《故障-安全(第一讲)(赵自信)》由会员分享,可在线阅读,更多相关《故障-安全(第一讲)(赵自信)(46页珍藏版)》请在金锄头文库上搜索。
1、第一讲 铁路信号故障-安全原则定义的几个版本,一、版本“一”,历年来,我院轨道电路、机车信号研发中执行的“故障-安全”原则。,1.定义:,1)为保证系统的安全性,在规定的时间,规定的环境(含温度、湿度、气压、振动、电源电压波动、电磁兼容条件、电气化干扰、制式内规定的信号量干扰)条件下,系统设备无故障时要稳定可靠工作,不得出现升级。,2)在元器件及部件(印制板、金属加工固定件等)在规定的故障模式条件下,发生故障,设备应尽量动态保持其应有的即时工作或控制状态,不出现升级(可降级)。,3)当故障得不到检查,则积累已发生的故障,直至出现“红灯”为止。 4)合理的考虑出现“红灯”后的“复活”状态。,2、
2、对“版本一”原则中关键语句的说明,1)安全性:指在规定的时间期间、使用条件、环境条件下,系统不陷入危险状态的性能。摘引自 日本铁路标准(1996.3)安全性:避免危害的不可接受的风险。摘引自EN50126 1.0 version(此语言难理解),2)“升级”(1)故障后,设备的五个状态设备故障后,其控制结果无外乎形成以下五个状态:,“动态保持应有状态侧”仍可完成规定的功能。 “动态维持于降级状态侧” “安全侧”设备不能完成规定功能,设备处于安全保护状态 “危险侧”,设备不能正确完成规定功能,且构成较为禁止的危险控制状态(含短时间构成) “未知侧”特别对于信息源而言,设备不能形成规定技术条件要求
3、范围内的信息源,而随机构成其他信息,该信息对系统造成的问题是未知的。以上设备故障后,其控制结果形成的“危险侧”和“未知侧”状态均定义为“升级”。,(2)故障“升级”举例为: 接收器:在故障后,若接收信号判别门限降低(或称接收灵敏度提高),将可能造成将轨道电路“列车占用”错误判别为“列车出清”,显见设备故障造成控制状态为“危险侧”。发送器:在故障后,信号源形成的控制命令的技术指标超出要求范围,其后果为构成的信息具有人们意想不到的各种状态,其中有导向“安全侧”,有导向“危险侧”的各种可能,对这种“不可知”状态的“未知侧”故障,从安全控制上考虑,必须视为“升级”。,3)“元器件及部件”,人们约定俗成
4、的把电子元器件中电阻、电感、电容及开关、接插件、熔丝、继电器统称为元件,将具有P-N结的二极管、稳压管、三极管、压敏电阻、集成电路、CPU等统称为器件。 应客观指出,在设备和系统构成中存在大量其他“部件”环节,诸如:印刷线路板、金工零部件、电线、传输电缆、钢轨线路。,这些环节的故障亦可造成设备及系统的“升级”。如: 印刷线路板:板条的断线、混线和接地。 金工零部件:断裂、紧固件损坏、金工件丧失接地要求或故障构成接地。 电线、电缆:断线、混线、接地不正常运用。 钢轨线路:断轨、分路不良、绝缘破损以上设备和系统构成中,除电子元器件以外的其余部分均理解为“组成设备的部件”范围。,4)“规定的故障模式
5、”,(1)“规定的故障模式”含:常规规定和研发企业所承诺的“故障模式”。该企业承诺的模式需做详细的诠释,其中包括:a.措施内容b.措施存在的条件c.对措施试验检验的过程及证明数据、依据d.获得承认的范围(2)凡未列入“规定”属遗漏部分出现的安全问题,研发单位要承担责任,如熔丝断丝。,(3)对特定故障模式的举例: 金属膜电阻不考虑阻值连续减值及击穿。 线绕电阻考虑断线但不考虑连续增值。 电解电容不考虑误差范围外的增值 薄膜电容不考虑误差范围外电容值的增值。 铁氧体电感不考虑误差范围外的电感增值,遇非线性电感应作出必要的使用说明。,(4)对企业工艺加强措施保证的特许故障模式的举例: 金属膜四端头电
6、阻的结构设计,在使用条件下不考虑电阻横向断裂(R或)。 多组大功率电阻并联连接成的四端头电阻设计。 各种四端头电容的结构设计,含:CL-0.47 F 四端头电容,用于鉴频CZJD-102030F四端头电容,用于低频选频CA- 四端头电容,用于安全与门CB14 2000P 四端头电容,用于有源滤波CBB 四端头电容,用于电缆模拟网络CD-1 2200F四端头电容,用于电源滤波两组二端头CA钽电容并联运用替代四端头钽电容,用于安全与门,采用镀锡钢带捆绑并焊接固定C型铁,高强度漆皮线(QZ),真空浸漆等工艺构成不考虑电感量下降的电感线圈。 采用软环氧或硅胶灌封铁氧体线圈的工艺加强措施,不考虑电感值下
7、降。设备测试中需对电感电阻支路模值及角度进行测试。 CBB四端头电容直流运用条件下,元件厂家对电容容值在规定年限内作出不减值的书面承诺。,5)“应有的即时工作或控制状态”,其中“即时”系强调动态反应。“工作或控制状态”,应根据设备的受控指令变化而实时变化(或称刷新)。 设备在故障时,严格禁止使其原有较为允许的工作或控制状态得以固定和保留(应有适度延时除外)。,6)“故障得不到检查”,(1)定义:“检查”系指故障的结果能够使系统或设备形成安全的保护状态,如:发送器的“发送报警继电器”(FBJ)失磁;接收器的“轨道继电器”(GJ)失磁;信号机显示处于“红灯”或“灭灯”状态;机车处于受控“制动状态”
8、。以上会引起机车驾驶人员、车站值班及维修人员的发现,使对列车运行控制处于安全的保护状态。,(2)说明:应特别强调该“检查”应不单纯以设备“故障报警”指示为准。因为故障报警电路设计原则上按非“故障-安全”电路设计。设备故障由车站车务值班员、电务维修人员、机车驾驶人员发现。故障检测是使故障得到检查的一个组成部分,可用于参考制定维修恢复周期。但决不可把它理解为“故障得到检查”。 (3)结论:“故障得到检查”是通过设备形成的安全保护状态来实现的。,7)“积累已发生的故障”,当某No.1故障的结果不能使系统或设备形成安全保护状态即“红灯”,应保留此故障,再考虑其他No.2故障,仍不能使系统或设备形成安全
9、保护状态,仍应保留此故障。按此原则持续No.3直至No.n,使系统或设备形成安全保护状态为止。 从保留No.1No.(n-1)故障过程,即为“积累已发生的故障”。 我们应该看到,考虑到从故障No.1始至“红灯”止的路径可能有多条,从此也可联想到,系统和设备的故障试验是一件工作量巨大的工作。,8)“红灯”为止,此处“红灯”系指系统或设备形成“安全保护状态”。 安全保护状态可理解成:执行电路继电器失磁、进路锁闭、信号机红灯、机车制动继电器失磁形成制动等。,9)“红灯”后的“复活”,指故障后系统或设备稳定处于安全保护状态,不再出现瞬间的工作状态。如:执行继电器固定失磁,不产生跳动;信号机固定在“红灯
10、”或“灭灯”。 不出现其他较禁止灯光跳动显示。 当然,“红灯”后出现的瞬间升级工作,可危及被控制对象安全的状态 故障升级,该种性质的“复活”是不允许的。,二、“版本二”,铁路应用-可靠性、有效性、可维护性和安全性(RAMS)的规范和说明(国际电工委员会EN50126 1.0 version),1. 该版本中,对“故障-安全”概念的表述包含三层涵义:1)“故障-安全”概念是铁路行业早期已经使用的固有概念。它是根据一套假设的概念,该概念建立在:沿用已久的元器件故障失效模式,在元器件故障后,系统仍能保证安全,不允许出现危险升级(非原文直译但愿意准确)。2)通常“故障-安全”的有效性是建立在经验基础上
11、。3)微电子技术(指单片机、计算机)中大量复杂的集成芯片的运用,冲破了采用分立元件故障模式的“故障-安全”分析方法。突出了“概率”理论的应用和实践的有效性,即对于复杂微电子器件构成这样的复杂系统可以有效的运用概率方法。,2、对“版本二”概念的几点体会,1)EN50126标准对安全性采用的风险管理方法与铁道工程师沿用已久的故障-安全概念一致。这就明确了故障-安全概念是安全性风险管理方法的根本。 2)EN50126对“故障-安全”概念的叙述肯定了依据假设且沿用已久的具有固定故障-安全概念的有效性,并标明安全监理在保障?基础上。这对铁路信号系统及器材早期机械、继电甚至分立元器件发展阶段的特点相吻合。
12、,3)EN50126针对由商业微处理器及大型复杂系统的开发,突出表达了历史上已形成的一些固有 “故障-安全”分析方法已经过时,从而要有效的运用“概率方法”亦是十分正确的。集成电路的出现,甚至从由分立元器件构成早期组合件开始,实际上除掉元器件本身的故障模式外,还应考虑各元器件间因其新结构形成的新的故障模式,诸如:漏电、击穿、混线、分体电容影响,4)分立电子元器件实现“故障-安全”设计有较大的技术难度。采用分立元器件构成铁路信号的“故障-安全”电路已是十分困难,严格说单元电路故障-安全问题解决了,设备中各单元电路连接后,新的“故障-安全”问题又出现了,系统中各设备连接后,更新的“故障-安全”问题又
13、出现了,应客观指出,采用分立元器件构成安全电路,除了少数经典电路环节外,在安全性上实难无漏洞,使从事该工作的技术人员日益信心降低,甚至惧怕从事该项工作。 如:对于接收器的执行开关电路往往是一个驱动直流安全型继电器的电子开关,它采用变压器隔离直流,取得动态的开关信号。考虑到各元器件的故障模式保证开关灵敏度不升高是困难的。考虑到接入设备中,前级设备故障后的信号做到有效防护也属困难。接入系统电源设备故障产生的电压变化,纹波频率、幅度的变化,DC/DC变换器引发的特殊问题完全做到有效防护也是困难的。 这些都被多年的设备研发实践所证实。,5)在集成电路中不再考虑原分立器件的故障模式,在同一个组件内,一方
14、面要考虑原有单一分立元器件芯片的多种故障模式与组合件各芯片元器件芯片多种故障模式同时出现的可能性,还要考虑它的相互间同时出现新的故障模式的可能性。这样故障的组合数量极大增长,造成故障试验的极大复杂性。 实际上,这种故障试验是无法进行的。人们公认,对于分立元器件构成的组合件已无法进行其“故障-安全”试验,也无法确定其安全性。 历史上,采用组件构成的单系统电路往往是用元器件的高可靠运用或其故障后特性变化尚未构成升级的高概率掩盖了系统的非安全性。这样的系统的运用严格说是十分危险的。 随着构成电路元器件结构复杂性的升级,不断总结经验和教训,人们对构成电路安全性的认知亦在不断提高。,该设计特点为: 承认
15、CMOS大规模集成电路故障模式复杂性,不再强调单一芯片故障模式的试验。 考虑产品的高可靠以减少故障概率。 考虑到故障后可能导致升级的可能性,用两个互异的芯片的输出条件进行相互校核,判别形成信号的正确与否及精准性。 用具有故障安全的“安全与门”控制信号轨出。 以上信号产品早期采用大规模集成电路有效运用概率的方法实现故障安全的典型。在集成逻辑器件采用“取2”方式进行安全设计迈出的“一小步”,为后来采用双CPU“取2”方式安全设计迈出的“一大步”。,7)微电子电路设备的故障-安全设计 18信息载频发送器与接收器设计,发送器,三、“版本三”,日本铁路标准列车安全控制系统的安全性技术指南(1996年3月
16、财团法人:铁路综合技术研究所) 1、故障-安全定义为:安全控制系统在发生失效的情况下,使对象系统能够维持在安全状态或转移至安全状态的特性。,2、对日本1996年指南的几点体会,1)日本专业人士本着有助于提高列车安全控制系统的安全性及为在此领域的国际舞台上,使日本的安全技术得到客观评价的思路,既回避了将微电子技术详细写入指南的内部分歧,又将其国内积累的技术和经验反映在指南的解说中。 2)日本将其微电子安全技术的大部叙述纳入解说仅作为“提出的检查标准”而不像欧标意图在于“以法律的方式加以限制”。 3)日本认为对指南存在的问题及改进,望今后加以修正和充实。 总之,日本对构成指南的作法是客观积极,对细节留有余地。这并不影响我们对其指南的认识和参考。,3“传统”与“微电子”“故障-安全”技术的对比,日本在解说中对传统的以继电器、分立元器件电子电路(下简称“传统”)为主体以及以微电子技术为主体的两种故障-安全技术和基本要点做对比: 1)对以“传统”为主体的分析为安全设计采用了多种技术手法,如:(1)能量不对称法:臂板信号机故障,依重力使臂板置于禁止状态轨道电路故障,使轨道继电器失磁。(2)闭环电路法:轨道电路信号源与接收器分别置于钢轨线路两端,接收器以接收到规定信号量表述钢轨线路空闲,当钢轨线路断路故障,闭环被断开,或列车轮对分路,闭环信号被分流。,
