故障-安全技術

故障-安全技術第一節 故障-安全原理 一安全性和可靠性概念 二故障-安全原理 三系統輸入輸出信號安全要求和對策 四安全性評估 第一節故障安全原理一安全性和可靠性概念安全性：在規定的條件下，在規定的時間內，系統不陷入危險狀態的性能。可靠性：系統在給定的條件下，到給定的時刻t，不發生故障的概率。失效：一是系統或系統的部件不能在規定的限制內執行所要求的功能。二是一個功能單元執行所要求的功能的能力的終結。三是程式操作偏離了程式的需求。失效是導致錯誤發生的主要原因。錯誤：指系統陷入不正常狀態或執行非正常操作。錯誤可能由硬體失效、軟體失效、環境干擾等原因引起，錯誤的嚴重性可以分為5類。故障：由於錯誤造成系統的部件或軟體或系統喪失必要的功能。即由於各種原因所造成的系統的不正常狀態。第一節故障安全原理失誤：人為的失敗和錯誤。通常指人的錯誤操作。危害：有可能給人類或財產帶來不良影響的事情。風險：用來表示危及安全的事件發生頻度以及事件危害程度（或嚴重程度）的指標。容錯：指一個系統在其中的故障已經暴露之後仍能提供要求的功能的存活的屬性。第一節故障安全原理安全性評估：採用解析或測試的方法，對系統的安全性能進行估算和分析，從而對系統的安全性能做出定量或定性的評價。用與安全性評估的指標主要是安全性完善度和安全性完善等級。安全性完善度：在給定的條件下，到給定的時刻t，系統維持所要求的安全功能的概率。它是表示系統所能達到安全性要求程度高低的指標。安全性完善等級：表示系統所能達到安全性水準等級。通常較小的等級表示安全性水準低，較大的等級表示安全性水準低高（例如：1級安全性完善等級為最低級）。第一節故障安全原理二故障-安全原理

故障-安全：系統在發生故障的情況下，能夠維持安全狀態或向安全狀態轉移。這種與安全相關的系統特性就是故障-安全。在信號系統中常稱為故障倒向安全原則。又稱F-S(Fail-Safe)原則。第一節故障安全原理鐵路信號的重要作用之一是保證列車運行的安全，而這種安全的實現總是把“系統故障時讓列車停止運行”為首要方針。規定系統故障時把信號顯示變為讓列車停止運行的紅燈作為安全側，這是傳統的鐵路信號安全技術的一個重要特點。在繼電信號設備中，故障-安全的實現是以具有非對稱錯誤特性的信號繼電器和閉路原理為基礎，實現信號設備的整體性的故障-安全。這是鐵路信號安全技術的第二個特點。第一節故障安全原理

隨著可靠性理論的發展，促使對故障的分析建立在概率論的基礎上，進而揭示了故障-安全也應是一個具有概率特性的概念。首先，客觀上可靠度為百分之百的信號設備是不存在的，也就是說設備的故障是不可避免的。用全故障率λt表示，我們希望它足夠小，但不可能為零。對設備的故障根據它所帶來的後果可以分為危險側故障和安全側故障，分別用危險側故障率λd和安全側故障率λs表示，則有λt=λd+λs。信號繼電器的危險側故障率λd為10-10小時，安全側故障率λs為10-7小時。危險側的故障率雖低，但它並非是零，因此傳統的故障-安全概念不是絕對的。危險側故障率λd相對全故障率λt小到可以忽略的程度時，該設備才是故障-安全的，即危險比δ=λd/λt應足夠小。第一節故障安全原理

將危險比δ寫成另一種形式δ=上式中的λd/λs=ν稱為非對稱錯誤概率，它應該足夠小。事實上，由於信號設備發生故障時列車停止運行，安全側故障率λs越大，故障恢復時間越長，越容易引起列車的阻塞。這不僅會降低運輸效率，還可能誘發重大事故。因此，λs也應盡可能的小。總之，為了實現故障-安全，危險側故障率和安全側故障率都應該盡可能的小。在此前提下危險比δ和非對稱錯誤概率ν也要足夠小。也就是說，信號設備的故障-安全特性是建立在設備的高可靠性基礎上的。第一節故障安全原理為了對故障-安全特性進行進一步的研究，對設備故障引起的事故用下麵的關係式來描述：

[事故]=[故障]∪[危險側]若把[]中的真值取為1，偽值取為0，即[]中的變數為二值邏輯變數，則可將上式的否定形式認為具有安全的含義。根據摩根法則可得下式：

[沒有事故]=[沒有故障]∩[安全側]還可以將安全性用下列邏輯式表示：

[安全性]=[高可靠性]∩[故障安全性]第一節故障安全原理三系統輸入輸出信號安全要求和對策（一）故障-安全輸入介面故障-安全輸入介面必須做到以下兩點：(1)採用光電隔離技術：通常，接點輸入電路要經過光電耦合才能接至輸入介面，以便有效地抑止接點輸入電路的電磁干擾。(2)採用編碼輸入或過程輸入方式，以便有效地實現故障-安全原則。過程輸入方式又有兩類：一類是輸入介面採用多重模組結構，並使用軟體進行校驗的空間冗餘法；另一類是採用診斷技術檢查輸入值的時間冗餘法。第一節故障安全原理1.編碼方式的故障-安全輸入介面圖中將軌道繼電器GJ的狀態輸入到電腦的輸入介面。由於是由輸入介面的若干位資訊的編碼反映軌道繼電器的狀態，因此可避免因混線斷線或干擾信號引起的錯誤採樣，從而保證輸入介面電路的故障-安全特性第一節故障安全原理圖中用了兩個光電耦合器G1和G2。G1的輸出級和G2的輸入級並聯,並由輸入信號GJ控制其電源的通斷。G1的輸入級和G2的輸出級共用微型電腦電源（5V），且G1的輸入級由微型電腦的輸出進行控制。若微型電腦按1010……輸出控制信號，當GJ接點閉合時，則電腦就會從輸入介面電路接收一個與控制信號相反的信號0101，當GJ接點斷開或G1，G2發生故障時，電腦的輸入介面只能收到穩態信號，因此保證了輸入資訊的故障-安全。第一節故障安全原理3.採用多重模組結構、並使用軟體校驗的方法。每個繼電器接點輸入介面是由三個模組組成的，每個模組包括光電隔離、鎖存器、緩衝器等部件，每1個模組的輸出分配到三個電腦的匯流排上，每個電腦分三次讀取數據，並用軟體檢查三個數據的一致性。第一節故障安全原理由代碼→動/靜態變換電路是電腦輸出控制信號所必須經歷的過程。這種變換可分成軟體變換和硬體變換兩種實現方式。軟體變換是根據邏輯運算結果（代碼形式）在需要輸出危險側控制信號時，借助軟體的執行使電腦不斷地輸出脈衝串。這種方式節省了硬體，但佔用了電腦的處理時間。硬體變換可以採用振盪式的故障-安全邏輯元件來實現，還可以採用移位寄存器來實現。後者的基本原理是將危險側代碼並行輸送到移位寄存器中，然後再有控制時鐘推動移位寄存器，使其輸出串行脈衝序列。第一節故障安全原理動/靜態→電平變換電路是一種只有當輸入為脈衝序列時其輸出才為高電平。而在輸入為穩態電平或電路發生故障時均為低電平的輸出電路，所以稱這類電路是動態鑒別電路，又稱為故障-安全驅動電路。第一節故障安全原理根據需要可連接一個安全型繼電器作為控制輸出的執行部件。在此電路中，放大器本身必須設計成不會因元器件性能改變和失效而產生自激振盪，脈衝變壓器的主次線圈之間絕緣良好，這些是比較容易實現的。第一節故障安全原理一種三模系統故障-—安全輸出電路。由於該系統的故障-安全比較器不能檢出輸出電路的故障，所以對直接控制信號設備的輸出電路必須採用故障—安全輸出電路。圖的輸出電路是由電平變換電路，C形故障--安全邏輯單元故障，安全繼電器驅動電路所組成。第一節故障安全原理四安全性評估(一)硬體系統的可靠性和安全性評估指標對於鐵路信號應用微機系統，為了滿足鐵路運輸的高效和安全的要求，必須具有極高的可靠性和安全性。在定量地考慮系統的可靠性時，一般用平均故障間隔時間MTBF(MeanTimeBetweenFailures來衡量系統的可靠性。

第一節故障安全原理1.可靠性和安全性的評估依據必要作一些合理的簡化和假設：首先，在系統中若有表決器、比較器、自動轉換裝置以及系統之間介面電路等模組，則認為它們較微型電腦系統具有更高的可靠性，在計算它們時可對它們的可靠度作為1處理而僅考慮微機系統的可靠性。另外，為了便於不同冗餘結構的系統之間進行比較，假定各系統所用的微型電腦的可靠性指標是相同的。第一節故障安全原理在計算安全度時，需要分析在什麼情況下才發生危險側故障。在採用雙重軟體進行比較的情況下，假定只有當發生兩次故障且兩次故障的後果一致並且不能通過比較被發現時，才有導致危險側故障的可能。具體的情況是：(1)微機第一次發生故障，使得基本的或冗餘的資訊中出現了一個錯誤的資訊。(2)在第一次故障尚未被檢出期間，或者說在檢測時間D內又發生了第二次故障。對於動態切換系統來說，這是指同一微機發生了第二次故障，對於三中取二系統來說這是指另一個微機系統發生了故障，這次故障也產生了另一個錯誤資訊。(3)這兩個錯誤的資訊恰巧構成了兩個相同的、然而是錯誤的有效代碼，因而不能檢出。(4)錯誤的有效代碼又是危險側代碼，從而產生了一個危及行車安全的控制命令。只有上述四個條件都存在時才算是出現了危險側故障。第一節故障安全原理2.單機系統的可靠性和安全性估算當採用單個微機系統構成鐵路信號自動控制設備時，通常是採用雙套軟體來保證系統安全性的。

(二)軟體系統的可靠性和安全性評估1.軟體的可靠性評估軟體可靠性是指軟體在所規定的環境條件下和規定的時間內，一直能按需求規格說明正確地完成任務的能力。第一節故障安全原理軟體可靠性的概率度量則稱為軟體可靠度。對於面向用戶的軟體可靠度定義，可以有以下兩種：(1)程式在規定的時間內對一組隨機選擇的輸入數據能給出正確輸出的概率；(2)程式在規定的時間和規定的用戶環境中，對一組典型的輸入數據，給出正確輸出的概率。第一節故障安全原理2.軟體安全性評估將軟體系統的安全性工作歸結為如下九項：(1)確定系統及系統中軟體的安全性要求。(2)將系統安全性說明中的要求準確地轉化為系統或分系統說明的要求、轉化為軟體需說明的要求，並將這些要求在軟體設計及編碼中實現。(3)在系統、分系統說明及軟體需求說明中確定當可能發生安全事故時的系統對策。這些對策包括故障一安全、故障降級使用、故障容錯使用等內容。

(4)確定軟體系統中安全關鍵單元，安全關鍵單元是指那些對系統安全性有關鍵影響的程式、分程式和模組。(5)對軟體的安全關鍵單元進行分析。(6)通過分析、驗證，確保軟體系統安全性要求的實現，驗證不存在有損於安全性的單個或多個失效事件，保證系統的安全性要求不致引起新的危險。(7)確保編制出的程式不會因為觸發危險功能、或阻礙正常功能的執行而使系統處於危險狀態。(8)保證系統中的軟體能有效地減少硬體的安全風險。(9)保證對系統進行充分的安全性測試，包括失效事件發生的測試。第一節故障安全原理為了進行軟體安全性評估，必須掌握下列各種資料和資訊；(1)系統或分系統說明、軟體需求說明、各種介面說明等有關資料。(2)系統生存週期中軟體及其組成單元的工作情況、功能、工作時序等有關資料。(3)程式各種功能的流程圖、編程語言、儲存和時序等相關資料。(4)系統及軟體在測試、生產、運輸、裝卸、儲存、維修等各個環節與安全有關的經驗、教訓。(5)已知的危險事件源，包括能源及有毒物源，特別是可由軟體控制的危險事件源。(6)軟體開發計畫、軟體品質評估計畫、軟體配置管理計畫和其他系統、分系統開發計畫的文檔。

(7)系統測試計畫、軟體測試計畫和其他測試文檔。第一節故障安全原理軟體安全性分析包括以下七個工作專案：(1)軟體需求危險分析。利用系統初步危險分析的結果，初步確定軟體的安全關鍵單元。

(2)概要設計危險分析。在軟體需求說明評審後開始，是軟體需求危險分析的深入和繼續。分析的結果提交初步設計評審，作為初步設計評審的內容。

(3)詳細設計危險分析。安排在初步設計評審之後進行，它是概要設計危險分析的深入和繼續。詳細設計危險分析應在軟體編碼之前進行，分析的結果提交給關鍵設計評審，作為關鍵設計評審的內容。

(4)軟體編程危險分析。這項分析是用來考察軟體的安全關鍵單元，以及其他單元的根源程式和目標程式是否實現了安全性設計的要求。此工作應與編程同時進行，應該按照安全性的要求不斷地修改程式，一直到測試完成。分析中需要確定危險事件發生的可能性所降低的程度。分析人員還應參加程式的專查和評審。第一節故障安全原理(5)軟體安全性分析。這個專案的工作要點是：①對安全關鍵單元進行安全性測試，保證使危險事件發生的可能性降低到可以接受的水準。②向測試人員提供軟體安全關鍵單元的安全性測試案例。③確保所有的軟體安全關鍵單元按預定的測試方案進行安全性測試，準確地記錄測試記錄。④除了在正常狀態下進行的測試外，還要在異常的環境和異常的輸入狀態下測試軟體確保軟體在這些狀態下仍能安全運行。⑤進行軟體強度測試，確保軟體的安全運行。⑥確保外購軟體的安全運行。⑦訂購方所提供的軟體，不管是否進行了修改，都需要進行測試，以保證這些軟體在系統中安全運行。⑧確保系統綜合測試和系統驗收測試中所發現的危險事件已經得到了糾正，確保對這些事件進行了重新測試，沒有遺留問題。(6)軟體與用戶介面危險分析。(7)軟體更改危險分析。軟體更改危險分析是用來考察和分析說明書、軟體設計、根源程式和目標程式的更改對安全性的影響。

第二節信號安全技術1.故障一安全電腦系統的三大部分：(1)故障一安全電腦：實現數據處理過程的故障-安全；(2)輸入／輸出介面：實現數據採集和控制過程的故障-安全；(3)資訊傳輸：實現遠距離數據傳輸過程的故障安全。2.故障-安全電腦的構成方法:(1)採用非對稱性錯誤特性的元件的構成方法；(2)採用通用的對稱性錯誤特性的元件的構成方法；(3)採用通用電腦或處理器的構成方法。第二節信號安全技術

軟體的相異性就是在一臺微型電腦上配置兩套相異的軟體，藉此進行故障診斷和錯誤檢測，從而實現故障一安全的一種方式。這類方式又包括以下三種實現形式：①雙版本軟體方式，②軟體自校驗方式;③數據的相異性方式．硬體的相異性就是把相同的軟體配置在兩臺微型電腦上，高頻度地對數據(廣義的)進行校驗，在檢出異常時，把輸出保持在安全狀態的一種方式。這類方式也包括以下三種實現形式：①緊密耦合的匯流排同步方式;②時差同步式；③程式同步式。第二節信號安全技術各種方式的故障安全電腦結構第二節信號安全技術(二)信號設備微型電腦化的主要特點1.從使用的器件來看現有的信號設備是具有非對稱性錯誤特性且故障模式可知的器件作為基本故障-安全組成的，藉此保證信號設備整體具有故障-安全性。2.從使用的技術來看現有信號設備是依據長期經驗積累起來的以故障一安全技術為中心的鐵路信號安全技術，通過對信號繼電器的結構設計和繼電器電路的合理設計確保故障一安全性能的實現。第二節信號安全技術3.從設備的功能來看微型電腦以其高速處理能力和智能化顯示出它強大的生命力。而信號設備的微型電腦化，不僅能使信號設備的功能顯著加強和擴充，而且使信號設備具有了高速化和智能化，從而對保證列車運行安全和提高鐵路運輸效率方面能夠作出更大貢獻4.從設備的抗干擾能力來看鐵路信號設備的工作環境是極其惡劣的，尤其是處在強烈的電磁干擾環境和雷害地區的設備所受環境影響是極為嚴重的。現行信號設備採用了驅動功率較大、轉換時間較長的信號用繼電器，因而具有較強的抗干擾能力，整個沒備在環境干擾較強時仍能穩定可靠地工作。第二節信號安全技術二硬體—安全性技術分類在微型電腦化的信號設備中，通過硬體實現故障-安全性能的技術主要有以下幾類：

(一)多重化技術

(二)高可靠技術

(三)故障檢測技術

(四)電路構成技術第二節信號安全技術(一)多重化技術1.在處理器級採用的多重化技術。2.在輸入輸出級採用的多重化技術。3.在裝置之間介面採用的多重化技術。4.在系統級採用的多重化技術。第二節信號安全技術(二)高可靠技術

1．在處理器級。

2．在輸入輸出級。

3.在裝置之間介面。

4．在系統級。第二節信號安全技術(三)故障檢測技術1.在處理器級(1)用互補數據進行比較;(2)對ROM／RAM實行故障檢測；(3)用交流信號實現故障檢測；(4)對附加檢驗資訊的數據進行處理。2．在輸入輸出級(1)用專用的測試信號進行故障檢測；(2)用照查脈衝作為執行部件的輸入條件；(3)用交流輸出檢測故障；(4)對輸入資訊的解碼進行故障檢測；(5)對輸出資訊的解碼進行故障檢測；(6)對表示設備的故障進行故障檢測。3．在系統級(1)用偽信號附加功能檢測機構;(2)採用動作監督器。第二節信號安全技術(四)電路構成技術1．在處理器級(1)進行故障-安全的頻率變換、交直流變換；(2)對看門狗定時器進行故障安全化。2．在輸入輸出級(1)在發生故障時輸出安全側信號；(2)構成故障—安全輸入電路;(3)對二重化系統輸出電路實現故障安全化;(4)對固定資訊進行設置和生成。第二節信號安全技術三軟體安全性技術分類在微型電腦化的信號設備中，通過軟體實現故障安全性能的技術主要有以下幾類。(一)高可靠技術(二)故障檢測技術(三)故障遮罩和恢復技術(四)人機技術第二節信號安全技術四容錯技術1.電腦系統中發生的故障分類：(1)硬體故障，存在於電腦系統的硬體之中，是對於邏輯變數的設計值的各種偏離。(2)軟體故障，是由於在翻譯一種所執行的程式的演算法的原始說明時發生錯誤，而未能執行正確的程式．軟體故障的原因可以是軟體失效。第二節信號安全技術(3)對電腦系統的外界干擾，例如電磁輻射功率超出一定限度、振動或雷擊、電源電壓的波動範圍超過允許值等，將會使電腦系統的運行偏離正常狀態。採用容錯技術的目的，是使系統在發生上述故障的情況下，仍能正確地執行給定的演算法、或正確執行預期的操作。第二節信號安全技術2.判斷是否正確執行程式的四個標準：(1)程式或數據不為故障所改變或中止；(2)運算的結果不包含由故障所帶來的差錯；(3)每個程式的執行時間不超過某一規定的限界；(4)每個程式可利用的存鍺容量保持在某一規定的範圍之內。第二節信號安全技術3.避錯技術和局限性僅僅採用避錯技術並不能完全解決電腦系統的可靠性問題，原因如下：(1)避錯技術的目標是儘量減小系統發生故障的概率。(2)避錯技術只能使故障率減小，但永遠不可能使硬體和軟體的故障率減為0，因而電腦系統的故障是不可避免要發生的，系統的失效是必然會發生的；(3)避錯技術對故障的處理均由系統外部提供，在電腦硬體成本日益降低的情況下，使電腦的維護成本相對提高，不僅如此，一旦電腦系境發生故障，對某些即時系統(如太空梭、交通控制等)而言，可能造成嚴重的經濟損失，有時甚至發生災難性的後果。第二節信號安全技術4.容錯技術的作用容錯技術是以承認故障的不可避免為前提的，也就是在容忍故障存在的條件下採用以下兩種方法提高系統的可靠性：靜態的方法：它的基本思想是當系統發生故障時，掩蔽故障的影響，使系統不產生錯誤的輸出，因而也不導致系統失效。這種方法的典型實例是使用多數表決邏輯。動態的方法：它的基本思想是讓故障的影響表現出來，檢測故障所引起的錯誤，從而診斷出故障根源，進而切除故障部件或修復軟體故障，最後使系統恢復正常．這種方法的典型實例是使用雙機比較運行結果。第二節信號安全技術(二)實現容錯技術的主要方法

1.硬體冗餘

2.時間冗餘

3.資訊冗餘

4.軟體冗餘

5.各種冗佘技術的綜合應用第二節信號安全技術1.硬體冗餘廣泛應用的硬體冗餘技術之一是硬體重複冗餘，在物理級可通過元器件的重複而獲得（如相同的元器件串、並聯，四倍元器件等）。物理域的恢復作用是自動的，即不需單獨的檢測，但每一次失效將削弱防衛。在邏輯域可採用多數表決方案，如三模冗餘、N模冗餘、分段冗餘、修復機構等。第二節信號安全技術2.時間冗餘時間冗餘是通過稍耗時間資源來達到容錯目的的。時間冗餘的一個應用是程式卷回。這種技術用來檢驗一段程式完成時的計算數據，如有錯，則卷回重算那個部分。如果一次卷回不解決問題，還可以多次卷回，直到故障消除或判定不能消除故障為止。第二節信號安全技術3.資訊冗餘資訊冗餘是依靠增加資訊的多餘度來提高可靠性的。這些附加的資訊位具有如下功能：當代碼中某些資訊位發生錯誤(包括附加位本身的錯誤)時能及時發現錯誤，即檢錯資訊位，或者能將發生錯誤的資訊位恢復成原來的資訊，即糾錯資訊位．一般而言，附加的資訊位越多，其檢錯或糾錯能力越強．在數字系統中的資訊傳送，算術邏輯運算中廣泛使用的奇偶碼、海明碼、乘積碼、迴圈瑪及各種算術誤差碼都有很強的檢錯或糾錯能力。第二節信號安全技術4.軟體冗餘提高軟體可靠性有兩種方法。一種是研究無錯誤軟體，另一種是研究容錯軟體。無錯誤軟體的研究主要包括三方面的內容：(1)尋求導致高可靠軟體產品的程式設計方法。(2)軟體測試技術。(3)程式正確性證明。第二節信號安全技術(三)容錯技術的分類(1)故障限制。限制故障的傳播範圍，防止故障對其他區域的影響。(2)故障檢測。儘快發現故障，減少故障潛伏期，可以採用聯機檢測或脫步檢測的方法。(3)故障遮罩。掩蓋故障對輸出的影響。(4)重試。重新運行一次或若干次，消除對不引起物理破壞的暫態故障的影響。(5)診斷。確定故障的部位辦。(6)重組。切除故障部件，換上備份部件。(7)恢復。檢測和重組後，使系統操作回到故障檢測前的處理點。(8)重啟。當恢復不能消除的故障影響時，採用“熱”啟動(從故障檢測點恢復所有的操作)或“冷”啟動(重新引導裝入系統)。(9)修復。對故障部件進行修理補使之復原，修復也可聯機進行或脫機進行。(10)重構。把修復出了的部件加入系統，若修復是聯機進行的，則重構不能中斷系統的運行。第二節信號安全技術(四)容錯系統的類型

1.高可用度系統

2.長壽命系統

3.延遲維修系統

4.高性能計算系統

5.關鍵任務電腦系統第二節信號安全技術1.高可用度系統可用度是指系統在某時刻可運行的概率。高可用度系統一般面向通用電腦，執行各種各樣要求無法預測的用戶程式。因為這類系統主要面向費用敏感的商用市場，因此它們定對岸現有設計都儘量少做修改。漢明編碼記憶體、匯流排奇偶校驗、超時計數器、診斷、軟體合法性檢查等是主要的冗餘方法．由此可見這種系統的故障覆蓋率較低，但在多處理器系統中，故障一旦被發現就能將其隔離，使系統繼續運行或降級運行。第二節信號安全技術2.長壽命系統長壽命系統在其生命週期中(通常在五年以上)不能進行人工維修，常用於無人太空船、衛星等控制系統中。長壽命系境必須高度冗餘，有足夠多的備件，以便經受住多次出現故障的衝擊。冗餘管理可以自動(在飛船上)或遙控(在地面站)進行。第二節信號安全技術3.延遲維修系統與長壽命系統密切相關的另一類系統是延遲維修系統，這種系統能在進行週期性維修前暫時容忍已發生的故障從而保持系統生存。在某些應用中，系統的現場維修非常困難或昂貴，增加冗餘比準備隨時維修付出的代價要少．例如在汽車、飛機、輪船或坦克的運行中難以維修，通常都要在返回基地後才能進行維修。許多車載、機載和艦載電腦都應用了延遲維修容錯電腦。第二節信號安全技術4.高性能計算系統高性能計算系統(如信號處理機)對暫態故障(由於過緊的定時容限而引起)和永久故障(由於複雜性引起)均很敏感，要提高系統性能，增加平均無故障時間對暫態故障的自動恢復能力，必須進行容錯設計。第二節信號安全技術5.關鍵任務電腦系統對容錯計算要求最嚴的是在即時應用環境下，其中錯誤的計算可能危及人的生命，或造成重大的經濟損失．在這種系統中不僅要求計算正確，而且要求從故障中恢復的時間最短，不致影響應用任務的執行。第二節信號安全技術五鐵路信號安全技術鐵路信號安全技術可分為：(一)故障-安全技術(二)危險側故障率最小化技術(三)防錯辦技術(四)