故障安全技术课件.ppt

1、第三章 故障-安全技术第1页，共63页。第三章 故障-安全技术v第一节 故障-安全原理v第二节 信号安全技术第2页，共63页。第三章 故障-安全技术v第一节 故障-安全原理v一 安全性和可靠性概念v二 故障-安全原理v三 系统输入输出信号安全要求和对策v四 安全性评估第3页，共63页。第一节 故障安全原理v一 安全性和可靠性概念v安全性：在规定的条件下，在规定的时间内，系统不陷入危险状态的性能。v可靠性：系统在给定的条件下，到给定的时刻t，不发生故障的概率。v失效：一是系统或系统的部件不能在规定的限制内执行所要求的功能。二是一个功能单元执行所要求的功能的能力的终结。三是程序操作偏离了程序的需求

2、。失效是导致错误发生的主要原因。v错误：指系统陷入不正常状态或执行非正常操作。错误可能由硬件失效、软件失效、环境干扰等原因引起，错误的严重性可以分为5类。v故障：由于错误造成系统的部件或软件或系统丧失必要的功能。即由于各种原因所造成的系统的不正常状态。第4页，共63页。第一节 故障安全原理v失误：人为的失败和错误。通常指人的错误操作。v危害：有可能给人类或财产带来不良影响的事情。v风险：用来表示危及安全的事件发生频度以及事件危害程度（或严重程度）的指标。v容错：指一个系统在其中的故障已经暴露之后仍能提供要求的功能的存活的属性。第5页，共63页。第一节 故障安全原理v安全性评估：采用解析或测试的

3、方法，对系统的安全性能进行估算和分析，从而对系统的安全性能做出定量或定性的评价。用与安全性评估的指标主要是安全性完善度和安全性完善等级。v安全性完善度：在给定的条件下，到给定的时刻t，系统维持所要求的安全功能的概率。它是表示系统所能达到安全性要求程度高低的指标。v安全性完善等级：表示系统所能达到安全性水平等级。通常较小的等级表示安全性水平低，较大的等级表示安全性水平低高（例如：1级安全性完善等级为最低级）。第6页，共63页。第一节 故障安全原理v二 故障-安全原理v 故障-安全：系统在发生故障的情况下，能够维持安全状态或向安全状态转移。v这种与安全相关的系统特性就是故障-安全。在信号系统中常称

4、为故障倒向安全原则。又称F-S(Fail-Safe)原则。第7页，共63页。第一节 故障安全原理v铁路信号的重要作用之一是保证列车运行的安全，而这种安全的实现总是把“系统故障时让列车停止运行”为首要方针。规定系统故障时把信号显示变为让列车停止运行的红灯作为安全侧，这是传统的铁路信号安全技术的一个重要特点。v在继电信号设备中，故障-安全的实现是以具有非对称错误特性的信号继电器和闭路原理为基础，实现信号设备的整体性的故障-安全。这是铁路信号安全技术的第二个特点。第8页，共63页。第一节 故障安全原理v 随着可靠性理论的发展，促使对故障的分析建立在概率论的基础上，进而揭示了故障-安全也应是一个具有概

5、率特性的概念。v首先，客观上可靠度为百分之百的信号设备是不存在的，也就是说设备的故障是不可避免的。用全故障率t表示，我们希望它足够小，但不可能为零。v对设备的故障根据它所带来的后果可以分为危险侧故障和安全侧故障，分别用危险侧故障率d和安全侧故障率s表示，则有t=d+s。v信号继电器的危险侧故障率d为10-10小时，安全侧故障率s为10-7小时。危险侧的故障率虽低，但它并非是零，因此传统的故障-安全概念不是绝对的。v危险侧故障率d相对全故障率t小到可以忽略的程度时，该设备才是故障-安全的，即危险比=d/t应足够小。第9页，共63页。第一节 故障安全原理v 将危险比写成另一种形式v=v上式中的d/

6、s=称为非对称错误概率，它应该足够小。v事实上，由于信号设备发生故障时列车停止运行，安全侧故障率s 越大，故障恢复时间越长，越容易引起列车的阻塞。这不仅会降低运输效率，还可能诱发重大事故。因此，s也应尽可能的小。v总之，为了实现故障-安全，危险侧故障率和安全侧故障率都应该尽可能的小。在此前提下危险比和非对称错误概率也要足够小。也就是说，信号设备的故障-安全特性是建立在设备的高可靠性基础上的。111ds第10页，共63页。第一节 故障安全原理v为了对故障-安全特性进行进一步的研究，对设备故障引起的事故用下面的关系式来描述：v 事故=故障 危险侧v若把 中的真值取为1，伪值取为0，即 中的变量为二

7、值逻辑变量，则可将上式的否定形式认为具有安全的含义。根据摩根法则可得下式：没有事故=没有故障 安全侧v还可以将安全性用下列逻辑式表示：安全性=高可靠性 故障安全性第11页，共63页。第一节 故障安全原理v三 系统输入输出信号安全要求和对策v（一）故障-安全输入接口 v故障-安全输入接口必须做到以下两点：v(1)采用光电隔离技术：通常，接点输入电路要经过光电耦合才能接至输入接口，以便有效地抑止接点输入电路的电磁干扰。v(2)采用编码输入或过程输入方式，以便有效地实现故障-安全原则。v过程输入方式又有两类：一类是输入接口采用多重模块结构，并使用软件进行校验的空间冗余法；另一类是采用诊断技术检查输入

8、值的时间冗余法。第12页，共63页。第一节 故障安全原理v1.编码方式的故障-安全输入接口v图中将轨道继电器GJ的状态输入到计算机的输入接口。v由于是由输入接口的若干位信息的编码反映轨道继电器的状态，因此可避免因混线断线或干扰信号引起的错误采样，从而保证输入接口电路的故障-安全特性 第13页，共63页。第一节 故障安全原理v图中用了两个光电耦合器G1和G2。vG1的输出级和G2的输入级并联,并由输入信号GJ控制其电源的通断。G1的输入级和G2的输出级共用微型计算机电源（5V），且G1的输入级由微型计算机的输出进行控制。若微型计算机按1010输出控制信号，当GJ接点闭合时，则计算机就会从输入接口

9、电路接收一个与控制信号相反的信号0101，当GJ接点断开或G1，G2发生故障时，计算机的输入接口只能收到稳态信号，因此保证了输入信息的故障-安全。第14页，共63页。第一节 故障安全原理v3.采用多重模块结构、并使用软件校验的方法。v 每个继电器接点输入接口是由三个模块组成的，每个模块包括光电隔离、锁存器、缓冲器等部件，每1个模块的输出分配到三个计算机的总线上，每个计算机分三次读取数据，并用软件检查三个数据的一致性。第15页，共63页。第一节 故障安全原理v由代码动/静态变换电路是计算机输出控制信号所必须经历的过程。这种变换可分成软件变换和硬件变换两种实现方式。v软件变换是根据逻辑运算结果（代

10、码形式）在需要输出危险侧控制信号时，借助软件的执行使计算机不断地输出脉冲串。这种方式节省了硬件，但占用了计算机的处理时间。v硬件变换可以采用振荡式的故障-安全逻辑元件来实现，还可以采用移位寄存器来实现。后者的基本原理是将危险侧代码并行输送到移位寄存器中，然后再有控制时钟推动移位寄存器，使其输出串行脉冲序列。第16页，共63页。第一节 故障安全原理v动/静态电平变换电路是一种只有当输入为脉冲序列时其输出才为高电平。v而在输入为稳态电平或电路发生故障时均为低电平的输出电路，所以称这类电路是动态鉴别电路，又称为故障-安全驱动电路。第17页，共63页。第一节 故障安全原理v根据需要可连接一个安全型继电

11、器作为控制输出的执行部件。v在此电路中，放大器本身必须设计成不会因元器件性能改变和失效而产生自激振荡，脉冲变压器的主次线圈之间绝缘良好，这些是比较容易实现的。第18页，共63页。第一节 故障安全原理v一种三模系统故障-安全输出电路。v由于该系统的故障-安全比较器不能检出输出电路的故障，所以对直接控制信号设备的输出电路必须采用故障安全输出电路。v图的输出电路是由电平变换电路，C形故障-安全逻辑单元故障，安全继电器驱动电路所组成。第19页，共63页。第一节 故障安全原理v四 安全性评估v(一)硬件系统的可靠性和安全性评估指标v对于铁路信号应用微机系统，为了满足铁路运输的高效和安全的要求，必须具有极

12、高的可靠性和安全性。v在定量地考虑系统的可靠性时，一般用平均故障间隔时间MTBF(Mean Time Between Failures来衡量系统的可靠性。第20页，共63页。第一节 故障安全原理v1.可靠性和安全性的评估依据 v必要作一些合理的简化和假设：v首先，在系统中若有表决器、比较器、自动转换装置以及系统之间接口电路等模块，则认为它们较微型计算机系统具有更高的可靠性，在计算它们时可对它们的可靠度作为1处理而仅考虑微机系统的可靠性。v另外，为了便于不同冗余结构的系统之间进行比较，假定各系统所用的微型计算机的可靠性指标是相同的。第21页，共63页。第一节 故障安全原理v在计算安全度时，需要分

13、析在什么情况下才发生危险侧故障。在采用双重软件进行比较的情况下，假定只有当发生两次故障且两次故障的后果一致并且不能通过比较被发现时，才有导致危险侧故障的可能。具体的情况是：v(1)微机第一次发生故障，使得基本的或冗余的信息中出现了一个错误的信息。v(2)在第一次故障尚未被检出期间，或者说在检测时间D内又发生了第二次故障。对于动态切换系统来说，这是指同一微机发生了第二次故障，对于三中取二系统来说这是指另一个微机系统发生了故障，这次故障也产生了另一个错误信息。v(3)这两个错误的信息恰巧构成了两个相同的、然而是错误的有效代码，因而不能检出。v(4)错误的有效代码又是危险侧代码，从而产生了一个危及行

14、车安全的控制命令。v只有上述四个条件都存在时才算是出现了危险侧故障。第22页，共63页。第一节 故障安全原理v2.单机系统的可靠性和安全性估算v当采用单个微机系统构成铁路信号自动控制设备时，通常是采用双套软件来保证系统安全性的。v(二)软件系统的可靠性和安全性评估v1.软件的可靠性评估v软件可靠性是指软件在所规定的环境条件下和规定的时间内，一直能按需求规格说明正确地完成任务的能力。第23页，共63页。第一节 故障安全原理v软件可靠性的概率度量则称为软件可靠度。v对于面向用户的软件可靠度定义，可以有以下两种：v(1)程序在规定的时间内对一组随机选择的输入数据能给出正确输出的概率；v(2)程序在规

15、定的时间和规定的用户环境中，对一组典型的输入数据，给出正确输出的概率。第24页，共63页。第一节 故障安全原理v 2.软件安全性评估v将软件系统的安全性工作归结为如下九项：v(1)确定系统及系统中软件的安全性要求。v(2)将系统安全性说明中的要求准确地转化为系统或分系统说明的要求、转化为软件需说明的要求，并将这些要求在软件设计及编码中实现。v(3)在系统、分系统说明及软件需求说明中确定当可能发生安全事故时的系统对策。这些 对策包括故障一安全、故障降级使用、故障容错使用等内容。v(4)确定软件系统中安全关键单元，安全关键单元是指那些对系统安全性有关键影响的程序、分程序和模块。v(5)对软件的安全

16、关键单元进行分析。v(6)通过分析、验证，确保软件系统安全性要求的实现，验证不存在有损于安全性的单个或多个失效事件，保证系统的安全性要求不致引起新的危险。v(7)确保编制出的程序不会因为触发危险功能、或阻碍正常功能的执行而使系统处于危险状态。v(8)保证系统中的软件能有效地减少硬件的安全风险。v(9)保证对系统进行充分的安全性测试，包括失效事件发生的测试。第25页，共63页。第一节 故障安全原理v为了进行软件安全性评估，必须掌握下列各种资料和信息；v(1)系统或分系统说明、软件需求说明、各种接口说明等有关资料。v(2)系统生存周期中软件及其组成单元的工作情况、功能、工作时序等有关资料。v(3)

17、程序各种功能的流程图、编程语言、储存和时序等相关资料。v(4)系统及软件在测试、生产、运输、装卸、储存、维修等各个环节与安全有关的经验、教训。v(5)已知的危险事件源，包括能源及有毒物源，特别是可由软件控制的危险事件源。v(6)软件开发计划、软件质量评估计划、软件配置管理计划和其它系统、分系统开发计划的文档。v(7)系统测试计划、软件测试计划和其它测试文档。第26页，共63页。第一节 故障安全原理v软件安全性分析包括以下七个工作项目：v(1)软件需求危险分析。利用系统初步危险分析的结果，初步确定软件的安全关键单元。v(2)概要设计危险分析。在软件需求说明评审后开始，是软件需求危险分析的深入和继

18、续。分析的结果提交初步设计评审，作为初步设计评审的内容。v(3)详细设计危险分析。安排在初步设计评审之后进行，它是概要设计危险分析的深入和继续。详细设计危险分析应在软件编码之前进行，分析的结果提交给关键设计评审，作为关键设计评审的内容。v(4)软件编程危险分析。这项分析是用来考察软件的安全关键单元，以及其它单元的源程序和目标程序是否实现了安全性设计的要求。此工作应与编程同时进行，应该按照安全性的要求不断地修改程序，一直到测试完成。分析中需要确定危险事件发生的可能性所降低的程度。分析人员还应参加程序的专查和评审。第27页，共63页。第一节 故障安全原理v(5)软件安全性分析。这个项目的工作要点是

19、：v 对安全关键单元进行安全性测试，保证使危险事件发生的可能性降低到可以接受的水平。v 向测试人员提供软件安全关键单元的安全性测试案例。v 确保所有的软件安全关键单元按预定的测试方案进行安全性测试，准确地记录测试记录。v 除了在正常状态下进行的测试外，还要在异常的环境和异常的输入状态下测试软件确保软件在这些状态下仍能安全运行。v 进行软件强度测试，确保软件的安全运行。v 确保外购软件的安全运行。v 订购方所提供的软件，不管是否进行了修改，都需要进行测试，以保证这些软件在系统中安全运行。v 确保系统综合测试和系统验收测试中所发现的危险事件已经得到了纠正，确保对这些事件进行了重新测试，没有遗留问题

20、。v(6)软件与用户接口危险分析。v(7)软件更改危险分析。v软件更改危险分析是用来考察和分析说明书、软件设计、源程序和目标程序的更改对安全性的影响。第28页，共63页。第二节 信号安全技术v1.故障一安全计算机系统的三大部分：v(1)故障一安全计算机：实现数据处理过程的故障-安全；v(2)输入输出接口：实现数据采集和控制过程的故障-安全；v(3)信息传输：实现远距离数据传输过程的故障安全。v2.故障-安全计算机的构成方法:v(1)采用非对称性错误特性的元件的构成方法；v(2)采用通用的对称性错误特性的元件的构成方法；v(3)采用通用计算机或处理器的构成方法。第29页，共63页。第二节 信号安

21、全技术v 软件的相异性就是在一台微型计算机上配置两套相异的软件，藉此进行故障诊断和错误检测，从而实现故障一安全的一种方式。这类方式又包括以下三种实现形式：v双版本软件方式，v软件自校验方式;v数据的相异性方式v硬件的相异性就是把相同的软件配置在两台微型计算机上，高频度地对数据(广义的)进行校验，在检出异常时，把输出保持在安全状态的一种方式。这类方式也包括以下三种实现形式：v紧密耦合的总线同步方式;v时差同步式；v程序同步式。第30页，共63页。第二节 信号安全技术v各种方式的故障安全计算机结构第31页，共63页。第二节 信号安全技术v(二)信号设备微型计算机化的主要特点v1.从使用的器件来看v

22、现有的信号设备是具有非对称性错误特性且故障模式可知的器件作为基本故障-安全组成的，藉此保证信号设备整体具有故障-安全性。v2.从使用的技术来看v现有信号设备是依据长期经验积累起来的以故障一安全技术为中心的铁路信号安全技术，通过对信号继电器的结构设计和继电器电路的合理设计确保故障一安全性能的实现。第32页，共63页。第二节 信号安全技术v 3.从设备的功能来看v 微型计算机以其高速处理能力和智能化显示出它强大的生命力。而信号设备的微型计算机化，不仅能使信号设备的功能显著加强和扩充，而且使信号设备具有了高速化和智能化，从而对保证列车运行安全和提高铁路运输效率方面能够作出更大贡献 v4.从设备的抗干

23、扰能力来看v铁路信号设备的工作环境是极其恶劣的，尤其是处在强烈的电磁干扰环境和雷害地区的设备所受环境影响是极为严重的。现行信号设备采用了驱动功率较大、转换时间较长的信号用继电器，因而具有较强的抗干扰能力，整个没备在环境干扰较强时仍能稳定可靠地工作。第33页，共63页。第二节 信号安全技术v二 硬件安全性技术分类v在微型计算机化的信号设备中，通过硬件实现故障-安全性能的技术主要有以下几类：v(一)多重化技术v(二)高可靠技术v(三)故障检测技术v(四)电路构成技术第34页，共63页。第二节 信号安全技术v(一)多重化技术v1.在处理器级采用的多重化技术。v2.在输入输出级采用的多重化技术。v3.

24、在装置之间接口采用的多重化技术。v4.在系统级采用的多重化技术。第35页，共63页。第二节 信号安全技术v(二)高可靠技术v 1在处理器级。v 2在输入输出级。v 3.在装置之间接口。v 4在系统级。第36页，共63页。第二节 信号安全技术v(三)故障检测技术v1.在处理器级v(1)用互补数据进行比较;v(2)对ROMRAM实行故障检测；v(3)用交流信号实现故障检测；v(4)对附加检验信息的数据进行处理。v2在输入输出级v(1)用专用的测试信号进行故障检测；v(2)用照查脉冲作为执行部件的输入条件；v(3)用交流输出检测故障；v(4)对输入信息的译码进行故障检测；v(5)对输出信息的译码进行

25、故障检测；v(6)对表示设备的故障进行故障检测。v3在系统级v(1)用伪信号附加功能检测机构;v(2)采用动作监督器。第37页，共63页。第二节 信号安全技术v(四)电路构成技术v1在处理器级v(1)进行故障-安全的频率变换、交直流变换；v(2)对看门狗定时器进行故障安全化。v2在输入输出级v(1)在发生故障时输出安全侧信号；v(2)构成故障安全输入电路;v(3)对二重化系统输出电路实现故障安全化;v(4)对固定信息进行设置和生成。第38页，共63页。第二节 信号安全技术v三 软件安全性技术分类v在微型计算机化的信号设备中，通过软件实现故障安全性能的技术主要有以下几类。v(一)高可靠技术 v(

26、二)故障检测技术v(三)故障屏蔽和恢复技术v(四)人机技术第39页，共63页。第二节 信号安全技术v四 容错技术v1.计算机系统中发生的故障分类：v(1)硬件故障，存在于计算机系统的硬件之中，是对于逻辑变量的设计值的各种偏离。v(2)软件故障，是由于在翻译一种所执行的程序的算法的原始说明时发生错误，而未能执行正确的程序软件故障的原因可以是软件失效。第40页，共63页。第二节 信号安全技术v(3)对计算机系统的外界干扰，例如电磁辐射功率超出一定限度、振动或雷击、电源电压的波动范围超过允许值等，将会使计算机系统的运行偏离正常状态。v采用容错技术的目的，是使系统在发生上述故障的情况下，仍能正确地执行

27、给定的算法、或正确执行预期的操作。第41页，共63页。第二节 信号安全技术v2.判断是否正确执行程序的四个标准：v(1)程序或数据不为故障所改变或中止；v(2)运算的结果不包含由故障所带来的差错；v(3)每个程序的执行时间不超过某一规定的限界；v(4)每个程序可利用的存锗容量保持在某一规定的范围之内。第42页，共63页。第二节 信号安全技术v3.避错技术 和局限性v仅仅采用避错技术并不能完全解决计算机系统的可靠性问题，原因如下：v(1)避错技术的目标是尽量减小系统发生故障的概率。v(2)避错技术只能使故障率减小，但永远不可能使硬件和软件的故障率减为0，因而计算机系统的故障是不可避免要发生的，系

28、统的失效是必然会发生的；v(3)避错技术对故障的处理均由系统外部提供，在计算机硬件成本日益降低的情况下，使计算机的维护成本相对提高，不仅如此，一旦计算机系境发生故障，对某些实时系统(如航天飞机、交通控制等)而言，可能造成严重的经济损失，有时甚至发生灾难性的后果。第43页，共63页。第二节 信号安全技术v4.容错技术的作用v容错技术是以承认故障的不可避免为前提的，也就是在容忍故障存在的条件下采用以下两种方法提高系统的可靠性：v静态的方法：它的基本思想是当系统发生故障时，掩蔽故障的影响，使系统不产生错误的输出，因而也不导致系统失效。这种方法的典型实例是使用多数表决逻辑。v动态的方法：它的基本思想是

29、让故障的影响表现出来，检测故障所引起的错误，从而诊断出故障根源，进而切除故障部件或修复软件故障，最后使系统恢复正常这种方法的典型实例是使用双机比较运行结果。第44页，共63页。第二节 信号安全技术v(二)实现容错技术的主要方法 v 1.硬件冗余v 2.时间冗余v 3.信息冗余 v 4.软件冗余 v 5.各种冗佘技术的综合应用 第45页，共63页。第二节 信号安全技术v 1.硬件冗余v广泛应用的硬件冗余技术之一是硬件重复冗余，在物理级可通过元器件的重复而获得（如相同的元器件串、并联，四倍元器件等）。物理域的恢复作用是自动的，即不需单独的检测，但每一次失效将削弱防卫。在逻辑域可采用多数表决方案，如

30、三模冗余、N模冗余、分段冗余、修复机构等。第46页，共63页。第二节 信号安全技术v2.时间冗余v时间冗余是通过稍耗时间资源来达到容错目的的。时间冗余的一个应用是程序卷回。这种技术用来检验一段程序完成时的计算数据，如有错，则卷回重算那个部分。如果一次卷回不解决问题，还可以多次卷回，直到故障消除或判定不能消除故障为止。第47页，共63页。第二节 信号安全技术v 3.信息冗余v信息冗余是依靠增加信息的多余度来提高可靠性的。这些附加的信息位具有如下功能：当代码中某些信息位发生错误(包括附加位本身的错误)时能及时发现错误，即检错信息位，或者能将发生错误的信息位恢复成原来的信息，即纠错信息位一般而言，附

31、加的信息位越多，其检错或纠错能力越强在数字系统中的信息传送，算术逻辑运算中广泛使用的奇偶码、海明码、乘积码、循环玛及各种算术误差码都有很强的检错或纠错能力。第48页，共63页。第二节 信号安全技术v 4.软件冗余v提高软件可靠性有两种方法。一种是研究无错误软件，另一种是研究容错软件。v无错误软件的研究主要包括三方面的内容：v(1)寻求导致高可靠软件产品的程序设计方法。v(2)软件测试技术。v(3)程序正确性证明。第49页，共63页。第二节 信号安全技术v(三)容错技术的分类 v(1)故障限制。限制故障的传播范围，防止故障对其它区域的影响。v(2)故障检测。尽快发现故障，减少故障潜伏期，可以采用

32、联机检测或脱步检测的方法。v(3)故障屏蔽。掩盖故障对输出的影响。v(4)重试。重新运行一次或若干次，消除对不引起物理破坏的瞬时故障的影响。v(5)诊断。确定故障的部位办。v(6)重组。切除故障部件，换上备份部件。v(7)恢复。检测和重组后，使系统操作回到故障检测前的处理点。v(8)重启。当恢复不能消除的故障影响时，采用“热”启动(从故障检测点恢复所有的操作)或“冷”启动(重新引导装入系统)。v(9)修复。对故障部件进行修理补使之复原，修复也可联机进行或脱机进行。v(10)重构。把修复出了的部件加入系统，若修复是联机进行的，则重构不能中断系统的运行。第50页，共63页。第二节 信号安全技术v(

33、四)容错系统的类型v 1.高可用度系统v 2.长寿命系统v 3.延迟维修系统v 4.高性能计算系统v 5.关键任务计算机系统第51页，共63页。第二节 信号安全技术v1.高可用度系统v可用度是指系统在某时刻可运行的概率。高可用度系统一般面向通用计算机，执行各种各样要求无法预测的用户程序。因为这类系统主要面向费用敏感的商用市场，因此它们定对岸现有设计都尽量少做修改。汉明编码存储器、总线奇偶校验、超时计数器、诊断、软件合法性检查等是主要的冗余方法由此可见这种系统的故障覆盖率较低，但在多处理器系统中，故障一旦被发现就能将其隔离，使系统继续运行或降级运行。第52页，共63页。第二节 信号安全技术v 2

34、.长寿命系统v长寿命系统在其生命周期中(通常在五年以上)不能进行人工维修，常用于无人宇宙飞船、卫星等控制系统中。长寿命系境必须高度冗余，有足够多的备件，以便经受住多次出现故障的冲击。冗余管理可以自动(在飞船上)或遥控(在地面站)进行。第53页，共63页。第二节 信号安全技术v 3.延迟维修系统v与长寿命系统密切相关的另一类系统是延迟维修系统，这种系统能在进行周期性维修前暂时容忍已发生的故障从而保持系统生存。在某些应用中，系统的现场维修非常困难或昂贵，增加冗余比准备随时维修付出的代价要少例如在汽车、飞机、轮船或坦克的运行中难以维修，通常都要在返回基地后才能进行维修。许多车载、机载和舰载计算机都应

35、用了延迟维修容错计算机。第54页，共63页。第二节 信号安全技术v 4.高性能计算系统v高性能计算系统(如信号处理机)对瞬时故障(由于过紧的定时容限而引起)和永久故障(由于复杂性引起)均很敏感，要提高系统性能，增加平均无故障时间对瞬时故障的自动恢复能力，必须进行容错设计。第55页，共63页。第二节 信号安全技术v5.关键任务计算机系统v对容错计算要求最严的是在实时应用环境下，其中错误的计算可能危及人的生命，或造成重大的经济损失在这种系统中不仅要求计算正确，而且要求从故障中恢复的时间最短，不致影响应用任务的执行。第56页，共63页。第二节 信号安全技术v五 铁路信号安全技术v铁路信号安全技术可分

36、为：v(一)故障-安全技术v(二)危险侧故障率最小化技术v(三)防错办技术v(四)故障弱化技术v(五)储备v(六)故障检测与诊断 v(七)故障恢复 v(八)多重化技术 v(九)安全余裕 v(十)继电器电路的基本防护原则 第57页，共63页。第二节 信号安全技术v在构成继电器电路时，满足故障-安全的措施：v 1.用继电器的励磁状态作为开放信号的条件，继电器有励磁前接点闭合与失磁后接点闭合两种状态，根据故障安全原则的要求，必须选用继电器的励磁状态(前接点闭合)作为信号开放的条件。v 用继电器的励磁状态作为开放信号条件，如轨道继电器GJ励磁表示轨道空闲(无车)；道岔表示继电器(DBJ或FBJ)励磁表

37、示道岔所处位置，当道岔表示电路发生故障，或道岔在四开位置时，道岔表示继电器就失磁，象这些继电器都是在励磁状态时才能开放信号，也只有这样才能满足故障安全的原则。第58页，共63页。第二节 信号安全技术v2.电源与继电器设在不同端。v如图所示的就是将电源与继电器XJ设于电路的不同端，当线路发生短 路故障时，不致于造成XJ错误励磁。v图中原来XJ 处于励磁状态，当线路发生短时 XJ即自动地由吸起状态转变为落下状态。假设电源与继电器设在同一端，当发生线路短路故障时，尽管手柄接点断开，XJ也会错误励磁，如图所示。第59页，共63页。第二节 信号安全技术v3.采用双极接通电路v控制去线和回线都串入控制的条

38、件接点，如图所示，在去线和回线中都串入了某继电器J的前接点，来控制继电器XJ。v若只用单极接通电路，如图所示，当a、b两点同时发生接地或控制的条件接点J引出端子间短路等故障时，尽管接点J 没有闭合，也能使XJ错误励磁。但采用双极接通电路时，这种错误励磁的可能性就大大减小。第60页，共63页。第二节 信号安全技术v4.继电器不工作时分路继电器线圈v在重要的电路中，为了防止由其他电路混线或迷流影响造成继电器。XJ的错误励磁，如图所示的在不工作时将继电器线圈短路。第61页，共63页。第二节 信号安全技术v5.避免对几个继电器电路采用共用回线v 在重要的继电器电路，不要与其他继电器电路共用回线。因为共用回线，一旦发生混线等故障时会引起继电器错误励磁。如图3-18所示，本来AJ励磁前接点闭合控制1XJ，使其励磁吸起，由于外线1、2间发生混线，同时也使2XJ错误励磁，造成事故。第62页，共63页。第二节 信号安全技术v6.独立电源法v独立电源法也称为电源隔离法。v如果每个继电器有各自的电源且没有公共回线，那么任何两条线路混线都不会构成错误的闭合电路使继电器吸起。v在交流电源中可以很方便地利用变压器实现电源隔离，例如轨道电路、信号点灯电路和道岔表示电路都采用变压器隔离。v图所示为道岔表示电路其中的BB就是专用的隔离变压器。以上几种措施也可能同时采用。第63页，共63页。