《故障-安全(第一讲)(赵自信)讲解》由会员分享,可在线阅读,更多相关《故障-安全(第一讲)(赵自信)讲解(46页珍藏版)》请在金锄头文库上搜索。
1、第一讲 铁路信号故障-安全原则定义的几个 版本 一、版本“一” 历年来,我院轨道电路、机车信 号研发中执行的“故障-安全”原 则。 1.定义: 1)为保证系统的安全性,在规定的时间,规 定的环境(含温度、湿度、气压、振动、 电源电压波动、电磁兼容条件、电气化干 扰、制式内规定的信号量干扰)条件下, 系统设备无故障时要稳定可靠工作,不得 出现升级。 2)在元器件及部件(印制板、金属加工固定 件等)在规定的故障模式条件下,发生故 障,设备应尽量动态保持其应有的即时工 作或控制状态,不出现升级(可降级)。 3)当故障得不到检查,则积累已发生的故障 ,直至出现“红灯”为止。 4)合理的考虑出现“红灯”
2、后的“复活”状 态。 2、对“版本一”原则中关键语句的 说明 1)安全性:指在规定的时间期间、使用条 件、环境条件下,系统不陷入危险状态的 性能。摘引自 日本铁路标准(1996.3) 安全性:避免危害的不可接受的风险。摘 引自EN50126 1.0 version (此语言难理解) 2)“升级” (1)故障后,设备的五个状态 设备故障后,其控制结果无外乎形成以下 五个状态: “动态保持应有状态侧”仍可完成规定的功能。 “动态维持于降级状态侧” “安全侧”设备不能完成规定功能,设备处于安 全保护状态 “危险侧”,设备不能正确完成规定功能,且构 成较为禁止的危险控制状态(含短时间构成) “未知侧”
3、特别对于信息源而言,设备不能形成 规定技术条件要求范围内的信息源,而随机构成 其他信息,该信息对系统造成的问题是未知的。 以上设备故障后,其控制结果形成的“危险侧”和 “未知侧”状态均定义为“升级”。 (2)故障“升级”举例为: 接收器:在故障后,若接收信号判别门限降低( 或称接收灵敏度提高),将可能造成将轨道电路 “列车占用”错误判别为“列车出清”,显见设 备故障造成控制状态为“危险侧”。 发送器:在故障后,信号源形成的控制命令的技 术指标超出要求范围,其后果为构成的信息具有 人们意想不到的各种状态,其中有导向“安全侧 ”,有导向“危险侧”的各种可能,对这种“不 可知”状态的“未知侧”故障,
4、从安全控制上考 虑,必须视为“升级”。 3)“元器件及部件” 人们约定俗成的把电子元器件中电阻、电 感、电容及开关、接插件、熔丝、继电器 统称为元件,将具有P-N结的二极管、稳压 管、三极管、压敏电阻、集成电路、CPU等 统称为器件。 应客观指出,在设备和系统构成中存在大 量其他“部件”环节,诸如:印刷线路 板、金工零部件、电线、传输电缆、钢轨 线路。 这些环节的故障亦可造成设备及系统的“ 升级”。如: 印刷线路板:板条的断线、混线和接地。 金工零部件:断裂、紧固件损坏、金工件 丧失接地要求或故障构成接地。 电线、电缆:断线、混线、接地不正常运 用。 钢轨线路:断轨、分路不良、绝缘破损 以上设
5、备和系统构成中,除电子元器件以 外的其余部分均理解为“组成设备的部件 ”范围。 4)“规定的故障模式” (1)“规定的故障模式”含:常规规定和研发企业所承诺的 “故障模式”。该企业承诺的模式需做详细的诠释, 其中包括: a.措施内容 b.措施存在的条件 c.对措施试验检验的过程及证明数据、依据 d.获得承认的范围 (2)凡未列入“规定”属遗漏部分出现的安全问题,研发 单位要承担责任,如熔丝断丝。 (3)对特定故障模式的举例: 金属膜电阻不考虑阻值连续减值及击穿。 线绕电阻考虑断线但不考虑连续增值。 电解电容不考虑误差范围外的增值 薄膜电容不考虑误差范围外电容值的增值。 铁氧体电感不考虑误差范围
6、外的电感增值,遇非 线性电感应作出必要的使用说明。 (4)对企业工艺加强措施保证的特许故障模式 的举例: 金属膜四端头电阻的结构设计,在使用条件下不考虑电 阻横向断裂(R或)。 多组大功率电阻并联连接成的四端头电阻设计。 各种四端头电容的结构设计,含: CL-0.47 F 四端头电容,用于鉴频 CZJD-102030F四端头电容,用于低频选频 CA- 四端头电容,用于安全与门 CB14 2000P 四端头电容,用于有源滤波 CBB 四端头电容,用于电缆模拟网络 CD-1 2200F四端头电容,用于电源滤波 两组二端头CA钽电容并联运用替代四端头钽电容,用于 安全与门 采用镀锡钢带捆绑并焊接固定
7、C型铁,高强度漆 皮线(QZ),真空浸漆等工艺构成不考虑电感 量下降的电感线圈。 采用软环氧或硅胶灌封铁氧体线圈的工艺加强措 施,不考虑电感值下降。 设备测试中需对电感电阻支路模值及角度进行 测试。 CBB四端头电容直流运用条件下,元件厂家对电 容容值在规定年限内作出不减值的书面承诺。 5)“应有的即时工作或控制状态” 其中“即时”系强调动态反应。“工作或 控制状态”,应根据设备的受控指令变化 而实时变化(或称刷新)。 设备在故障时,严格禁止使其原有较为允 许的工作或控制状态得以固定和保留(应 有适度延时除外)。 6)“故障得不到检查” (1)定义:“检查”系指故障的结果能够使系 统或设备形成
8、安全的保护状态,如: 发送器的“发送报警继电器”(FBJ)失磁; 接收器的“轨道继电器”(GJ)失磁; 信号机显示处于“红灯”或“灭灯”状态; 机车处于受控“制动状态”。 以上会引起机车驾驶人员、车站值班及维修人员 的发现,使对列车运行控制处于安全的保护状 态。 (2)说明: 应特别强调该“检查”应不单纯以设备“故障 报警”指示为准。因为故障报警电路设计原则上 按非“故障-安全”电路设计。 设备故障由车站车务值班员、电务维修人员、 机车驾驶人员发现。 故障检测是使故障得到检查的一个组成部分, 可用于参考制定维修恢复周期。但决不可把它理 解为“故障得到检查”。 (3)结论: “故障得到检查”是通
9、过设备形成的安全 保护状态来实现的。 7)“积累已发生的故障” 当某No.1故障的结果不能使系统或设备形成安全保护状态 即“红灯”,应保留此故障,再考虑其他No.2故障,仍不 能使系统或设备形成安全保护状态,仍应保留此故障。 按此原则持续No.3直至No.n,使系统或设备形成安全 保护状态为止。 从保留No.1No.(n-1)故障过程,即为“积累已发生的故 障”。 我们应该看到,考虑到从故障No.1始至“红灯”止的路径 可能有多条,从此也可联想到,系统和设备的故障试验是 一件工作量巨大的工作。 8)“红灯”为止 此处“红灯”系指系统或设备形成“安全 保护状态”。 安全保护状态可理解成:执行电路
10、继电器 失磁、进路锁闭、信号机红灯、机车制动 继电器失磁形成制动等。 9)“红灯”后的“复活” 指故障后系统或设备稳定处于安全保护状态,不再出现瞬 间的工作状态。如:执行继电器固定失磁,不产生跳动; 信号机固定在“红灯”或“灭灯”。 不出现其他较禁止灯光跳动显示。 当然,“红灯”后出现的瞬间升级工作,可危及被控制对 象安全的状态 故障升级,该种性质的“复活”是不允许的。 二、“版本二” 铁路应用-可靠性、有效性、可维护性和 安全性(RAMS)的规范和说明(国际电 工委员会EN50126 1.0 version) 1. 该版本中,对“故障-安全”概念的表述包 含三层涵义: 1)“故障-安全”概念
11、是铁路行业早期已经使用的固有概 念。它是根据一套假设的概念,该概念建立在:沿用已久 的元器件故障失效模式,在元器件故障后,系统仍能保证 安全,不允许出现危险升级(非原文直译但愿意准确)。 2)通常“故障-安全”的有效性是建立在经验基础上。 3)微电子技术(指单片机、计算机)中大量复杂的集成 芯片的运用,冲破了采用分立元件故障模式的“故障-安 全”分析方法。突出了“概率”理论的应用和实践的有效 性,即对于复杂微电子器件构成这样的复杂系统可以有效 的运用概率方法。 2、对“版本二”概念的几点体会 1)EN50126标准对安全性采用的风险管理方法 与铁道工程师沿用已久的故障-安全概念一 致。这就明确
12、了故障-安全概念是安全性风险 管理方法的根本。 2)EN50126对“故障-安全”概念的叙述肯定了 依据假设且沿用已久的具有固定故障-安全概 念的有效性,并标明安全监理在保障?基础 上。 这对铁路信号系统及器材早期机械、继电甚至 分立元器件发展阶段的特点相吻合。 3)EN50126针对由商业微处理器及大型复杂系统的开发, 突出表达了历史上已形成的一些固有 “故障-安全”分析 方法已经过时,从而要有效的运用“概率方法”亦是十分 正确的。 集成电路的出现,甚至从由分立元器件构成早期组合件开 始,实际上除掉元器件本身的故障模式外,还应考虑各元 器件间因其新结构形成的新的故障模式,诸如:漏电、击 穿、
13、混线、分体电容影响 4)分立电子元器件实现“故障-安全”设计有较大的技术 难度。采用分立元器件构成铁路信号的“故障-安全” 电路已是十分困难,严格说单元电路故障-安全问题解 决了,设备中各单元电路连接后,新的“故障-安全” 问题又出现了,系统中各设备连接后,更新的“故障- 安全”问题又出现了, 应客观指出,采用分立元器件构成安全电路,除了少数 经典电路环节外,在安全性上实难无漏洞,使从事该工 作的技术人员日益信心降低,甚至惧怕从事该项工作。 如:对于接收器的执行开关电路往往是一个驱动直流安全 型继电器的电子开关,它采用变压器隔离直流,取得动 态的开关信号。考虑到各元器件的故障模式保证开关灵 敏
14、度不升高是困难的。考虑到接入设备中,前级设备故 障后的信号做到有效防护也属困难。接入系统电源设备 故障产生的电压变化,纹波频率、幅度的变化,DC/DC 变换器引发的特殊问题完全做到有效防护也是困难的。 这些都被多年的设备研发实践所证实。 5)在集成电路中不再考虑原分立器件的故障模式,在同 一个组件内,一方面要考虑原有单一分立元器件芯片的 多种故障模式与组合件各芯片元器件芯片多种故障模式 同时出现的可能性,还要考虑它的相互间同时出现新的 故障模式的可能性。这样故障的组合数量极大增长,造 成故障试验的极大复杂性。 实际上,这种故障试验是无法进行的。人们公认,对于 分立元器件构成的组合件已无法进行其
15、“故障-安全” 试验,也无法确定其安全性。 历史上,采用组件构成的单系统电路往往是用元器件的 高可靠运用或其故障后特性变化尚未构成升级的高概率 掩盖了系统的非安全性。这样的系统的运用严格说是十 分危险的。 随着构成电路元器件结构复杂性的升级,不断总结经验 和教训,人们对构成电路安全性的认知亦在不断提高。 6)采用高可靠元器件及概率设计方法形成了高安全电子设 备的新阶段。上世纪80年代初期法国采用了CSEE公司在 构成EMS发送器中,由两套单独震荡源分别控制的信号源 发生器(CO)及供比较检测的校核源发生器(AX),该 大规模CMOS集成电路由军工企业研发制造以保证其可靠 性。 其原理框图为:
16、该设计特点为: 承认CMOS大规模集成电路故障模式复杂性,不再强调单 一芯片故障模式的试验。 考虑产品的高可靠以减少故障概率。 考虑到故障后可能导致升级的可能性,用两个互异的芯 片的输出条件进行相互校核,判别形成信号的正确与否 及精准性。 用具有故障安全的“安全与门”控制信号轨出。 以上信号产品早期采用大规模集成电路有效运用概 率的方法实现故障安全的典型。在集成逻辑器件 采用“取2”方式进行安全设计迈出的“一小步 ”,为后来采用双CPU“取2”方式安全设计迈 出的“一大步”。 7)微电子电路设备的故障-安全设计 18信息载频发送器与接收器设计 发送器 三、“版本三” 日本铁路标准列车安全控制系统的安全 性技术指南(1996年3月财团法人:铁路 综合技术研究所) 1、故障-安全定义为: 安全控制系统在发生失效的情况下,使对 象系统能够维持在安全状态或转移至安全 状态的特性。 2、对日本1996年指南的几点体会
