莫志刚，骆汉宾

（华中科技大学土木工程与力学学院，湖北武汉 430074）

0 引言

基于通信的列车控制（CBTC）[1]信号系统中的安全型设备（“3 取 2”车载控制器 VOBC，“2 乘 2 取 2”区域控制器 ZC 和联锁）和非安全型设备（数据通信子系统 DCS 和列车自动监控系统 ATS）的设计为冗余结构，以达到相对高可用性，尽可能减少系统中的单点故障，具体应用配置也是整个系统 RAMS[2-4]的决定因素，特别是列车的数量和轨旁设备的数量。

信号系统中各要素的可靠性通过各种组合决定系统硬件的可靠性。信号系统的架构及详细设计须通过评估各要素对系统可靠性的影响程度来决定。根据对 RAMS的不同影响区分不同的元器件基于 2 个原则：①根据可靠性和可维护性指标设计基本的元器件或子系统；②高安全性、高可靠性的硬件组织架构将作为提高系统RAMS 性能的重要设计参数。子系统的组件或元器件故障率的预测将遵循“元器件应力分析可靠性预计”的方法来进行，依据零件质量与操作环境等多项因素，利用 GJB/Z299C-2006《电子设备可靠性预计手册》建立可靠度分析模型，并依据所提供的公式做较精确的可靠度预计工作，计算元器件失效率和平均工作寿命。

所有框图和计算方法将包括计算系统组件的平均故障间隔时间MTBF和平均恢复时间MTTR。CBTC 信号系统的整体可靠性和可用性由建立的数学模型（可靠性框图、马尔可夫过程[5-7]）进行估算。通常情况下，系统可靠性采用可靠性框图的形式建模进行计算。但是，存在以下情况时，采用马尔可夫模型可靠性建模将会更精确：①系统与模块的状态不仅存在正常工作状态和故障状态，还存在处于两者之间的降级状态；②系统与模块的故障是相关联的，1 个模块的故障可能增加其他模块的故障率。

1 理论分析

马尔可夫模型由俄国数学家马尔可夫提出，他定义了马尔可夫过程。马尔可夫过程中，下一个状态仅取决于现在状态而与以往的状态无关，即无记忆性。一般采用状态转移图的方法构建马尔可夫模型。如图 1 为 2 阶转移图，圆表示模块处于正常状态与失效状态，箭头弧线表示正常到失效或失效到维修的可能性行为。λ为模块的故障率，μ为模块的修复率。

图 1 马尔可夫链模型

马尔可夫模型各状态的概率通常利用转移概率矩阵计算。N阶矩阵（N代表状态数）表示各个状态之间变化的概率，式（1）为 3 阶随机转移概率矩阵T。

转移概率矩阵第 1 行代表状态 0 向各状态转移的概率，依此类推得到系统的转移概率矩阵。状态矩阵Sn可以通过上一状态矩阵Sn-1与转移矩阵T得到。

1.1 并行冗余系统的马尔可夫过程

模拟所有运行与故障状态。图 2 使用马尔可夫链详细分析了这些状态。状态 0 表示相同的独立单元工作正常。状态 1 表示有 1 个单元需要维修，另一个单元工作正常。状态 2 表示 2 个单元均故障没有维修。

图 2 并行冗余系统马尔可夫过程

1.2 可修复性3取2多数投票冗余系统的马尔可夫过程

3 取 2 多数投票系统，需要模拟系统的所有运行状态，如图 3 所示。状态 0 表示 3 个相同的独立单元处于正常工作状态。状态 1 表示有 1 个单元在维修，而其他的2 个单元处于正常工作状态。状态 2 表示至少由于 2 个单元故障没有修好引起的系统故障状态。

图 3 3 取 2 冗余系统马尔可夫过程

2 CBTC 车载子系统 RAM 的计算

系统、子系统级的可靠性、可用性和可维修性（RAM）计算通过可靠性框图完成。本节使用马尔可夫链对可修复系统进行 RAM 分析，更加符合实际。但为防止状态过于繁多，马尔可夫链仅在分析冗余设备时使用。本节涉及 2 种可修复性的冗余系统：一是并行冗余系统，二是 3 取 2 冗余系统（图 4）。

2.1 ATP/ATO 车载子系统模块的 RAM 指标关联分析

列车自动防护/列车自动运行（ATP/ATO）车载子系统模块功能正常时，模块处于热备冗余状态，记为S0；当车头或车尾设备出现不可检测故障，此时车载功能依然正常，但是维护人员无法得知一端车载控制器（CC）已经故障，此时设备状态记为S1；当车头或车尾设备出现可检测故障，此时车载功能依然正常，维护人员通过人机界面（DMI）可得知一端车载控制器已经故障，此时设备状态记为S2；当车头和车尾设备同时出现故障时，车载功能无法正常实现，需要立即进行维护，此时设备状态记为S3。

当车载设备处于S0、S1、S2时，系统是可用的，此时系统的可用度为：

当车载设备处于S3时，车载设备为不可用状态，此时系统的可用度为：

根据可用度与MTBF、MTTR的含义及关系（图 5），

图 4 3 取 2 冗余系统框图

图 5 MTBF 与 MTTR 的含义及关系

可以推导得到：

式（4）中，μ为MTTR-1。

根据马尔可夫模型的理论，马尔可夫模型状态转移关系见表 1。

表 1 马尔可夫模型状态转移关系

P为 4 阶状态转移矩阵

式（5）左边的矩阵为S在T时刻的状态，右边的矩阵为S在T+1 时刻的状态。

2.2 ATP/ATO 车载计算模块的RAM 分析

图 6 中状态之间的弧线分别为连续时间间隔设备从起始状态到另一状态的概率和恢复率，如 2λCPS（1-αCPS）+ 2λCMP（1-αCMP）+ 2λCBS（1-αCBS）+2λCMB（1-αCMB）+2λBeaconAntenna（1-αBeaconAntenna） + 2λWheelSensor（1-αWheelSensor）表示设备从S0至S1的概率，且为未检测到的故障，但整体功能依然正常，µUFTMPC是通过日常巡检发现设备故障的概率，这是一个中间状态，中间状态又可以分为可检测故障和不可检测故障，可检测故障恢复到功能完备状态概率高，不可检测故障较低。依此类推，得到相邻时刻各状态之间的马尔可夫转移模型（图 6）。图 6 中 MPC 为车载计算模块。

式（6）为 ATP/ATO车载计算模块马尔可夫转移矩阵，其中：λMPC1=λCPS+λCMP+λCBS+λCMB+λBeaconAntenna+λWheelSensor，δMPC= 1-2λMPC1（1-α）-2αλMPC1-λMPC（Ccf）。

图 6 车载 ATP/ATO 计算模块马尔可夫链

根据式（1）、（2）、（3）、（6）计算得到计算模块的MTBF。

2.3 ATP/ATO 车载输入输出（I /O）模块的 RAM 分析

ATP/ATO 车载子系统 I /O 模块功能正常时，处于3取 2 冗余状态，记为S0；当采集 I /O 模块出现不可检测故障（降级到 2 取 2），此时输入输出功能依然正常，但是维护人员无法得知1个通道已经故障，此时设备状态记为S1；当车头或车尾设备出现可检测故障，此时 I /O功能依然正常，但是维护人员通过维护设备可以得知 1个通道已经故障，此时设备状态记为S2；当 2 个通道及以上同时出现故障时，I/O 通道功能无法正常实现，需要立即进行维护，此时设备状态记为S3。因此，当车载I/O 设备处于S0、S1、S2时，系统是可用的，得到 I/O 模块各状态之间的马尔可夫转移模型（图 7）。图 7 中 VIO 为车载输入输出模块。

根据上述马尔可夫模型可以得到转移矩阵（7），其中：

根据式（1）、（2）、（3）、（7）计算得到输入输出模块的MTBF。

2.4 ATP/ATO 车载通信模块的 RAM 分析

通信模块（Backbone/Gateway）：首尾两头的通信模块是热备冗余的，同理，它的马尔可夫状态模型见图 8。

图 7 ATP/ATO 车载输入输出模块的马尔可夫链

图 8 ATP/ATO 车载通信模块的马尔可夫链

2.5 车载 ATP/ATO 各冗余模块的故障率计算

根据相关模块板卡的历史故障数据和维修数据，通过马尔可夫模型计算得到车载 ATP/ATO 计算模块：

λMPC（Ccf）=1×10-9（共模故障引起双套同时失效的概率，经验值）；

α=99%（故障可检查概率，经验值）；

λCoreMPC=5.87×10-8，MTTRCoreMPC= 0.44 h。

车载子系统数据采集输入输出模块：

λVIOM（Ccf）=1×10-9（共模故障引起双套同时失效的概率，经验值）；

α= 99% （故障可检查概率，经验值）；

同理，车载通信模块的故障率计算结果及平均修复时间为：

2.6 ATP/ATO 车载子系统可靠性框图

由于分析的特殊复杂性，通过图 9 可靠性框图进行 ATP/ATO 车载子系统可靠性分析。假设司机可用按钮打开、关闭车门并用按钮启动列车，人机界面（DMI）故障不会影响服务。与骨干网的连接已经在 DCS 子系统可用性计算中考虑，未出现在可靠性框图中。DCS 天线已用于 DCS 子系统可用性分析中，未出现在可靠性框图中。

根据可靠性框图原理图 9，可以计算得到 ATP/ATO车载子系统可靠性，见表 2。

表 2 ATP/ATO 车载子系统可靠性

3 结束语

在特定的任务时间与空间内完成特定功能的能力定义为产品的任务可靠性。以是否影响任务完成作为任务可靠性的故障判别准则，基本可靠性所涉及到的故障范围大于并包含任务可靠性所涉及的故障。为便于建模与数学计算，模型中任务可靠性和基本可靠性产品元器件的名称和标识设计一致。当产品不考虑冗余与替代模式的工况下，不再区别基本可靠性模型和任务可靠性的模型结构，且都为串联结构。任务可靠性预计不足的情况下，通过产品或系统的冗余设计、改善应力条件、选择更优元器件，增强系统的容差性能等措施弥补。若基本可靠性预计不能满足运营要求，则通过简化设计或采用高质量等级的元器件，增强系统的容差性能等措施弥补，靠增加冗余元器件单元的方式可能降低其基本可靠性。

图 9 ATP/ATO 车载子系统可靠性框图

[1]徐杰. 城市轨道交通CBTC系统列车自动驾驶关键技术的研究与实现[D]. 北京：中国铁道科学研究院，2012.

[2]燕飞，郜春海，唐涛. 轨道交通安全相关系统评估方法[J]. 中南大学学报：自然科学版，2003，34（增1）：230-233.

[3]陈红霞，孙强. 国内外轨道交通RAMS标准规范的现状与比较研究[J]. 科技创新与应用，2016（11）：26-27.

[4]李国正. 基于RAMS的地铁列车车载设备维修策略与故障诊断研究[D]. 北京：北京交通大学，2013.

[5]邓肯，王梓坤. 马尔科夫过程论基础[M]. 黑龙江哈尔滨：哈尔滨工业大学出版社，2015.

[6]David A. Levin, Yuval Peres, Ellzabeth L. Wilmer.Markov Chains and Mixing Times[M]. Providence，Rhode Island：American Mathematical Society，2017.

[7]Sean P. Meyn, Richard L. Tweedie. Markov Chains and Stochastic Stability[M]. London∶ Springer，1993.