江 磊，王小敏*，蔺 伟

(1.西南交通大学交通信息工程及控制重点实验室，成都610031；2.中国铁道科学研究院通信信号研究所，北京100081)

0 引 言

列车运行控制系统(CTCS)作为保障铁路和列车安全高效运营的核心，包括车载设备和地面设备.列控中心(TCC)是CTCS-2级和CTCS-3级列控系统的关键地面设备，实现轨道电路编码及有源应答器报文控制等功能.目前，联锁车站、中继站和线路所均设置有TCC，系统设置数量多，覆盖线路广，系统的可靠运行和维修维护给运营阶段带来极大挑战.TCC作为安全苛求系统，系统可靠性和可用性是安全风险评估的重要指标[1].因此，TCC系统可靠性及可用性评估对提高维修维护水平和保障列车安全具有重要意义.

TCC系统在设计阶段采用冗余结构提高系统的可靠性和可用性.对于冗余系统，动态失效、共因失效和恢复机制是可靠性和可用性评估的重要因素.文献[2]采用动态故障树(DFT)和Markov模型对TCC进行可靠性分析，解决动态失效问题，忽略共因失效和恢复机制的影响，且DFT和Markov模型建模存在状态空间爆炸问题.文献[3]采用DFT和静态贝叶斯网络(BN)分析方法，考虑共因失效，仍忽略恢复机制的建模，且不能处理时序问题.目前，少有研究同时对TCC系统可靠性和可用性进行分析.本文提出一种基于动态贝叶斯网络(DBN)的TCC系统可靠性及可用性评估方法，能有效处理时序性问题，并能综合考虑动态失效、共因失效和恢复机制等问题.

本文通过对TCC系统结构分析，构建系统DFT模型，结合DFT转换DBN规则，得到系统DBN模型，完成DBN结构学习和参数学习.利用DBN正向推理、反向推理及敏感性分析，实现对联锁车站TCC和中继站TCC的可靠性和可用性评估与比较，找到系统薄弱环节，为系统的智能维护管理提供依据.最后，本文讨论了恢复机制对TCC系统可靠性及可用性的影响.

1 DBN可靠性及可用性建模

1.1 DBN简介

BN是用于表达和推理不确定信息的概率模型，由有向无环图(V,E)和节点条件概率P组成[4].有向无环图(V,E)实现BN结构学习，节点条件概率P实现BN参数学习.假设离散随机变量V={X1,X2,…,XN}，得到联合概率分布为

式中：Pa(Xi)表示节点Xi的父节点.

DBN将BN进行时间片段扩展，片段间有向边用于表示不同时间片段节点的条件关联，片段间有向边能解决系统的动态失效问题.假设DBN包含有限个时间片段T且片段间有向边符合一阶Markov过程，可得

式中：Xti表示时间片段t的第i个节点；表示的父节点.

通过展开式(2)，可得DBN联合概率分布[5]为

1.2 DBN对冗余系统建模

本文根据DFT转化为DBN的规则，实现DBN的结构学习[6].双系热备转化为DBN的规则如图1所示.转换规则通过添加时间片段间有向边，完成主元件K和备元件S从t时刻到t+1时刻的扩展.考虑热备门动态切换过程，t+1时刻节点S同时与t时刻节点K和节点S相关.

图1 DFT转化DBNFig.1 Mapping DFT into DBN

DBN参数学习主要包括父节点的先验概率和子节点的条件概率.假设节点包括工作(W)和失效(F)两种状态且服从指数分布(失效率为λ和维修率为μ)，以节点K为例，得到t时刻到t+1时刻的条件概率为

同理，可得到节点S从t时刻到t+1时刻的条件概率.覆盖因子c(coverage factor)是衡量系统从失效状态恢复的重要参数，有效反映出系统恢复机制的能力，本文将覆盖因子c设置为0.96，得到节点A的条件概率，如表1所示.

表1 节点A条件概率表Table 1 The CPT of node A

1.3 考虑共因失效的DBN建模

双系热备DBN建模时，需要考虑共因失效对设备可靠性和可用性的影响.本文采用β因子模型解决共因失效.主元件K和备元件S具有独立失效率为λ(i)和共因失效率λ(c)，得到β因子为

如图2所示，考虑共因失效，得到双系热备的从t时刻到t+1时刻的DBN模型，其中，节点KI(t)和SI(t)表示在t时刻的独立失效概率，节点CC(t)表示在t时刻的共因失效概率，通过时间片段间有向边，完成从t时刻到t+1时刻的扩展.

图2 考虑共因失效的DBN模型Fig.2 DBN modeling with CCF

基于系统结构，完成系统DBN结构学习和参数学习，通过DBN正向推理，得到系统可靠性和可用性；通过DBN反向推理，得到各个设备的后验概率，找到系统薄弱环节，为维修维护提供支持；通过敏感性分析，得到设备对系统可靠性及可用性的敏感程度.

2 基于DBN的TCC系统可靠性及可用性评估

TCC由安全主机单元、驱动采集单元、通信接口单元、冗余电源单元及辅助维护单元组成，系统接口配置如图3所示.安全主机单元采用2乘2取2结构，其他单元均采用双系热备.根据车站类型，TCC可分类为联锁车站TCC(A站)和中继站TCC(B站).根据TCC系统技术规范，系统RAMS设计应符合GB/T 21562标准的相关要求，系统平均故障间隔时间(MTBF)不小于105h，系统可用度不小于99.99%，安全度等级(SIL)达到4级[7].

图3 TCC接口配置Fig.3 The TCC interface configuration

2.1 TCC系统DFT及DBN建模

本文采用GeNIe软件进行建模，该软件能有效实现DBN结构学习和参数学习，并利用联合树算法进行正向推理和反向推理[8].以A站TCC和B站TCC的可靠性和可用性评估为例，通过对TCC系统结构分析，得到A站TCC系统DFT，如图4所示.B站TCC不包含与CBI和CTC站机的通信接口，因此，B站TCC系统DFT不包含CBI和CTC站机通信失效事件.假设设备状态相互独立且故障率服从指数分布；设备维修后，状态如新.TCC系统故障为DFT顶事件，主系和备系设备为DFT底事件，通过双系热备门和中间事件连接.根据专家经验，得到设备的独立失效率和共因失效率，设备维修以更换为主，更换平均时间为0.5 h，即设备维修率为2，设备失效率和维修率如表2所示.

图4 TCC系统DFTFig.4 The DFT of TCC

表2 设备独立失效率，共因失效率和维修率Table 2 The independent，common cause failure rate and repair rate

根据DFT转化DBN规则，得到考虑设备共因失效的A站TCC系统DBN模型，如图5所示.以DBN模型中设备VC进行说明，在t=0时刻的节点AVCI、BVCI及VCC分别表示主系VC独立失效概率、备系VC独立失效概率及双系共因失效概率，所有节点只包括两种状态:工作(W)和失效(F).在DBN推理过程中，时间间隔设置为1周，初始时间段(t=0)，各模块都完全可靠，所有父节点的先验概率为1.根据表2及式(4)，实现DBN各个时间段的参数学习.

2.2 TCC系统可靠性和可用性评估

根据DBN正向推理，得到考虑共因失效和不考虑共因失效的A站TCC和B站TCC系统可靠度，如图6所示.随着运行周数的增加，A站TCC和B站TCC系统可靠度逐渐下降，B站TCC可靠度高于A站TCC可靠度.共因失效导致TCC系统的可靠度下降，当系统运行到100周时，A站TCC可靠度从0.709下降到0.643，B站TCC可靠度从0.836下降到0.792.可以看出，共因失效对A站TCC的影响大于B站TCC.

图5 TCC系统DBN模型Fig.5 The DBN of TCC system

图6 A站TCC和B站TCC可靠度Fig.6 The reliability of ITCC and RTCC

基于设备维修率分析，得到考虑共因失效和不考虑共因失效的A站TCC和B站TCC系统可用度，如图7所示.TCC系统在投入运营后，迅速达到稳态可用度，B站TCC可用度大于A站TCC可用度.共因失效导致TCC系统的可用度下降，A站TCC可用度从0.999 979下降到0.999 960，B站TCC可用度从0.999 988下降到0.999 977.A站TCC和B站TCC系统具有高可用度且大于0.999 9，达到设计标准.

图7 A站TCC和B站TCC可用度Fig.7 The availability of ITCC and RTCC

根据DBN反向推理，将TCC system节点的失效概率设置为1，得到A站TCC和B站TCC各设备后验概率，对系统薄弱环节进行分析.系统运行100周后，A站TCC和B站TCC各设备后验概率和先验概率差值比较，如图8所示.为提高A站TCC系统可靠性和可用性，各设备重要度关注的顺序为:PIO＞DY＞CI-TC＞VC＞CI-LEU.为提高B站TCC系统可靠性和可用性，各设备重要度关注的顺序为:DY＞VC＞PIO＞CI-TC＞CI-LEU.CI-GS、CI-CBI、CITSRS及CI-ADTCC对TCC系统可靠性和可用性影响较小.

图8 A站TCC和B站TCC后验概率比较Fig.8 The difference between posterior and prior probability

2.3 DBN敏感性分析

DBN敏感性分析假设元件输入参数存在不确定性，本文通过对元件失效率的不确定性设置10%，得到A站TCC和B站TCC系统对各设备的敏感程度，分别如图9和图10所示.两种类型车站都对导致设备共因失效的节点敏感，因此，在系统运行阶段，需要重点关注设备共因失效.A站TCC对于独立失效的敏感设备主要包括PIO、DY及VC.B站TCC对于独立失效的敏感设备主要包括DY及VC.

图9 A站TCC设备敏感性分析Fig.9 The sensitivity analysis of ITCC

2.4 覆盖因子影响分析

本文讨论了覆盖因子c对可靠性和可用性影响.系统运行100周后，得到覆盖因子c等于0.90、0.92、0.94、0.96、0.98、1.00的A站TCC和B站TCC可靠度与可用度，如图11和图12所示.随着覆盖因子的增加，TCC系统可靠度和可用度逐渐增加.因此，为了提高TCC系统的可靠度和可用度，系统恢复机制需要重点关注.覆盖因子对A站TCC和B站TCC可靠性影响几乎相同.但是，覆盖因子对A站TCC可用性的影响明显大于B站TCC.因此，A站TCC系统更加需要关注恢复机制.

图10 B站TCC设备敏感性分析Fig.10 The sensitivity analysis of RTCC

图11 覆盖因子对可靠性影响Fig.11 The effects of coverage factor on reliability

图12 覆盖因子对可用性影响Fig.12 The effects of coverage factor on availability

2.5 DBN模型验证

DBN模型可用性验证需要满足文献[9]提出的3个公理.以联锁车站TCC的DBN模型为例，将节点AVCI的初始失效概率从0设置为0.5，系统运行100周后，可靠度从0.643降低到0.584.继续将节点BVCI的初始失效概率从0设置为0.5，可靠度降低到0.423.然后，再将APIOI和BPIOI的初始失效概率都设置为0.5，系统可靠度降低到0.263.可见，本文的DBN模型满足文献[9]的3个公理，DBN模型可用性得到验证.

3 结论

TCC作为列车运行控制系统地面关键系统，其可靠性及可用性评估对提高维修维护水平和保障列车安全具有重要意义.本文提出一种基于DBN的TCC系统可靠性及可用性评估方法，有效解决联锁车站TCC和中继站TCC系统共因失效、动态失效及恢复机制等问题.在分析TCC系统结构的基础上，构建TCC系统DFT，并根据DFT转化DBN规则，实现DBN结构学习和参数学习.基于DBN正向推理、反向推理和敏感性分析，本文分析和讨论结果主要如下.

(1)根据DBN正向推理，中继站TCC可靠度高于联锁车站TCC可靠度；TCC系统在投入运营后，迅速达到稳态可用度，中继站TCC和联锁车站TCC具有高可用度，达到设计标准.

(2)根据DBN反向推理，联锁车站TCC各设备重要度关注的顺序为：PIO＞DY＞CI-TC＞VC＞CILEU.中继站TCC各设备重要度关注的顺序为：DY＞VC＞PIO＞CI-TC＞CI-LEU.CI-GS、CI-CBI、CITSRS及CI-ADTCC对TCC系统可靠性和可用性影响较小.

(3)根据敏感性分析，联锁车站TCC和中继站TCC都对导致设备共因失效的节点敏感.在系统运行阶段，需要重点关注导致设备共因失效的因素.

(4)在系统运行阶段，设备恢复机制对系统可靠性和可用性影响较大，需要重点关注.

[1]付淳川,王小敏,张文芳,等.基于组件安全属性的列控中心信息安全风险评估方法[J].铁道学报,2017,39(8)：77-84.[FU C H,WANG X M,ZHANG W F,et al.A component security attribute model driven information security risk assessment approach for train control center[J].Journal of the China Railway Society,2017,39(8)：77-84.]

[2]刘茂婷.基于动态故障树的列控中心可靠性研究[D].成都：西南交通大学,2015.[LIU M T.Reliability research of train control center based on dynamic fault tree[D].Chengdu：Southwest Jiaotong University,2015.]

[3]吴键.基于动态故障树的列控中心可靠性与安全性分析[D].兰州：兰州交通大学,2016.[WU J.Analysis of reliability and safety for train control center based on dynamic faulttree[D].Lanzhou：Lanzhou Jiaotong University,2016.]

[4]LANGSETHA H,PORTINALE L.Bayesian networks in reliability[J].Reliability Engineering and System Safety,2007(92)：92-108.

[5]MURPHY K P. Dynamic bayesian networks：representation,inference and learning[D].California：University of California,Berkeley,2002.

[6]MONTANI S,PORTINALE L,BOBBIO A,et al.RADYBAN：A tool for reliability analysis of dynamic fault trees through conversion into dynamic Bayesian networks[J].Reliability Engineering and System Safety,2008(93)：922-932.

[7]中华人民共和国铁道部科学技术司.列控中心技术规范[S].铁道部科学技术司,2010.[The technical specification of train control center.Department of science and technology of the Ministry of Railways[S].The Technical Specification of Train Control Center,2010.]

[8]University of Pittsburgh.GeNIe and SMILE-Home[R/OL].https：//www.bayesfusion.com/.

[9]JONES B,JENKINSON I,YANG Z,et al.The use of Bayesian network modelling for maintenance planning in a manufacturing industry[J].Reliability Engineering and System Safety,2010,95(3)：267-277.