城轨车辆牵引系统安全功能的确定方法与设计策略研究

0引言

近年来,受益于现代通信、自动控制、计算机等技术快速发展,全自动驾驶系统在轨道交通行业的应用日趋稳定成熟O车辆作为轨道交通运行系统的重要载体,对车辆相关功能的安全性要求高于常规运行系统O根据铁路应用系列安全标准要求,车辆子系统的安全功能应达到相应的SIL等级;最新发布的DB32/T4320—2022《城市轨道交通全自动运行线路初期运营前安全评估技术规范》^[1]中同样明确规定了车辆子系统安全功能的SIL等级(表1)。

1 基本概念

1.1 风险矩阵

风险矩阵根据风险发生的频率和严重程度来评估风险等级。轨道交通主管部门按照风险可接受原则,明确不同等级的风险应采取的管理方式和措施,以降低风险等级,保证系统的安全性。表2为某全自动驾驶地铁线路技术规范中要求的风险概念和定义表,表3为风险矩阵表。

1.2 安全完整性等级

安全完整性等级是对系统所要求的安全完整性水平的一种定量指标。根据EN 50129标准^[2],SIL等级划分是以每小时每种功能的可容忍危害率(THR)衡量,如表4所示,分为4个等级,即SIL1~SIL4,其中 SIL等级越高,则系统安全功能失效的可能性就越小^[3]。若某一种风险的等级被评估为不容许或不能接受,在风险严重程度已知的情况下,需要采取使风险发生频率降低的措施实现降低风险等级的目的。提高系统安全功能的SIL等级是措施之一,从系统设计阶段开始,对安全功能的THR提出要求,采用技术手段对功能的THR进行控制,从而降低风险发生频率。由此可见,风险发生频率与THR相对应,可将风险等级降至可接受范围(容许或可忽略)对应的风险发生频率作为THR目标值,最终确定安全功能应达到的SIL等级。

2 安全功能与SIL等级的确定

根据EN 50126标准^[4]的安全管理要求,整个系统从设计到报废全生命周期各个阶段都需要进行可靠 性、可用性、可维护性和安全性(RAMS)管理活动。在系统开发设计阶段,车辆制造厂采用国际安全标准规定的方法进行危害识别、风险分析、风险评估、安全目标分配等安全性分析工作,以确定子系统的安全功能及相应的SIL等级。一般过程具体如下:

1)确定安全功能并分配安全目标。此过程需要在最初的开发阶段完成,通过诸如预先危害分析(PHA)等方法确定出对安全产生影响的子系统功能,参考类似铁路系统的运行经验或国际公布的标准数据指南,依据规范标准或合同技术要求,为子系统安全功能分配相应的安全目标。

2)分析研究系统及子系统的安全目标。根据规范标准或合同技术要求,结合系统设备或子系统的重要程度,通过相关方法进行分析研究,如通过FMEA (潜在失效模式及后果分析)或FMECA(故障模式、影响和危害性分析)方法研究设备故障在不同层次(部件层次到系统层次)的影响及故障可能性,区分可能导致的服务故障、非服务故障和安全故障,同时提供能减轻故障影响的建议。因设备改进导致的影响分析,则在该设备之前FMEA分析的基础上,重新识别故障模式的影响,确认并研究新故障模式,评估新故障发生的频率,从而评估子系统故障率。

3)证明达到了安全目标。此过程一般采用故障树分析(FTA)方法进行定量分析,以证明安全目标的可容忍危害率(THR)是符合要求的。对不符合项,将采取恰当的降低风险改进措施,并按照质量保证计划的指导进行管理。

牵引子系统是车辆系统的关键子系统,车辆制造厂凭借丰富的经验和专业知识,结合城轨全自动驾驶系统特点,采用预先危险性分析(PHA)方法,确定可能影响安全性的车辆功能,分析潜在危害的严重程度和频率,采取必要的降低风险的方法和措施。对于牵引系统的安全功能与SIL等级,分别由以下预先危险性分析确定:

1)在疏散时,车辆控制系统意外启动牵引力,造成车辆与轨道上的人员或动物发生碰撞事故,事故发生的频率和严重程度分别为很少和严重,对照表3,确定风险等级为不能接受。

2)在疏散时,车辆控制系统意外启动牵引力,造成人员在车厢内摔伤,事故发生的频率和严重程度分别为有时和次要,对照表3,确定风险等级为不能接受。

3)在车辆运行中,车门打开或未锁闭时,车辆控制系统意外启动牵引力,造成人员从车辆坠落轨道事故,事故发生的频率和严重程度分别为有时和特别严重,对照表3,确定风险等级为不容许。

4)在车辆运行中,运行方向控制错误或方向选择错误,致使车辆意外退行,造成车辆与车辆或车辆与工程车碰撞事故,事故发生的频率和严重程度分别为很少和特别严重,对照表3,确定风险等级为不能接受。

通过分析得出:1)、2)、3)三个风险均是由车辆控制系统意外启动牵引力造成,提出降低风险的措施之一为车辆控制系统意外启动牵引力时,牵引子系统应具有切除功能,以保证安全。而4)风险由车辆控制系统运行方向控制错误或方向选择错误造成,提出降低风险的措施之一为车辆控制系统运行方向控制错误或方向选择错误时,牵引子系统具有方向检测功能并能执行安全防护。根据上述4个风险对应的等级,对照表3,得知当牵引切除功能和运行方向检测功能导致事故发生的频率均为极少时,可将风险等级降至容许,对应的THR≤10^-7/h,对照表4,SIL 等级至少为2级。

综上,确定车辆牵引系统的安全功能分别为牵引切除功能和运行方向检测功能,分配的安全目标均为SIL2。

3 安全功能的设计策略

明确了牵引系统的安全功能和安全目标,设计人员将根据安全要求进行合理的系统设计、试验,并按规范流程完成第三方安全评估认证,下文将对安全功能的设计策略进行研究。

3.1 牵引切除功能

该地铁车辆牵引控制外部电路设有牵引脉冲使能列车线,在车辆低速或正常运行的情况下,牵引脉冲使能信号为高电平,允许牵引逆变器正常工作,采用故障导向安全的低电平方式抑制牵引逆变器,即当脉冲使能为低电平时,抑制牵引逆变器,使车辆无电气牵引力和电制动输出。基于牵引脉冲使能列车线的设计,牵引切除功能将通过在系统控制单元内部集成的具有SIL2等级的物理硬件DI3S板实现,为纯硬线输入和输出,硬线信号请求抑制牵引逆变器工作时,DI3S板将牵引脉冲使能信号置为低电平,以达到切除牵引的目的,DI3S板失效率满足安全要求。

3.2运行方向检测功能

车辆运行方向控制错误或方向选择错误会导致意外退行,造成碰撞、冲突等事故。对于此类风险,本项目分两种情况考虑:一是在信号系统正常的情况下,车辆由具有SIL4等级的车载信号防护系统(ATP)负责执行车辆紧急制动,安全完整性等级达到SIL4,高于安全要求;二是因信号系统故障隔离ATP(即非ATP防护状态)后,则需要车辆自身子系统检测运行方向错误并进行安全防护,且该功能的失效率须满足安全要求。基于此要求,牵引系统供应商通过开发具有SIL2安全等级的SP3S控制板件,配合外部电路设计,实现非ATP防护下运行方向错误后执行紧急制动的功能。

SP3S控制板是一个配置FPGA(现场可编程逻辑器件)的电子板件,内置控制程序,接口设有逻辑和模拟量输入端口、逻辑输出端口,用以与系统控制单元通信和采集相关信号进行逻辑判断并输出控制^[5]。牵引系统控制单元与SP3S控制板之间通过CAN网络连接进行信号交换、状态监控和故障监控。对于运行方向检测,SP3S控制板充分利用牵引系统既有配置的传感器信号及列车线信号进行逻辑判断。其能够采集向前/向后列车线信号、牵引电机速度传感器脉冲模拟信号、牵引电机相电流模拟信号等,并利用 FPGA程序进行计算处理,当判断为列车运行方向错误,且超出设定的延时或行驶距离时,立即激活SP3S控制板的SIL2输出。

为使SP3S控制板输出指令执行安全防护首选紧 急制动,设计人员采用外部电路设计将SP3S输出集成至车辆紧急制动控制回路中(图1)。在信号系统(ATC)正常情况下,由信号系统监控车辆的安全状态,如运行方向错误、退行等,一旦意外发生与信号系统安全设计相悖的行为,将控制车辆执行紧急制动。当信号系统故障而隔离ATP时,图1中相应的 ATPFR继电器激活,从而将紧急制动回路切换至由牵引系统控制单元(PCE)监控的回路中,利用SP3S控制板监控车辆的运行方向,当同一单元或不同单元非对称的两个牵引单元内的SP3S检测到运行方向错误,SP3S通过逻辑输出使RB&DP触点打开,从而断开紧急制动回路,施加紧急制动,以达到紧急停车防护的 目的。从图1中可以看出,该回路采用串联与并联相结合的设计, 目的是平衡整个车辆系统可用性与可靠性之间的关系。

针对运行方向检测功能,涉及FPGA软件开发和安全认证,根据EN 50129标准要求,须提供技术安全报告,报告内容包括设计原理、测试规范、安全性分析等证明文件。设计人员完成软件开发后,功能验证是一项重要工作,验证程序须重点突出安全功能的相关测试,且须覆盖所有安全功能测试,有针对性地设计和制定测试程序,严格按照测试程序开展测试活动,测试完成后提供符合要求的安全测试报告,确保所有测试都通过,最终形成系统的技术安全报告,以确保通过第三方安全认证。SP3S控制板软件设计开发完成后,现场按照精心设计的测试程序逐一进行验证测试,收集有效数据,并通过了第三方SIL2的安全认证,最终实现了牵引系统运行方向检测功能 SIL2安全目标。

4 设计思考

在实际运营过程中,车辆系统通常在信号系统控制下运行,特别是全自动驾驶系统,非信号系统防护(隔离ATP)的场景更是大幅减少,信号系统对安全相关的输入/输出均具有最高SIL4等级要求,实际已满足运营安全要求。对于本项目设计的牵引系统运行方向检测功能,则是补充了因信号故障隔离ATP 条件下应用场景的安全性保证。从控制原理可以看出,该功能只能局部应用,同时外部电路会增加车辆控制线缆数量和故障点。从设计角度出发,此设计考虑了车辆的可用性要求,规避了因牵引共性故障导致车辆施加紧急制动,造成其他运营影响。

5 结束语

随着轨道交通行业的快速发展,轨道交通安全愈加受到行业的关注,尤其是安全性要求更高的全自动驾驶系统。目前轨道交通安全相关系统功能是按照欧洲标准体系进行开发,通过独立的第三方安全认证来保证安全性,且已形成行业发展趋势,同时相关标准规范的发布,也将引导形成更多解决方案来保证系统稳定、安全、高效运行。

[参考文献]

[1]城市轨道交通全自动运行线路初期运营前安全评估技术规范:DB 32/T 4320—2022[S].

[2] Railway applications—communication,signalling and processing systems—safety related electronic systems for signalling:EN 50129:2018[S].

[3]徐阳,李俊红,刘金安,等.轨道车辆安全完整性等级SIL 的分析与研究[J].科技展望,2014(21):206-207.

[4] Railway Applications—The Specification and Demons—tration of Reliability,Availability,Maintainabi-lity and Safety(RAMS)-Part 1:Generic RAMS Process:EN 50126-1-1999[S].

[5]谭富民,刘莉娜,罗云飞.基于牵引控制单元功能安全模块设计[J].科技创新导报,2021,18(12):76-78.

2025年第1期第11篇