线控系统投票策略的概率优化与评估

### 线控系统投票策略的概率优化与评估 #### 1. 信号投票概述 在冗余系统中，当输入信号通过多个独立通信通道传输时，就需要进行投票操作，将冗余的通信信号整合为一个驱动执行器的权威信号。投票问题可视为一个信道解码问题，具体如下： - 源信号 \(S\) 由传感器、手动输入或自动控制系统生成，需传输到根据信号值做出反应的执行器。 - 为实现容错，源信号 \(S\) 被分割并通过 \(k\) 个独立通信通道进行冗余传输，这些通道的输出记为 \(C_1 \cdots C_k\)，由投票器处理后生成输出 \(V\)。 - 在无故障情况下，所有信号 \(S\)、\(C_1 \cdots C_k\) 和 \(V\) 一致。但故障可能影响通信通道，导致投票器输入信号 \(C_1 \cdots C_k\) 与 \(S\) 不同，此时投票器需根据有故障的输入数据做出决策。 投票决策可分为以下两类： - **精确投票决策**：能从投票器输入绝对确定地推断出源信号 \(S\) 的值，即任何故障组合都不会使投票策略做出错误决策。 - **概率投票决策**：输入信号组合无法绝对确定地推断出正确的源信号，但基于输入信号的值，能以高概率重构源信号的正确值，决策包含一个应较小的错误概率。 需要注意的是，即使是概率投票决策，投票策略仍然是一个确定性函数。概率和精确投票决策的区别取决于底层的故障模型。若故障模型包含复杂故障，如独立通信通道之间的共谋场景，那么所有投票策略都可能被破坏，精确投票决策将变得不可能。相反，增加冗余通信通道可使投票策略对通信故障更具鲁棒性，更多输入信号组合可通过精确投票决策进行处理。 #### 2. 系统描述 以一个简单的系统架构为例，该系统具有典型的双通道架构，常用于线控应用。其具体结构如下： - 开关单元通过三个冗余开关阵列将机械输入转换为源信号，开关具有常闭（NC）触点，开关单元有冗余电源。 - 三个冗余信号从开关传输到两个独立执行器，执行器在做出投票决策后对信号做出反应。 - 投票器的输入级假定有下拉电阻，因此开路输入线被读取为逻辑 0。 - 独立执行器还通过系统总线进行通信，并将各自的输入信号通过系统总线传输给对方，所以投票器接收 6 个输入信号：三个直接来自开关单元的输入信号 \(S_1\)、\(S_2\)、\(S_3\) 和三个来自对等投票器的中继信号 \(R_1\)、\(R_2\)、\(R_3\)。 该系统的故障模型如下表所示： | 故障标识符 | 故障描述 | 故障率 [fit] | | --- | --- | --- | | vcc1_down | 通道一的电压供应不足 | 10 | | vcc2_down | 通道二的电压供应不足 | 10 | | switch1_stuck_open | 开关始终断开端子 | 4 | | switch1_stuck_closed | 开关始终连接端子 | 1 | | switch2_stuck_open | 与其他开关类似 | 4 | | switch2_stuck_closed | | 1 | | switch3_stuck_open | | 4 | | switch3_stuck_closed | | 1 | | connector1_disconnected | 连接器 1 断开所有电缆 | 5 | | connector2_disconnected | 连接器 2 断开所有电缆 | 5 | | cable11_disconnected | 电缆 11 开路 | 5 | | cable12_disconnected | 电缆 12 开路 | 5 | | cable13_disconnected | 电缆 13 开路 | 5 | | cable21_disconnected | 电缆 21 开路 | 5 | | cable22_disconnected | 电缆 22 开路 | 5 | | cable23_disconnected | 电缆 23 开路 | 5 | 故障率以 fit 为单位，即每 \(10^9\) 小时运行的故障数。所有故障假定为独立的，且具有指数寿命分布，显然“常开”和“常闭”故障模式是互斥的。 #### 3. 投票策略的自动生成 为构建投票策略，需对故障状态空间进行详尽探索，分析不同故障场景如何影响源信号到投票器输入的通信，从而确定哪些故障组合会使给定的输入信号组合到达投票器。 采用深度优先探索从全局完好状态开始的所有可能组件故障序列的方法来枚举故障状态并计算其相应的时间相关概率。在进行详尽状态空间探索时，为避免状态空间爆炸问题，需定义合理的截断标准： - 若到达系统无法继续运行的故障状态，可截断深度优先搜索，因为系统必须立即修复，在修复前不会遇到更多故障。 - 限制考虑的故障序列长度是合理的，因为长故障序列的概率较小，可在罕见事件近似意义下忽略。此外，为满足指定的安全和完整性级别，考虑达到所需长度的故障序列即可。 对于示例模型，