1、第一讲 铁路信号故障-安全原则定义的几个版本,一、版本“一”,历年来,我院轨道电路、机车信号研发中执行的“故障-安全”原则。,1.定义:,1)为保证系统的安全性,在规定的时间,规定的环境(含温度、湿度、气压、振动、电源电压波动、电磁兼容条件、电气化干扰、制式内规定的信号量干扰)条件下,系统设备无故障时要稳定可靠工作,不得出现升级。,2)在元器件及部件(印制板、金属加工固定件等)在规定的故障模式条件下,发生故障,设备应尽量动态保持其应有的即时工作或控制状态,不出现升级(可降级)。,3)当故障得不到检查,则积累已发生的故障,直至出现“红灯”为止。 4)合理的考虑出现“红灯”后的“复活”状态。,2、
2、对“版本一”原则中关键语句的说明,1)安全性:指在规定的时间期间、使用条件、环境条件下,系统不陷入危险状态的性能。摘引自 日本铁路标准(1996.3)安全性:避免危害的不可接受的风险。摘引自EN50126 1.0 version(此语言难理解),2)“升级”(1)故障后,设备的五个状态设备故障后,其控制结果无外乎形成以下五个状态:,“动态保持应有状态侧”仍可完成规定的功能。 “动态维持于降级状态侧” “安全侧”设备不能完成规定功能,设备处于安全保护状态 “危险侧”,设备不能正确完成规定功能,且构成较为禁止的危险控制状态(含短时间构成) “未知侧”特别对于信息源而言,设备不能形成规定技术条件要求
3、范围内的信息源,而随机构成其他信息,该信息对系统造成的问题是未知的。以上设备故障后,其控制结果形成的“危险侧”和“未知侧”状态均定义为“升级”。,(2)故障“升级”举例为: 接收器:在故障后,若接收信号判别门限降低(或称接收灵敏度提高),将可能造成将轨道电路“列车占用”错误判别为“列车出清”,显见设备故障造成控制状态为“危险侧”。发送器:在故障后,信号源形成的控制命令的技术指标超出要求范围,其后果为构成的信息具有人们意想不到的各种状态,其中有导向“安全侧”,有导向“危险侧”的各种可能,对这种“不可知”状态的“未知侧”故障,从安全控制上考虑,必须视为“升级”。,3)“元器件及部件”,人们约定俗成
4、的把电子元器件中电阻、电感、电容及开关、接插件、熔丝、继电器统称为元件,将具有P-N结的二极管、稳压管、三极管、压敏电阻、集成电路、CPU等统称为器件。 应客观指出,在设备和系统构成中存在大量其他“部件”环节,诸如:印刷线路板、金工零部件、电线、传输电缆、钢轨线路。,这些环节的故障亦可造成设备及系统的“升级”。如: 印刷线路板:板条的断线、混线和接地。 金工零部件:断裂、紧固件损坏、金工件丧失接地要求或故障构成接地。 电线、电缆:断线、混线、接地不正常运用。 钢轨线路:断轨、分路不良、绝缘破损以上设备和系统构成中,除电子元器件以外的其余部分均理解为“组成设备的部件”范围。,4)“规定的故障模式
5、”,(1)“规定的故障模式”含:常规规定和研发企业所承诺的“故障模式”。该企业承诺的模式需做详细的诠释,其中包括:a.措施内容b.措施存在的条件c.对措施试验检验的过程及证明数据、依据d.获得承认的范围(2)凡未列入“规定”属遗漏部分出现的安全问题,研发单位要承担责任,如熔丝断丝。,(3)对特定故障模式的举例: 金属膜电阻不考虑阻值连续减值及击穿。 线绕电阻考虑断线但不考虑连续增值。 电解电容不考虑误差范围外的增值 薄膜电容不考虑误差范围外电容值的增值。 铁氧体电感不考虑误差范围外的电感增值,遇非线性电感应作出必要的使用说明。,(4)对企业工艺加强措施保证的特许故障模式的举例: 金属膜四端头电
6、阻的结构设计,在使用条件下不考虑电阻横向断裂(R或)。 多组大功率电阻并联连接成的四端头电阻设计。 各种四端头电容的结构设计,含:CL-0.47 F 四端头电容,用于鉴频CZJD-102030F四端头电容,用于低频选频CA- 四端头电容,用于安全与门CB14 2000P 四端头电容,用于有源滤波CBB 四端头电容,用于电缆模拟网络CD-1 2200F四端头电容,用于电源滤波两组二端头CA钽电容并联运用替代四端头钽电容,用于安全与门,采用镀锡钢带捆绑并焊接固定C型铁,高强度漆皮线(QZ),真空浸漆等工艺构成不考虑电感量下降的电感线圈。 采用软环氧或硅胶灌封铁氧体线圈的工艺加强措施,不考虑电感值下
7、降。设备测试中需对电感电阻支路模值及角度进行测试。 CBB四端头电容直流运用条件下,元件厂家对电容容值在规定年限内作出不减值的书面承诺。,5)“应有的即时工作或控制状态”,其中“即时”系强调动态反应。“工作或控制状态”,应根据设备的受控指令变化而实时变化(或称刷新)。 设备在故障时,严格禁止使其原有较为允许的工作或控制状态得以固定和保留(应有适度延时除外)。,6)“故障得不到检查”,(1)定义:“检查”系指故障的结果能够使系统或设备形成安全的保护状态,如:发送器的“发送报警继电器”(FBJ)失磁;接收器的“轨道继电器”(GJ)失磁;信号机显示处于“红灯”或“灭灯”状态;机车处于受控“制动状态”
8、。以上会引起机车驾驶人员、车站值班及维修人员的发现,使对列车运行控制处于安全的保护状态。,(2)说明:应特别强调该“检查”应不单纯以设备“故障报警”指示为准。因为故障报警电路设计原则上按非“故障-安全”电路设计。设备故障由车站车务值班员、电务维修人员、机车驾驶人员发现。故障检测是使故障得到检查的一个组成部分,可用于参考制定维修恢复周期。但决不可把它理解为“故障得到检查”。 (3)结论:“故障得到检查”是通过设备形成的安全保护状态来实现的。,7)“积累已发生的故障”,当某No.1故障的结果不能使系统或设备形成安全保护状态即“红灯”,应保留此故障,再考虑其他No.2故障,仍不能使系统或设备形成安全
9、保护状态,仍应保留此故障。按此原则持续No.3直至No.n,使系统或设备形成安全保护状态为止。 从保留No.1No.(n-1)故障过程,即为“积累已发生的故障”。 我们应该看到,考虑到从故障No.1始至“红灯”止的路径可能有多条,从此也可联想到,系统和设备的故障试验是一件工作量巨大的工作。,8)“红灯”为止,此处“红灯”系指系统或设备形成“安全保护状态”。 安全保护状态可理解成:执行电路继电器失磁、进路锁闭、信号机红灯、机车制动继电器失磁形成制动等。,9)“红灯”后的“复活”,指故障后系统或设备稳定处于安全保护状态,不再出现瞬间的工作状态。如:执行继电器固定失磁,不产生跳动;信号机固定在“红灯
10、”或“灭灯”。 不出现其他较禁止灯光跳动显示。 当然,“红灯”后出现的瞬间升级工作,可危及被控制对象安全的状态 故障升级,该种性质的“复活”是不允许的。,二、“版本二”,铁路应用-可靠性、有效性、可维护性和安全性(RAMS)的规范和说明(国际电工委员会EN50126 1.0 version),1. 该版本中,对“故障-安全”概念的表述包含三层涵义:1)“故障-安全”概念是铁路行业早期已经使用的固有概念。它是根据一套假设的概念,该概念建立在:沿用已久的元器件故障失效模式,在元器件故障后,系统仍能保证安全,不允许出现危险升级(非原文直译但愿意准确)。2)通常“故障-安全”的有效性是建立在经验基础上
11、。3)微电子技术(指单片机、计算机)中大量复杂的集成芯片的运用,冲破了采用分立元件故障模式的“故障-安全”分析方法。突出了“概率”理论的应用和实践的有效性,即对于复杂微电子器件构成这样的复杂系统可以有效的运用概率方法。,2、对“版本二”概念的几点体会,1)EN50126标准对安全性采用的风险管理方法与铁道工程师沿用已久的故障-安全概念一致。这就明确了故障-安全概念是安全性风险管理方法的根本。 2)EN50126对“故障-安全”概念的叙述肯定了依据假设且沿用已久的具有固定故障-安全概念的有效性,并标明安全监理在保障?基础上。这对铁路信号系统及器材早期机械、继电甚至分立元器件发展阶段的特点相吻合。
12、,3)EN50126针对由商业微处理器及大型复杂系统的开发,突出表达了历史上已形成的一些固有 “故障-安全”分析方法已经过时,从而要有效的运用“概率方法”亦是十分正确的。集成电路的出现,甚至从由分立元器件构成早期组合件开始,实际上除掉元器件本身的故障模式外,还应考虑各元器件间因其新结构形成的新的故障模式,诸如:漏电、击穿、混线、分体电容影响,4)分立电子元器件实现“故障-安全”设计有较大的技术难度。采用分立元器件构成铁路信号的“故障-安全”电路已是十分困难,严格说单元电路故障-安全问题解决了,设备中各单元电路连接后,新的“故障-安全”问题又出现了,系统中各设备连接后,更新的“故障-安全”问题又
13、出现了,应客观指出,采用分立元器件构成安全电路,除了少数经典电路环节外,在安全性上实难无漏洞,使从事该工作的技术人员日益信心降低,甚至惧怕从事该项工作。 如:对于接收器的执行开关电路往往是一个驱动直流安全型继电器的电子开关,它采用变压器隔离直流,取得动态的开关信号。考虑到各元器件的故障模式保证开关灵敏度不升高是困难的。考虑到接入设备中,前级设备故障后的信号做到有效防护也属困难。接入系统电源设备故障产生的电压变化,纹波频率、幅度的变化,DC/DC变换器引发的特殊问题完全做到有效防护也是困难的。 这些都被多年的设备研发实践所证实。,5)在集成电路中不再考虑原分立器件的故障模式,在同一个组件内,一方
14、面要考虑原有单一分立元器件芯片的多种故障模式与组合件各芯片元器件芯片多种故障模式同时出现的可能性,还要考虑它的相互间同时出现新的故障模式的可能性。这样故障的组合数量极大增长,造成故障试验的极大复杂性。 实际上,这种故障试验是无法进行的。人们公认,对于分立元器件构成的组合件已无法进行其“故障-安全”试验,也无法确定其安全性。 历史上,采用组件构成的单系统电路往往是用元器件的高可靠运用或其故障后特性变化尚未构成升级的高概率掩盖了系统的非安全性。这样的系统的运用严格说是十分危险的。 随着构成电路元器件结构复杂性的升级,不断总结经验和教训,人们对构成电路安全性的认知亦在不断提高。,6)采用高可靠元器件
15、及概率设计方法形成了高安全电子设备的新阶段。上世纪80年代初期法国采用了CSEE公司在构成EMS发送器中,由两套单独震荡源分别控制的信号源发生器(CO)及供比较检测的校核源发生器(AX),该大规模CMOS集成电路由军工企业研发制造以保证其可靠性。 其原理框图为:,该设计特点为: 承认CMOS大规模集成电路故障模式复杂性,不再强调单一芯片故障模式的试验。 考虑产品的高可靠以减少故障概率。 考虑到故障后可能导致升级的可能性,用两个互异的芯片的输出条件进行相互校核,判别形成信号的正确与否及精准性。 用具有故障安全的“安全与门”控制信号轨出。 以上信号产品早期采用大规模集成电路有效运用概率的方法实现故
16、障安全的典型。在集成逻辑器件采用“取2”方式进行安全设计迈出的“一小步”,为后来采用双CPU“取2”方式安全设计迈出的“一大步”。,7)微电子电路设备的故障-安全设计 18信息载频发送器与接收器设计,发送器,三、“版本三”,日本铁路标准列车安全控制系统的安全性技术指南(1996年3月财团法人:铁路综合技术研究所) 1、故障-安全定义为:安全控制系统在发生失效的情况下,使对象系统能够维持在安全状态或转移至安全状态的特性。,2、对日本1996年指南的几点体会,1)日本专业人士本着有助于提高列车安全控制系统的安全性及为在此领域的国际舞台上,使日本的安全技术得到客观评价的思路,既回避了将微电子技术详细
17、写入指南的内部分歧,又将其国内积累的技术和经验反映在指南的解说中。 2)日本将其微电子安全技术的大部叙述纳入解说仅作为“提出的检查标准”而不像欧标意图在于“以法律的方式加以限制”。 3)日本认为对指南存在的问题及改进,望今后加以修正和充实。 总之,日本对构成指南的作法是客观积极,对细节留有余地。这并不影响我们对其指南的认识和参考。,3“传统”与“微电子”“故障-安全”技术的对比,日本在解说中对传统的以继电器、分立元器件电子电路(下简称“传统”)为主体以及以微电子技术为主体的两种故障-安全技术和基本要点做对比: 1)对以“传统”为主体的分析为安全设计采用了多种技术手法,如:(1)能量不对称法:臂
18、板信号机故障,依重力使臂板置于禁止状态轨道电路故障,使轨道继电器失磁。(2)闭环电路法:轨道电路信号源与接收器分别置于钢轨线路两端,接收器以接收到规定信号量表述钢轨线路空闲,当钢轨线路断路故障,闭环被断开,或列车轮对分路,闭环信号被分流。,(3)串联检查同一信号的双 信号灯泡串联联法,其中一灯泡断丝时,另一灯泡同时灭灯(双黄及绿黄显示)。四端头电容检查了双引线各自的完整,有时也检查电容极板的完整(即串联)。变压器耦合,从功能上实现了交流信号的连接。,(4)安全侧定义的分配对于安全型继电器以无电失磁状态定义为安全侧的保护状态,如:GJ:轨道继电器失磁,表示该轨道电路已处于被列车占用的安全保护状态
19、;DBJ :道岔定位表示继电器失磁,表示该道岔定位方向线路未构成,道岔处于不能建立该方向进路的安全保护状态;XJ :信号继电器失磁,表示其防护进路并未建立,处于禁止驶入的安全保护状态;SJ :进路(或区段)锁闭继电器失磁,表示该进路(或区段)已处于锁闭的安全保护状态;ZCJ :进路照查继电器失磁,表示本进路已建立,已处于排除建立敌对进路的安全保护状态。,列车轮对计轴法:检查列车驶入和列车驶出区段分别记录的列车轮轴数量一致,以反映列车的占用与出清。超速控制经安全电路判断列车实际速度高于规定即时运行速度时,实行对列车的制动控制(实际上有入口控制、出口控制和即时控制三种)。法国TVM300带速度监督
20、的机车信号设备采用对列车实际速度中规定的运行上限(顶棚)和出口下限(撞墙)速度,用故障-安全电路进行比较,当实际运行速度超速时,超速继电器CV失磁,构成列车最大常用制动。ATS(列车点式电动停车)当列车经过检查点的运行速度超过点式速度控制的规定时,构成列车自动停车。,(5)失效发生时,将现状维持于安全侧的方法电锁器故障,控制线圈断电,使止档块落入转辙握柄的沟槽,避免握柄动作。励磁保持继电器转辙机确认工作到极处(定、反位)依靠机械结构动作杆实现4mm锁闭。,(6)联锁手法采用定反位的表示机构;定反位相互检核,即定位励磁继电器,反位要在失磁状态;采用极性控制(道岔启动电路) (7)禁止使用危险因素
21、不使用反光镜式的显示器长距离传输电源要与控制对象分置于两端禁止使用安全型继电器下接点解锁。,2)对“微电子”为主体的分析在传统技术的基础上加之新的技术手法(1)“微电子”与“传统技术”最大的不同之处是器件本身不具备非对称错误的特性。但是硬件和软件可以进行冗余设计;软件的高智能和高速处理能力可以附加高频度的系统诊断和自动检出错误功能。这样可以实现在发生故障时能够维持或转向系统安全侧,取得高安全度的微机安全控制系统。而且该系统具备将控制状态锁定在安全侧。,(2)微机化系统须特别注意以下事项:利用智能化进行错误诊断及异常处理,应谋求逻辑的简化,以避免复杂化造成预料不到的危险后果。对故障的考虑方法:微
22、电子部件的故障模式不能特定,且不具备非对称错误特性。实现故障-安全基本思路是采用硬件及软件的冗余设计与错误诊断技术结合的系统设计方法。对环境的考虑:针对微电器件功耗小,灵敏度高,比继电器更容易受到周围环境及干扰的影响,有必要参考MEC技术,并采取适当的对策(我们的弱项,差距大)。对故障-安全试验的考虑方法:对硬件软件两方面进行,必须采用与传统继电器电路试验方法不同的工具方法,求得有效与可靠,并以系统安全性工程学的方法进行组织。,对于软件的单元测试,应进行适应于安全性完善度等级的测试,测试内容应在软件模块设计说明书中记录下来,并记录测试结果。,四、版本四,中国铁道部行业标准TB/T 2615-9
23、4 铁路信号故障-安全原则1995.7.1实施 1、“故障-安全”定义为:故障以后导向安全。,2、对该标准的讨论,1)对故障定义过于简化,缺少参考价值。 2)其构成内容多来自UIC规程738-1-1980规程铁路信号技术中采用电子元器件时应遵循的主要安全条件中第4节“铁路信号设备安全性评定”和第5节“信号设备中采用电子元件的安全原则”引用内容过早,许多关键技术(如集成电路微电子线路应用)尚处初期。作为我国铁路信号安全技术的完整性、权威性业已过时,不具备现实性。建议不再作为“经书”。,五、对“故障-安全”定义诸版本的评价,1、必懂“故障-安全”原则的定义:“故障-安全”定义涉及到安全技术标准的核
24、心。在此定义基础上衍生了诸多铁路信号安全技术标准。我国相关标准在国际上已处于被动受控状态。 2、“版本二”是我们的重点,应给予足够重视要十分重视欧标的理解及借鉴,深悟EN50126,128,129,159。国际电工委员会IEC/TC9专业委员会是铁路信号及控制系统相关技术国际标准归口、组织、审议和颁布的专业委员会。TC9具有表决权的26个国家票中,欧洲国家占20票,是技术先进的真实代表。其他6票中,我国与埃及仅为国际两个发展中国家的形象代表,对标准制定属称臣地位,无撼动力可言。WTO有关关税及贸易总协定生效后,IEC专业委员会制定的标准对WTO全体成员具有约束力,以“标准”进行的竞争才具有“公平性”,只能这样认为:这种“游戏规则”保证了向发达国家国际战略性利益的倾斜。,国际市场上我们只能是在遵守基础上进行超越,安全技术没有“国际先进”不行,只有“国际领先”才行。否则走向世界是幻想,现在就必须明白。 3、版本三极具借鉴性其定义及设计思想与我国国情极为相似。但它对设计方 法做了全面而透彻的叙述。我们可在此基础上认真总结,提出我们全面安全电路的设计方法。 4、版本四,版本陈旧,技术含量低,我国“故障-安全”理念有本土实用性,与国际上有差距。我们对微电子安全设计技术基本处于缺失状态,缺少总结,与国际差距甚大,需及早总结,这里对从事轨道电路研发的技术人员存在甚大的做贡献、出人才的空间。,
