0　引　言

分布式控制系统(DCS)被普遍地应用在工控范畴，可靠性是其重要的指标之一[1]。航天、石油、军事等高危行业对工控系统的可靠性要求则更高。在设计工控系统时，除了通过元器件的选择、抗干扰设计等手段，采取双重冗余控制结构或者三重冗余(TMR)控制结构[2-4]也可以有效地提高系统的可靠性。在高危行业中，三重冗余的设计结构较双重冗余的可靠性更高。在已有文献中对这类工控系统进行可靠性分析[5-6]时，并没有考虑到常见的共因故障的情况，而这种情况对设备的可靠性有很大的影响。针对这一问题，作者在考虑了多种情况下的共因故障、故障模式、故障检测率以及修正率等因素，通过仿真对该系统进行了可靠性分析。

此外，通过对人、车方面的历史通行数据进行分析，逐渐完善人和车的诚信评价维度数据，从而建立一套完善的人车诚信评级系统，使基于人车诚信评级系统的数据辅助绿通治理得以在高速公路管理中推广应用。

1　基于TMR的分布式控制系统结构

为了对基于TMR的分布式控制系统的可靠性进行评估，需要建立基于TMR的分布式控制系统的可靠性模型[7-9]。可靠性模型包括：(1)电源，包含总电源、各部分单独的工作电源及冗余电源；(2)网络，包含交换机和网线；(3)操作站、工程师站及历史站；(4)控制站，站控板，通信口；(5)输入输出卡件和逻辑电路；(6)电缆，包含屏蔽层、信号隔离层；(7)接地，包含全部机柜内的“模拟地”“数字地”“安全地”等。

这些因素是在进行分布式控制系统的可靠性模型评估时不可或缺的部分，它们彼此之间是串联模型的关系[10-13]。任何一部分发生失效都可能影响整个系统的正常运行。基于TMR的分布式控制系统在因素(1)～(5)中都采取三重冗余构造的配置。得到如图1所示的基于TMR的分布式控制系统可靠性模型。

基于TMR的分布式控制系统中的控制站部分由3块完全相同的运算模块构成，每个模块配置一个独立的故障检测单元和一块具有高可靠性的表决处理单元，如图2所示。

Cockayne综合征头部影像学检查最具特征性[11]，表现为双侧侧脑室扩大、脑萎缩和钙化、脑白质髓鞘形成不良等，该患儿头颅CT提示颅内广泛性钙化，符合其影像学改变。Cockayne综合征没有血生化以及代谢产物的特征性改变，因此主要通过临床表现及影像学的特征性进行临床诊断，再通过基因检测进行分子遗传学确诊[12]。

运算单元之间完全相互独立，通过时钟同步的方法对输入的信号实行同步采集，再同步运算处理，然后再通过表决单元对运算的结果进行表决，最后将表决结果输出。其中，检测单元对运算模块实行自检测，当检测模块检测出运算模块发生自身故障的时候，将向表决单元发送一个故障警告信号。系统作为三重冗余结构工作：假如表决单元没有接收任何来自检测单元的故障警告信息，表决单元将对运算输出的结果执行“三选二”表决；系统作为二重冗余结构工作：如果表决单元接收来自1个模块发送的失效警告信息，表决模块将去掉故障模块输出的运算结果，同时对其他运算单元输出的结果执行“二选一”表决；系统作为单通道结构工作：如果表决单元又接收来自另一个模块发生的故障警告信息，表决单元将去掉这一模块的运算输出结果，即只有一个模块输出正常；系统的输出转向安全状态：若此时再检测到模块出现故障，即3个控制模块全部故障[14]。

图1　基于TMR的分布式控制系统可靠性模型

Fig.1　Distributed control system reliability model based on TMR

图2　基于TMR的控制器结构图

Fig.2　Diagram of TMR-based controller structure

2　基于TMR的分布式控制系统的马尔可夫模型

马尔可夫模型是一种常用的分析系统可靠性的方法，在分析中首先要已知系统可能出现的一系列状态，并且列出该系统每个状态之间的转移概率；在已知每个状态的初始条件的前提下，通过计算某时刻系统其余各状态发生的概率，得到系统的可靠度、安全度[15]。进行可靠性分析时作如下假设：(1)3个模块单元的软、硬件保持一致，也就是说各模块的修正率、故障检测覆盖率、故障率均相同且是常数；(2)系统出现安全故障且导致误操作后，系统被修复且随即重启的修正率为μSD；(3)单个模块的故障率为λ，修正率为μ0，安全故障率λS和危险故障率λD均等于λ/2，安全故障的检测覆盖率CS和危险故障的检测覆盖率CD均等于C，共因故障因子为β；(4)输出的表决单元完全可靠，即具有高可靠性[8]。

根据假设，如果某个模块在t时刻正常运行，而t+Δt时刻出现故障的概率

p=1-e-λΔt

(1)

何良诸说：“我出身在矿工世家，对矿工有感情。矿工们倔犟、固执，也可以说愚蠢，不会拐弯，矿山转型，社会生活改变，一时他们觉得无路可走了。”

p=1-e-λΔt≈λΔt

(2)

基于TMR的分布式控制系统的马尔可夫模型的状态转换如图3所示。其中，Σ指的是当前状态转换到其他状态的概率和，λSDN指的是能被检测到的安全故障率，λDDN指的是能被检测到的危险故障率，λSDC指的是能被检测到的安全共因故障率，λDDC指的是能被检测到的危险共因故障率，λSUN指的是没被检测到的安全故障率，λDUN指的是没被检测到的危险故障率，λSUC指的是没被检测到的安全共因故障率，λDUC指的是没被检测到的危险共因故障率。

用带镇压装置的小麦播种机械播种，随种随压。如果播种时镇压效果达不到要求，应在小麦播种后用镇压器镇压。没有浇水造墒的地块，播种后及时镇压才能保证小麦出苗整齐，苗期根系正常生长，提高抗旱能力。

图3　基于TMR的分布式控制系统的马尔可夫状态转换图

Fig.3　Markov state transition diagram of TMR-based distributed control system

在图3中控制系统可能出现13种状态：(1)状态0：三个模块都处于输出正确的状态，系统正常运行，工作模式为三选二；(2)状态1：一个模块出现被检测到的故障，此时系统其他两个模块组成二选一结构，系统输出正常；(3)状态2：一个模块出现没有被检测单元检测到的安全故障，这时系统为伪三选二，因为还有两个模块输出结果正确，所以系统仍能输出正确的结果；(4)状态3：一个模块出现没被检测单元检测到的危险故障，此时系统为伪三选二，但系统依旧能正常输出；(5)状态4：两个模块都出现被检测单元检测到的故障，此时系统还有一个设备正常工作，仍能输出正确的结果；(6)状态5：两个模块出现故障，其中一个故障被检测单元检测到，另一个未被检测到，这时系统表现为伪二选一模式，看似有两个模块正常输出结果，其实只有1个正确结果，表决单元通过比较发现结果不一致，系统仍然安全；(7)状态6：两个模块出现故障均未被检测到，其中包括一个危险故障和一个安全故障，此时系统是伪三选二，因为还有一个模块输出正确，通过表决单元后仍然能有信号输出；(8)状态7：两个模块出现危险故障，而且都没有被检测出来，系统处于伪三选二，通过表决单元会输出一个错误结果，整个系统处于危险状态；(9)状态8：三个模块出现故障，其中两个模块出现危险故障没有被检测到，一个模块发生故障被检测出来，系统为伪二选一，且两个结果均是错误的，系统处于危险状态；(10)状态9：三个模块出现故障均未被检测到，其中包括两个危险故障和一个安全故障，系统处于伪三选二，输出结果错误，系统处于危险状态；(11)状态10：三个模块出现故障，其中一个是没有被检测到的危险故障，另外两个是被检测到的故障，系统此时是伪一选一，输出结果错误，系统处于危险状态；(12)状态11：三个模块同时出现危险故障，并且都没有被检测单元检测到，系统表现为伪三选二，输出结果错误，系统处于危险状态；(13)状态12：系统安全故障。

在时刻t系统状态i的概率为pi(t)=p(X(t)=i)，其中i∈{0,1,2,…,12}。当P(t)=[p0(t),p1(t),p2(t),…,p12(t)]

P′(t)=P(t)A

(3)

式中，A表示状态转移密度矩阵。

a1,0=μ0， a1,4=2(1-β)Cλ，

当p很小的时候，该公式可以化简为

可视化是BIM技术在项目信息管理中应用的基本特征。具体而言，在BIM技术应用过程中，建筑工程的数字化立体模型得以有效建立，其使得传统二维图纸指导工程实践的信息管理模式发生转变；现代信息管理体系下，三维模型的应用使得建筑工程内容信息更加直观，其在可视化的条件下，充分保证了工程项目信息管理的质量，确保了信息决策的高效和精确。

根据状态转换图可知

a3,5=2C(1-β)λ， a3,6=(1-C)(1-β)λ，

选择该院收治的颅内肿瘤合并糖尿病需接受手术治疗患者100例作为研究对象。所有患者术前行头颅CT或MRI确诊为颅内肿瘤且符合WHO对糖尿病的诊断标准[2]；病程 3～5 年，平均（4.1±1.2）年。 100 例患者中包括男 51 例，女 49 例；年龄 46～62 岁，平均（54.1±8.3）岁。随机将100例患者分为观察组与对照组。观察组中男 25 例，女 25 例；年龄 46～62岁，平均（54.1±8.3）岁。 对照组中男26例，女24例；年龄47-61岁，平均（54.0±8.4）岁。所有患者性别、年龄等一般资料差异无统计学意义（P＞0.05），具有可比性。

a3,7=(1-C)(1-β)λ， a3,10=Cβλ，

式中，Γ(x)表示Gamma函数，α为非柯尔莫戈若夫湍流功率谱指数，其范围为表示一般大气湍流折射率结构常数.

已知初始条件P(0)=[1,0,0,…,0]，通过解状态方程(1)，可得到t时刻各状态概率，其系统可靠度

针对方程(3)，采用Matlab中Ode45指令进行仿真计算。假设该系统单个模块的故障率λ为每小时0.000 01次。

p4(t)+p5(t)+p6(t)

研究采用具有自主知识产权、达到国际水平、符合更高信息安全标准的安全防护技术，加强国家信息安全等级保护与涉密信息系统分级保护。加强信息安全培训，执行统一的保密纪律，设立信息安全管理岗位与监督员制度，制定岗位职责与应急预案，强化审计人员安全保密意识，防范贪污腐败和失泄密事件。数据中心与审计分析管理平台承载着海量的数据及其计算处理，应建立包含基础设施、云平台、网络通信、数据存储、身份认证和管理等各方面在内的安全保障体系，实现信息风险防控常态化，加强计算机网络技术防范，严格控制核心数据访问权限；加强灾备中心建设，对重要信息数据进行定期备份。

(4)

3　仿真结果及分析

R(t)=p0(t)+p1(t)+p2(t)+p3(t)+

3.1　共因故障因子对系统可靠性影响

令系统的修正率μ0为1/8，故障检测覆盖率C为0.9，系统误操作后修复并重新启动的修正率μSD为1/24，则在不同时刻t，β因子与系统可靠度R的关系见表1。由表1可以看出，随着β因子的逐渐增大，可靠度R逐渐变小。当β=0.05 时，经过17 520 h可靠性R要比没有考虑该因子时降低1.28%。

表1　β因子与系统可靠性关系 Tab.1　Relationship between factor β and system reliability

βt/h072043808760175200.0001.000001.000000.999980.999940.999770.0051.000000.999990.999950.999870.999640.0101.000000.999990.999920.999810.999510.0201.000000.999980.999850.999680.999260.0501.000000.999940.999660.999290.99849

当t=8 760 h，通过仿真，系统风险降低因子RRF与β因子的关系见图4。进一步验证了共模故障因子β越小，系统对风险的抵御能力越强。

RRF(t)=1/[1-S(t)]

(5)

S(t)=R(t)+p12(t)

(6)

图4　RRF与β因子的关系

Fig.4　Relationships between RRF and factor β

3.2　故障检测覆盖率对系统可靠性影响

令系统的修正率μ0=1/8，β=0.02，μSD=1/24，则在不同时刻t，故障检测覆盖率C与系统可靠度R的关系见表2。由表2可以看出，随着检测覆盖率C的不断增加，系统的R有所增长。C=1时，系统的可靠度可以达到1。C=0.9时，R较检测率低或者不检测的高出很多。

贸易互补性指数。主要是衡量两国间贸易互补程度，通常以一国特定产品出口的比较优势与其贸易伙伴国该产品进口的比较劣势的乘积来衡量。计算公式如下：

表2　故障检测覆盖率与系统可靠性关系 Tab.2　Relationship between fault detection coverage and system reliability

Ct/h072043808760175200.01.000000.999740.997420.992610.977760.21.000000.999770.997780.993730.981200.41.000000.999820.998440.995740.987410.61.000000.999880.999010.997410.992600.81.000000.999930.999480.998730.996610.91.000000.999980.999850.999680.999261.01.000001.000001.000001.000001.00000

当t=8 760 h，通过仿真，系统的风险降低因子RRF与C因子的关系见图5。由图5可知，当C<0.6时，曲线斜率变化不大，即风险降低因子没什么改变；当C=0.9的系统风险降低因子比C=0.6的系统风险降低因子高出5～6倍。由此可见，C对R影响非常大。

(a) C<0.9

(b) C>0.9

图5　系统风险降低因子与检测覆盖率的关系

Fig.5　Relationship between risk reduction factor and detection coverage

3.3　修正率对系统可靠性的影响

令系统的β因子为0.02，系统误操作后修正并重新启动的修正率μSD为1/24，则在不同t时刻下修正率μ0与R的关系见表3 。

何西指着何东：“其实你挺缺德的，你活明白了，晚熟，人权筝为什么受这个？你就应该承担这责任，怎么都得跟人家手拉手进围城。”

小猪短租于2012年成立，主营业务以提供短租服务为主，辅以保洁、智能锁安装、维修管理等基础性服务。作为共享短租领域的翘楚，根据小猪短租发布的年度数据报告显示“2017年小猪短租活跃用户超过2000万，交易额超过25亿元；房源覆盖全球37个国家，包括国内384个城市及海外100个目的地；国内房源总量超过25万套，海外房源数约1万套。”可见，小猪短租涉及领域广泛，房东和房客来自五湖四海，主要适用于商务长途出行、个人家庭旅游、聚会等。小猪短租起源于国外最大的短租平台Airbnb，结合中国的本土背景，形成了有别于国内传统酒店的独特产业模式。

表3　μ0与系统可靠性关系 Tab.3　Relationship between μ0 and system reliability

μ0t/h072043808760175200.000001.000000.999980.999840.999610.998790.000011.000000.999980.999840.999610.998840.001001.000000.999980.999850.999680.999260.125001.000000.999980.999850.999680.999260.250001.000000.999980.999850.999680.999260.500001.000000.999980.999850.999680.999261.000001.000000.999980.999850.999680.99926

由表3可知，当C、β因子固定时，带修正的基于TMR的分布式控制系统的可靠度比不带修正的有所改善，但是改善并不明显。当μ0>0.002时，R几乎保持不变。

当t=8 760 h，通过仿真，系统的风险降低因子RRF与μ0的关系见图6。当μ0≥0.001 时，RRF趋于恒定，可靠度保持稳定。

图6　系统的风险降低因子与修正率的关系

Fig.6　Relationship between risk reduction factor and correction rate

4　结　论

通过仿真基于TMR的分布式控制系统的马尔可夫模型可以看出，在考虑共因故障的TMR的分布式控制系统中，带修正的系统可靠性比不带修正的高，但是影响不明显。通过减少共因故障和增大设备的检测覆盖率，会使该系统的可靠性有明显的提高，同时风险降低因子会提升一个数量级。

参考文献:

[1] 白云飞.DCS技术及其发展展望[J].机械管理发展,2011(3):202-203.

[2] 焦育红.DCS维护与可靠性分析[J].石油化工自动化,2004(4):82-83.

[3] 胡晓.冗余结构提升DCS系统的稳定性和可靠性[J].山西冶金,2006(4):24-25.

[4] 何彦,李宇.浅谈分散型控制系统的可靠性[J].石油化工自动化,2007(3):39-42.

[5] LABS W. DCS adopt standards become enterprise friendly[J]. Instrumentation and Control Specialists, 2000, 73(7): 151-152.

[6] 王丽华,徐志根,王长林.可维修三模冗余结构系统的可靠度与安全度分析[J].西南交通大学学报,2002,37(1):103-107.

[7] 张超,赵伟,刘铮.基于FPGA的三模冗余容错技术研究[J].现代电子技术,2011,34(5):167-171.

[8] 陈志敏,吴首滨,简斌,等.浅谈Tricon控制器的三重冗余容错[J].数字技术与应用,2010(3):108.

[9] DU T C, LIU H. ESD of hydrocracking units based on TMR[C]//2010 International Conference on E-Product E-Service and E-Entertainment. New York: IEEE, 2010: 1-4.

第一次世界大战不断推动着发明创造的进程。到战争最终几个月间，最先进的飞机航速提高了一倍多，飞机生产总数也逐渐增加：战争期间英国生产了5.5万架飞机、法国6.8万架、意大利2万架、德国4.8万架。美国在参战的一年半中生产出1.5万架飞机。

[10] 齐培红,刘金刚.三模冗余中局部重构及模块同步技术研究[J].微计算机信息,2010,26(5):183-185.

定义图像对{Ia，Ib}各自有{N，M}个特征点，χ={w1，w2，wi，…，wN}是从图像 Ia到图像 Ib 中所有点最近的特征匹配，又定义{a，b}为图像{Ia，Ib}所分割出来的子区域，并且在两个子区域中各自拥有{n，m}个特征点。vi为第i个特征匹配，fa为在图像Ia部分区域a中的一个特征，Tab为区域{a，b}表示的是同一位置，Fab为{a，b}表示的是不同位置。表示fa的匹配的是一个正确的匹配表示 fa的匹配是错误的匹配为最近的一个特征是在b区域中。

[11] 王常力.分布式控制系统(DCS)设计与应用实例[M].北京:电子工业出版社,2004.

[12] PHILP K W, DEANS N D. Comparative redundancy, an alternative to triple modular redundant system design [J]. Microelectronics Reliability, 1997, 37(4): 581-585.

[13] 徐连军.双CPU冗余通信控制系统的研究与实现[D].西安:西安电子科技大学,2011.

[14] 杨其国.基于Markov过程的冗余系统可靠性分析[J].计算机仿真,2011,29(12):52-53.

[15] 陈州,倪明.三模冗余系统的可靠性与安全性分析[J].计算机工程,2012,38(14):239-241.