铁路信号可靠性理论及应用2
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 根据故障是否能激活再现分为:软故障、硬故障
•…
• 差错(error)
– 系统中由于故障而造成的信息或状态的不正确。(信 息方向)
– 故障是差错的原因,差错是故障的结果。 – 差错类型:
• 根据其是否能被检测,分为:可检测的差错和潜伏 差错。
• 一些故障(如电磁辐射)可能导致多个部件出现差
错,这种错误称为多相关差错(multiple related errors.单差错(Single errors) are errors that
• 费用昂贵! I/O BUS
输入A
TriBus
输入 终端
输入B 输入C
处理器B
处理器A I/O BUS 处理器C
输出A
输出B 表决器 输出C
输出 终端
图 TRICON控制器的TMR结构
双电源架
双双电电源源 调调节节器器
+5VDC
失效检测电路 状态标示器
512KB EPROM 计时器 2MB SRAM
– 系统:瞄准优秀商用机,对其进行改造,实现容错。 – 模块:对VLSI进行容错设计,对其可控性、可观测性和
可测试性进行研究。 – 分布式容错系统。 – 软件方面研究。远不成熟。 – 容错性能的评价方面,分析和实验法并重。
第3节 容错系统的设计目标
• 容错技术的目的是使计算机系统更可信,即使系 统的可信性(dependability)更高。
• 模型的准确性(能覆盖大多数实际可能发生的故障) • 模型的可处理性(应用该模型能处理复杂系统中的实
际故障) – 模型越准确(故障级别越低),越难处理;反之,越容
易处理的模型(级别越高的模型),越不准确。
第3节 差错模型
• 差错模型:
– 在信息领域模式故障对电路或系统的输出的影响。 – 对于研究物理故障引起的信息出错的范围、差错传播
S(t) = R(t) +FS(t) – 失效安全状态: 指系统处于不危及设备及人员安全的方
式中断其正常功能的状态。
– 安全度一般与可靠度一起作为一些要求失效安全的系 统的设计目标。
• 如铁路信号控制系统, • 飞机的飞行控制系统, • 核电站控制系统等。
• 习题
– 为什么说可靠度高的系统其安全度必然高,但安全度 高的系统其可靠度不一定高?
故障掩蔽技术及系统重组技术
• 故障掩蔽
– 防止故障造成差错,即,将发生的故障屏蔽起来。 – 不要求在容忍故障前检测故障,但要求做到故障包容
(使故障的影响局部化,不希望一个故障全局地影响 整个系统的性能)。
• 系统重组:
– 防止差错导致系统失
做到系统恢复。
范围、差错潜伏期等有重要作用; – 对联机检测,尤其是自校验技术,极其重要。
第4节 防卫故障的原理
• 防止故障造成系统失效,主要技术:避错技术和容错技术 (主要有故障掩蔽和系统重组技术)。
• 防卫故障的原理:
故障 原因
避错 技术
故障
故障 掩蔽 技术
差错
系统 重组 技术
安全 失效
失效 安全 技术
冗余技术
• 上二者的作用,是达到容错的目的;但它们都是 建立在资源冗余的基础上。
第二节 硬件冗余(模块级)
三种基本形式:被动冗余、主动冗余、混合冗余
2.1 被动硬件冗余
又称为静态硬件冗余,指冗余结构不随故障情况变化的冗 余形式。
1. 基本结构(N模冗余模,块N1-Module Redundancy, NMR)
采样器 双口RAM
处理机 双口RAM
处理机
采样器 双口RAM
处理机 双口RAM
处理机
采样器 双口RAM
处理机 双口RAM
图4-6 采用软件表决的TMR系统 内部总线
RAM RAM 模块1
RAM RAM 模块1
RAM RAM 模块1
总线
模模 块块 1 1’
模模 块块 1 1’
模模 块块 1 1’
处理机
硬件冗余 软件冗余 信息冗余 时间冗余
危险 失效
• 故障掩蔽技术:
– 防止系统中故障在该系统的信息结构中产生差错的各 种措施。如纠错码、多数表决技术;
• 系统重组技术:
– 防止系统中的差错导致系统失效的各种措施。 – 系统重组一般有几个步骤步骤:故障检测 →故障定位
→ 故障包容 →系统恢复
• 冗余:
affect one component only.
•…
• 失效(failure)
– 失效是系统未能正确提供预先指定的服务。(功能方面) – 差错是失效的原因,失效是差错的结果。 – 类型:
• 从失效域角度:内容失效、时间失效、内容时间均失效; • 从检测能力角度分为:可检测的失效、不可检测的失效; • 从一致性角度分为:一致性失效和不一致性失效。 – 概念:
错而造成失效的时间间隔。
Fig. 1. The fundamental chain of dependability and security threats.
第2节 故障模型
• 故障模型:
– 故障可能出现在不同的部件级别上。 – Def:~在较高的级别上(逻辑级、寄存器传输级、功能
模块级等)描述物理故障的影响。 – 对故障模型有两个要求:
• 时钟同步:
– 若各模块具有独立时钟系统,且模块的操作在时钟同步下 才操作,则要求各时钟严格同步,否则时钟误差累积会使 校正器无法区分某个模块是时钟太慢还是发生了故障?
– 若采用同一时钟,则时钟成为可靠性的瓶颈?解决办法是 设计容错时钟系统(可通过硬件或软件方式来构造同步时 钟)。
• 校正器设计:
• 失效模式:系统失效的不同表现形式。
• 失效严重性:每种失效模式有多种失效严重性(等级)。
• 共模(因)失效:由相类似的差错引起的失效。
• 故障、差错及失效之间的关系
– 故障会造成差错,但差错不一定马上就显现出来。 – 故障潜伏期(fault latency):从故障发生到由该故障
而产生差错的时间间隔。 – 差错会造成失效,但失效不一定马上就显形出来。 – 差错潜伏期(error latency):从差错发生到由该差
– 可靠度高的系统是否可用度一定高?可用度高的系统 是否可靠度一定高,为什么?
– 系统可维度是如何影响系统的可用度的,试用公式予 以说明。
第2章 故障及防卫故障的原理
• 第1节 故障、差错与失效 • 第2节 故障模型 • 第3节 差错模型 • 第4节 防卫故障的原理
第1节 故障、差错与失效
• 故障(fault) • 差错(error) • 失效(failure) • 故障、差错及失效之间的关系
中断控制器
主CPU NS32G×32 浮点CPU NS32381
模块1
表决器 模块1
表决器
输出1
输入2
模块2
表决器 模块2
表决器
输出2
输入3
模块3
表决器 模块3
表决器
图4-2 多级三重表决
输出3
输入1 输出1
总线
内部总线
模块1 模块1’
表决器
模块1
命令
输入2 输出2
模块2 模块2’
表决器
模块2
输入3 输出3
模块3 模块3’
采集/驱动
表决器
模块3
任务处理
关键部分
– 表决技术
– 容错,是建立在冗余技术基础之上。 – 冗余资源:在系统完成正常工作所需的资源以外的附
件资源,称为~。 – 冗余技术:应用冗余资源来克服故障运行的技术。 – 冗余技术包括以下几种形式:
• 硬件冗余。如双机比较,TMR表决系统; • 软件冗余。如故障诊断,软件比较器、表决器等 • 信息冗余。如数据通信中的检错码、纠错码; • 时间冗余。如指令复执、程序卷回等。
Computer Fault-tolerance
第1章 绪论
• 第1节 容错与可信性计算 • 第2节 容错技术的发展 • 第3节 容错系统的设计目标
第1节 容错与可信性计算
• 提高计算机系统可信性,即实现可信计算 (dependable computing)有重要意义。
– 一些安全-关键(safety-critical)系统的不可信(或故 障)将导致重大损失或灾难事故。如航空航天、核电 厂、铁路信号领域的计算机控制系统。
– 主要技术:冗余技术,包括: • 硬件冗余 、软件冗余 、信息冗余 、时间冗余
– 能大幅度提高系统可信性,满足高可信性系统要求。
• 对高可信性系统,必须: 避错和容错技术同时使用。
第2节 容错技术的发展
• 理论:容错技术,一般认为由John Von Neumann 开创。
• 应用:容错系统已经得到广泛应用。 • 目前,容错技术主要朝几个方向发展:
校
输入
模块2 ···
···
正 器
输出
模块N
差错输出
基本机理:通过校正器对多个模块的输出进行多数表决来掩蔽发 生的故障,只要故障模块数目≤ ( N-1) /2,则故障将被掩蔽。
– 模块级屏蔽电路设计中需要解决的关键问题有:
• 初始化:各模块开始运行前,必须使所有模块具有 相同状态(即所有寄存器和存储器内容必须相同), 为此,各模块应具有相同程序和数据,运行前还需 要同时复位。
– 可靠性是可信性中一项重要指标。
• 实现可信计算,归结为两种方法:
– 避错 – 容错
• 避错
– 避免故障的简称。试图构造不含故障的“完美”系统。 – 常用措施:
• 元器件:工艺上提高其可靠性;严格筛选、测试。 • 设计:认真核实设计;特殊方法。 • 系统:测试;屏蔽以减少干扰。 – 常用技术: • 环境防护(如热设计、机械应力防护、化学防护、
• 表决可用硬件实现,也可用软件实现。
• 硬件实现。
– 实际应用时,表决过程的定时十分关键(若参加表决的 信号到达时间不一致,可能产生暂时的不正确结果—— 为许多应用所不允许,因此,一般采用同步表决器)
• 软件实现表决:如图,传感器信号经采样后存放在双 口RAM中,由前处理机取出表决,并将表决结果置于 后双口RAM,由后处理器计算处理,产生输出。
– 典型应用:基于TMR的计算机联锁系统(TR-9型)
• TRICONEX公司生产,采用软件冗余的TMR;
• PLC(Programmable Logic Controller)技术,采 用梯形图、功能块、语句表等方式编写应用程序。
• 安全认证:达到德国技术监督局(TUV)安全设备第 5级和第6级标准、其它安全机构一些标准。
– 为了保证校正器的高可靠性,应尽可能使表决器简单可靠。 NMR的主要问题实际上就是校正器的设计问题。
– 用多数表决逻辑来实现校正器是最直接和最常用见的一种 方法。
– 多数表决容易用组合逻辑来实现,如,变量x1,x2,x3的表决 函数 V (x1,x2,x3) = x1x2 + x2x3 + x1x3 ; 用表决器作校正器 的NMR系统如下图。
• 系统的可信性可以用下列参数指标进行表征:
– 可靠度 – 可用度 – 安全度 – 可维度 – 保能度 – 可测度
• 安全性和安全度(safety)
– 设在时刻t0系统正常运行,则系统在时刻t的安全度S(t) 指系统在[t0, t]内正常运行的条件概率加上系统在时刻t 处于失效安全状态的条件概率。
电磁兼容设计等) • 质量控制技术。 • 提高元件集成度。 – 效果有一定限制,难以满足高可信性系统的要求。
• 容错
– 容忍故障的简称。 – 容错计算机系统:指在发生硬件故障或软件错误时仍能
继续正确完成指定任务的计算机系统。
– 容错技术:设计和分析容错计算机系统的各种技术。它 依靠外加资源的方法换取可靠性,主要有外加硬件、外 加软件、外加时间和外加软件,这些方法要合理利用才 能达到高可靠性。
输入
模块1
模块2 ···
模块N
多
数 系统输出
···
表 决
器
··· 差错指示
2. 三模冗余TMR(Three Module Redundancy,三取二)
输入1
模块1
输入2
模块2
表决器 输出
输入3
模块3
• TMR的主要问题:表决器的故障将造成系统差错。即, 对表决器可靠性要求较高,可采用三重表决。
输入1
• 表决技术的关键问题(同NMR): • 硬件表决和软件表决的优缺点:
– 硬件表决速度快,所需附加硬件多,技术要求高。 – 软件表决与硬件表决正好相反,比较灵活。 – 采用硬件表决还是软件表决要考虑因素:是否有现
成的表决器;是否需要很多表决器。表决速度是否 要求高;对表决方法灵活性要求是否高。费用!!
• 故障(fault)
– 概念:指系统的硬件中发生的物理缺陷、设计制造的 不完善或软件中隐含的错误。(结构方面)
– 例如:线路的短路或开路;程序中的死循环等; – 类型(有多种分类方法)
• 按时间间隔分为:永久故障、瞬时故障、间隙故障 • 按取值分为:确定性故障、不确定性故障 • 按影响范围分为:局部故障、全局故障
•…
• 差错(error)
– 系统中由于故障而造成的信息或状态的不正确。(信 息方向)
– 故障是差错的原因,差错是故障的结果。 – 差错类型:
• 根据其是否能被检测,分为:可检测的差错和潜伏 差错。
• 一些故障(如电磁辐射)可能导致多个部件出现差
错,这种错误称为多相关差错(multiple related errors.单差错(Single errors) are errors that
• 费用昂贵! I/O BUS
输入A
TriBus
输入 终端
输入B 输入C
处理器B
处理器A I/O BUS 处理器C
输出A
输出B 表决器 输出C
输出 终端
图 TRICON控制器的TMR结构
双电源架
双双电电源源 调调节节器器
+5VDC
失效检测电路 状态标示器
512KB EPROM 计时器 2MB SRAM
– 系统:瞄准优秀商用机,对其进行改造,实现容错。 – 模块:对VLSI进行容错设计,对其可控性、可观测性和
可测试性进行研究。 – 分布式容错系统。 – 软件方面研究。远不成熟。 – 容错性能的评价方面,分析和实验法并重。
第3节 容错系统的设计目标
• 容错技术的目的是使计算机系统更可信,即使系 统的可信性(dependability)更高。
• 模型的准确性(能覆盖大多数实际可能发生的故障) • 模型的可处理性(应用该模型能处理复杂系统中的实
际故障) – 模型越准确(故障级别越低),越难处理;反之,越容
易处理的模型(级别越高的模型),越不准确。
第3节 差错模型
• 差错模型:
– 在信息领域模式故障对电路或系统的输出的影响。 – 对于研究物理故障引起的信息出错的范围、差错传播
S(t) = R(t) +FS(t) – 失效安全状态: 指系统处于不危及设备及人员安全的方
式中断其正常功能的状态。
– 安全度一般与可靠度一起作为一些要求失效安全的系 统的设计目标。
• 如铁路信号控制系统, • 飞机的飞行控制系统, • 核电站控制系统等。
• 习题
– 为什么说可靠度高的系统其安全度必然高,但安全度 高的系统其可靠度不一定高?
故障掩蔽技术及系统重组技术
• 故障掩蔽
– 防止故障造成差错,即,将发生的故障屏蔽起来。 – 不要求在容忍故障前检测故障,但要求做到故障包容
(使故障的影响局部化,不希望一个故障全局地影响 整个系统的性能)。
• 系统重组:
– 防止差错导致系统失
做到系统恢复。
范围、差错潜伏期等有重要作用; – 对联机检测,尤其是自校验技术,极其重要。
第4节 防卫故障的原理
• 防止故障造成系统失效,主要技术:避错技术和容错技术 (主要有故障掩蔽和系统重组技术)。
• 防卫故障的原理:
故障 原因
避错 技术
故障
故障 掩蔽 技术
差错
系统 重组 技术
安全 失效
失效 安全 技术
冗余技术
• 上二者的作用,是达到容错的目的;但它们都是 建立在资源冗余的基础上。
第二节 硬件冗余(模块级)
三种基本形式:被动冗余、主动冗余、混合冗余
2.1 被动硬件冗余
又称为静态硬件冗余,指冗余结构不随故障情况变化的冗 余形式。
1. 基本结构(N模冗余模,块N1-Module Redundancy, NMR)
采样器 双口RAM
处理机 双口RAM
处理机
采样器 双口RAM
处理机 双口RAM
处理机
采样器 双口RAM
处理机 双口RAM
图4-6 采用软件表决的TMR系统 内部总线
RAM RAM 模块1
RAM RAM 模块1
RAM RAM 模块1
总线
模模 块块 1 1’
模模 块块 1 1’
模模 块块 1 1’
处理机
硬件冗余 软件冗余 信息冗余 时间冗余
危险 失效
• 故障掩蔽技术:
– 防止系统中故障在该系统的信息结构中产生差错的各 种措施。如纠错码、多数表决技术;
• 系统重组技术:
– 防止系统中的差错导致系统失效的各种措施。 – 系统重组一般有几个步骤步骤:故障检测 →故障定位
→ 故障包容 →系统恢复
• 冗余:
affect one component only.
•…
• 失效(failure)
– 失效是系统未能正确提供预先指定的服务。(功能方面) – 差错是失效的原因,失效是差错的结果。 – 类型:
• 从失效域角度:内容失效、时间失效、内容时间均失效; • 从检测能力角度分为:可检测的失效、不可检测的失效; • 从一致性角度分为:一致性失效和不一致性失效。 – 概念:
错而造成失效的时间间隔。
Fig. 1. The fundamental chain of dependability and security threats.
第2节 故障模型
• 故障模型:
– 故障可能出现在不同的部件级别上。 – Def:~在较高的级别上(逻辑级、寄存器传输级、功能
模块级等)描述物理故障的影响。 – 对故障模型有两个要求:
• 时钟同步:
– 若各模块具有独立时钟系统,且模块的操作在时钟同步下 才操作,则要求各时钟严格同步,否则时钟误差累积会使 校正器无法区分某个模块是时钟太慢还是发生了故障?
– 若采用同一时钟,则时钟成为可靠性的瓶颈?解决办法是 设计容错时钟系统(可通过硬件或软件方式来构造同步时 钟)。
• 校正器设计:
• 失效模式:系统失效的不同表现形式。
• 失效严重性:每种失效模式有多种失效严重性(等级)。
• 共模(因)失效:由相类似的差错引起的失效。
• 故障、差错及失效之间的关系
– 故障会造成差错,但差错不一定马上就显现出来。 – 故障潜伏期(fault latency):从故障发生到由该故障
而产生差错的时间间隔。 – 差错会造成失效,但失效不一定马上就显形出来。 – 差错潜伏期(error latency):从差错发生到由该差
– 可靠度高的系统是否可用度一定高?可用度高的系统 是否可靠度一定高,为什么?
– 系统可维度是如何影响系统的可用度的,试用公式予 以说明。
第2章 故障及防卫故障的原理
• 第1节 故障、差错与失效 • 第2节 故障模型 • 第3节 差错模型 • 第4节 防卫故障的原理
第1节 故障、差错与失效
• 故障(fault) • 差错(error) • 失效(failure) • 故障、差错及失效之间的关系
中断控制器
主CPU NS32G×32 浮点CPU NS32381
模块1
表决器 模块1
表决器
输出1
输入2
模块2
表决器 模块2
表决器
输出2
输入3
模块3
表决器 模块3
表决器
图4-2 多级三重表决
输出3
输入1 输出1
总线
内部总线
模块1 模块1’
表决器
模块1
命令
输入2 输出2
模块2 模块2’
表决器
模块2
输入3 输出3
模块3 模块3’
采集/驱动
表决器
模块3
任务处理
关键部分
– 表决技术
– 容错,是建立在冗余技术基础之上。 – 冗余资源:在系统完成正常工作所需的资源以外的附
件资源,称为~。 – 冗余技术:应用冗余资源来克服故障运行的技术。 – 冗余技术包括以下几种形式:
• 硬件冗余。如双机比较,TMR表决系统; • 软件冗余。如故障诊断,软件比较器、表决器等 • 信息冗余。如数据通信中的检错码、纠错码; • 时间冗余。如指令复执、程序卷回等。
Computer Fault-tolerance
第1章 绪论
• 第1节 容错与可信性计算 • 第2节 容错技术的发展 • 第3节 容错系统的设计目标
第1节 容错与可信性计算
• 提高计算机系统可信性,即实现可信计算 (dependable computing)有重要意义。
– 一些安全-关键(safety-critical)系统的不可信(或故 障)将导致重大损失或灾难事故。如航空航天、核电 厂、铁路信号领域的计算机控制系统。
– 主要技术:冗余技术,包括: • 硬件冗余 、软件冗余 、信息冗余 、时间冗余
– 能大幅度提高系统可信性,满足高可信性系统要求。
• 对高可信性系统,必须: 避错和容错技术同时使用。
第2节 容错技术的发展
• 理论:容错技术,一般认为由John Von Neumann 开创。
• 应用:容错系统已经得到广泛应用。 • 目前,容错技术主要朝几个方向发展:
校
输入
模块2 ···
···
正 器
输出
模块N
差错输出
基本机理:通过校正器对多个模块的输出进行多数表决来掩蔽发 生的故障,只要故障模块数目≤ ( N-1) /2,则故障将被掩蔽。
– 模块级屏蔽电路设计中需要解决的关键问题有:
• 初始化:各模块开始运行前,必须使所有模块具有 相同状态(即所有寄存器和存储器内容必须相同), 为此,各模块应具有相同程序和数据,运行前还需 要同时复位。
– 可靠性是可信性中一项重要指标。
• 实现可信计算,归结为两种方法:
– 避错 – 容错
• 避错
– 避免故障的简称。试图构造不含故障的“完美”系统。 – 常用措施:
• 元器件:工艺上提高其可靠性;严格筛选、测试。 • 设计:认真核实设计;特殊方法。 • 系统:测试;屏蔽以减少干扰。 – 常用技术: • 环境防护(如热设计、机械应力防护、化学防护、
• 表决可用硬件实现,也可用软件实现。
• 硬件实现。
– 实际应用时,表决过程的定时十分关键(若参加表决的 信号到达时间不一致,可能产生暂时的不正确结果—— 为许多应用所不允许,因此,一般采用同步表决器)
• 软件实现表决:如图,传感器信号经采样后存放在双 口RAM中,由前处理机取出表决,并将表决结果置于 后双口RAM,由后处理器计算处理,产生输出。
– 典型应用:基于TMR的计算机联锁系统(TR-9型)
• TRICONEX公司生产,采用软件冗余的TMR;
• PLC(Programmable Logic Controller)技术,采 用梯形图、功能块、语句表等方式编写应用程序。
• 安全认证:达到德国技术监督局(TUV)安全设备第 5级和第6级标准、其它安全机构一些标准。
– 为了保证校正器的高可靠性,应尽可能使表决器简单可靠。 NMR的主要问题实际上就是校正器的设计问题。
– 用多数表决逻辑来实现校正器是最直接和最常用见的一种 方法。
– 多数表决容易用组合逻辑来实现,如,变量x1,x2,x3的表决 函数 V (x1,x2,x3) = x1x2 + x2x3 + x1x3 ; 用表决器作校正器 的NMR系统如下图。
• 系统的可信性可以用下列参数指标进行表征:
– 可靠度 – 可用度 – 安全度 – 可维度 – 保能度 – 可测度
• 安全性和安全度(safety)
– 设在时刻t0系统正常运行,则系统在时刻t的安全度S(t) 指系统在[t0, t]内正常运行的条件概率加上系统在时刻t 处于失效安全状态的条件概率。
电磁兼容设计等) • 质量控制技术。 • 提高元件集成度。 – 效果有一定限制,难以满足高可信性系统的要求。
• 容错
– 容忍故障的简称。 – 容错计算机系统:指在发生硬件故障或软件错误时仍能
继续正确完成指定任务的计算机系统。
– 容错技术:设计和分析容错计算机系统的各种技术。它 依靠外加资源的方法换取可靠性,主要有外加硬件、外 加软件、外加时间和外加软件,这些方法要合理利用才 能达到高可靠性。
输入
模块1
模块2 ···
模块N
多
数 系统输出
···
表 决
器
··· 差错指示
2. 三模冗余TMR(Three Module Redundancy,三取二)
输入1
模块1
输入2
模块2
表决器 输出
输入3
模块3
• TMR的主要问题:表决器的故障将造成系统差错。即, 对表决器可靠性要求较高,可采用三重表决。
输入1
• 表决技术的关键问题(同NMR): • 硬件表决和软件表决的优缺点:
– 硬件表决速度快,所需附加硬件多,技术要求高。 – 软件表决与硬件表决正好相反,比较灵活。 – 采用硬件表决还是软件表决要考虑因素:是否有现
成的表决器;是否需要很多表决器。表决速度是否 要求高;对表决方法灵活性要求是否高。费用!!
• 故障(fault)
– 概念:指系统的硬件中发生的物理缺陷、设计制造的 不完善或软件中隐含的错误。(结构方面)
– 例如:线路的短路或开路;程序中的死循环等; – 类型(有多种分类方法)
• 按时间间隔分为:永久故障、瞬时故障、间隙故障 • 按取值分为:确定性故障、不确定性故障 • 按影响范围分为:局部故障、全局故障