故障-安全(第一講)(趙自信)

1、第一講 鐵路信號故障-安全原則定義的幾個版本一、版本“一”歷年來，我院軌道電路、機車信號研發(fā)中執(zhí)行的“故障-安全”原則。1.定義：1）為保證系統(tǒng)的安全性，在規(guī)定的時間，規(guī)定的環(huán)境（含溫度、濕度、氣壓、振動、電源電壓波動、電磁兼容條件、電氣化干擾、制式內(nèi)規(guī)定的信號量干擾）條件下，系統(tǒng)設備無故障時要穩(wěn)定可靠工作，不得出現(xiàn)升級。2）在元器件及部件（印制板、金屬加工固定件等）在規(guī)定的故障模式條件下，發(fā)生故障，設備應盡量動態(tài)保持其應有的即時工作或控制狀態(tài)，不出現(xiàn)升級（可降級）。3）當故障得不到檢查，則積累已發(fā)生的故障，直至出現(xiàn)“紅燈”為止。4）合理的考慮出現(xiàn)“紅燈”后的“復活”狀態(tài)。2、對“版本一”原則

2、中關鍵語句的說明1）安全性：指在規(guī)定的時間期間、使用條件、環(huán)境條件下，系統(tǒng)不陷入危險狀態(tài)的性能。摘引自 日本鐵路標準（1996.3） 安全性：避免危害的不可接受的風險。摘引自EN50126 1.0 version （此語言難理解）2）“升級” (1)故障后，設備的五個狀態(tài) 設備故障后，其控制結(jié)果無外乎形成以下五個狀態(tài)：“動態(tài)保持應有狀態(tài)側(cè)”仍可完成規(guī)定的功能?！皠討B(tài)維持于降級狀態(tài)側(cè)”“安全側(cè)”設備不能完成規(guī)定功能，設備處于安全保護狀態(tài)“危險側(cè)”，設備不能正確完成規(guī)定功能，且構(gòu)成較為禁止的危險控制狀態(tài)（含短時間構(gòu)成）“未知側(cè)”特別對于信息源而言，設備不能形成規(guī)定技術條件要求范圍內(nèi)的信息源，而隨機

3、構(gòu)成其他信息，該信息對系統(tǒng)造成的問題是未知的。以上設備故障后，其控制結(jié)果形成的“危險側(cè)”和“未知側(cè)”狀態(tài)均定義為“升級”。(2)故障“升級”舉例為：接收器：在故障后，若接收信號判別門限降低（或稱接收靈敏度提高），將可能造成將軌道電路“列車占用”錯誤判別為“列車出清”，顯見設備故障造成控制狀態(tài)為“危險側(cè)”。發(fā)送器：在故障后，信號源形成的控制命令的技術指標超出要求范圍，其后果為構(gòu)成的信息具有人們意想不到的各種狀態(tài)，其中有導向“安全側(cè)”，有導向“危險側(cè)”的各種可能，對這種“不可知”狀態(tài)的“未知側(cè)”故障，從安全控制上考慮，必須視為“升級”。3）“元器件及部件”人們約定俗成的把電子元器件中電阻、電感、電

4、容及開關、接插件、熔絲、繼電器統(tǒng)稱為元件，將具有P-N結(jié)的二極管、穩(wěn)壓管、三極管、壓敏電阻、集成電路、CPU等統(tǒng)稱為器件。應客觀指出，在設備和系統(tǒng)構(gòu)成中存在大量其他“部件”環(huán)節(jié)，諸如：印刷線路板、金工零部件、電線、傳輸電纜、鋼軌線路。這些環(huán)節(jié)的故障亦可造成設備及系統(tǒng)的“升級”。如:印刷線路板：板條的斷線、混線和接地。金工零部件：斷裂、緊固件損壞、金工件喪失接地要求或故障構(gòu)成接地。電線、電纜：斷線、混線、接地不正常運用。鋼軌線路：斷軌、分路不良、絕緣破損以上設備和系統(tǒng)構(gòu)成中，除電子元器件以以上設備和系統(tǒng)構(gòu)成中，除電子元器件以外的其余部分均理解為外的其余部分均理解為“組成設備的部件組成設備的部件”

5、范圍。范圍。4）“規(guī)定的故障模式” (1)“規(guī)定的故障模式”含：常規(guī)規(guī)定和研發(fā)企業(yè)所承諾的“故障模式”。該企業(yè)承諾的模式需做詳細的詮釋， 其中包括： a.措施內(nèi)容 b.措施存在的條件 c.對措施試驗檢驗的過程及證明數(shù)據(jù)、依據(jù) d.獲得承認的范圍 (2)凡未列入“規(guī)定”屬遺漏部分出現(xiàn)的安全問題，研發(fā)單位要承擔責任，如熔絲斷絲。 (3)對特定故障模式的舉例： 金屬膜電阻不考慮阻值連續(xù)減值及擊穿。 線繞電阻考慮斷線但不考慮連續(xù)增值。 電解電容不考慮誤差范圍外的增值 薄膜電容不考慮誤差范圍外電容值的增值。 鐵氧體電感不考慮誤差范圍外的電感增值，遇非線性電感應作出必要的使用說明。 (4)對企業(yè)工藝加強措

6、施保證的特許故障模式的舉例： 金屬膜四端頭電阻的結(jié)構(gòu)設計，在使用條件下不考慮電阻橫向斷裂（R或）。 多組大功率電阻并聯(lián)連接成的四端頭電阻設計。 各種四端頭電容的結(jié)構(gòu)設計，含： CL-0.47 F 四端頭電容，用于鑒頻 CZJD-102030F四端頭電容，用于低頻選頻 CA- 四端頭電容，用于安全與門 CB14 2000P 四端頭電容，用于有源濾波 CBB 四端頭電容，用于電纜模擬網(wǎng)絡 CD-1 2200F四端頭電容，用于電源濾波 兩組二端頭CA鉭電容并聯(lián)運用替代四端頭鉭電容，用于安全與門 采用鍍錫鋼帶捆綁并焊接固定C型鐵，高強度漆皮線（QZ），真空浸漆等工藝構(gòu)成不考慮電感量下降的電感線圈。 采

7、用軟環(huán)氧或硅膠灌封鐵氧體線圈的工藝加強措施，不考慮電感值下降。 設備測試中需對電感電阻支路模值及角度進行測試。 CBB四端頭電容直流運用條件下，元件廠家對電容容值在規(guī)定年限內(nèi)作出不減值的書面承諾。5）“應有的即時工作或控制狀態(tài)”其中“即時”系強調(diào)動態(tài)反應?！肮ぷ骰蚩刂茽顟B(tài)”，應根據(jù)設備的受控指令變化而實時變化（或稱刷新）。設備在故障時，嚴格禁止使其原有較為允許的工作或控制狀態(tài)得以固定和保留（應有適度延時除外）。6）“故障得不到檢查”(1)定義：“檢查”系指故障的結(jié)果能夠使系統(tǒng)或設備形成安全的保護狀態(tài)，如： 發(fā)送器的“發(fā)送報警繼電器”（FBJ）失磁； 接收器的“軌道繼電器”（GJ）失磁； 信號機

8、顯示處于“紅燈”或“滅燈”狀態(tài)； 機車處于受控“制動狀態(tài)”。 以上會引起機車駕駛?cè)藛T、車站值班及維修人員的發(fā)現(xiàn)，使對列車運行控制處于安全的保護狀態(tài)。(2)說明： 應特別強調(diào)該“檢查”應不單純以設備“故障報警”指示為準。因為故障報警電路設計原則上按非“故障-安全”電路設計。 設備故障由車站車務值班員、電務維修人員、機車駕駛?cè)藛T發(fā)現(xiàn)。 故障檢測是使故障得到檢查的一個組成部分，可用于參考制定維修恢復周期。但決不可把它理解為“故障得到檢查”。(3)結(jié)論： “故障得到檢查”是通過設備形成的安全保護狀態(tài)來實現(xiàn)的。7）“積累已發(fā)生的故障”當某No.1故障的結(jié)果不能使系統(tǒng)或設備形成安全保護狀態(tài)即“紅燈”，應保

9、留此故障，再考慮其他No.2故障，仍不能使系統(tǒng)或設備形成安全保護狀態(tài)，仍應保留此故障。按此原則持續(xù)No.3直至No.n，使系統(tǒng)或設備形成安全保護狀態(tài)為止。從保留No.1No.(n-1)故障過程，即為“積累已發(fā)生的故障”。我們應該看到，考慮到從故障No.1始至“紅燈”止的路徑可能有多條，從此也可聯(lián)想到，系統(tǒng)和設備的故障試驗是一件工作量巨大的工作。8）“紅燈”為止此處“紅燈”系指系統(tǒng)或設備形成“安全保護狀態(tài)”。安全保護狀態(tài)可理解成：執(zhí)行電路繼電器失磁、進路鎖閉、信號機紅燈、機車制動繼電器失磁形成制動等。9）“紅燈”后的“復活”指故障后系統(tǒng)或設備穩(wěn)定處于安全保護狀態(tài)，不再出現(xiàn)瞬間的工作狀態(tài)。如：執(zhí)行

10、繼電器固定失磁，不產(chǎn)生跳動；信號機固定在“紅燈”或“滅燈”。不出現(xiàn)其他較禁止燈光跳動顯示。當然，“紅燈”后出現(xiàn)的瞬間升級工作，可危及被控制對象安全的狀態(tài)故障升級，該種性質(zhì)的“復活”是不允許的。二、“版本二”鐵路應用-可靠性、有效性、可維護性和安全性（RAMS）的規(guī)范和說明（國際電工委員會EN50126 1.0 version）1. 該版本中，對“故障-安全”概念的表述包含三層涵義： 1）“故障-安全”概念是鐵路行業(yè)早期已經(jīng)使用的固有概念。它是根據(jù)一套假設的概念，該概念建立在：沿用已久的元器件故障失效模式，在元器件故障后，系統(tǒng)仍能保證安全，不允許出現(xiàn)危險升級（非原文直譯但愿意準確）。 2）通?！?/p>

11、故障-安全”的有效性是建立在經(jīng)驗基礎上。 3）微電子技術（指單片機、計算機）中大量復雜的集成芯片的運用，沖破了采用分立元件故障模式的“故障-安全”分析方法。突出了“概率”理論的應用和實踐的有效性，即對于復雜微電子器件構(gòu)成這樣的復雜系統(tǒng)可以有效的運用概率方法。2、對“版本二”概念的幾點體會1）EN50126標準對安全性采用的風險管理方法與鐵道工程師沿用已久的故障-安全概念一致。這就明確了故障-安全概念是安全性風險管理方法的根本。2）EN50126對“故障-安全”概念的敘述肯定了依據(jù)假設且沿用已久的具有固定故障-安全概念的有效性，并標明安全監(jiān)理在保障？基礎上。 這對鐵路信號系統(tǒng)及器材早期機械、繼電

12、甚至分立元器件發(fā)展階段的特點相吻合。3）EN50126針對由商業(yè)微處理器及大型復雜系統(tǒng)的開發(fā)，突出表達了歷史上已形成的一些固有 “故障-安全”分析方法已經(jīng)過時，從而要有效的運用“概率方法”亦是十分正確的。 集成電路的出現(xiàn)，甚至從由分立元器件構(gòu)成早期組合件開始，實際上除掉元器件本身的故障模式外，還應考慮各元器件間因其新結(jié)構(gòu)形成的新的故障模式，諸如：漏電、擊穿、混線、分體電容影響4）分立電子元器件實現(xiàn)“故障-安全”設計有較大的技術難度。采用分立元器件構(gòu)成鐵路信號的“故障-安全”電路已是十分困難，嚴格說單元電路故障-安全問題解決了，設備中各單元電路連接后，新的“故障-安全”問題又出現(xiàn)了，系統(tǒng)中各設備

13、連接后，更新的“故障-安全”問題又出現(xiàn)了， 應客觀指出，采用分立元器件構(gòu)成安全電路，除了少數(shù)經(jīng)典電路環(huán)節(jié)外，在安全性上實難無漏洞，使從事該工作的技術人員日益信心降低，甚至懼怕從事該項工作。如：對于接收器的執(zhí)行開關電路往往是一個驅(qū)動直流安全型繼電器的電子開關，它采用變壓器隔離直流，取得動態(tài)的開關信號。考慮到各元器件的故障模式保證開關靈敏度不升高是困難的?？紤]到接入設備中，前級設備故障后的信號做到有效防護也屬困難。接入系統(tǒng)電源設備故障產(chǎn)生的電壓變化，紋波頻率、幅度的變化，DC/DC變換器引發(fā)的特殊問題完全做到有效防護也是困難的。這些都被多年的設備研發(fā)實踐所證實。5）在集成電路中不再考慮原分立器件的

14、故障模式，在同一個組件內(nèi)，一方面要考慮原有單一分立元器件芯片的多種故障模式與組合件各芯片元器件芯片多種故障模式同時出現(xiàn)的可能性，還要考慮它的相互間同時出現(xiàn)新的故障模式的可能性。這樣故障的組合數(shù)量極大增長，造成故障試驗的極大復雜性。實際上，這種故障試驗是無法進行的。人們公認，對于分立元器件構(gòu)成的組合件已無法進行其“故障-安全”試驗，也無法確定其安全性。歷史上，采用組件構(gòu)成的單系統(tǒng)電路往往是用元器件的高可靠運用或其故障后特性變化尚未構(gòu)成升級的高概率掩蓋了系統(tǒng)的非安全性。這樣的系統(tǒng)的運用嚴格說是十分危險的。隨著構(gòu)成電路元器件結(jié)構(gòu)復雜性的升級，不斷總結(jié)經(jīng)驗和教訓，人們對構(gòu)成電路安全性的認知亦在不斷提高

15、。6）采用高可靠元器件及概率設計方法形成了高安全電子設備的新階段。上世紀80年代初期法國采用了CSEE公司在構(gòu)成EMS發(fā)送器中，由兩套單獨震蕩源分別控制的信號源發(fā)生器（CO）及供比較檢測的校核源發(fā)生器（AX），該大規(guī)模CMOS集成電路由軍工企業(yè)研發(fā)制造以保證其可靠性。其原理框圖為：該設計特點為： 承認CMOS大規(guī)模集成電路故障模式復雜性，不再強調(diào)單一芯片故障模式的試驗。 考慮產(chǎn)品的高可靠以減少故障概率。 考慮到故障后可能導致升級的可能性，用兩個互異的芯片的輸出條件進行相互校核，判別形成信號的正確與否及精準性。 用具有故障安全的“安全與門”控制信號軌出。以上信號產(chǎn)品早期采用大規(guī)模集成電路有效運用

16、概率的方法實現(xiàn)故障安全的典型。在集成邏輯器件采用“取2”方式進行安全設計邁出的“一小步”，為后來采用雙CPU“取2”方式安全設計邁出的“一大步”。7）微電子電路設備的故障-安全設計 18信息載頻發(fā)送器與接收器設計發(fā)送器三、“版本三”日本鐵路標準列車安全控制系統(tǒng)的安全性技術指南（1996年3月財團法人：鐵路綜合技術研究所）1、故障-安全定義為： 安全控制系統(tǒng)在發(fā)生失效的情況下，使對象系統(tǒng)能夠維持在安全狀態(tài)或轉(zhuǎn)移至安全狀態(tài)的特性。2、對日本1996年指南的幾點體會1）日本專業(yè)人士本著有助于提高列車安全控制系統(tǒng)的安全性及為在此領域的國際舞臺上，使日本的安全技術得到客觀評價的思路，既回避了將微電子技術

17、詳細寫入指南的內(nèi)部分歧，又將其國內(nèi)積累的技術和經(jīng)驗反映在指南的解說中。2）日本將其微電子安全技術的大部敘述納入解說僅作為“提出的檢查標準”而不像歐標意圖在于“以法律的方式加以限制”。3）日本認為對指南存在的問題及改進，望今后加以修正和充實?？傊?，日本對構(gòu)成指南的作法是客觀積極，對細節(jié)留有余地。這并不影響我們對其指南的認識和參考。3“傳統(tǒng)”與“微電子”“故障-安全”技術的對比日本在解說中對傳統(tǒng)的以繼電器、分立元器件電子電路（下簡稱“傳統(tǒng)”）為主體以及以微電子技術為主體的兩種故障-安全技術和基本要點做對比：1）對以“傳統(tǒng)”為主體的分析為安全設計采用了多種技術手法，如： （1）能量不對稱法： 臂板信

18、號機故障，依重力使臂板置于禁止狀態(tài) 軌道電路故障，使軌道繼電器失磁。 （2）閉環(huán)電路法： 軌道電路信號源與接收器分別置于鋼軌線路兩端，接收器以接收到規(guī)定信號量表述鋼軌線路空閑，當鋼軌線路斷路故障，閉環(huán)被斷開，或列車輪對分路，閉環(huán)信號被分流。（3）串聯(lián)檢查 同一信號的雙 信號燈泡串聯(lián)聯(lián)法，其中一燈泡斷絲時，另一燈泡同時滅燈（雙黃及綠黃顯示）。 四端頭電容檢查了雙引線各自的完整，有時也檢查電容極板的完整（即串聯(lián)）。 變壓器耦合，從功能上實現(xiàn)了交流信號的連接。 （4）安全側(cè)定義的分配 對于安全型繼電器以無電失磁狀態(tài)定義為安全側(cè)的保護狀態(tài)，如： GJGJ：軌道繼電器失磁，表示該軌道電路已處于被列車占用

19、的安全保護狀態(tài)； DBJDBJ ：道岔定位表示繼電器失磁，表示該道岔定位方向線路未構(gòu)成，道岔處于不能建立該方向進路的安全保護狀態(tài)； XJ XJ ：信號繼電器失磁，表示其防護進路并未建立，處于禁止駛?cè)氲陌踩Ｗo狀態(tài)； SJ SJ ：進路（或區(qū)段）鎖閉繼電器失磁，表示該進路（或區(qū)段）已處于鎖閉的安全保護狀態(tài)； ZCJZCJ ：進路照查繼電器失磁，表示本進路已建立，已處于排除建立敵對進路的安全保護狀態(tài)。 列車輪對計軸法： 檢查列車駛?cè)牒土熊囻偝鰠^(qū)段分別記錄的列車輪軸數(shù)量一致，以反映列車的占用與出清。 超速控制 經(jīng)安全電路判斷列車實際速度高于規(guī)定即時運行速度時，實行對列車的制動控制（實際上有入口控制、

20、出口控制和即時控制三種）。 法國TVM300帶速度監(jiān)督的機車信號設備采用對列車實際速度中規(guī)定的運行上限（頂棚）和出口下限（撞墻）速度，用故障-安全電路進行比較，當實際運行速度超速時，超速繼電器CV失磁，構(gòu)成列車最大常用制動。 ATS（列車點式電動停車） 當列車經(jīng)過檢查點的運行速度超過點式速度控制的規(guī)定時，構(gòu)成列車自動停車。 （5）失效發(fā)生時，將現(xiàn)狀維持于安全側(cè)的方法 電鎖器故障，控制線圈斷電，使止檔塊落入轉(zhuǎn)轍握柄的溝槽，避免握柄動作。 勵磁保持繼電器 轉(zhuǎn)轍機確認工作到極處（定、反位）依靠機械結(jié)構(gòu)動作桿實現(xiàn)4mm鎖閉。（6）聯(lián)鎖手法 采用定反位的表示機構(gòu)； 定反位相互檢核，即定位勵磁繼電器，反位

21、要在失磁狀態(tài)； 采用極性控制（道岔啟動電路）（7）禁止使用危險因素 不使用反光鏡式的顯示器 長距離傳輸電源要與控制對象分置于兩端 禁止使用安全型繼電器下接點解鎖。2）對“微電子”為主體的分析 在傳統(tǒng)技術的基礎上加之新的技術手法 （1）“微電子”與“傳統(tǒng)技術”最大的不同之處是器件本身不具備非對稱錯誤的特性。但是硬件和軟件可以進行冗余設計；軟件的高智能和高速處理能力可以附加高頻度的系統(tǒng)診斷和自動檢出錯誤功能。這樣可以實現(xiàn)在發(fā)生故障時能夠維持或轉(zhuǎn)向系統(tǒng)安全側(cè)，取得高安全度的微機安全控制系統(tǒng)。而且該系統(tǒng)具備將控制狀態(tài)鎖定在安全側(cè)。 （2）微機化系統(tǒng)須特別注意以下事項： 利用智能化進行錯誤診斷及異常處理

22、，應謀求邏輯的簡化，以避免復雜化造成預料不到的危險后果。 對故障的考慮方法：微電子部件的故障模式不能特定，且不具備非對稱錯誤特性。實現(xiàn)故障-安全基本思路是采用硬件及軟件的冗余設計與錯誤診斷技術結(jié)合的系統(tǒng)設計方法。 對環(huán)境的考慮：針對微電器件功耗小，靈敏度高，比繼電器更容易受到周圍環(huán)境及干擾的影響，有必要參考MEC技術，并采取適當?shù)膶Σ撸ㄎ覀兊娜蹴?，差距大）?對故障-安全試驗的考慮方法：對硬件軟件兩方面進行，必須采用與傳統(tǒng)繼電器電路試驗方法不同的工具方法，求得有效與可靠，并以系統(tǒng)安全性工程學的方法進行組織。對于軟件的單元測試，應進行適應于安全性完善度等級的測試，測試內(nèi)容應在軟件模塊設計說明書中記錄下來，并記錄測試結(jié)果。四、版本四中國鐵道部行業(yè)標準TB/T 2615-94鐵路信號故障-安全原則1995.7.1實施1、“故障-安全”定義為： 故障以后導向安全。2、對該標準的討論1）對故障定義過于簡化，缺少參考價值。2）其構(gòu)成內(nèi)容多來自UIC規(guī)程738-1-1980規(guī)程鐵路信號技術中采用電子元器件時應遵循的主要安全條件中第4節(jié)“鐵路信號設備安全性評定”和第