作者:马连川
出版社:中国铁道出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
列车运行控制系统安全性设计技术试读:
前言
列车运行控制系统作为轨道交通信号系统的重要组成部分和典型的安全苛求系统,是列车安全运行的“大脑”和“神经系统”。
最早在铁路信号系统中出现的故障—安全技术体现了绝对和狭义的安全概念,其主要是以实际经验为基础发展而来。随着以微处理器等大规模集成电路或超大规模集成电路为核心的微电子技术日新月异的发展及其在铁路信号系统,特别是在列车运行控制系统中的广泛应用,传统故障—安全概念转变为具有概率特性的广义安全概念,铁路信号系统特别是列车运行控制系统的安全目标也转变为功能安全,因此,系统的安全性设计在传统故障—安全设计方法的基础上发生了根本性变化。本书依据IEC 61508、EN 50126、EN 50128、EN 50129等国际安全标准,从系统安全生命周期要求、安全完整性要求、硬件安全性设计、软件安全性设计等不同方面,针对列车运行控制系统的安全性设计进行论述。
全书共五章。第一章描述了传统铁路信号故障—安全技术的产生与发展历程、技术特征以及广义安全概念的发展概况,介绍了相关安全标准,给出了典型铁路信号系统安全结构举例。第二章说明了系统生命周期、安全完整性及其等级等安全性设计的基本概念,并给出了系统硬件SIL计算的实例。第三章主要描述了安全相关系统及其硬件安全性设计所需要的具体技术要求,包括质量与安全管理措施、具体功能和技术安全措施以及与安全相关的环境耐受要求。第四章主要描述了安全相关系统软件安全性设计所需要的具体技术要求,包括软件管理与组织、软件保障一般要求以及通用软件、应用数据和算法的研发要求,最后给出了具体软件开发的技术和措施。第五章作为前述章节所阐述相关安全性设计的应用,以一种二乘二取二结构的列控安全计算机的设计与实现为例,描述了其架构设计、硬件设计和软件设计细节、安全完整性等级指标计算过程以及基于时间自动机的系统建模与验证过程。
本书可作为高等院校轨道交通信号及控制、自动化等专业学生的教学用书,也可作为在职专业人员的继续教育教材或相关工程技术人员的参考、培训教材。
本书由马连川编著。中国铁道科学研究院段武研究员对全书进行了审阅,并提出了许多宝贵的修改意见。在编写过程中也得到了轨道交通控制与安全国家重点实验室、轨道交通运行控制系统国家工程研究中心、北京交通大学电子信息工程学院的许多同事和研究生的热情支持和帮助。在此,一并对他们表示衷心的感谢。
由于作者水平有限,书中一定存在许多错误和不足之处,恳请读者批评指正。
编者2017年5月第一章绪论
轨道交通是指利用轨道列车进行人员、货物运输的方式,特定而言是以机车、车辆为移动设备(以下简称列车)、线路(轨道、桥梁、隧道等)为固定设备、以站场(车站、编组场等)为运输生产基地实现运输功能的庞大系统。目前常见的轨道交通主要有铁路、城市轨道交通和磁悬浮交通。
轨道交通列车具有速度快、质量重、制动距离长、在区间内一般不能避让的特点,为确保行车安全,必须确保在同一时间不能把同一资源——轨道分配给多列列车,列车运行中不能给“本列车”或其他列车(或环境)带来风险。为使轨道交通系统高效运营,必须尽可能晚地给列车分配资源,尽可能快地释放资源,为此,需要行车指挥系统按运行计划,可靠、安全地指挥列车(或机车)等移动设备,在轨道交通系统中安全、高效地运行。行车指挥系统的主要技术装备称之为轨道交通信号系统,简称信号系统。
信号系统最早随着铁路的出现应运而生,随着运输需求的多样化和复杂性以及科学技术的发展,特别是通信技术、计算机技术、网络技术和自动控制技术的发展及其在信号领域的应用,信号系统的功能和内涵发生了巨大的变化。信号系统已发展成为确保列车行车安全、缩短列车追踪间隔、提高运输效率、提供列车运行信息和改善劳动强度的基础设备,是轨道交通的关键技术装备之一。信号设备一般包括车站联锁系统、列车运行控制系统(含区间闭塞系统)、调度集中系统(CTC)和信号集中监测系统(CSM)等。
列车运行控制系统(简称列控系统)是铁路信号系统的重要组成部分之一,由地面设备、车载设备、车地信息传输设备等构成,以技术手段对列车运行方向、运行间隔和运行速度进行控制,确保列车能够安全运行、提高运行效率。在不同的应用场合,列控系统的设备构成也有所差异。
本章将在简要描述轨道交通列车运行控制系统特点的基础上,首先说明传统铁路信号故障—安全技术的产生与发展历程、传统铁路信号故障—安全技术特征以及向具有概率特性的广义安全概念的发展概况,然后列举了IEC 61508以及EN 50126、EN 50128、EN 50129和EN 50159等安全标准的主要内容,最后给出了以微处理器等大规模集成电路或超大规模集成电路为核心的复杂微电子系统引入铁路信号系统过程中出现的几种典型铁路信号系统安全结构的技术特征描述。第一节铁路信号安全技术的发展
由于列车运行控制系统是铁路信号系统的重要组成部分之一,其安全性设计从属于铁路信号安全技术范畴。铁路信号安全技术是随着铁路运输的发展和科学技术水平的发展而不断前进的。
首先出现的是传统铁路信号故障—安全技术,体现的是绝对和狭义的故障—安全概念,主要以实际经验为基础,吸收所经历时代的先进技术而发展起来。
而后,随着科学技术的进步,特别是以微处理器等大规模或超大规模集成电路为核心的微电子技术日新月异的发展,铁路信号系统也进入到一个崭新的发展阶段,促使以狭义、绝对故障—安全概念为基础的传统铁路信号故障—安全技术向以功能安全为核心的现代铁路信号安全技术的转变。一、传统铁路信号故障—安全技术的产生
在设备发生故障时,使其倒向安全侧的故障—安全概念早已萌发。早在1825年,世界上出现了第一条铁路——英国的斯托克顿—达林顿(Stockton-Darlington)铁路,当时在夜间是用车站窗口的蜡烛烛光指挥行车的。约定以烛光亮作为停车信号,以烛光灭作为允许信号,这样常因大风吹灭表示“停止”的蜡烛而发生多次冒进的行车事故。于是将其含义反过来,把蜡烛亮定义为“进行”,蜡烛灭定义为“停止”。这就是在初期阶段萌发的故障—安全的原始概念。
此后,随着科学技术的发展,铁路信号率先开始使用故障—安全设备,其中产生过重大影响的有以下几种设备:(一)臂板信号机
1841年格列高里(C.H.Gregory)发明了易于被司机辨认的臂板信号机,它模仿人们举起手臂发出信号的动作,约定以举起臂板作为停车信号,但由于牵引臂板动作的导线出现折断事故而不能发出停车信号,从而使伤亡事故仍难避免。以此为契机,研制出利用重力显示停车信号的臂板信号机,其结构如图1-1所示,它根据臂板的角度表示信号状态,水平时定为安全侧的停止信号,其具体的故障—安全措施是:臂板是木质的,夜间显示用的镜框是铁质的,其重量超过臂板,以回转轴为中心产生反向力矩保持臂板的水平位置。牵纵拐肘的重锤以其自身重量保持下锤状态,此时通过拉杆对显示镜框产生下拉的力,维持臂板的水平位置。这样一来,一旦拉杆折断或导线折断,依靠镜框和重锤的重力,使臂板成为水平,导向安全侧。这种重力法原理后来成为故障—安全技术的重要方法之一。
图1-1 机械臂板信号机的结构(二)机械联锁设备
1856年John saxby提出并在英国Bricklayer Arms联络站上装设了机械联锁设备,随后由Farmer对此加以改进,所以称为Saxby-Farmer式联锁装置。联锁关系往往是双方相互制约的先后顺序关系,例如当道岔位置不对,禁止信号机显示允许信号;道岔锁闭后,不准许它再变位,信号机显示允许信号。机械联锁用机械的方法实现了信号机和道岔之间的这种联锁,防止操作人员的错误办理。(三)信号继电器
1870年左右,具有非对称错误特性的信号继电器就开始使用了。这种继电器是把无电闭合的接点组规定为安全侧,有电闭合的接点组规定为危险侧。当发生断电、断线故障时必须使反映侧危险状态的前接点组自动断开,反映侧安全侧状态的后接点组自动闭合。这种继电器的结构如图1-2所示,其实现故障—安全的技术措施是:(1)有电闭合的接点组采用银和炭的接点,银和炭成为一个不可熔性的组合,使其不能因电弧、火花或大电流造成熔接而保待吸起位置。(2)衔铁的设计是依靠它的重力而不用弹力,在失去电能的时候,使有电闭合的接点断开。(3)动接点组与衔铁间采用硬性连接,以保证衔铁和接点动作的一致。(4)磁路空气隙是经过仔细调整选定的,并由非磁性的安全止钉保持这一空气隙。(5)继电器端子柱之间的空隙,其漏电和耐压的大小一定要足以使得雷击和其他高压脉冲不会损坏面板和将其绝缘电阻减至不安全的程度。
这样的结构确保:当电路、线圈发生故障时,后接点组闭合的概率大大超过前接点组闭合的概率,使其具有非对称错误特性;定义前接点反映危险状态,后接点反映安全侧状态,例如用后接点组构成红灯显示,前接点组构成绿灯显示,当发生故障时,以较高的概率变成红灯显示,从而实现故障—安全原则。
图1-2 信号继电器结构(四)轨道电路
1872年美国的维·鲁滨逊(V.Robinson)发明了轨道电路,最初是开路式轨道电路。列车进入轨道电路区段,由于钢轨断裂、连接线断线,继电器不能励磁吸起,发生了不能显示停止信号的事故,因而,三年后改进为直流闭路式轨道电路,如图1-3所示。在没有列车或车辆时,钢轨上流通电流,使轨道继电器励磁吸起闭合前接点组,当列车或车辆占用轨道电路、连接线断线、钢轨裂缝时,轨道继电器会失电落下闭合后接点组,表示区段占用,显示停止信号,实现故障—安全。这里的安全侧与轨道电路的开路或短路状态相对应。
图1-3 直流闭路式轨道电路结构(五)继电联锁设备
1929年Chicago Rockisland和Pacific铁路公司在美国Illinois州的Blue Island设置第1个继电联锁装置。它是用信号继电器,根据闭路原理和安全对应法则组成实现信号机、道岔、轨道电路电气联锁的继电器电路。
在这个阶段,铁路信号仍停留在狭义的故障—安全概念上。故障—安全技术主要以实际经验为基础,吸收各个时代的先进技术而发展起来。二、传统铁路信号安全技术概述(一)故障—安全技术
当设备或系统发生故障时,不致错误地给出危险侧输出,能使之保持或导向安全侧的手段,叫作故障—安全技术,故障—安全技术是传统铁路信号安全技术的核心。
从机械的、电气的到电子的信号设备,设计使用了许多故障—安全技术,特别是经过实际使用而改进了的安全技术,成为传统铁路信号安全技术的重要内容。(1)安全侧分配法,在我国又称为安全对应法则,已是贯穿传统铁路信号故障—安全技术的非常重要的一个方法。凡涉及行车安全的信号器件和设备,无论是机械的、电气的还是电子的,都可以用两个相对状态来描述,例如:信号机有开放和关闭两个状态;转辙机有正常(定位或反位)和非常(不密贴的四开状态)两个状态;轨道电路有调整和分路两个状态;信号继电器有通电吸起和断电落下两个状态等。在两个相对立的状态中,其中一个状态与停车相对应,也就是说,当该状态出现时应导致停车的后果,称与停车相对应的状态为安全状态或安全侧,那么,称与安全状态相对的状态为危险状态或危险侧。安全侧分配法就是要给信号器件或设备确定安全侧,在此前提下,才能采取其他故障—安全技术使设备发生故障时倒向安全侧。(2)设备故障时使能量减小到最小,从而实现安全侧分配的技术。正如水从高处往低处流一样,分配高能量的一方为危险侧,分配低能量的一方为安全侧,设备故障时大都切断控制能量,使其转变为低能量状态的安全侧,一般来说,当得不到正常能量时就构不成危险侧状态。由于不正常情况(如外力消失条件下,物体不因自身重力落下)而造成危险侧状态的概率是极小的,而且是可以控制的,这样,使其具有非对称错误特性,根据这个原理实现故障—安全的具体方法如下所述。
①重力法。物体在外力作用下举高获得位能,当外力消失时,物体借自身重量而落下,将位能释放,将释放位能后所处的状态与安全侧相对应,是以重力法实现故障—安全的重要对策。利用此法的代表性器械有臂板信号机和自动道口栏木,当它们的操纵系统发生故障时,臂板和栏木都借自身重量恢复到安全状态,关闭信号和关闭道口。电锁器和信号继电器也是采用重力法实现故障—安全的,规定以衔铁吸起为危险侧,以衔铁释放为安全侧,当电路或励磁线圈断线而失去电磁能时,衔铁借自身重量释放而导向安全侧。
②闭路法。在继电器接点电路中有两种工作状态:一是闭路状态,电路通电后继电器衔铁吸起,后接点组断开,前接点组闭合,把这个闭路状态与被控对象的危险侧相对应;二是开路状态,电路断电后继电器衔铁落下,前接点组断开,后接点组闭合,把这个开路状态与被控对象的安全侧相对应。这样,当发生停电、断线等故障时,电路会自动由闭路状态转变为开路状态,以此达到故障—安全的目的。
实践经验表明研究继电器接点电路的安全性,主要是研究解决断线保护和混线保护。
断线保护主要通过串联控制电路来实现。图1-4是两个简单的电路,其中一个是输入信号k与继电器线圈J相串联的电路,叫作串联控制电路,另一个的k与J并联,叫作旁路控制电路。在正常情况下,这两个电路是等价的,但在断线故障模式下就不同了,如旁路控制电路的旁路线断线,继电器J将给出危险侧输出,而串联控制电路的任何处断线,也不会给出危险侧输出。对断线故障模式来说,串联控制电路具有自测试功能,旁路控制电路则没有,显然,具有自测试功能的串联控制电路,对断线起着保护的作用,所以信号安全电路一般不采用旁路控制电路。
图1-4 串联控制电路与旁路控制电路
混线保护主要通过位置法、极性法来实现。位置法是两条控制线相混时的保护措施。如图1-5(a)所示,若两条控制线的电缆芯线相混,则道岔表示继电器DBJ将无条件地给出危险侧输出,原因是作为控制条件的DB接点接入的位置不对,混线时被短路。若采用图1-5(b)所示的接法,将DB接点接在控制电源与继电器线圈的中间位置上,则在发生上述混线时,被短路的不是控制条件而是被控制的继电器线圈,电源的熔断器将被烧坏,DBJ只能给出安全侧输出。
极性法与位置法不同,它是保护控制线与其他电源相混的技术措施。如图1-6所示,极性法要求使用极性继电器(图中使用的是偏极继电器),在无列车接近1G时,如电缆芯线1与电源线正极KZ的电缆芯线相混时,电路的输出无变化,但当1GJ落下时,控制电源被短路〔KZ(混入的电源)→2GJ →1GJ →KF〕(接点编号:中12-1123-21性接点是11,21…;前接点是12,22,…;后接点是13,23,…),这时电路将因电源端的熔断器被烧毁而给出安全侧输出(1JGJ、2JGJ均落下,使进路由预先锁闭状态转变为完全锁闭状态)。若在列车未驶入1G之前,在电缆芯线1上混入电源负极,则电源立即被短路,若在列车驶入1G之后,电缆芯线1混入电源线负极KF,则电路保持正确动作,同样可以分析电缆芯线2混入电源时,电路也是安全的,从而实现故障—安全。
图1-5 位置法
图1-6 极性法
③串联法。为了使闭路法起到故障—安全作用大多采用串联电路结构,如四引线电容器在电子电路中的应用。在频率接收鉴频的低通滤波器中,如图1-7(a)所示,电容器C断路时、波纹增大,因而输出电压增高,有可能使后级设备发生误动,这样很危险。如果将电容器C改用四引线电容器接成图1-7(b)所示电路,则当电容器C的任一引线中断时,输出终止,移频自动闭塞直流24V稳压电源的滤波电容器也采用四引线电容器,当滤波电容发生断线故障时,便切断稳压电源输出电压,使信号继电器处于失磁落下状态。
图1-7 串联法示例1
又如,驼峰机车信号采用的压电音叉滤波器电路如图1-8(a)所示,当①点断线时滤波特性变坏,阻带衰耗减小,这样一来,相邻工作频率的输出电平增高,从而有可能使后级发生误动,产生危险。如采用双头引线的压电音叉接成图1-8(b)所示的电路,当①或②断线时,输出禁止,从而满足了故障—安全的要求。
图1-8 串联法示例2
再如,在移频自动闭塞设备中,为了防止牵引电流谐波及其他干扰,常采用如图1-9(a)所示的带通滤波器加以防护。当图中的①或②点发生断线时,滤波特性变坏,阻带衰耗减小,从而输出的干扰电平增大,并可能使后级发生误动,产生危险。为此把两个并联支路改变为变压器耦合的方式接成如图1-9(b)所示的电路,则当①、②、③、④等任意点断线,滤波器回路均处于断路状态,从而满足了故障—安全的要求。
图1-9 串联法示例3(3)设备故障时以维持现状为安全侧的方法,此法主要用于道岔的控制系统中,道岔密贴于定位或反位是安全状态,不密贴是危险侧状态。当控制系统发生故障时,应使道岔维持在安全状态。
在控制电路中采用磁性保持继电器,它仅在给予控制能量时才能转换,即使切断了电源,由于磁性保持仍能维持原状。在电动转辙机控制电路中,当电动机电路动作以后,有车驶入道岔区段时利用磁性保持原理,使道岔能继续转换到底。单线区间闭塞的方向电路也是利用磁性保持原理构成的。(4)采用联锁的方法也是故障—安全技术的重要内容,其中采用电气锁闭能较方便地实现各种联锁。电气锁闭原理可概括如下:
①为了达到故障—安全原则,在信号安全电路中必须使用安全型信号继电器,这是实现电气锁闭的第一条原则。
②必须根据闭路式电路原理进行设计。
③必须遵循安全对应法则。
④为了实现安全对应,继电器接点电路的逻辑函数的取值或者为1或者为0,不允许两者同时存在。
⑤只有在出现单故障时会被发现,才允许只考虑单故障,忽略多故障。(二)危险侧故障率最小化技术
在某些情况下,采取的安全措施达不到故障—安全的要求,但可以使发生危险侧故障的概率降低,这种只能减少危险侧故障率的技术,称为危险侧故障概率最小化技术。(1)混线防护法,包括双断法和电源隔离法等。双断法是减少混入其他电源出现危险侧故障的保护措施。如图1-10(a)所示,电缆芯线混入其他电源,可使道岔表示继电器5/7DBJ错误地吸起,给出危险侧输出。若在控制电源的正负极两侧分别接入同样的控制条件,如图1-10(b)所示那样,则A、B处混线,不再使5/7DBJ给出危险侧输出,但这个单故障将被“掩蔽”起来,此种在去线和回线上接入同样控制条件的方法叫作双断法。因为双断法是将单故障掩蔽起来,所以还要考虑多故障的情况,若A、B和C、D处两个单故障叠加,则5/7DBJ仍然给出危险侧输出。因此,在多故障的情况下双断法不能达到故障—安全,只能做到危险侧故障率降低。
图1-10 双断法
如图1-11所示是电源隔离法,也是对混入其他电源的保护法,道岔定位表示继电器DBJ和道岔反位表示继电器FBJ依靠半波整流电流吸起,在另一半周时靠电容器C的放电电流保持吸合。哪一个继电器吸合取决于半波整流电流的方向:转辙机定位表示接点DB闭合时DBJ吸合;反位表示接点FB闭合时FBJ吸合;当道岔正在转换或道岔被挤或道岔不密贴时DB和FB都断开,DBJ和FBJ都将释放。当两条控制线如图1-11中A-B虚线所示相混时,两个继电器都将得到交流,因此都会释放,给出安全侧输出。如图1-11中C的虚线所示混入其他电源时,因为每组道岔的表示电路都有隔离变压器,混进来的电源构不成闭合回路,所以不致使继电器错误吸起,即继电器不会给出非故障—安全输出。
图1-11 电源隔离法(2)危险因素的减低方法,如信号继电器接点熔化会引起危险侧故障,其防止办法是使用碳精接点或使用贵金属接点时串联熔断器,遇有异常电流时先使其熔断。(3)把超过规定的能量减低的方法,过流检测器就是一例。(4)考虑感应干扰和安装环境,如要防止机械共振,防止雷害和感应干扰等。(5)接近锁闭、延时锁闭等基于时间的联锁方法也可归在“危险侧故障率的最小化技术”一类中,其理由是:一般基于时间进行锁闭的情况,在规定的时间里是安全侧,规定的时间过后不再是安全侧。(三)防错办技术
在有人介入的系统里,减少或防止操作失误,即错误操作了也使系统仍处于安全状态的技术叫作防错办技术。
人是难免出错的,一旦出错就可能引起人身伤亡和巨大财产损失的设备或系统,均应采用防错办技术,以保证安全。(1)防止操作失误技术,用机械的、电气的联锁方法可以有效地防止错办。为了防止把继电器插错位置,在继电器插座上都装有继电器类型鉴别销,于是鉴别销法普遍得到应用。(2)减少错办技术用特殊显示、特殊操作方法减少错办。最早得到应用的是列车接近铁路公路平面交叉道口时的闪红灯报警信号,它配套装有音响信号,用以提醒人们的注意,并使道口看守员及时地落下手动栏木。在控制台上单独操纵道岔时,采取两个按压按钮动作才能完成一个控制命令的方式,可以防止误碰按钮。继电联锁设备中,人工解锁按钮盘单独设置,区段故障解锁要求两人协同办理,单线继电半自动闭塞要求两站协同办理。对于异常重要的按钮采用加铅封,使用时进行登记才能拆封操作。
使操作形象化、简单化减少错办,如进路式继电联锁设备,每排列一条进路,需沿着站场图上的进路,先后按压进路始端和终端的两个按钮,既形象又简单,使错办的概率大大降低。(3)使错办不生效技术。减少错办不等于能杜绝错办,因此需要设法使错办不生效,例如:在我国广泛采用的6502型继电式电气集中联锁的选择组电路,用区分列车和调车按钮的方法,区分各种方向电源的方法即是错办不生效的例子。(四)故障弱化技术
当设备或系统的局部发生故障时,设备或系统的某些功能有所减弱,但在整体上仍能使设备或系统持续执行一定功能的技术叫作故障弱化技术,在铁路信号领域中采用的故障弱化技术有:(1)维持最低功能法。如道口报警器用的断续继电器,当继电器发生故障不能保持正常情况下的断续点灯时,就构成信号机连续点灯。(2)迁回进路法。在基本进路因故障而不能使用时,准许改选迂回进路,给出相应的信号显示,完成相应的运输作业。(3)引导信号法。进站信号机因故障不能给出进站信号时,允许用引导信号引导列车低速驶入车站。(4)人工解锁,因某种故障进路不能正常解锁时,允许由人工在保证安全的条件下(要履行登记手续,以便查考),使设备解锁。(5)在运用上弱化故障。自动闭塞的通过信号机,因故障显示停车信号时,在列车一旦停车后,仍允许其越过红灯以随时可以停车的低速继续运行,将故障的影响限制在最小范围内。
作为一个系统,故障弱化的两个典型实例其一是我国高速铁路列车所采用的CTCS-3级列控系统,当车载列控设备与RBC无线通信故障,超过一定时间而未成功重连时,列车就降级到CTCS-2级的降级运行模式。另一个典型实例是城轨CBTC系统具备CBTC移动闭塞级别、点式固定闭塞级别、联锁控制级别三种控制模式,遇到故障能够依次向下降级运营。(五)故障诊断和恢复(1)功能检查。对电路、元件进行功能检查,检查结果作为控制其他电路或采取防护措施的条件。
在红灯灯丝断丝的情况,如进站信号机显示允许信号,列车接近站台,一旦因故关闭信号,将无灯防护车站。为防止这种危险状态的发生,在开放信号前需要检查红灯灯丝的良好状态。
进站信号机显示两个黄灯时,第二个黄灯发生断丝故障,也切断第一黄灯,转为红灯显示,避免两黄变一黄,发生升级显示。
驼峰信号机的信号显示,闪光和稳光赋予不同的显示意义,为防止因故闪光变成稳光,设计闪光校核继电器(SNJJ),当查明应闪光而没有闪光时,自动关闭信号。
为了防止复示继电器与主继电器动作不一致造成风险,可以在其他电路中检查复示继电器的状态。(2)及时发现和修复故障。对于出现的故障应及时发现,迅速恢复,才能缩短设备停用时间,提高设备的可靠性。由于设备停用期间,安全靠人保证,经验证明事故发生概率明显上升,因而及时发现和修复故障可以间接提高安全性。例如:
①继电联锁设备的控制台上有较完整的显示、音响报警系统,便于及时发现异常、分析故障,如信号复示器、按钮表示、挤岔电铃、熔丝报警、主灯丝断丝报警、主副电源自动切换报警。
②检测装置,包括现有的轨道电路测试盘、电缆绝缘测试仪等,微机检测装置可以自动巡测轨道电路电压、各种电源电压等,发现超限可以报警。
③快速修复。铁路信号设备发展小型化、定型化、组合化、插接化,发现故障,拨下插件快速更换,缩短停用时间。三、故障—安全概念的发展
随着科学技术的进步,以微处理器为核心的微电子技术的发展日新月异,为故障—安全系统提供了价格低廉的先进的物质基础;以微型计算机为主体的容错计算技术的形成和发展,为安全系统提供了先进的系统结构手段;以概率论为基础的可靠性理论的建立和普及,为安全系统的评价提供了有效的理论武器。上述一切对故障—安全概念认识的深度和广度产生了巨大的影响,推动从传统故障—安全概念向具有概率特性的广义故障—安全概念的转变。
1.狭义的故障—安全概念
铁路信号的基本作用之一就是保证列车、车列运行的安全,而这种安全的实现又总是把“系统故障时让列车停止”作为第一条件,随之也相应地规定:系统故障时把信号显示变为让列车停止的红灯为安全侧。这是传统的传统铁路信号故障—安全技术的一个重要特点。
由于驾驶机车的司机对信号显示百分之百的信任和无条件的绝对服从,一且信号设备发生故障、信号机出现错误显示将造成巨大的生命、财产上的损失。历史上血的教训,促使人们形成了要绝对保证安全的指导思想:为了保证列车运行安全,在信号设备发生故障时,绝对禁止向显示“进行信号”的危险侧动作,而必须导向“显示停止信号”的安全侧,这就是故障—安全具有的直观含义。
在继电信号设备中,故障—安全的实现是以具有非对称错误特性的信号继电器和闭路原理为基础,实现信号设备整体性的故障—安全,这是传统铁路信号安全技术的一个特点。由于这种继电器的非对称错误特性主要是借助永恒的重力实现的,因而认为在任何故障情况下必定倒向安全侧,具有百分之百的安全性,从而把它叫作安全型继电器。这就进一步加深了故障—安全概念的绝对化,即一个系统,当其内部发生任何故障时,该系统能够给出一个预定的输出值,这样的系统就称为故障—安全系统。预定输出值指的是能够控制设备于安全侧的输出值。
这种绝对化的故障—安全概念对铁路信号设备的发展起着极大的阻碍作用。在一个时期内,慎用新技术,以避免其不可识别的故障所可能带来的巨大风险,这是铁路信号的基本原则之一,这使现代电子技术和控制理论在铁路信号中的推广受到影响。
2.具有概率特性的安全概念
随着可靠性理论的诞生和发展,促使对故障和失效的分析建立在概率论的科学基础上,进而揭示了安全也应是一个具有概率特性的概念。
理论上,构成信号系统或组成系统的部件、设备、子系统的失效都可进一步划分为“安全”
失效和“危险”失效,把系统或组成系统的部件、设备、子系统的失效率用λ表示,并把危险失效率用下标“D”表示,安全失效率用下标“S”表示,因此对于一个系统或组成系统的部件、设备、子系统,危险失效率和安全失效率分别表示为λ 和λ ,并有λ=λ +λ DsD 。s
将运行时所有可在线检测的失效归为被检测到的(显性)失效,所有未在线检测的失效归为未检测到的(隐性)失效。作为这种进一步划分的结果,每个部件失效率可被再细分成互斥的四部分失效率:安全/可检测到SD、安全/未检测到SU、危险/可检测到DD、危险/未检测到DU,这四类失效率关系如图1-12所示。
图1-12 安全和危险/可检测到和未检测到失效率关系图
用下标SD、SU、DD、DU表示失效分类的话,四种失效率可表示如下:
λ ——安全可检测到失效率SD
λ ——安全未检测到失效率SU
λ ——危险可检测到失效率DD
λ ——危险未检测到失效率DU
并有:
λ =λ +λ SSDSU
λ =λ +λ DDDDU
可检测到和未检测到失效率可通过确定系统或组成系统的部件、设备、子系统的诊断覆盖因数而计算获得,对于危险失效和安全失效假定不同的诊断覆盖因数,对失效率而言,下标“D”用于诊断覆盖因数“C”表示危险失效的诊断覆盖因数,类似的,下标“S”用于诊断覆盖因数“C”表示安全失效的诊断覆盖因数,危险失效和安全失效的诊断覆盖因数分别为C 和C ,可按以下公式计算获得四种DS失效率:
λ =λ ·C SDSS
λ =λ ·(1-C )SUSS
λ =λ ·C DDDD
λ =λ ·(1-C )DUDD
考虑到失效原因,上述四种失效率还可以进一步划分成独立原因失效和共因失效,设β为共因失效因数,则上述四种失效率分为:
λ =λ +λ SDSDNSDC
λ =λ +λ SUSUNSUC
λ =λ +λ DUDUNDUC
λ =λ +λ DDDDNDDC
其中: λ =βλ ,λ =(1-β)λ SDCSDSDNSD
λ =βλ ,λ =(1-β)λ SUCSUSUNSU
λ =βλ ,λ =(1-β)λ DDCDDDDNDD
λ =βλ ,λ =(1-β)λ DUCDUDUNDU
由此,可以得到以下结论:(1)百分之百可靠的系统是不存在的,系统或组成系统的部件、设备、子系统的失效是不可避免的,即λ不可能为零,只能希望它足够小。(2)危险失效率λ 无论如何低不可能等于零,因此安全不是绝D对的,是相对的,具有概率特性。实际上,铁路信号用继电器尽管采取了一系列措施实现故障—安全原则,但由于前接点组熔接而发生事故的例子也不是完全没有的。有统计表明,信号用继电器的λ D=10 -10 /h,λ =5×10 -7 /h,这只能表明危险失效率是比较低的,但S不可能等于零。(3)安全的目标是降低λ ,更确切一点是降低λ ,需要考虑DDU诊断覆盖因数和共因失效因数这两个重要因素。(4)对于λ很大的系统,即使λ 很小,但由于λ 很大,也会频DS繁失效而导致系统恢复时间变长,这不仅降低系统运行效率,而且还容易诱发其他重大事故,大量严重安全事故证明了这一点。因此,安全应建立在高可靠基础之上,应追求的是系统失效率λ很低情况下的安全。
总之,安全具有概率特性,获得安全要付出技术和经济代价或成本,代价或成本对应可接受概率水平,其确定的前提是法律、技术标准和规章制度,低于可接受概率水平即可认为是安全的。也就是说,安全相关系统必须有概率化的安全目标,并对安全相关系统进行是否符合该安全目标与否的安全评价,总之要对系统的安全程度做出概率的量化。
还需要注意的是,目前的铁路信号系统(含列控系统)均已转变为使用微处理器等大规模集成电路或超大规模集成电路为核心的复杂微电子系统,其安全目标只能转变为功能安全,这样的系统可称为安全相关系统。
另外,对于铁路信号系统(含列控系统),安全不能只考虑设备因素,还要考虑人为因素。这是因为,铁路信号系统(含列控系统)归根到底属于有人参与的控制系统,从人—机系统学的观点来看,控制系统往往就是人和设备、人和人组合而成的有机体,在这个系统中,人扮演着重要的角色。因为人总有一些错误地执行规定任务的概率,势必会对系统的可靠性和安全性产生影响。根据Meister的研究,人为差错占所有设备失效的20%~50%,所以安全技术不仅考虑设备本身的失效,还必须从“人机工程学”的角度研究人的差错规律,并提出相应的防护措施。第二节安全标准
随着社会发展和科技进步,在军事、航空航天、铁路、核应用、采矿、石油、化工、工业控制等与安全相关的行业提出了很多安全理论和具体技术,反映在相关国际安全标准中。在此,主要讨论IEC 61508标准和EN 50126、EN 50128、EN 50129和EN 50159等铁路信号安全标准。一、IEC 61508标准
在功能安全相关领域的研究、研发或集成应用中,国际电工委员会制定的IEC 61508标准是普遍认可并需遵循的一个功能安全基础标准,即《电气/电子/可编程电子安全相关系统的功能安全》,与之对应的是我国国家标准GB/T 20438。IEC 61508针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)的整体安全生命周期,定义了一个基础的方法和技术框架,用于系统地处理安全相关的所有活动,对以电子为基础的安全相关系统提出一个一致的、合理的技术方针。
所谓电气/电子/可编程电子系统(E/E/PE)是指以电气/电子/可编程电子技术为基础,包括了电气设备、电子设备、可编程电子设备,其中,电气设备指电机设备;电子设备指固态非可编程电子设备;可编程电子设备指以计算机技术为基础的电子设备。以一个或多个可编程电子设备为基础,用于控制、防护和监督的系统,它包括了系统的全部元件,如电源、传感器以及其他输入设备、数据通道、通信通路和其他执行器、输出设备。所谓安全相关系统(Safety-Related System)是指用于两个目的的系统:一是执行要求的安全功能以达到或保持受控设备(EUC)的安全状态;二是自身或与其他E/E/PE安全相关系统、其他技术安全相关系统或外部风险降低设施一道,能够达到要求的安全功能所需的安全完整性。电气/电子/可编程电子安全相关系统一旦失效可以影响人的安全性和环境的安全性。
IEC 61508考虑了所有相关的整体、E/E/PE和软件生存周期阶段,为E/E/PE安全相关系统实现必要的功能安全提供一个通用的评价方法,用安全完整性等级来说明安全相关系统的安全目标,它的主要目标是预测涉及安全的系统运行时的失效概率。IEC 61508的特点是把风险作为度量危险的指标,这里的风险(Risk)是指危害发生的概率(Likelihood)和危害严重性(Consequence)的组合。IEC 61508定义了4种风险指标:(1)被控设备风险:指被控设备或被控设备与被控设备控制系统相互作用而产生的风险。(2)可容忍的风险:指在以现行社会标准为基础的给定情景下可被接受的风险。(3)残余的风险:指在采取了防护措施后仍然保留的风险。(4)必须的风险降低:指通过电气/电子/可编程电子安全相关系统、其他技术的安全相关系统和外部风险降低设备实现的风险降低,以确保不超过可容忍的风险。
在对安全相关系统进行需求分析和风险分析之后,可以得到系统的可容忍的风险和现存的风险,两者之差是必须降低的风险。IEC 61508中主要讨论的就是怎样利用安全技术和分析方法降低电气/电子/可编程电子安全相关系统的风险。
IEC 61508由7个部分组成:一般要求、电气/电子/可编程电子系统的需求、软件需求、定义和缩略语、确定安全完整性等级的方法示例、IEC 61508-2和IEC 61508-3的应用指南、技术和措施概述。
IEC 61508的主要目标是:(1)用技术手段经济地增进功能安全。(2)在安全框架内推动技术发展。(3)对所有的安全相关系统,包括软硬件在内,从系统生命周期角度提供一个系统方法。(4)为安全技术的未来发展提供一个灵活的技术方案。(5)提供分析安全相关系统安全功能要求的方法。(6)建立一个基础标准,使其可直接应用于工业,同时,亦可指导其他领域的标准,使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等)。(7)让使用者和维护者放心使用以计算机为基础的技术。(8)建立一个统一的标准以利于:
·增进系统的安全功能;
·发展用于各领域的安全技术和测试;
·开展安全评估。
IEC 61508用安全完整性等级来说明安全相关系统的安全目标。安全完整性就是在规定的时间周期内和规定的条件下,安全相关系统成功地完成所需安全功能的能力,安全完整性分为系统失效和随机失效完善性。完整性等级分级标准是随机故障—安全完整性的定量目标,而对于系统失效完整性,标准中是用质量管理、安全管理和技术安全等定性指标作为目标的。定义一个安全相关系统的安全完整性等级相当重要,应当根据系统安全要求计算出可以容忍的失效率,然后得出系统安全完整性等级。如果等级定低了会直接威胁系统的安全性,如果等级定高了会浪费大量的人力、物力和财力。
安全生命周期就是从方案的确定阶段开始到所有的电气/电子/可编程电子安全相关系统、其他技术的安全相关系统、外部风险降低设备不再可用时为止的时间。安全生命周期也是IEC 61508中很重要的一个概念,通过定义安全生命周期各个阶段的安全性目标和必须达到的要求来对系统开发应用的每一个环节严格把关,实现整个系统的安全。
最新的IEC 61508版本为2010年版本。二、EN 50126/50128/50129标准
欧洲以IEC 61508国际标准为基础,吸收该国际标准的精髓,研发行业标准,所以它应作为进行铁路安全评估和分析的基础。欧洲电气化标准委员会(CENELEC)下属的SC9XA委员会制定了以计算机控制的信号系统作为对象的铁路信号标准,它包括以下4个部分(关系如图1-13所示)。
图1-13 CENELEC铁路标准关系图(1)EN 50126铁路应用:可靠性、可用性、可维护性和安全性(RAMS)规范和说明。(2)EN 50129铁路应用:通信、信号和处理系统-信号用安全相关电子系统。(3)EN 50128铁路应用:通信、信号和处理系统-控制和防护系统的软件。(4)EN 50159铁路应用:通信、信号和处理系统-传输系统中的安全相关通信。
EN 50126标准定义了系统的RAMS(Reliability、Availability、Maintainability和Safety),即可靠性、可用性、可维护性和安全性,考虑到系统RAMS是建立在整个系统的生命周期范围内,本标准指导性地给出了在每个生命周期内各个阶段RAMS的管理和要求,但在本标准中,未定义RAMS的特定的定量目标。
EN 50129标准规定了为了确保安全相关的铁路信号电子系统/子系统/设备安全所必须满足的条件,这些条件包括:质量管理措施、安全管理措施、功能和技术安全措施、安全接受和论证。作为一个安全相关系统要做到系统的安全能够得到接受和论证,必须经过前三个步骤,该标准与英国的黄页(主要针对安全相关系统系统的工程管理和评估分析)有许多相似。
EN 50128标准针对信号系统中出现的采用计算机(包括微机、单片机)越来越广泛、由软件来承担安全性需求的比重越来越大、软件安全性问题变得更加突出等趋势,对软件的安全保证提出了相关的规范和设计标准。在该标准中,对铁路控制和防护系统的软件进行了安全完整度等级的划分,针对不同的安全要求制订了相应的标准,按不同等级对整个软件研发、检查、评估、检测过程包括对软件需求规范、测试规范、软件架构、软件设计研发、软件检验和测试、软硬件集成、软件确认评估、质量保证、生命周期、文档等提出相应的程序与规范的要求。
最新的EN 50126版本为1999年版本,最新的EN 50129版本为2003年版本,最新的EN 50128版本为2011年版本。
目前已提出prEN 50126,内容覆盖已有EN 50126、EN 50128、EN 50129,其中prEN 50126-1:2012取代EN 50126-1:1999,内容为一般RAMS过程(Generic RAMS process);prEN 50126-2:2012取代EN 50126-1:1999、CLC/TR 50126-2:2007、CLC/TR50126-3:2008,内容为系统实现安全的方法(Systems approach to safety)。prEN 50126-4:2012取代EN 50129:2003,内容为电气/电子/可编程电子系统的功能安全(Functional Safety-Electrical/Electronic/Programmable electronic systems);prEN 50128:2012取代EN 50128:2011;内容为软件功能安全(Functional Safety-Software)。预计未来会有版本内容覆盖已有EN 50126、EN 50128、EN 50129的新版EN 50126发布。三、EN 50159标准
欧洲电工标准化委员会(CENELEC)核准的EN 50159标准适用于使用传输系统完成数字通信目的安全相关电子系统,给出了传输系统所连接的安全相关设备实现安全相关通信的基本需求。该标准中传输系统不需专为安全相关应用设计,安全相关设备和非安全相关设备可以通过传输系统连接。该标准将传输系统划分为以下三种类型:(1)在设计人员的控制下,且在生命周期内是固定不变的;(2)部分未知或不是固定不变的系统,但可排除未经授权的访问;(3)不受设计人员控制的系统,应考虑未经授权的访问。
该标准可用于传输系统所连接的安全相关设备的安全需求规范,以获得所分配的安全完整性需求。安全需求通常在根据EN 50129设计的安全相关设备中实现,在某些情况下,这些需求可能在其他传输系统的设备上实现,只要通过安全措施控制来满足所分配的安全完整性需求。安全需求规范是安全相关电子系统安全案例的基础,所需证据在EN 50129中规定,安全管理和质量管理的证据也须服从EN 50129。该标准的主题是通信相关的功能性和技术性安全案例的要求。
该标准不指定传输系统、传输系统所连接的设备、解决方案(如互操作性)、安全相关数据的界定等内容。该标准只考虑故意通过信息手段攻击安全相关应用时的IT安全问题,而不考虑常规的IT安全问题,特别是不包括确保安全相关信息的保密性、防止传输系统的过载等相关IT安全的问题。
最新的EN 50159标准为2010年版本。第三节典型铁路信号系统安全结构举例
20世纪70年代以来,以微处理器等大规模集成电路或超大规模集成电路为核心的复杂微电子系统逐渐引入铁路信号系统,这个过程中出现了几种至今都在使用的铁路信号系统安全结构,下面依次描述它们的技术特征。一、编码微处理器结构
在法国,编码微处理器本质在于所有程序变量都要编码,编码的选择应保证源程序的任何偏差都会产生“编码之外(out of code)”字符,它会触发动态控制器,这个起最后“保险”作用的控制器基于故障—安全技术设计,在安全苛求输出处关闭电源。在编码微处理器中,保留编码按形式为:
X=A·x
其中,X是一个编码操作数,x是操作数的未编码值,A是一个随机选择的素数。
简要地说,每个所用变量都要编码,编码由两部分(X ,X )fc组成,其中X 是变量的值部分,32位;X 是变量的控制部分,48位。fc变量的值和控制部分以不同的方式分开计算,指令集应设计成能够处理输入编码变量和提供编码形式的输出,基本操作库叫作OPELEM,其创建了如何实现安全基本操作的流程。编码微处理器的具体原理如图1-14所示。
图1-14 编码微处理器原理
所使用的编码由紧密混合的四种签名(signature)构成,能检测出四类错误,具体描述如下:
试读结束[说明:试读内容隐藏了图片]