塊均發(fā)生故障。假設(shè)各單元設(shè)備狀態(tài)相互獨立且失效率服從指數(shù)分布，取覆蓋參數(shù)c=0.96，由于篇幅限制，此處省略條件概率表。

考慮因無線閉塞中心RBC或GSM-R通信故障(包括RTU、GSM-R和RSS故障)引起系統(tǒng)降級運行時，車載安全計算機有正常、故障、降級三種狀態(tài)，分別用0、1、2表示。其中：狀態(tài)0表示CTCS-3級列控車載子系統(tǒng)正常運行，即C3控車模塊正常工作，C2控車模塊處于冷備狀態(tài)；狀態(tài)1表示CTCS-3級列控車載子系統(tǒng)發(fā)生故障，即C3控車模塊和C2控車模塊均故障；狀態(tài)2表示CTCS-3級列控車載子系統(tǒng)降級運行，即C3控車模塊因通信故障等原因退出控車，C2控車模塊正常工作。利用MSBNx建立考慮降級運行下的車載子系統(tǒng)貝葉斯網(wǎng)絡(luò)模型，見圖8。

圖8 考慮降級場景下的列控車載子系統(tǒng)貝葉斯網(wǎng)絡(luò)模型

由RBC的失效率為5.00×10-8h-1，RTU的失效率為1.80×10-5h-1，GSM-R的失效率為1.45×10-8h-1，RSS的失效率為1.20×10-5h-1，可得C3處于降級狀態(tài)的概率為這幾個失效率之和，即3.006×10-5h-1。

4.3 系統(tǒng)可靠性分析

根據(jù)貝葉斯網(wǎng)絡(luò)的正向推理，分別得到不考慮和考慮降級運行下的車載子系統(tǒng)各狀態(tài)概率，見表4。

表4 車載子系統(tǒng)狀態(tài)概率 %

由表4可以發(fā)現(xiàn)，在不考慮系統(tǒng)降級運行的情況下，系統(tǒng)的可用度明顯比考慮系統(tǒng)降級運行的可用度高。因而由于故障引起的系統(tǒng)降級運行對車載子系統(tǒng)的可用度影響較大，若要提高系統(tǒng)的可用度，就要減少此類故障的發(fā)生。

根據(jù)可靠度計算公式式(8)～式(10)，取t=2×104h計算出各單元模塊的可靠度，見表5。

表5 單元可靠度

由表5可以看出，不考慮共因失效時各單元模塊的可靠度明顯比考慮共因失效的可靠度高。所以雙機冗余的設(shè)計雖然提高了單元模塊的可靠性，但也提高了共因失效發(fā)生的概率，若不考慮共因失效因素，會高估可靠性，導致可靠性分析的誤差增大。

以C2-CU為例，取t=5×104h，得到C2-CU三種情況下的可靠度對比，以及兩種參數(shù)模型計算可靠度與不考慮共因失效的可靠度差值，見圖9。

由圖9(a)可以看出，隨著運行時間的增加，C2-CU模塊的可靠度逐漸下降，且共因失效對模塊的可靠度有一定的影響。由圖9(b)可以看出，利用β因子模型計算得到的可靠度與不考慮共因失效可靠的差值比利用α因子模型計算得到的可靠度與不考慮共因失效可靠的差值大得多，原因是取的β值是其范圍的最大值，考慮的是系統(tǒng)處于最惡劣條件下的情況，但直接取值劃分過于簡單，導致計算得到的可靠度較低。相比之下，α因子模型計算得到的可靠度更加貼合實際情況，并且由于本文利用的是無歷史數(shù)據(jù)下的通用取值，待設(shè)備單元的共因失效數(shù)據(jù)越來越完善，利用α因子模型的計算結(jié)果將會越來越接近實際情況。

圖9 C2-CU可靠度分析

將車載子系統(tǒng)節(jié)點T的失效率設(shè)置為1，根據(jù)貝葉斯網(wǎng)絡(luò)反向推理，可得系統(tǒng)故障時各單元的失效概率，見表6。

由表6各單元的后驗概率可以看出，節(jié)點D12、D3、D10、D8、D11的失效率較大，根據(jù)失效率從高到低的排序，對這幾個單元模塊的關(guān)注度為DMI>TIU>BTM>PROFIBUS>BTM Ant?？梢园l(fā)現(xiàn)雙系冷備的幾個模塊失效率較大，并且TIU作為CTCS-2級和CTCS-3級列車控制單元的共用模塊，其可靠度需要在日常維護時重點關(guān)注。

表6 系統(tǒng)故障時各單元的后驗概率

5 結(jié)論

本文在考慮共因失效、系統(tǒng)降級運行和恢復機制等多種影響因素下，將貝葉斯網(wǎng)絡(luò)模型引入列控車載子系統(tǒng)的可靠性分析中，得到的分析結(jié)論如下：

(1) 根據(jù)BN正向推理，得到系統(tǒng)可用度，并且當系統(tǒng)因故障降級運行時，系統(tǒng)的失效率更高，所以運營部門應盡量避免長時間、長距離處于這種故障降級狀態(tài)，或者針對處于這種狀態(tài)的車載子系統(tǒng)，需要有其他的應急備用措施。

(2) 根據(jù)BN反向推理，得到各單元模塊的后驗概率，為提高系統(tǒng)的可靠度，對DMI、BTM、BTM Ant、TIU、PROFIBUS總線等模塊需要重點關(guān)注，它們是車載子系統(tǒng)的薄弱環(huán)節(jié)。

(3) 隨著運行時間的延長，系統(tǒng)的可靠度會逐漸降低，且共因失效對系統(tǒng)的可靠度影響不可忽略。

(4) 由于β因子模型量化共因失效誤差比α因子模型大，隨著列控車載子系統(tǒng)設(shè)備故障數(shù)據(jù)的累積，通過α因子模型計算得到的系統(tǒng)可靠度更加符合實際情況。