故障-安全(第一講)(趙自信)

1、第一講 鐵路信號(hào)故障-安全原則定義的幾個(gè)版本一、版本“一”歷年來，我院軌道電路、機(jī)車信號(hào)研發(fā)中執(zhí)行的“故障-安全”原則。1.定義：1）為保證系統(tǒng)的安全性，在規(guī)定的時(shí)間，規(guī)定的環(huán)境（含溫度、濕度、氣壓、振動(dòng)、電源電壓波動(dòng)、電磁兼容條件、電氣化干擾、制式內(nèi)規(guī)定的信號(hào)量干擾）條件下，系統(tǒng)設(shè)備無故障時(shí)要穩(wěn)定可靠工作，不得出現(xiàn)升級(jí)。2）在元器件及部件（印制板、金屬加工固定件等）在規(guī)定的故障模式條件下，發(fā)生故障，設(shè)備應(yīng)盡量動(dòng)態(tài)保持其應(yīng)有的即時(shí)工作或控制狀態(tài)，不出現(xiàn)升級(jí)（可降級(jí)）。3）當(dāng)故障得不到檢查，則積累已發(fā)生的故障，直至出現(xiàn)“紅燈”為止。4）合理的考慮出現(xiàn)“紅燈”后的“復(fù)活”狀態(tài)。2、對(duì)“版本一”原則

2、中關(guān)鍵語(yǔ)句的說明1）安全性：指在規(guī)定的時(shí)間期間、使用條件、環(huán)境條件下，系統(tǒng)不陷入危險(xiǎn)狀態(tài)的性能。摘引自 日本鐵路標(biāo)準(zhǔn)（1996.3） 安全性：避免危害的不可接受的風(fēng)險(xiǎn)。摘引自EN50126 1.0 version （此語(yǔ)言難理解）2）“升級(jí)” (1)故障后，設(shè)備的五個(gè)狀態(tài) 設(shè)備故障后，其控制結(jié)果無外乎形成以下五個(gè)狀態(tài)：“動(dòng)態(tài)保持應(yīng)有狀態(tài)側(cè)”仍可完成規(guī)定的功能?！皠?dòng)態(tài)維持于降級(jí)狀態(tài)側(cè)”“安全側(cè)”設(shè)備不能完成規(guī)定功能，設(shè)備處于安全保護(hù)狀態(tài)“危險(xiǎn)側(cè)”，設(shè)備不能正確完成規(guī)定功能，且構(gòu)成較為禁止的危險(xiǎn)控制狀態(tài)（含短時(shí)間構(gòu)成）“未知側(cè)”特別對(duì)于信息源而言，設(shè)備不能形成規(guī)定技術(shù)條件要求范圍內(nèi)的信息源，而隨機(jī)

3、構(gòu)成其他信息，該信息對(duì)系統(tǒng)造成的問題是未知的。以上設(shè)備故障后，其控制結(jié)果形成的“危險(xiǎn)側(cè)”和“未知側(cè)”狀態(tài)均定義為“升級(jí)”。(2)故障“升級(jí)”舉例為：接收器：在故障后，若接收信號(hào)判別門限降低（或稱接收靈敏度提高），將可能造成將軌道電路“列車占用”錯(cuò)誤判別為“列車出清”，顯見設(shè)備故障造成控制狀態(tài)為“危險(xiǎn)側(cè)”。發(fā)送器：在故障后，信號(hào)源形成的控制命令的技術(shù)指標(biāo)超出要求范圍，其后果為構(gòu)成的信息具有人們意想不到的各種狀態(tài)，其中有導(dǎo)向“安全側(cè)”，有導(dǎo)向“危險(xiǎn)側(cè)”的各種可能，對(duì)這種“不可知”狀態(tài)的“未知側(cè)”故障，從安全控制上考慮，必須視為“升級(jí)”。3）“元器件及部件”人們約定俗成的把電子元器件中電阻、電感、電

4、容及開關(guān)、接插件、熔絲、繼電器統(tǒng)稱為元件，將具有P-N結(jié)的二極管、穩(wěn)壓管、三極管、壓敏電阻、集成電路、CPU等統(tǒng)稱為器件。應(yīng)客觀指出，在設(shè)備和系統(tǒng)構(gòu)成中存在大量其他“部件”環(huán)節(jié)，諸如：印刷線路板、金工零部件、電線、傳輸電纜、鋼軌線路。這些環(huán)節(jié)的故障亦可造成設(shè)備及系統(tǒng)的“升級(jí)”。如:印刷線路板：板條的斷線、混線和接地。金工零部件：斷裂、緊固件損壞、金工件喪失接地要求或故障構(gòu)成接地。電線、電纜：斷線、混線、接地不正常運(yùn)用。鋼軌線路：斷軌、分路不良、絕緣破損以上設(shè)備和系統(tǒng)構(gòu)成中，除電子元器件以以上設(shè)備和系統(tǒng)構(gòu)成中，除電子元器件以外的其余部分均理解為外的其余部分均理解為“組成設(shè)備的部件組成設(shè)備的部件”

5、范圍。范圍。4）“規(guī)定的故障模式” (1)“規(guī)定的故障模式”含：常規(guī)規(guī)定和研發(fā)企業(yè)所承諾的“故障模式”。該企業(yè)承諾的模式需做詳細(xì)的詮釋， 其中包括： a.措施內(nèi)容 b.措施存在的條件 c.對(duì)措施試驗(yàn)檢驗(yàn)的過程及證明數(shù)據(jù)、依據(jù) d.獲得承認(rèn)的范圍 (2)凡未列入“規(guī)定”屬遺漏部分出現(xiàn)的安全問題，研發(fā)單位要承擔(dān)責(zé)任，如熔絲斷絲。 (3)對(duì)特定故障模式的舉例： 金屬膜電阻不考慮阻值連續(xù)減值及擊穿。 線繞電阻考慮斷線但不考慮連續(xù)增值。 電解電容不考慮誤差范圍外的增值 薄膜電容不考慮誤差范圍外電容值的增值。 鐵氧體電感不考慮誤差范圍外的電感增值，遇非線性電感應(yīng)作出必要的使用說明。 (4)對(duì)企業(yè)工藝加強(qiáng)措

6、施保證的特許故障模式的舉例： 金屬膜四端頭電阻的結(jié)構(gòu)設(shè)計(jì)，在使用條件下不考慮電阻橫向斷裂（R或）。 多組大功率電阻并聯(lián)連接成的四端頭電阻設(shè)計(jì)。 各種四端頭電容的結(jié)構(gòu)設(shè)計(jì)，含： CL-0.47 F 四端頭電容，用于鑒頻 CZJD-102030F四端頭電容，用于低頻選頻 CA- 四端頭電容，用于安全與門 CB14 2000P 四端頭電容，用于有源濾波 CBB 四端頭電容，用于電纜模擬網(wǎng)絡(luò) CD-1 2200F四端頭電容，用于電源濾波 兩組二端頭CA鉭電容并聯(lián)運(yùn)用替代四端頭鉭電容，用于安全與門 采用鍍錫鋼帶捆綁并焊接固定C型鐵，高強(qiáng)度漆皮線（QZ），真空浸漆等工藝構(gòu)成不考慮電感量下降的電感線圈。 采

7、用軟環(huán)氧或硅膠灌封鐵氧體線圈的工藝加強(qiáng)措施，不考慮電感值下降。 設(shè)備測(cè)試中需對(duì)電感電阻支路模值及角度進(jìn)行測(cè)試。 CBB四端頭電容直流運(yùn)用條件下，元件廠家對(duì)電容容值在規(guī)定年限內(nèi)作出不減值的書面承諾。5）“應(yīng)有的即時(shí)工作或控制狀態(tài)”其中“即時(shí)”系強(qiáng)調(diào)動(dòng)態(tài)反應(yīng)?！肮ぷ骰蚩刂茽顟B(tài)”，應(yīng)根據(jù)設(shè)備的受控指令變化而實(shí)時(shí)變化（或稱刷新）。設(shè)備在故障時(shí)，嚴(yán)格禁止使其原有較為允許的工作或控制狀態(tài)得以固定和保留（應(yīng)有適度延時(shí)除外）。6）“故障得不到檢查”(1)定義：“檢查”系指故障的結(jié)果能夠使系統(tǒng)或設(shè)備形成安全的保護(hù)狀態(tài)，如： 發(fā)送器的“發(fā)送報(bào)警繼電器”（FBJ）失磁； 接收器的“軌道繼電器”（GJ）失磁； 信號(hào)機(jī)

8、顯示處于“紅燈”或“滅燈”狀態(tài)； 機(jī)車處于受控“制動(dòng)狀態(tài)”。 以上會(huì)引起機(jī)車駕駛?cè)藛T、車站值班及維修人員的發(fā)現(xiàn)，使對(duì)列車運(yùn)行控制處于安全的保護(hù)狀態(tài)。(2)說明： 應(yīng)特別強(qiáng)調(diào)該“檢查”應(yīng)不單純以設(shè)備“故障報(bào)警”指示為準(zhǔn)。因?yàn)楣收蠄?bào)警電路設(shè)計(jì)原則上按非“故障-安全”電路設(shè)計(jì)。 設(shè)備故障由車站車務(wù)值班員、電務(wù)維修人員、機(jī)車駕駛?cè)藛T發(fā)現(xiàn)。 故障檢測(cè)是使故障得到檢查的一個(gè)組成部分，可用于參考制定維修恢復(fù)周期。但決不可把它理解為“故障得到檢查”。(3)結(jié)論： “故障得到檢查”是通過設(shè)備形成的安全保護(hù)狀態(tài)來實(shí)現(xiàn)的。7）“積累已發(fā)生的故障”當(dāng)某No.1故障的結(jié)果不能使系統(tǒng)或設(shè)備形成安全保護(hù)狀態(tài)即“紅燈”，應(yīng)保

9、留此故障，再考慮其他No.2故障，仍不能使系統(tǒng)或設(shè)備形成安全保護(hù)狀態(tài)，仍應(yīng)保留此故障。按此原則持續(xù)No.3直至No.n，使系統(tǒng)或設(shè)備形成安全保護(hù)狀態(tài)為止。從保留No.1No.(n-1)故障過程，即為“積累已發(fā)生的故障”。我們應(yīng)該看到，考慮到從故障No.1始至“紅燈”止的路徑可能有多條，從此也可聯(lián)想到，系統(tǒng)和設(shè)備的故障試驗(yàn)是一件工作量巨大的工作。8）“紅燈”為止此處“紅燈”系指系統(tǒng)或設(shè)備形成“安全保護(hù)狀態(tài)”。安全保護(hù)狀態(tài)可理解成：執(zhí)行電路繼電器失磁、進(jìn)路鎖閉、信號(hào)機(jī)紅燈、機(jī)車制動(dòng)繼電器失磁形成制動(dòng)等。9）“紅燈”后的“復(fù)活”指故障后系統(tǒng)或設(shè)備穩(wěn)定處于安全保護(hù)狀態(tài)，不再出現(xiàn)瞬間的工作狀態(tài)。如：執(zhí)行

10、繼電器固定失磁，不產(chǎn)生跳動(dòng)；信號(hào)機(jī)固定在“紅燈”或“滅燈”。不出現(xiàn)其他較禁止燈光跳動(dòng)顯示。當(dāng)然，“紅燈”后出現(xiàn)的瞬間升級(jí)工作，可危及被控制對(duì)象安全的狀態(tài)故障升級(jí)，該種性質(zhì)的“復(fù)活”是不允許的。二、“版本二”鐵路應(yīng)用-可靠性、有效性、可維護(hù)性和安全性（RAMS）的規(guī)范和說明（國(guó)際電工委員會(huì)EN50126 1.0 version）1. 該版本中，對(duì)“故障-安全”概念的表述包含三層涵義： 1）“故障-安全”概念是鐵路行業(yè)早期已經(jīng)使用的固有概念。它是根據(jù)一套假設(shè)的概念，該概念建立在：沿用已久的元器件故障失效模式，在元器件故障后，系統(tǒng)仍能保證安全，不允許出現(xiàn)危險(xiǎn)升級(jí)（非原文直譯但愿意準(zhǔn)確）。 2）通?！?/p>

11、故障-安全”的有效性是建立在經(jīng)驗(yàn)基礎(chǔ)上。 3）微電子技術(shù)（指單片機(jī)、計(jì)算機(jī)）中大量復(fù)雜的集成芯片的運(yùn)用，沖破了采用分立元件故障模式的“故障-安全”分析方法。突出了“概率”理論的應(yīng)用和實(shí)踐的有效性，即對(duì)于復(fù)雜微電子器件構(gòu)成這樣的復(fù)雜系統(tǒng)可以有效的運(yùn)用概率方法。2、對(duì)“版本二”概念的幾點(diǎn)體會(huì)1）EN50126標(biāo)準(zhǔn)對(duì)安全性采用的風(fēng)險(xiǎn)管理方法與鐵道工程師沿用已久的故障-安全概念一致。這就明確了故障-安全概念是安全性風(fēng)險(xiǎn)管理方法的根本。2）EN50126對(duì)“故障-安全”概念的敘述肯定了依據(jù)假設(shè)且沿用已久的具有固定故障-安全概念的有效性，并標(biāo)明安全監(jiān)理在保障？基礎(chǔ)上。 這對(duì)鐵路信號(hào)系統(tǒng)及器材早期機(jī)械、繼電

12、甚至分立元器件發(fā)展階段的特點(diǎn)相吻合。3）EN50126針對(duì)由商業(yè)微處理器及大型復(fù)雜系統(tǒng)的開發(fā)，突出表達(dá)了歷史上已形成的一些固有 “故障-安全”分析方法已經(jīng)過時(shí)，從而要有效的運(yùn)用“概率方法”亦是十分正確的。 集成電路的出現(xiàn)，甚至從由分立元器件構(gòu)成早期組合件開始，實(shí)際上除掉元器件本身的故障模式外，還應(yīng)考慮各元器件間因其新結(jié)構(gòu)形成的新的故障模式，諸如：漏電、擊穿、混線、分體電容影響4）分立電子元器件實(shí)現(xiàn)“故障-安全”設(shè)計(jì)有較大的技術(shù)難度。采用分立元器件構(gòu)成鐵路信號(hào)的“故障-安全”電路已是十分困難，嚴(yán)格說單元電路故障-安全問題解決了，設(shè)備中各單元電路連接后，新的“故障-安全”問題又出現(xiàn)了，系統(tǒng)中各設(shè)備

13、連接后，更新的“故障-安全”問題又出現(xiàn)了， 應(yīng)客觀指出，采用分立元器件構(gòu)成安全電路，除了少數(shù)經(jīng)典電路環(huán)節(jié)外，在安全性上實(shí)難無漏洞，使從事該工作的技術(shù)人員日益信心降低，甚至懼怕從事該項(xiàng)工作。如：對(duì)于接收器的執(zhí)行開關(guān)電路往往是一個(gè)驅(qū)動(dòng)直流安全型繼電器的電子開關(guān)，它采用變壓器隔離直流，取得動(dòng)態(tài)的開關(guān)信號(hào)?？紤]到各元器件的故障模式保證開關(guān)靈敏度不升高是困難的。考慮到接入設(shè)備中，前級(jí)設(shè)備故障后的信號(hào)做到有效防護(hù)也屬困難。接入系統(tǒng)電源設(shè)備故障產(chǎn)生的電壓變化，紋波頻率、幅度的變化，DC/DC變換器引發(fā)的特殊問題完全做到有效防護(hù)也是困難的。這些都被多年的設(shè)備研發(fā)實(shí)踐所證實(shí)。5）在集成電路中不再考慮原分立器件的

14、故障模式，在同一個(gè)組件內(nèi)，一方面要考慮原有單一分立元器件芯片的多種故障模式與組合件各芯片元器件芯片多種故障模式同時(shí)出現(xiàn)的可能性，還要考慮它的相互間同時(shí)出現(xiàn)新的故障模式的可能性。這樣故障的組合數(shù)量極大增長(zhǎng)，造成故障試驗(yàn)的極大復(fù)雜性。實(shí)際上，這種故障試驗(yàn)是無法進(jìn)行的。人們公認(rèn)，對(duì)于分立元器件構(gòu)成的組合件已無法進(jìn)行其“故障-安全”試驗(yàn)，也無法確定其安全性。歷史上，采用組件構(gòu)成的單系統(tǒng)電路往往是用元器件的高可靠運(yùn)用或其故障后特性變化尚未構(gòu)成升級(jí)的高概率掩蓋了系統(tǒng)的非安全性。這樣的系統(tǒng)的運(yùn)用嚴(yán)格說是十分危險(xiǎn)的。隨著構(gòu)成電路元器件結(jié)構(gòu)復(fù)雜性的升級(jí)，不斷總結(jié)經(jīng)驗(yàn)和教訓(xùn)，人們對(duì)構(gòu)成電路安全性的認(rèn)知亦在不斷提高

15、。6）采用高可靠元器件及概率設(shè)計(jì)方法形成了高安全電子設(shè)備的新階段。上世紀(jì)80年代初期法國(guó)采用了CSEE公司在構(gòu)成EMS發(fā)送器中，由兩套單獨(dú)震蕩源分別控制的信號(hào)源發(fā)生器（CO）及供比較檢測(cè)的校核源發(fā)生器（AX），該大規(guī)模CMOS集成電路由軍工企業(yè)研發(fā)制造以保證其可靠性。其原理框圖為：該設(shè)計(jì)特點(diǎn)為： 承認(rèn)CMOS大規(guī)模集成電路故障模式復(fù)雜性，不再?gòu)?qiáng)調(diào)單一芯片故障模式的試驗(yàn)。 考慮產(chǎn)品的高可靠以減少故障概率。 考慮到故障后可能導(dǎo)致升級(jí)的可能性，用兩個(gè)互異的芯片的輸出條件進(jìn)行相互校核，判別形成信號(hào)的正確與否及精準(zhǔn)性。 用具有故障安全的“安全與門”控制信號(hào)軌出。以上信號(hào)產(chǎn)品早期采用大規(guī)模集成電路有效運(yùn)用

16、概率的方法實(shí)現(xiàn)故障安全的典型。在集成邏輯器件采用“取2”方式進(jìn)行安全設(shè)計(jì)邁出的“一小步”，為后來采用雙CPU“取2”方式安全設(shè)計(jì)邁出的“一大步”。7）微電子電路設(shè)備的故障-安全設(shè)計(jì) 18信息載頻發(fā)送器與接收器設(shè)計(jì)發(fā)送器三、“版本三”日本鐵路標(biāo)準(zhǔn)列車安全控制系統(tǒng)的安全性技術(shù)指南（1996年3月財(cái)團(tuán)法人：鐵路綜合技術(shù)研究所）1、故障-安全定義為： 安全控制系統(tǒng)在發(fā)生失效的情況下，使對(duì)象系統(tǒng)能夠維持在安全狀態(tài)或轉(zhuǎn)移至安全狀態(tài)的特性。2、對(duì)日本1996年指南的幾點(diǎn)體會(huì)1）日本專業(yè)人士本著有助于提高列車安全控制系統(tǒng)的安全性及為在此領(lǐng)域的國(guó)際舞臺(tái)上，使日本的安全技術(shù)得到客觀評(píng)價(jià)的思路，既回避了將微電子技術(shù)

17、詳細(xì)寫入指南的內(nèi)部分歧，又將其國(guó)內(nèi)積累的技術(shù)和經(jīng)驗(yàn)反映在指南的解說中。2）日本將其微電子安全技術(shù)的大部敘述納入解說僅作為“提出的檢查標(biāo)準(zhǔn)”而不像歐標(biāo)意圖在于“以法律的方式加以限制”。3）日本認(rèn)為對(duì)指南存在的問題及改進(jìn)，望今后加以修正和充實(shí)?？傊毡緦?duì)構(gòu)成指南的作法是客觀積極，對(duì)細(xì)節(jié)留有余地。這并不影響我們對(duì)其指南的認(rèn)識(shí)和參考。3“傳統(tǒng)”與“微電子”“故障-安全”技術(shù)的對(duì)比日本在解說中對(duì)傳統(tǒng)的以繼電器、分立元器件電子電路（下簡(jiǎn)稱“傳統(tǒng)”）為主體以及以微電子技術(shù)為主體的兩種故障-安全技術(shù)和基本要點(diǎn)做對(duì)比：1）對(duì)以“傳統(tǒng)”為主體的分析為安全設(shè)計(jì)采用了多種技術(shù)手法，如： （1）能量不對(duì)稱法： 臂板信

18、號(hào)機(jī)故障，依重力使臂板置于禁止?fàn)顟B(tài) 軌道電路故障，使軌道繼電器失磁。 （2）閉環(huán)電路法： 軌道電路信號(hào)源與接收器分別置于鋼軌線路兩端，接收器以接收到規(guī)定信號(hào)量表述鋼軌線路空閑，當(dāng)鋼軌線路斷路故障，閉環(huán)被斷開，或列車輪對(duì)分路，閉環(huán)信號(hào)被分流。（3）串聯(lián)檢查 同一信號(hào)的雙 信號(hào)燈泡串聯(lián)聯(lián)法，其中一燈泡斷絲時(shí)，另一燈泡同時(shí)滅燈（雙黃及綠黃顯示）。 四端頭電容檢查了雙引線各自的完整，有時(shí)也檢查電容極板的完整（即串聯(lián)）。 變壓器耦合，從功能上實(shí)現(xiàn)了交流信號(hào)的連接。 （4）安全側(cè)定義的分配 對(duì)于安全型繼電器以無電失磁狀態(tài)定義為安全側(cè)的保護(hù)狀態(tài)，如： GJGJ：軌道繼電器失磁，表示該軌道電路已處于被列車占用

19、的安全保護(hù)狀態(tài)； DBJDBJ ：道岔定位表示繼電器失磁，表示該道岔定位方向線路未構(gòu)成，道岔處于不能建立該方向進(jìn)路的安全保護(hù)狀態(tài)； XJ XJ ：信號(hào)繼電器失磁，表示其防護(hù)進(jìn)路并未建立，處于禁止駛?cè)氲陌踩Ｗo(hù)狀態(tài)； SJ SJ ：進(jìn)路（或區(qū)段）鎖閉繼電器失磁，表示該進(jìn)路（或區(qū)段）已處于鎖閉的安全保護(hù)狀態(tài)； ZCJZCJ ：進(jìn)路照查繼電器失磁，表示本進(jìn)路已建立，已處于排除建立敵對(duì)進(jìn)路的安全保護(hù)狀態(tài)。 列車輪對(duì)計(jì)軸法： 檢查列車駛?cè)牒土熊囻偝鰠^(qū)段分別記錄的列車輪軸數(shù)量一致，以反映列車的占用與出清。 超速控制 經(jīng)安全電路判斷列車實(shí)際速度高于規(guī)定即時(shí)運(yùn)行速度時(shí)，實(shí)行對(duì)列車的制動(dòng)控制（實(shí)際上有入口控制、

20、出口控制和即時(shí)控制三種）。 法國(guó)TVM300帶速度監(jiān)督的機(jī)車信號(hào)設(shè)備采用對(duì)列車實(shí)際速度中規(guī)定的運(yùn)行上限（頂棚）和出口下限（撞墻）速度，用故障-安全電路進(jìn)行比較，當(dāng)實(shí)際運(yùn)行速度超速時(shí)，超速繼電器CV失磁，構(gòu)成列車最大常用制動(dòng)。 ATS（列車點(diǎn)式電動(dòng)停車） 當(dāng)列車經(jīng)過檢查點(diǎn)的運(yùn)行速度超過點(diǎn)式速度控制的規(guī)定時(shí)，構(gòu)成列車自動(dòng)停車。 （5）失效發(fā)生時(shí)，將現(xiàn)狀維持于安全側(cè)的方法 電鎖器故障，控制線圈斷電，使止檔塊落入轉(zhuǎn)轍握柄的溝槽，避免握柄動(dòng)作。 勵(lì)磁保持繼電器 轉(zhuǎn)轍機(jī)確認(rèn)工作到極處（定、反位）依靠機(jī)械結(jié)構(gòu)動(dòng)作桿實(shí)現(xiàn)4mm鎖閉。（6）聯(lián)鎖手法 采用定反位的表示機(jī)構(gòu)； 定反位相互檢核，即定位勵(lì)磁繼電器，反位

21、要在失磁狀態(tài)； 采用極性控制（道岔啟動(dòng)電路）（7）禁止使用危險(xiǎn)因素 不使用反光鏡式的顯示器 長(zhǎng)距離傳輸電源要與控制對(duì)象分置于兩端 禁止使用安全型繼電器下接點(diǎn)解鎖。2）對(duì)“微電子”為主體的分析 在傳統(tǒng)技術(shù)的基礎(chǔ)上加之新的技術(shù)手法 （1）“微電子”與“傳統(tǒng)技術(shù)”最大的不同之處是器件本身不具備非對(duì)稱錯(cuò)誤的特性。但是硬件和軟件可以進(jìn)行冗余設(shè)計(jì)；軟件的高智能和高速處理能力可以附加高頻度的系統(tǒng)診斷和自動(dòng)檢出錯(cuò)誤功能。這樣可以實(shí)現(xiàn)在發(fā)生故障時(shí)能夠維持或轉(zhuǎn)向系統(tǒng)安全側(cè)，取得高安全度的微機(jī)安全控制系統(tǒng)。而且該系統(tǒng)具備將控制狀態(tài)鎖定在安全側(cè)。 （2）微機(jī)化系統(tǒng)須特別注意以下事項(xiàng)： 利用智能化進(jìn)行錯(cuò)誤診斷及異常處理

22、，應(yīng)謀求邏輯的簡(jiǎn)化，以避免復(fù)雜化造成預(yù)料不到的危險(xiǎn)后果。 對(duì)故障的考慮方法：微電子部件的故障模式不能特定，且不具備非對(duì)稱錯(cuò)誤特性。實(shí)現(xiàn)故障-安全基本思路是采用硬件及軟件的冗余設(shè)計(jì)與錯(cuò)誤診斷技術(shù)結(jié)合的系統(tǒng)設(shè)計(jì)方法。 對(duì)環(huán)境的考慮：針對(duì)微電器件功耗小，靈敏度高，比繼電器更容易受到周圍環(huán)境及干擾的影響，有必要參考MEC技術(shù)，并采取適當(dāng)?shù)膶?duì)策（我們的弱項(xiàng)，差距大）。 對(duì)故障-安全試驗(yàn)的考慮方法：對(duì)硬件軟件兩方面進(jìn)行，必須采用與傳統(tǒng)繼電器電路試驗(yàn)方法不同的工具方法，求得有效與可靠，并以系統(tǒng)安全性工程學(xué)的方法進(jìn)行組織。對(duì)于軟件的單元測(cè)試，應(yīng)進(jìn)行適應(yīng)于安全性完善度等級(jí)的測(cè)試，測(cè)試內(nèi)容應(yīng)在軟件模塊設(shè)計(jì)說明書中記錄下來，并記錄測(cè)試結(jié)果。四、版本四中國(guó)鐵道部行業(yè)標(biāo)準(zhǔn)TB/T 2615-94鐵路信號(hào)故障-安全原則1995.7.1實(shí)施1、“故障-安全”定義為： 故障以后導(dǎo)向安全。2、對(duì)該標(biāo)準(zhǔn)的討論1）對(duì)故障定義過于簡(jiǎn)化，缺少參考價(jià)值。2）其構(gòu)成內(nèi)容多來自UIC規(guī)程738-1-1980規(guī)程鐵路信號(hào)技術(shù)中采用電子元器件時(shí)應(yīng)遵循的主要安全條件中第4節(jié)“鐵路信號(hào)設(shè)備安全性評(píng)定”和第