故障-安全技術(shù)PPT課件

1、1第三章 故障-安全技術(shù)2第三章 故障-安全技術(shù)v第一節(jié) 故障-安全原理v第二節(jié) 信號安全技術(shù)3第三章 故障-安全技術(shù)v第一節(jié) 故障-安全原理v一 安全性和可靠性概念v二 故障-安全原理v三 系統(tǒng)輸入輸出信號安全要求和對策v四 安全性評估4第一節(jié) 故障安全原理v一 安全性和可靠性概念v安全性：在規(guī)定的條件下，在規(guī)定的時間內(nèi)，系統(tǒng)不陷入危險狀態(tài)的性能。v可靠性：系統(tǒng)在給定的條件下，到給定的時刻t，不發(fā)生故障的概率。v失效：一是系統(tǒng)或系統(tǒng)的部件不能在規(guī)定的限制內(nèi)執(zhí)行所要求的功能。二是一個功能單元執(zhí)行所要求的功能的能力的終結(jié)。三是程序操作偏離了程序的需求。失效是導(dǎo)致錯誤發(fā)生的主要原因。v錯誤：指系統(tǒng)

2、陷入不正常狀態(tài)或執(zhí)行非正常操作。錯誤可能由硬件失效、軟件失效、環(huán)境干擾等原因引起，錯誤的嚴(yán)重性可以分為5類。v故障：由于錯誤造成系統(tǒng)的部件或軟件或系統(tǒng)喪失必要的功能。即由于各種原因所造成的系統(tǒng)的不正常狀態(tài)。5第一節(jié) 故障安全原理v失誤：人為的失敗和錯誤。通常指人的錯誤操作。v危害：有可能給人類或財產(chǎn)帶來不良影響的事情。v風(fēng)險：用來表示危及安全的事件發(fā)生頻度以及事件危害程度（或嚴(yán)重程度）的指標(biāo)。v容錯：指一個系統(tǒng)在其中的故障已經(jīng)暴露之后仍能提供要求的功能的存活的屬性。 6第一節(jié) 故障安全原理v安全性評估：采用解析或測試的方法，對系統(tǒng)的安全性能進(jìn)行估算和分析，從而對系統(tǒng)的安全性能做出定量或定性的評

3、價。用與安全性評估的指標(biāo)主要是安全性完善度和安全性完善等級。v安全性完善度：在給定的條件下，到給定的時刻t，系統(tǒng)維持所要求的安全功能的概率。它是表示系統(tǒng)所能達(dá)到安全性要求程度高低的指標(biāo)。v安全性完善等級：表示系統(tǒng)所能達(dá)到安全性水平等級。通常較小的等級表示安全性水平低，較大的等級表示安全性水平低高（例如：1級安全性完善等級為最低級）。7第一節(jié) 故障安全原理v二 故障-安全原理v 故障-安全：系統(tǒng)在發(fā)生故障的情況下，能夠維持安全狀態(tài)或向安全狀態(tài)轉(zhuǎn)移。v這種與安全相關(guān)的系統(tǒng)特性就是故障-安全。在信號系統(tǒng)中常稱為故障倒向安全原則。又稱F-S (Fail-Safe) 原則。8第一節(jié) 故障安全原理v鐵路信

4、號的重要作用之一是保證列車運行的安全，而這種安全的實現(xiàn)總是把“系統(tǒng)故障時讓列車停止運行”為首要方針。規(guī)定系統(tǒng)故障時把信號顯示變?yōu)樽屃熊囃Ｖ惯\行的紅燈作為安全側(cè)，這是傳統(tǒng)的鐵路信號安全技術(shù)的一個重要特點。v在繼電信號設(shè)備中，故障-安全的實現(xiàn)是以具有非對稱錯誤特性的信號繼電器和閉路原理為基礎(chǔ)，實現(xiàn)信號設(shè)備的整體性的故障-安全。這是鐵路信號安全技術(shù)的第二個特點。 9第一節(jié) 故障安全原理v 隨著可靠性理論的發(fā)展，促使對故障的分析建立在概率論的基礎(chǔ)上，進(jìn)而揭示了故障-安全也應(yīng)是一個具有概率特性的概念。v首先，客觀上可靠度為百分之百的信號設(shè)備是不存在的，也就是說設(shè)備的故障是不可避免的。用全故障率t表示，我

5、們希望它足夠小，但不可能為零。v對設(shè)備的故障根據(jù)它所帶來的后果可以分為危險側(cè)故障和安全側(cè)故障，分別用危險側(cè)故障率d和安全側(cè)故障率s表示，則有t = d+s 。v信號繼電器的危險側(cè)故障率d為10-10小時，安全側(cè)故障率s為10-7小時。危險側(cè)的故障率雖低，但它并非是零，因此傳統(tǒng)的故障-安全概念不是絕對的。v危險側(cè)故障率d相對全故障率t小到可以忽略的程度時，該設(shè)備才是故障-安全的，即危險比 = d/t應(yīng)足夠小。10第一節(jié) 故障安全原理v 將危險比寫成另一種形式v =v上式中的d/s =稱為非對稱錯誤概率，它應(yīng)該足夠小。v事實上，由于信號設(shè)備發(fā)生故障時列車停止運行，安全側(cè)故障率s 越大，故障恢復(fù)時間

6、越長，越容易引起列車的阻塞。這不僅會降低運輸效率，還可能誘發(fā)重大事故。因此，s也應(yīng)盡可能的小。v總之，為了實現(xiàn)故障-安全，危險側(cè)故障率和安全側(cè)故障率都應(yīng)該盡可能的小。在此前提下危險比和非對稱錯誤概率也要足夠小。也就是說，信號設(shè)備的故障-安全特性是建立在設(shè)備的高可靠性基礎(chǔ)上的。111ds11第一節(jié) 故障安全原理v為了對故障-安全特性進(jìn)行進(jìn)一步的研究，對設(shè)備故障引起的事故用下面的關(guān)系式來描述：v 事故 = 故障 危險側(cè)v若把 中的真值取為1，偽值取為0，即 中的變量為二值邏輯變量，則可將上式的否定形式認(rèn)為具有安全的含義。根據(jù)摩根法則可得下式： 沒有事故 = 沒有故障 安全側(cè)v還可以將安全性用下列邏

7、輯式表示： 安全性 = 高可靠性 故障安全性12第一節(jié) 故障安全原理v三 系統(tǒng)輸入輸出信號安全要求和對策v（一）故障-安全輸入接口 v故障-安全輸入接口必須做到以下兩點：v(1) 采用光電隔離技術(shù)：通常，接點輸入電路要經(jīng)過光電耦合才能接至輸入接口，以便有效地抑止接點輸入電路的電磁干擾。v(2) 采用編碼輸入或過程輸入方式，以便有效地實現(xiàn)故障-安全原則。v過程輸入方式又有兩類：一類是輸入接口采用多重模塊結(jié)構(gòu)，并使用軟件進(jìn)行校驗的空間冗余法；另一類是采用診斷技術(shù)檢查輸入值的時間冗余法。13第一節(jié) 故障安全原理v1.編碼方式的故障-安全輸入接口v圖中將軌道繼電器GJ的狀態(tài)輸入到計算機(jī)的輸入接口。v由

8、于是由輸入接口的若干位信息的編碼反映軌道繼電器的狀態(tài)，因此可避免因混線斷線或干擾信號引起的錯誤采樣，從而保證輸入接口電路的故障-安全特性 14第一節(jié) 故障安全原理v圖中用了兩個光電耦合器G1和G2。vG1的輸出級和G2的輸入級并聯(lián),并由輸入信號GJ控制其電源的通斷。G1的輸入級和G2的輸出級共用微型計算機(jī)電源（5V），且G1的輸入級由微型計算機(jī)的輸出進(jìn)行控制。若微型計算機(jī)按1010輸出控制信號，當(dāng)GJ接點閉合時，則計算機(jī)就會從輸入接口電路接收一個與控制信號相反的信號0101，當(dāng)GJ接點斷開或G1，G2發(fā)生故障時，計算機(jī)的輸入接口只能收到穩(wěn)態(tài)信號，因此保證了輸入信息的故障-安全。15第一節(jié) 故障

9、安全原理v3.采用多重模塊結(jié)構(gòu)、并使用軟件校驗的方法。v 每個繼電器接點輸入接口是由三個模塊組成的，每個模塊包括光電隔離、鎖存器、緩沖器等部件，每1個模塊的輸出分配到三個計算機(jī)的總線上，每個計算機(jī)分三次讀取數(shù)據(jù)，并用軟件檢查三個數(shù)據(jù)的一致性。16第一節(jié) 故障安全原理v由代碼動/靜態(tài)變換電路是計算機(jī)輸出控制信號所必須經(jīng)歷的過程。這種變換可分成軟件變換和硬件變換兩種實現(xiàn)方式。v軟件變換是根據(jù)邏輯運算結(jié)果（代碼形式）在需要輸出危險側(cè)控制信號時，借助軟件的執(zhí)行使計算機(jī)不斷地輸出脈沖串。這種方式節(jié)省了硬件，但占用了計算機(jī)的處理時間。v硬件變換可以采用振蕩式的故障-安全邏輯元件來實現(xiàn)，還可以采用移位寄存器

10、來實現(xiàn)。后者的基本原理是將危險側(cè)代碼并行輸送到移位寄存器中，然后再有控制時鐘推動移位寄存器，使其輸出串行脈沖序列。 17第一節(jié) 故障安全原理v動/靜態(tài)電平變換電路是一種只有當(dāng)輸入為脈沖序列時其輸出才為高電平。v而在輸入為穩(wěn)態(tài)電平或電路發(fā)生故障時均為低電平的輸出電路，所以稱這類電路是動態(tài)鑒別電路，又稱為故障-安全驅(qū)動電路。 18第一節(jié) 故障安全原理v根據(jù)需要可連接一個安全型繼電器作為控制輸出的執(zhí)行部件。v在此電路中，放大器本身必須設(shè)計成不會因元器件性能改變和失效而產(chǎn)生自激振蕩，脈沖變壓器的主次線圈之間絕緣良好，這些是比較容易實現(xiàn)的。19第一節(jié) 故障安全原理v一種三模系統(tǒng)故障-安全輸出電路。v由于

11、該系統(tǒng)的故障-安全比較器不能檢出輸出電路的故障，所以對直接控制信號設(shè)備的輸出電路必須采用故障安全輸出電路。v圖的輸出電路是由電平變換電路，C形故障-安全邏輯單元故障，安全繼電器驅(qū)動電路所組成。20第一節(jié) 故障安全原理v四 安全性評估v(一) 硬件系統(tǒng)的可靠性和安全性評估指標(biāo)v對于鐵路信號應(yīng)用微機(jī)系統(tǒng)，為了滿足鐵路運輸?shù)母咝Ш桶踩囊?，必須具有極高的可靠性和安全性。 v在定量地考慮系統(tǒng)的可靠性時，一般用平均故障間隔時間MTBF (Mean Time Between Failures來衡量系統(tǒng)的可靠性。 21第一節(jié) 故障安全原理v1.可靠性和安全性的評估依據(jù) v必要作一些合理的簡化和假設(shè)：v首先

12、，在系統(tǒng)中若有表決器、比較器、自動轉(zhuǎn)換裝置以及系統(tǒng)之間接口電路等模塊，則認(rèn)為它們較微型計算機(jī)系統(tǒng)具有更高的可靠性，在計算它們時可對它們的可靠度作為1處理而僅考慮微機(jī)系統(tǒng)的可靠性。v另外，為了便于不同冗余結(jié)構(gòu)的系統(tǒng)之間進(jìn)行比較，假定各系統(tǒng)所用的微型計算機(jī)的可靠性指標(biāo)是相同的。 22第一節(jié) 故障安全原理v在計算安全度時，需要分析在什么情況下才發(fā)生危險側(cè)故障。在采用雙重軟件進(jìn)行比較的情況下，假定只有當(dāng)發(fā)生兩次故障且兩次故障的后果一致并且不能通過比較被發(fā)現(xiàn)時，才有導(dǎo)致危險側(cè)故障的可能。具體的情況是：v(1) 微機(jī)第一次發(fā)生故障，使得基本的或冗余的信息中出現(xiàn)了一個錯誤的信息。v(2) 在第一次故障尚未被

13、檢出期間，或者說在檢測時間D內(nèi)又發(fā)生了第二次故障。對于動態(tài)切換系統(tǒng)來說，這是指同一微機(jī)發(fā)生了第二次故障，對于三中取二系統(tǒng)來說這是指另一個微機(jī)系統(tǒng)發(fā)生了故障，這次故障也產(chǎn)生了另一個錯誤信息。v(3) 這兩個錯誤的信息恰巧構(gòu)成了兩個相同的、然而是錯誤的有效代碼，因而不能檢出。v(4) 錯誤的有效代碼又是危險側(cè)代碼，從而產(chǎn)生了一個危及行車安全的控制命令。 v只有上述四個條件都存在時才算是出現(xiàn)了危險側(cè)故障。 23第一節(jié) 故障安全原理v2. 單機(jī)系統(tǒng)的可靠性和安全性估算v當(dāng)采用單個微機(jī)系統(tǒng)構(gòu)成鐵路信號自動控制設(shè)備時，通常是采用雙套軟件來保證系統(tǒng)安全性的。v (二) 軟件系統(tǒng)的可靠性和安全性評估v1. 軟

14、件的可靠性評估v軟件可靠性是指軟件在所規(guī)定的環(huán)境條件下和規(guī)定的時間內(nèi)，一直能按需求規(guī)格說明正確地完成任務(wù)的能力。24第一節(jié) 故障安全原理v軟件可靠性的概率度量則稱為軟件可靠度。v對于面向用戶的軟件可靠度定義，可以有以下兩種：v(1) 程序在規(guī)定的時間內(nèi)對一組隨機(jī)選擇的輸入數(shù)據(jù)能給出正確輸出的概率；v(2) 程序在規(guī)定的時間和規(guī)定的用戶環(huán)境中，對一組典型的輸入數(shù)據(jù)，給出正確輸出的概率。25第一節(jié) 故障安全原理v 2. 軟件安全性評估v將軟件系統(tǒng)的安全性工作歸結(jié)為如下九項：v(1) 確定系統(tǒng)及系統(tǒng)中軟件的安全性要求。v(2) 將系統(tǒng)安全性說明中的要求準(zhǔn)確地轉(zhuǎn)化為系統(tǒng)或分系統(tǒng)說明的要求、轉(zhuǎn)化為軟件需

15、說明的要求，并將這些要求在軟件設(shè)計及編碼中實現(xiàn)。v(3) 在系統(tǒng)、分系統(tǒng)說明及軟件需求說明中確定當(dāng)可能發(fā)生安全事故時的系統(tǒng)對策。這些 對策包括故障一安全、故障降級使用、故障容錯使用等內(nèi)容。v (4) 確定軟件系統(tǒng)中安全關(guān)鍵單元，安全關(guān)鍵單元是指那些對系統(tǒng)安全性有關(guān)鍵影響的程序、分程序和模塊。 v(5) 對軟件的安全關(guān)鍵單元進(jìn)行分析。v(6) 通過分析、驗證，確保軟件系統(tǒng)安全性要求的實現(xiàn)，驗證不存在有損于安全性的單個或多個失效事件，保證系統(tǒng)的安全性要求不致引起新的危險。 v(7) 確保編制出的程序不會因為觸發(fā)危險功能、或阻礙正常功能的執(zhí)行而使系統(tǒng)處于危險狀態(tài)。v(8) 保證系統(tǒng)中的軟件能有效地減

16、少硬件的安全風(fēng)險。v(9) 保證對系統(tǒng)進(jìn)行充分的安全性測試，包括失效事件發(fā)生的測試。 26第一節(jié) 故障安全原理v為了進(jìn)行軟件安全性評估，必須掌握下列各種資料和信息；v(1) 系統(tǒng)或分系統(tǒng)說明、軟件需求說明、各種接口說明等有關(guān)資料。 v(2) 系統(tǒng)生存周期中軟件及其組成單元的工作情況、功能、工作時序等有關(guān)資料。v(3) 程序各種功能的流程圖、編程語言、儲存和時序等相關(guān)資料。v(4) 系統(tǒng)及軟件在測試、生產(chǎn)、運輸、裝卸、儲存、維修等各個環(huán)節(jié)與安全有關(guān)的經(jīng)驗、教訓(xùn)。v(5) 已知的危險事件源，包括能源及有毒物源，特別是可由軟件控制的危險事件源。v(6) 軟件開發(fā)計劃、軟件質(zhì)量評估計劃、軟件配置管理計

17、劃和其它系統(tǒng)、分系統(tǒng)開發(fā)計劃的文檔。v (7) 系統(tǒng)測試計劃、軟件測試計劃和其它測試文檔。27第一節(jié) 故障安全原理v軟件安全性分析包括以下七個工作項目：v(1) 軟件需求危險分析。利用系統(tǒng)初步危險分析的結(jié)果，初步確定軟件的安全關(guān)鍵單元。v (2) 概要設(shè)計危險分析。在軟件需求說明評審后開始，是軟件需求危險分析的深入和繼續(xù)。分析的結(jié)果提交初步設(shè)計評審，作為初步設(shè)計評審的內(nèi)容。v (3) 詳細(xì)設(shè)計危險分析。安排在初步設(shè)計評審之后進(jìn)行，它是概要設(shè)計危險分析的深入和繼續(xù)。詳細(xì)設(shè)計危險分析應(yīng)在軟件編碼之前進(jìn)行，分析的結(jié)果提交給關(guān)鍵設(shè)計評審，作為關(guān)鍵設(shè)計評審的內(nèi)容。v (4) 軟件編程危險分析。這項分析是

18、用來考察軟件的安全關(guān)鍵單元，以及其它單元的源程序和目標(biāo)程序是否實現(xiàn)了安全性設(shè)計的要求。此工作應(yīng)與編程同時進(jìn)行，應(yīng)該按照安全性的要求不斷地修改程序，一直到測試完成。分析中需要確定危險事件發(fā)生的可能性所降低的程度。分析人員還應(yīng)參加程序的專查和評審。28第一節(jié) 故障安全原理v(5) 軟件安全性分析。這個項目的工作要點是： v 對安全關(guān)鍵單元進(jìn)行安全性測試，保證使危險事件發(fā)生的可能性降低到可以接受的水平。v 向測試人員提供軟件安全關(guān)鍵單元的安全性測試案例。v 確保所有的軟件安全關(guān)鍵單元按預(yù)定的測試方案進(jìn)行安全性測試，準(zhǔn)確地記錄測試記錄。v 除了在正常狀態(tài)下進(jìn)行的測試外，還要在異常的環(huán)境和異常的輸入狀態(tài)

19、下測試軟件確保軟件在這些狀態(tài)下仍能安全運行。v 進(jìn)行軟件強(qiáng)度測試，確保軟件的安全運行。v 確保外購軟件的安全運行。v 訂購方所提供的軟件，不管是否進(jìn)行了修改，都需要進(jìn)行測試，以保證這些軟件在系統(tǒng)中安全運行。v 確保系統(tǒng)綜合測試和系統(tǒng)驗收測試中所發(fā)現(xiàn)的危險事件已經(jīng)得到了糾正，確保對這些事件進(jìn)行了重新測試，沒有遺留問題。v(6) 軟件與用戶接口危險分析。v(7) 軟件更改危險分析。v軟件更改危險分析是用來考察和分析說明書、軟件設(shè)計、源程序和目標(biāo)程序的更改對安全性的影響。29 第二節(jié) 信號安全技術(shù)v1. 故障一安全計算機(jī)系統(tǒng)的三大部分：v(1) 故障一安全計算機(jī)：實現(xiàn)數(shù)據(jù)處理過程的故障-安全；v(2

20、) 輸入輸出接口：實現(xiàn)數(shù)據(jù)采集和控制過程的故障-安全；v(3) 信息傳輸：實現(xiàn)遠(yuǎn)距離數(shù)據(jù)傳輸過程的故障安全。v2. 故障-安全計算機(jī)的構(gòu)成方法:v(1) 采用非對稱性錯誤特性的元件的構(gòu)成方法；v(2) 采用通用的對稱性錯誤特性的元件的構(gòu)成方法；v(3) 采用通用計算機(jī)或處理器的構(gòu)成方法。 30第二節(jié) 信號安全技術(shù)v 軟件的相異性就是在一臺微型計算機(jī)上配置兩套相異的軟件，藉此進(jìn)行故障診斷和錯誤檢測，從而實現(xiàn)故障一安全的一種方式。這類方式又包括以下三種實現(xiàn)形式：v雙版本軟件方式，v軟件自校驗方式;v數(shù)據(jù)的相異性方式v硬件的相異性就是把相同的軟件配置在兩臺微型計算機(jī)上，高頻度地對數(shù)據(jù)(廣義的)進(jìn)行校

21、驗，在檢出異常時，把輸出保持在安全狀態(tài)的一種方式。這類方式也包括以下三種實現(xiàn)形式：v緊密耦合的總線同步方式;v時差同步式；v程序同步式。31第二節(jié) 信號安全技術(shù)v各種方式的故障安全計算機(jī)結(jié)構(gòu)32第二節(jié) 信號安全技術(shù)v (二) 信號設(shè)備微型計算機(jī)化的主要特點v1.從使用的器件來看v現(xiàn)有的信號設(shè)備是具有非對稱性錯誤特性且故障模式可知的器件作為基本故障-安全組成的，藉此保證信號設(shè)備整體具有故障-安全性。v2. 從使用的技術(shù)來看v現(xiàn)有信號設(shè)備是依據(jù)長期經(jīng)驗積累起來的以故障一安全技術(shù)為中心的鐵路信號安全技術(shù)，通過對信號繼電器的結(jié)構(gòu)設(shè)計和繼電器電路的合理設(shè)計確保故障一安全性能的實現(xiàn)。33第二節(jié) 信號安全技

22、術(shù)v 3. 從設(shè)備的功能來看v 微型計算機(jī)以其高速處理能力和智能化顯示出它強(qiáng)大的生命力。而信號設(shè)備的微型計算機(jī)化，不僅能使信號設(shè)備的功能顯著加強(qiáng)和擴(kuò)充，而且使信號設(shè)備具有了高速化和智能化，從而對保證列車運行安全和提高鐵路運輸效率方面能夠作出更大貢獻(xiàn) v4.從設(shè)備的抗干擾能力來看v鐵路信號設(shè)備的工作環(huán)境是極其惡劣的，尤其是處在強(qiáng)烈的電磁干擾環(huán)境和雷害地區(qū)的設(shè)備所受環(huán)境影響是極為嚴(yán)重的?，F(xiàn)行信號設(shè)備采用了驅(qū)動功率較大、轉(zhuǎn)換時間較長的信號用繼電器，因而具有較強(qiáng)的抗干擾能力，整個沒備在環(huán)境干擾較強(qiáng)時仍能穩(wěn)定可靠地工作。34第二節(jié) 信號安全技術(shù)v二 硬件安全性技術(shù)分類v在微型計算機(jī)化的信號設(shè)備中，通過硬

23、件實現(xiàn)故障-安全性能的技術(shù)主要有以下幾類： v (一) 多重化技術(shù)v (二) 高可靠技術(shù)v (三) 故障檢測技術(shù)v (四) 電路構(gòu)成技術(shù)35第二節(jié) 信號安全技術(shù)v (一) 多重化技術(shù)v1. 在處理器級采用的多重化技術(shù)。v2.在輸入輸出級采用的多重化技術(shù)。v3.在裝置之間接口采用的多重化技術(shù) 。v4.在系統(tǒng)級采用的多重化技術(shù)。 36第二節(jié) 信號安全技術(shù)v (二) 高可靠技術(shù)v 1在處理器級。v 2在輸入輸出級 。v 3.在裝置之間接口。v 4在系統(tǒng)級。37第二節(jié) 信號安全技術(shù)v (三) 故障檢測技術(shù)v1. 在處理器級v(1) 用互補(bǔ)數(shù)據(jù)進(jìn)行比較;v(2) 對ROMRAM實行故障檢測；v(3) 用

24、交流信號實現(xiàn)故障檢測；v(4) 對附加檢驗信息的數(shù)據(jù)進(jìn)行處理。v2在輸入輸出級v(1) 用專用的測試信號進(jìn)行故障檢測；v(2) 用照查脈沖作為執(zhí)行部件的輸入條件； v(3) 用交流輸出檢測故障；v(4) 對輸入信息的譯碼進(jìn)行故障檢測；v(5) 對輸出信息的譯碼進(jìn)行故障檢測； v(6) 對表示設(shè)備的故障進(jìn)行故障檢測。v3在系統(tǒng)級v(1) 用偽信號附加功能檢測機(jī)構(gòu);v(2) 采用動作監(jiān)督器。38第二節(jié) 信號安全技術(shù)v(四) 電路構(gòu)成技術(shù)v1在處理器級v(1) 進(jìn)行故障-安全的頻率變換、交直流變換； v(2) 對看門狗定時器進(jìn)行故障安全化。 v2在輸入輸出級v(1) 在發(fā)生故障時輸出安全側(cè)信號；v(

25、2) 構(gòu)成故障安全輸入電路;v(3) 對二重化系統(tǒng)輸出電路實現(xiàn)故障安全化;v(4) 對固定信息進(jìn)行設(shè)置和生成。 39第二節(jié) 信號安全技術(shù)v三 軟件安全性技術(shù)分類v在微型計算機(jī)化的信號設(shè)備中，通過軟件實現(xiàn)故障安全性能的技術(shù)主要有以下幾類。v(一) 高可靠技術(shù) v(二) 故障檢測技術(shù)v(三) 故障屏蔽和恢復(fù)技術(shù)v(四) 人機(jī)技術(shù)40第二節(jié) 信號安全技術(shù)v四 容錯技術(shù)v1.計算機(jī)系統(tǒng)中發(fā)生的故障分類：v(1) 硬件故障，存在于計算機(jī)系統(tǒng)的硬件之中，是對于邏輯變量的設(shè)計值的各種偏離。v(2) 軟件故障，是由于在翻譯一種所執(zhí)行的程序的算法的原始說明時發(fā)生錯誤，而未能執(zhí)行正確的程序軟件故障的原因可以是軟件

26、失效。 41第二節(jié) 信號安全技術(shù)v(3) 對計算機(jī)系統(tǒng)的外界干擾，例如電磁輻射功率超出一定限度、振動或雷擊、電源電壓的波動范圍超過允許值等，將會使計算機(jī)系統(tǒng)的運行偏離正常狀態(tài)。v采用容錯技術(shù)的目的，是使系統(tǒng)在發(fā)生上述故障的情況下，仍能正確地執(zhí)行給定的算法、或正確執(zhí)行預(yù)期的操作。42第二節(jié) 信號安全技術(shù)v2. 判斷是否正確執(zhí)行程序的四個標(biāo)準(zhǔn)：v(1) 程序或數(shù)據(jù)不為故障所改變或中止；v(2) 運算的結(jié)果不包含由故障所帶來的差錯；v(3) 每個程序的執(zhí)行時間不超過某一規(guī)定的限界；v(4) 每個程序可利用的存鍺容量保持在某一規(guī)定的范圍之內(nèi)。43第二節(jié) 信號安全技術(shù)v3.避錯技術(shù) 和局限性v僅僅采用避

27、錯技術(shù)并不能完全解決計算機(jī)系統(tǒng)的可靠性問題，原因如下：v(1) 避錯技術(shù)的目標(biāo)是盡量減小系統(tǒng)發(fā)生故障的概率。 v(2) 避錯技術(shù)只能使故障率減小，但永遠(yuǎn)不可能使硬件和軟件的故障率減為0，因而計算機(jī)系統(tǒng)的故障是不可避免要發(fā)生的，系統(tǒng)的失效是必然會發(fā)生的；v(3) 避錯技術(shù)對故障的處理均由系統(tǒng)外部提供，在計算機(jī)硬件成本日益降低的情況下，使計算機(jī)的維護(hù)成本相對提高，不僅如此，一旦計算機(jī)系境發(fā)生故障，對某些實時系統(tǒng)(如航天飛機(jī)、交通控制等)而言，可能造成嚴(yán)重的經(jīng)濟(jì)損失，有時甚至發(fā)生災(zāi)難性的后果。44第二節(jié) 信號安全技術(shù)v4.容錯技術(shù)的作用v容錯技術(shù)是以承認(rèn)故障的不可避免為前提的，也就是在容忍故障存在的

28、條件下采用以下兩種方法提高系統(tǒng)的可靠性：v靜態(tài)的方法：它的基本思想是當(dāng)系統(tǒng)發(fā)生故障時，掩蔽故障的影響，使系統(tǒng)不產(chǎn)生錯誤的輸出，因而也不導(dǎo)致系統(tǒng)失效。這種方法的典型實例是使用多數(shù)表決邏輯。v動態(tài)的方法：它的基本思想是讓故障的影響表現(xiàn)出來，檢測故障所引起的錯誤，從而診斷出故障根源，進(jìn)而切除故障部件或修復(fù)軟件故障，最后使系統(tǒng)恢復(fù)正常這種方法的典型實例是使用雙機(jī)比較運行結(jié)果。45第二節(jié) 信號安全技術(shù)v(二) 實現(xiàn)容錯技術(shù)的主要方法 v 1. 硬件冗余v 2. 時間冗余v 3.信息冗余 v 4. 軟件冗余 v 5. 各種冗佘技術(shù)的綜合應(yīng)用 46第二節(jié) 信號安全技術(shù)v 1. 硬件冗余v廣泛應(yīng)用的硬件冗余技

29、術(shù)之一是硬件重復(fù)冗余，在物理級可通過元器件的重復(fù)而獲得（如相同的元器件串、并聯(lián)，四倍元器件等）。物理域的恢復(fù)作用是自動的，即不需單獨的檢測，但每一次失效將削弱防衛(wèi)。在邏輯域可采用多數(shù)表決方案，如三模冗余、N模冗余、分段冗余、修復(fù)機(jī)構(gòu)等。47第二節(jié) 信號安全技術(shù)v2. 時間冗余v時間冗余是通過稍耗時間資源來達(dá)到容錯目的的。時間冗余的一個應(yīng)用是程序卷回。這種技術(shù)用來檢驗一段程序完成時的計算數(shù)據(jù)，如有錯，則卷回重算那個部分。如果一次卷回不解決問題，還可以多次卷回，直到故障消除或判定不能消除故障為止。48第二節(jié) 信號安全技術(shù)v 3.信息冗余v信息冗余是依靠增加信息的多余度來提高可靠性的。這些附加的信息

30、位具有如下功能：當(dāng)代碼中某些信息位發(fā)生錯誤(包括附加位本身的錯誤)時能及時發(fā)現(xiàn)錯誤，即檢錯信息位，或者能將發(fā)生錯誤的信息位恢復(fù)成原來的信息，即糾錯信息位一般而言，附加的信息位越多，其檢錯或糾錯能力越強(qiáng)在數(shù)字系統(tǒng)中的信息傳送，算術(shù)邏輯運算中廣泛使用的奇偶碼、海明碼、乘積碼、循環(huán)瑪及各種算術(shù)誤差碼都有很強(qiáng)的檢錯或糾錯能力。 49第二節(jié) 信號安全技術(shù)v 4. 軟件冗余v提高軟件可靠性有兩種方法。一種是研究無錯誤軟件，另一種是研究容錯軟件。v無錯誤軟件的研究主要包括三方面的內(nèi)容：v(1) 尋求導(dǎo)致高可靠軟件產(chǎn)品的程序設(shè)計方法。 v(2) 軟件測試技術(shù)。v(3) 程序正確性證明。 50第二節(jié) 信號安全技

31、術(shù)v(三) 容錯技術(shù)的分類 v(1) 故障限制。限制故障的傳播范圍，防止故障對其它區(qū)域的影響。v(2) 故障檢測。盡快發(fā)現(xiàn)故障，減少故障潛伏期，可以采用聯(lián)機(jī)檢測或脫步檢測的方法。v(3) 故障屏蔽。掩蓋故障對輸出的影響。 v(4) 重試。重新運行一次或若干次，消除對不引起物理破壞的瞬時故障的影響。v(5) 診斷。確定故障的部位辦。v(6) 重組。切除故障部件，換上備份部件。v(7) 恢復(fù)。檢測和重組后，使系統(tǒng)操作回到故障檢測前的處理點。v(8)重啟。當(dāng)恢復(fù)不能消除的故障影響時，采用“熱”啟動(從故障檢測點恢復(fù)所有的操作)或“冷”啟動(重新引導(dǎo)裝入系統(tǒng))。v(9) 修復(fù)。對故障部件進(jìn)行修理補(bǔ)使之

32、復(fù)原，修復(fù)也可聯(lián)機(jī)進(jìn)行或脫機(jī)進(jìn)行。 v(10) 重構(gòu)。把修復(fù)出了的部件加入系統(tǒng)，若修復(fù)是聯(lián)機(jī)進(jìn)行的，則重構(gòu)不能中斷系統(tǒng)的運行。51第二節(jié) 信號安全技術(shù)v (四) 容錯系統(tǒng)的類型v 1. 高可用度系統(tǒng)v 2. 長壽命系統(tǒng)v 3. 延遲維修系統(tǒng)v 4. 高性能計算系統(tǒng)v 5. 關(guān)鍵任務(wù)計算機(jī)系統(tǒng)52第二節(jié) 信號安全技術(shù)v1. 高可用度系統(tǒng)v可用度是指系統(tǒng)在某時刻可運行的概率。高可用度系統(tǒng)一般面向通用計算機(jī)，執(zhí)行各種各樣要求無法預(yù)測的用戶程序。因為這類系統(tǒng)主要面向費用敏感的商用市場，因此它們定對岸現(xiàn)有設(shè)計都盡量少做修改。漢明編碼存儲器、總線奇偶校驗、超時計數(shù)器、診斷、軟件合法性檢查等是主要的冗余方法

33、由此可見這種系統(tǒng)的故障覆蓋率較低，但在多處理器系統(tǒng)中，故障一旦被發(fā)現(xiàn)就能將其隔離，使系統(tǒng)繼續(xù)運行或降級運行。53第二節(jié) 信號安全技術(shù)v 2. 長壽命系統(tǒng)v長壽命系統(tǒng)在其生命周期中(通常在五年以上)不能進(jìn)行人工維修，常用于無人宇宙飛船、衛(wèi)星等控制系統(tǒng)中。長壽命系境必須高度冗余，有足夠多的備件，以便經(jīng)受住多次出現(xiàn)故障的沖擊。冗余管理可以自動 ( 在飛船上 )或遙控(在地面站)進(jìn)行。54第二節(jié) 信號安全技術(shù)v 3. 延遲維修系統(tǒng)v與長壽命系統(tǒng)密切相關(guān)的另一類系統(tǒng)是延遲維修系統(tǒng)，這種系統(tǒng)能在進(jìn)行周期性維修前暫時容忍已發(fā)生的故障從而保持系統(tǒng)生存。在某些應(yīng)用中，系統(tǒng)的現(xiàn)場維修非常困難或昂貴，增加冗余比準(zhǔn)備

34、隨時維修付出的代價要少例如在汽車、飛機(jī)、輪船或坦克的運行中難以維修，通常都要在返回基地后才能進(jìn)行維修。許多車載、機(jī)載和艦載計算機(jī)都應(yīng)用了延遲維修容錯計算機(jī)。 55第二節(jié) 信號安全技術(shù)v 4. 高性能計算系統(tǒng)v高性能計算系統(tǒng)(如信號處理機(jī))對瞬時故障(由于過緊的定時容限而引起)和永久故障(由于復(fù)雜性引起)均很敏感，要提高系統(tǒng)性能，增加平均無故障時間對瞬時故障的自動恢復(fù)能力，必須進(jìn)行容錯設(shè)計。56第二節(jié) 信號安全技術(shù)v5. 關(guān)鍵任務(wù)計算機(jī)系統(tǒng)v對容錯計算要求最嚴(yán)的是在實時應(yīng)用環(huán)境下，其中錯誤的計算可能危及人的生命，或造成重大的經(jīng)濟(jì)損失在這種系統(tǒng)中不僅要求計算正確，而且要求從故障中恢復(fù)的時間最短，不致影響應(yīng)用任務(wù)的執(zhí)行。 57第二節(jié) 信號安全技術(shù)v五 鐵路信號安全技術(shù)v鐵路信號安全技術(shù)可分為：v(一) 故障-安全技術(shù)v(二) 危險側(cè)故障率最小化技術(shù)v(三)