張宏揚(yáng)，梁志國，王龍生，齊志華，白 帥，喬亞瓊

(1.中國鐵道科學(xué)研究院集團(tuán)有限公司 研究生部， 北京 100081；2.中國鐵道科學(xué)研究院集團(tuán)有限公司 通信信號(hào)研究所，北京 100081)

鐵路信號(hào)安全計(jì)算機(jī)平臺(tái)一般采用冗余配置，是基于失效—安全原則設(shè)計(jì)、須滿足安全完整性等級(jí)(Safety Integrity Level，SIL)要求的高安全性計(jì)算機(jī)實(shí)時(shí)控制系統(tǒng)，在正式投入使用之前須由第三方認(rèn)證機(jī)構(gòu)進(jìn)行SIL認(rèn)證，其中硬件SIL驗(yàn)證是認(rèn)證工作的重點(diǎn)，國內(nèi)外有關(guān)學(xué)者對(duì)此做了大量研究。

文獻(xiàn)[1-4]采用IEC 61508中提供的PFH(Probability of a dangerous Failure per Hour)公式[5]計(jì)算了不同冗余結(jié)構(gòu)信號(hào)設(shè)備的安全完整性等級(jí)。文獻(xiàn)[6-7]利用PDS方法[8]計(jì)算了某信號(hào)安全計(jì)算機(jī)的安全性指標(biāo)PFH，進(jìn)而驗(yàn)證其安全完整性等級(jí)滿足相關(guān)的要求。文獻(xiàn)[9-10]通過建立ATP(Automatic Train Protection)及其子單元的故障樹來求解危險(xiǎn)失效概率，由此判斷所滿足的SIL。另有一些文獻(xiàn)采用馬爾科夫鏈[11]、動(dòng)態(tài)故障樹[12-13]等動(dòng)態(tài)方法對(duì)不同結(jié)構(gòu)鐵路信號(hào)設(shè)備的危險(xiǎn)失效概率、安全完整性等級(jí)進(jìn)行計(jì)算驗(yàn)證。上述文獻(xiàn)在SIL驗(yàn)證中均假設(shè)失效率等相關(guān)參數(shù)為固定值，由此得到的是單一精確的安全性定量指標(biāo)及對(duì)應(yīng)的SIL，但在鐵路信號(hào)系統(tǒng)的安全性分析中常存在失效數(shù)據(jù)不充足、失效模式未被完全辨識(shí)等客觀因素，因此難以獲取精確的故障數(shù)據(jù)，從而導(dǎo)致其硬件SIL的驗(yàn)證過程常受到不確定性因素的影響，但上述文獻(xiàn)并未對(duì)此進(jìn)行分析。而有研究對(duì)低要求模式下安全相關(guān)系統(tǒng)SIL驗(yàn)證中的不確定性進(jìn)行了分析，如文獻(xiàn)[14-15]利用蒙特卡洛法(Monte Carlo Analysis，MCA)模擬了常見冗余結(jié)構(gòu)(Probability of dangerous Failure on Demand，PFD)公式中各參數(shù)概率分布已知類型的不確定性，有效減少了數(shù)據(jù)缺乏等不確定性因素對(duì)SIL驗(yàn)證結(jié)果的影響，但鐵路信號(hào)領(lǐng)域內(nèi)的失效參數(shù)通常難以獲取其概率的分布類型，因此MCA的適用性也有限。模糊理論(Fuzzy Theory，F(xiàn)T)[16]可有效解決參數(shù)概率分布未知情況下的不確定性問題，有學(xué)者將其引入安全儀表系統(tǒng)的SIL驗(yàn)證中，如文獻(xiàn)[17-18]將共因失效因子、診斷覆蓋率的精確值替換為模糊數(shù)，并根據(jù)不同截集對(duì)結(jié)果進(jìn)行判定，但截集取何值需要人為指定，從而可能二次引入不確定性，因此如何對(duì)結(jié)果進(jìn)行評(píng)估須進(jìn)一步考量。

綜上，鐵路信號(hào)設(shè)備SIL驗(yàn)證有關(guān)的文獻(xiàn)大多未考慮驗(yàn)證過程中失效參數(shù)不確定性的影響，而常用的MCA、FT等不確定性分析方法多應(yīng)用在安全儀表系統(tǒng)的SIL驗(yàn)證中。本文將上述應(yīng)用在工業(yè)領(lǐng)域內(nèi)安全相關(guān)系統(tǒng)SIL驗(yàn)證中的不確定分析方法引入鐵路信號(hào)安全計(jì)算機(jī)的硬件SIL驗(yàn)證中，并對(duì)其進(jìn)行改進(jìn)。首先對(duì)鐵路信號(hào)安全計(jì)算機(jī)常見冗余結(jié)構(gòu)及其SIL驗(yàn)證模型進(jìn)行介紹，分析SIL驗(yàn)證過程中可能存在的不確定性類型；然后針對(duì)參數(shù)不確定性中概率分布已知和未知這兩種類型，分別采用蒙特卡洛法和模糊理論構(gòu)建了硬件SIL的驗(yàn)證模型，并從三種測度角度對(duì)基于模糊理論得出的結(jié)果進(jìn)行評(píng)價(jià)，同時(shí)從符合性概率角度對(duì)兩種方法得出的結(jié)果進(jìn)行比較；最后以某實(shí)際1oo2結(jié)構(gòu)的鐵路信號(hào)安全計(jì)算機(jī)為例對(duì)所提出的方法進(jìn)行了仿真驗(yàn)證，證明了該方法的有效性。

1 鐵路信號(hào)安全計(jì)算機(jī)硬件SIL驗(yàn)證模型及不確定性類型

1.1 常見硬件冗余結(jié)構(gòu)及SIL驗(yàn)證模型

以MooN(M≤N)表示在N個(gè)獨(dú)立完成相同功能通道中的M個(gè)通道(系統(tǒng)功能完好的條件為N個(gè)通道中有M個(gè)及M以上個(gè)完好)，鐵路信號(hào)安全計(jì)算機(jī)常見的雙機(jī)熱備、二取二和三取二冗余，可分別表示為1oo2，2oo2和2oo3[19]。圖1為IEC 61508給出的三種冗余方式的結(jié)構(gòu)圖及對(duì)應(yīng)的可靠性框圖。

圖1 冗余結(jié)構(gòu)可靠性框圖

IEC 61508-6中提供的上述結(jié)構(gòu)中每小時(shí)危險(xiǎn)失效概率PFH的計(jì)算公式為其硬件SIL的驗(yàn)證模型[5]，即

PFH1oo2=2[(1-β)λDU+

(1-βD)λDD](1-β)λDUtCE+βλDU

( 1 )

PFH2oo2=2λDU

( 2 )

PFH2oo3=6[(1-β)λDU+

(1-βD)λDD](1-β)λDUtCE+βλDU

( 3 )

式中：tCE=(1-DC)(0.5T+MRT)+DC·MTTR為等效平均停止工作時(shí)間；DC為診斷覆蓋率；MRT為平均維修時(shí)間;MTTR為平均恢復(fù)時(shí)間，當(dāng)忽略故障檢測時(shí)間時(shí)，MRT=MTTR；λDD=λDDC為可被在線檢測到的危險(xiǎn)失效率；λDU=λD(1-DC)為不能被在線檢測到的危險(xiǎn)失效率；λD為危險(xiǎn)失效率；β和βD分別為無法檢測和可檢測的共因失效分?jǐn)?shù)；T為檢驗(yàn)測試時(shí)間間隔。

1.2 硬件SIL驗(yàn)證中的不確定性類型分析

對(duì)于鐵路信號(hào)安全計(jì)算機(jī)這類現(xiàn)代高可靠可編程電子設(shè)備來說，由于失效次數(shù)較少，現(xiàn)場失效數(shù)據(jù)統(tǒng)計(jì)不足，因此不容易捕獲到失效參數(shù)的精確概率[20]。而評(píng)估人員在SIL驗(yàn)證中通常假定器件的失效參數(shù)已經(jīng)準(zhǔn)確獲得，即定義為精確數(shù)值，但這時(shí)選取的參數(shù)只是其中一個(gè)工作條件點(diǎn)處的值，忽略了不確定性因素的影響，由此得到的SIL驗(yàn)證結(jié)果實(shí)際上只是關(guān)于這個(gè)點(diǎn)的精確值，這導(dǎo)致SIL驗(yàn)證中對(duì)分析驗(yàn)證人員經(jīng)驗(yàn)的強(qiáng)烈依賴，使得最終驗(yàn)證結(jié)果的可信度不高，從而可能增加做出錯(cuò)誤決策的風(fēng)險(xiǎn)[21]。

針對(duì)硬件SIL驗(yàn)證中的不確定性，IEC 61508在其最新版本中給出了結(jié)構(gòu)約束的路線2，該路線增加了SIL定量評(píng)估中對(duì)可靠性數(shù)據(jù)不確定性分析的要求，也增加了對(duì)結(jié)果置信度的要求，但標(biāo)準(zhǔn)中卻沒有給出具體可參照或執(zhí)行的步驟與方法[22]。

鑒于此，首先對(duì)SIL驗(yàn)證中存在的不確定性類型進(jìn)行分析，為之后選擇不同的方法處理奠定基礎(chǔ)。本文從不確定性因素的來源將其分為模型不確定性、參數(shù)不確定性和人為引入不確定性三類[23]。其中模型不確定性是在最初建立數(shù)學(xué)模型時(shí)，由概念和數(shù)學(xué)模型不能精確描述現(xiàn)實(shí)而引起的不確定性(如一些研究在分析冗余系統(tǒng)的安全性時(shí)假設(shè)系統(tǒng)中各部件相互獨(dú)立，未考慮共因失效)；參數(shù)不確定性是由模型中不能得到精確參數(shù)而引起的不確定性[18]；人為引入不確定性指技術(shù)人員在進(jìn)行分析評(píng)估時(shí)由于理解能力差異等造成的不確定性。在硬件SIL驗(yàn)證中，由于失效數(shù)據(jù)不夠充分、可靠性試驗(yàn)不足或存在專家經(jīng)驗(yàn)等主觀因素，導(dǎo)致λD，DC，β，βD，MTTR，MRT等參數(shù)通常難以獲得質(zhì)量較高的數(shù)據(jù)，因此“參數(shù)不確定性”成為了硬件SIL驗(yàn)證中最容易產(chǎn)生且最為重要的一類不確定性問題。本文主要對(duì)這類不確定性進(jìn)行分析，根據(jù)已知參數(shù)信息量的多少，可將參數(shù)不確定性問題大致分為表1中的三類[14]。

表1 硬件SIL驗(yàn)證中的參數(shù)不確定性類型

如表1所示，針對(duì)參數(shù)概率分布已知的“部分信息”類型，擬采用蒙特卡洛法進(jìn)行仿真模擬；而針對(duì)參數(shù)概率分布未知的“極少信息”類型，擬采用模糊理論進(jìn)行分析。此外，為有效區(qū)分參數(shù)不確定導(dǎo)致的結(jié)果分布于多個(gè)SIL區(qū)間的現(xiàn)象，根據(jù)表2所示的IEC 61508中高要求或連續(xù)操作模式下安全功能目標(biāo)失效量對(duì)應(yīng)SIL的劃分標(biāo)準(zhǔn)，定義每個(gè)級(jí)別SIL對(duì)應(yīng)PFH量值的上限為SILRU，得到如表3所示的劃分范圍。

表2 高要求或連續(xù)操作模式下安全功能目標(biāo)失效量對(duì)應(yīng)SIL

表3 SILRU對(duì)應(yīng)量值及等級(jí)

2 參數(shù)概率分布已知下的硬件SIL驗(yàn)證

2.1 蒙特卡洛法

蒙特卡洛法(Monte Carlo Analysis，MCA)又稱概率模擬方法，它以概率論、隨機(jī)過程和數(shù)理統(tǒng)計(jì)為理論基礎(chǔ)，是基于給定參數(shù)概率密度函數(shù)的一種隨機(jī)抽樣方法，可用于對(duì)參數(shù)滿足某種概率分布的問題進(jìn)行研究。其基本思想是：針對(duì)待求問題，根據(jù)物理現(xiàn)象本身的統(tǒng)計(jì)規(guī)律或人為構(gòu)造合適的依賴隨機(jī)變量的概率模型，使某些隨機(jī)變量的統(tǒng)計(jì)量為待求問題的解，通過對(duì)大量模擬仿真試驗(yàn)(大統(tǒng)計(jì)量的統(tǒng)計(jì)實(shí)驗(yàn)方法或計(jì)算機(jī)隨機(jī)模擬方法)結(jié)果的分析來計(jì)算所求參數(shù)，得出實(shí)際問題的近似解。和確定性方法的計(jì)算結(jié)果不同，采用MCA得到的是輸出結(jié)果的分布區(qū)間，這在一定程度上比不考慮不確定因素，僅用單一值來描述輸出結(jié)果更加全面準(zhǔn)確。該方法能夠比較逼真地描述具有隨機(jī)性質(zhì)的事物特點(diǎn)及物理實(shí)驗(yàn)過程，且與所求解問題的幾何維數(shù)關(guān)系不大，甚至幾何越復(fù)雜，其優(yōu)點(diǎn)越明顯[15]。此外，實(shí)現(xiàn)該方法的程序結(jié)構(gòu)簡單，所需存貯單元比其他數(shù)值方法少，容易使用個(gè)人計(jì)算機(jī)編寫通用性很強(qiáng)的應(yīng)用軟件。

2.2 基于MCA的硬件SIL驗(yàn)證

根據(jù)2.1節(jié)MCA基本思想的介紹，提出基于MCA的鐵路信號(hào)安全計(jì)算機(jī)硬件SIL驗(yàn)證步驟Step1～Step5，其中Step5改變了以往對(duì)結(jié)果的分布區(qū)間進(jìn)行判定評(píng)估以得到最終結(jié)論的方式，采用以95%的置信度判定系統(tǒng)所滿足的SIL等級(jí)，以此滿足結(jié)構(gòu)約束中有關(guān)結(jié)果置信度的要求，使結(jié)果更加可信。

Step1根據(jù)每個(gè)輸入?yún)?shù)所服從的概率分布(一般有Uniform分布，Normal分布，Beta分布，Lognormal分布，Gamma分布等)，在仿真軟件中使用隨機(jī)數(shù)生成一組輸入?yún)?shù)的隨機(jī)值。

Step2將Step1生成的一組隨機(jī)值代入相應(yīng)的SIL驗(yàn)證模型中得到輸出結(jié)果y(PFH)。

Step3重復(fù)執(zhí)行Step1和Step2，直到產(chǎn)生n個(gè)獨(dú)立的輸出結(jié)果。

Step4從獲得的樣本中生成輸出結(jié)果的統(tǒng)計(jì)數(shù)據(jù)，如最大值、最小值、均值等。

Step5根據(jù)95%的置信度來判定計(jì)算得到的y(PFH)值是否包含在所需SILRU內(nèi)，若樣本值滿足

P(y

( 4 )

則表示安全完整性等級(jí)可達(dá)到SILRU對(duì)應(yīng)的SIL等級(jí)(采用表3進(jìn)行判定)。式(4)中,P表示累積概率分布函數(shù)。基本流程見圖2。

圖2 基于MCA的鐵路信號(hào)安全計(jì)算機(jī)硬件SIL驗(yàn)證流程

根據(jù)概率論相關(guān)理論知識(shí)，當(dāng)仿真次數(shù)n趨于無窮大時(shí)，隨機(jī)變量的算術(shù)平均值將近似等于它的數(shù)學(xué)期望，即只要n取到足夠大，便可逼近所求的真實(shí)解，使評(píng)估結(jié)果更加可靠，因此可通過增加抽樣次數(shù)來提高結(jié)果的精度，保證統(tǒng)計(jì)數(shù)據(jù)的穩(wěn)定性。為保證樣本充足，本文在計(jì)算機(jī)性能允許的范圍內(nèi)取n=105。

2.3 算例分析

采用2.2節(jié)基于MCA的硬件SIL驗(yàn)證方法分析某1oo2結(jié)構(gòu)的安全計(jì)算機(jī)。各參數(shù)取值如表4所示。其中λD服從三角分布，上下邊界選取IEC 61508-6在計(jì)算冗余結(jié)構(gòu)的PFH時(shí)提供的算例表中λD的取值范圍：0.5×10-7～2.5×10-5，其最可能取值(即眾數(shù))為參考文獻(xiàn)[24]中推薦的典型值5×10-6。對(duì)于DC，IEC 61508-6算例表中推薦的取值點(diǎn)為0、60%、90%、99%，但考慮鐵路信號(hào)安全計(jì)算機(jī)屬于高可靠設(shè)備，文獻(xiàn)[4，25-27]等研究鐵路信號(hào)設(shè)備安全性相關(guān)的文獻(xiàn)中均指定DC∈(0.90,0.99)，故本例亦取DC為0.90～0.99并服從均勻分布(為使其取值在相同長度間隔的分布概率為等可能)；對(duì)于β和βD，鑒于難以獲取共因失效有關(guān)數(shù)據(jù)，故取標(biāo)準(zhǔn)中推薦的最大范圍，即β為0.02～0.20、βD為0.01～0.10，且同樣服從均勻分布；對(duì)于MRT與MTTR，由維護(hù)人員決定，通常固定不變，均取標(biāo)準(zhǔn)中推薦的值：8 h；對(duì)于T，鐵路信號(hào)設(shè)備通常執(zhí)行半年檢或年檢(如文獻(xiàn)[12]推薦計(jì)算機(jī)聯(lián)鎖系統(tǒng)的檢驗(yàn)測試周期為一年)，這里取IEC 61508-6中針對(duì)高要求操作模式的系統(tǒng)所推薦的最長時(shí)間間隔1 a(8 760 h)。

表4 各參數(shù)取值

將表4參數(shù)代入1oo2結(jié)構(gòu)的SIL驗(yàn)證模型(即式(1)中)進(jìn)行仿真，得到輸出結(jié)果的統(tǒng)計(jì)指標(biāo)如表5所示，其中ymin、ymax、ymean分別表示結(jié)果的最小值、最大值和均值。樣本累計(jì)概率分布函數(shù)見圖3。

表5 MCA模擬下1oo2結(jié)構(gòu)PFH相關(guān)指標(biāo)輸出結(jié)果

圖3 輸出樣本累計(jì)概率分布函數(shù)

由表5可知，輸出結(jié)果的均值6.77×10-8與各參數(shù)取單一固定值(取表4中各參數(shù)取值范圍的均值作為參數(shù)的固定值)計(jì)算得到的結(jié)果(3.08×10-8)屬于同一個(gè)數(shù)量級(jí)，均對(duì)應(yīng)SIL3。但按照式(4)在圖3中進(jìn)行驗(yàn)證可得：P(y<2.08×10-7)=0.95，這表明結(jié)果有95%的可能性滿足SIL2，這與前述結(jié)論相差一個(gè)等級(jí)。且若使系統(tǒng)滿足其他安全完整性等級(jí)，可得表6所示結(jié)果在不同SIL的置信度。

表6 輸出結(jié)果符合相關(guān)SIL的概率

由表6可得，P(y<10-5)=P(y<10-6)=1，即滿足SIL2的可能性為100%；P(y<10-7)=0.76，即有76%的可能性滿足SIL3；P(y<10-8)=0.07，即有7%的可能性滿足SIL4?？梢钥闯觯紤]參數(shù)不確定性的結(jié)果根據(jù)不同的概率值分布在不同的等級(jí)范圍內(nèi)，這表明若輸入的參數(shù)存在不確定性，那么不同時(shí)刻或不同批次的輸出結(jié)果也有差異，必須對(duì)該差異，即輸出區(qū)間進(jìn)行考察評(píng)定，才能從安全評(píng)估的角度給出合理的評(píng)估結(jié)果，因此這種形式的描述方式比單一確定值表示的結(jié)果更具意義。

3 參數(shù)概率分布未知下的硬件SIL驗(yàn)證

第2節(jié)對(duì)參數(shù)不確定性中概率分布已知的情況做了分析，但多數(shù)情況下參數(shù)可獲取的信息極少，為此本節(jié)利用模糊理論(FT)中的有關(guān)方法對(duì)參數(shù)概率分布未知的情況進(jìn)行分析。

3.1 模糊理論

定義1：在論域U上，存在映射為

( 5 )

Aα={u|u∈U,A(u)≥α}

( 6 )

圖4 α截集下模糊集的支集與核

有研究表明，在系統(tǒng)安全性分析中，參數(shù)的隸屬函數(shù)常由梯形、三角形等模糊數(shù)定義[28]，且梯形模糊數(shù)(三角模糊數(shù)是特殊的梯形模糊數(shù))是一種線性分布函數(shù)，其外形直觀、代數(shù)計(jì)算簡潔[29]。因此這里采用梯形模糊數(shù)描述各參數(shù)的不確定性，其隸屬函數(shù)表達(dá)式如下

( 7 )

隸屬函數(shù)見圖5。

圖5 梯形模糊數(shù)的隸屬函數(shù)

( 8 )

參數(shù)經(jīng)模糊代數(shù)運(yùn)算后的結(jié)果為一模糊數(shù)，解模糊化是將該結(jié)果轉(zhuǎn)換成一個(gè)單一的清晰值，該數(shù)值表示所估計(jì)模糊變量中最可能的值。解模糊法包括加權(quán)平均法、最大隸屬度法、最大平均值法、重心法等。這里對(duì)最常用的重心法(Center of Gravity，CoG)、最大隸屬度法(Maximum Membership,MM)進(jìn)行介紹。

定義5：最大隸屬度法是取模糊數(shù)在截集α=1處的值，即

( 9 )

定義6：重心法又稱面積中心法或質(zhì)心法，該指標(biāo)考慮了模糊數(shù)的整體變化，即[31]

(10)

3.2 基于FT的硬件SIL驗(yàn)證

根據(jù)3.1節(jié)對(duì)模糊理論有關(guān)概念的介紹，本節(jié)提出基于FT的鐵路信號(hào)安全計(jì)算機(jī)硬件SIL驗(yàn)證方法，其基本思路是：首先確定各參數(shù)的模糊數(shù)取值，然后代入目標(biāo)系統(tǒng)的SIL驗(yàn)證模型(即1.1節(jié)中給出的PFH計(jì)算公式)中，接著通過模糊運(yùn)算得到模糊數(shù)形式的結(jié)果，最后對(duì)結(jié)果進(jìn)行評(píng)估，判定所滿足的SIL等級(jí)。該方法的重點(diǎn)是如何對(duì)結(jié)果進(jìn)行評(píng)估，傳統(tǒng)方式是根據(jù)不同水平的α截集計(jì)算得到結(jié)果的左右區(qū)間邊界，以此判斷系統(tǒng)滿足的SIL；或通過重心法、最大隸屬度法等對(duì)結(jié)果解模糊化得到其清晰值，從而判斷滿足的SIL。但該方式存在如下問題：①即使α=0時(shí)結(jié)果的取值范圍最為保守，但實(shí)際中能達(dá)到α=0的情況可能并不常見；②如果取最高隸屬度α=1，那么就忽略了結(jié)果的不確定性，為了避免這種情況，分析人員通常選擇其他任意值的水平截集(如0.9、0.8等)，但這會(huì)導(dǎo)致α取值的主觀性，即在計(jì)算中人為二次引入了不確定性；③雖然重心法去模糊化后的結(jié)果更符合實(shí)際，但該指標(biāo)并不包含置信度，即并未像MCA一樣從置信度的角度對(duì)結(jié)果進(jìn)行評(píng)判，因此可信程度無從得知?；谝陨显?，本節(jié)提出從置信度的角度對(duì)計(jì)算出的模糊結(jié)果所滿足的SIL進(jìn)行評(píng)價(jià)。

(1)測度理論

采用Zadeh提出的可能性測度及必然性測度[32]來評(píng)估命題“計(jì)算得到的PFH小于等于SILRU”。首先定義兩個(gè)模糊子集A和B，其中A中元素表示利用SIL驗(yàn)證公式計(jì)算獲得的PFH模糊數(shù)，B中元素表示小于等于SILRU的值，給出可能性測度Pos{A→B}與必然性測度Nec{A→B}示意圖，見圖6，其表達(dá)式為

圖6 可能性測度及必然性測度

(11)

式中：Sup表示集合最小的上界；Inf表示集合最大的下界。

由圖6可知，可能性測度度量了元素u同屬于A和B的最大程度，其取決于兩個(gè)模糊子集A、B相交點(diǎn)的高度；而必然性測度度量了B包含A的程度。兩個(gè)測度可以理解為模糊事件“PFH取值小于等于SILRU”發(fā)生概率的上限和下限。事實(shí)上，基于可能性測度可理解為秉持著樂觀積極的態(tài)度去解決問題，結(jié)果更傾向模糊事件的發(fā)生，而基于必然性測度可理解為秉持著悲觀消極的態(tài)度去解決問題，結(jié)果更傾向模糊事件的不發(fā)生，但這并不意味著一個(gè)模糊事件的可能性為1，該事件就一定成立，另一方面，一個(gè)模糊事件的必然性為0也并不意味著該事件一定不成立。鑒于可能性測度與必然性測度間存在的矛盾，引入文獻(xiàn)[33]提出的可信性測度Cr，其定義為

(12)

由式(12)可以看出，可信性測度中和了可能性測度與必然性測度，采取基于二者平均值的一種中間態(tài)度。假如一個(gè)模糊事件的可信性為1，則該事件必然成立；反之，若一個(gè)模糊事件的可信性為0，則該事件必然不成立[34]。

(2)符合性概率

該指標(biāo)利用對(duì)模糊數(shù)隸屬函數(shù)的積分，驗(yàn)證結(jié)果與SILRU的符合概率。定義計(jì)算得到的結(jié)果PFH(事件A)小于等于SILRU(事件B)的概率為PF，符合性概率示意見圖7，其計(jì)算式為

圖7 符合性概率示意

(13)

3.3 算例分析

為了與采用MCA仿真得到的結(jié)果作比較，本節(jié)依舊對(duì)1oo2結(jié)構(gòu)的系統(tǒng)進(jìn)行分析，各參數(shù)模糊數(shù)取值如表7所示，采用安全性分析中最常用的梯形模糊數(shù)，其中模糊區(qū)間上下限與表4的取值相同。在計(jì)算機(jī)中仿真得到輸出結(jié)果的隸屬函數(shù)見圖8，給出不同α截集下輸出結(jié)果的左右區(qū)間數(shù)如表8所示。

表7 各參數(shù)取值

圖8 輸出結(jié)果的隸屬函數(shù)

表8 不同α截集對(duì)應(yīng)左右區(qū)間數(shù)

由圖8及表8可知，采用模糊數(shù)計(jì)算得到PFH的支集即PFH(α=0)=(5.01×10-10,5.57×10-7)比采用MCA得到的極限值(1.42×10-9,4.46×10-7)的區(qū)間范圍要寬；采用最大隸屬度法解模糊化得到的值2.55×10-8與采用MCA求得的均值6.77×10-8非常接近，而最大隸屬度得到的值即是隸屬度為1處所取的值，即忽略了參數(shù)不確定性的非保守值。由此可見，與MCA相比，模糊數(shù)提供了更為寬泛的不確定性，更適合處理存在高度不確定性的問題，這在驗(yàn)證包含極少信息的系統(tǒng)的安全完整性等級(jí)時(shí)更有參考意義。此外，在仿真軟件中采用MCA完成本節(jié)提供的例子耗時(shí)0.746 s，而采用模糊理論僅耗時(shí)0.007 s，相差達(dá)100倍，這意味著采用模糊理論得到結(jié)果邊界的用時(shí)更短。

根據(jù)表6中的參數(shù)，采用式(11)求解得出結(jié)果的可能性測度和必然性測度如表9所示。

表9 可能性測度與必然性測度計(jì)算結(jié)果

由表9可知，結(jié)果滿足SIL2的可能性測度和必然性測度均為1；滿足SIL3的可能性測度為1而必然性為0.140 3；滿足SIL4的可能性測度為0.379 1而必然性為0.140 3?？梢钥闯?，必然性測度的結(jié)果較可能性測度更為保守，符合3.2節(jié)對(duì)兩種測度的描述。然后采用式(12)計(jì)算結(jié)果的可信性測度如表10所示。

表10 可信性測度計(jì)算結(jié)果

由表10可知，從可信性測度分析，結(jié)果所能聲明的最大安全完整性等級(jí)為2級(jí)。

最后，將前述計(jì)算得到的結(jié)果代入式(13)得到結(jié)果的符合性概率，并與第2節(jié)采用MCA求得的不同SIL下的概率進(jìn)行對(duì)比，結(jié)果如表11所示。

表11 符合性概率計(jì)算結(jié)果及與采用MCA計(jì)算結(jié)果的對(duì)比

由表可知，從符合性概率角度來看，基于FT所能聲明的最大SIL等級(jí)與基于MCA相同，均為SIL2。而結(jié)果符合SIL3、SIL4的概率值有：PF(A≤10-7)

4 結(jié)論

針對(duì)鐵路信號(hào)安全計(jì)算機(jī)硬件SIL驗(yàn)證中存在的參數(shù)不確定性問題，首先采用蒙特卡洛法分析了參數(shù)概率分布已知類型的不確定性，然后利用模糊理論對(duì)參數(shù)概率分布未知類型的不確定性進(jìn)行分析，并從三種測度和符合性概率角度對(duì)利用模糊理論得到的結(jié)果進(jìn)行評(píng)價(jià)，同時(shí)與基于蒙特卡洛法得到的結(jié)果進(jìn)行比較。結(jié)果表明：

(1)采用模糊理論計(jì)算得到的模糊數(shù)在截集α=0處的支集(最不確定性區(qū)間)包含了采用MCA抽樣得到的概率分布的上下界，這表明模糊理論更加保守。從可信性測度和符合性概率角度來看，基于模糊理論得到的結(jié)果所能聲明的最大安全完整性等級(jí)均與基于MCA得到的結(jié)果一致，且前者計(jì)算過程耗時(shí)更短。

(2)考慮參數(shù)不確定性的輸出結(jié)果根據(jù)不同的概率值、測度值提供了不同等級(jí)的安全完整性，這比采用固定參數(shù)值輸出的單一精確結(jié)果更具意義。