故障-安全(第一讲)(赵自信)资料

1、第一讲 铁路信号故障-安全原则定义(dngy)的几个版本共四十七页一、版本(bnbn)“一”历年来，我院轨道电路、机车信号研发中执行的“故障(gzhng)-安全”原则。共四十七页1.定义(dngy)：1）为保证系统的安全性，在规定的时间，规定的环境（含温度、湿度、气压、振动、电源电压波动、电磁兼容条件、电气化干扰、制式内规定的信号量干扰）条件下，系统设备无故障时要稳定可靠(kko)工作，不得出现升级。共四十七页2）在元器件及部件（印制板、金属加工固定件等）在规定的故障模式条件下，发生故障，设备应尽量动态保持其应有(yn yu)的即时工作或控制状态，不出现升级（可降级）。共四十七页3）当故障(g

2、zhng)得不到检查，则积累已发生的故障，直至出现“红灯”为止。4）合理的考虑出现“红灯”后的“复活”状态。共四十七页2、对“版本(bnbn)一”原则中关键语句的说明1）安全性：指在规定的时间期间、使用条件、环境条件下，系统不陷入危险状态的性能。摘引自 日本铁路标准（1996.3） 安全性：避免危害的不可接受(jishu)的风险。摘引自EN50126 1.0 version （此语言难理解）共四十七页2）“升级” (1)故障后，设备的五个状态 设备故障后，其控制结果(ji gu)无外乎形成以下五个状态：共四十七页“动态保持应有状态侧”仍可完成规定的功能。“动态维持于降级状态侧”“安全侧”设备不

3、能完成规定功能，设备处于安全保护状态“危险侧”，设备不能正确完成规定功能，且构成较为禁止的危险控制状态（含短时间构成）“未知侧”特别对于(duy)信息源而言，设备不能形成规定技术条件要求范围内的信息源，而随机构成其他信息，该信息对系统造成的问题是未知的。以上设备故障后，其控制结果形成的“危险侧”和“未知侧”状态均定义为“升级”。共四十七页(2)故障“升级”举例为：接收器：在故障后，若接收信号判别门限降低（或称接收灵敏度提高），将可能造成将轨道电路“列车占用”错误判别为“列车出清”，显见设备故障造成控制状态为“危险侧”。发送器：在故障后，信号源形成的控制命令的技术指标超出要求范围，其后果为构成的

4、信息具有人们(rn men)意想不到的各种状态，其中有导向“安全侧”，有导向“危险侧”的各种可能，对这种“不可知”状态的“未知侧”故障，从安全控制上考虑，必须视为“升级”。共四十七页3）“元器件及部件(bjin)”人们约定俗成的把电子元器件中电阻、电感、电容及开关、接插件、熔丝、继电器统称为元件，将具有P-N结的二极管、稳压管、三极管、压敏电阻、集成电路、CPU等统称为器件。应客观指出，在设备和系统构成中存在(cnzi)大量其他“部件”环节，诸如：印刷线路板、金工零部件、电线、传输电缆、钢轨线路。共四十七页这些环节的故障亦可造成设备及系统的“升级”。如:印刷线路板：板条的断线、混线和接地。金工

5、零部件：断裂、紧固件损坏、金工件丧失接地要求或故障构成接地。电线、电缆：断线、混线、接地不正常运用。钢轨线路(xinl)：断轨、分路不良、绝缘破损 以上设备和系统构成中，除电子元器件以外的其余部分均理解为“组成设备的部件”范围。共四十七页4）“规定(gudng)的故障模式” (1)“规定的故障模式(msh)”含：常规规定和研发企业所承诺的“故障模式(msh)”。该企业承诺的模式(msh)需做详细的诠释， 其中包括： a.措施内容 b.措施存在的条件 c.对措施试验检验的过程及证明数据、依据 d.获得承认的范围 (2)凡未列入“规定”属遗漏部分出现的安全问题，研发单位要承担责任，如熔丝断丝。共四

6、十七页 (3)对特定故障(gzhng)模式的举例：金属膜电阻不考虑阻值连续减值及击穿。线绕电阻考虑断线但不考虑连续增值。电解电容不考虑误差范围外的增值薄膜电容不考虑误差范围外电容值的增值。铁氧体电感不考虑误差范围外的电感增值，遇非线性电感应作出必要的使用说明。共四十七页 (4)对企业工艺(gngy)加强措施保证的特许故障模式的举例：金属膜四端头电阻的结构设计，在使用条件下不考虑电阻横向断裂（R或）。多组大功率电阻并联连接成的四端头电阻设计。各种四端头电容的结构设计，含： CL-0.47 F 四端头电容，用于鉴频 CZJD-102030F四端头电容，用于低频选频 CA- 四端头电容，用于安全与门

7、 CB14 2000P 四端头电容，用于有源滤波 CBB 四端头电容，用于电缆模拟网络 CD-1 2200F四端头电容，用于电源滤波 两组二端头CA钽电容并联运用替代四端头钽电容，用于安全与门共四十七页采用镀锡钢带捆绑并焊接固定C型铁，高强度漆皮线（QZ），真空浸漆等工艺构成不考虑电感量下降的电感线圈。采用软环氧或硅胶灌封铁氧体线圈的工艺加强措施，不考虑电感值下降。 设备测试中需对电感电阻(dinz)支路模值及角度进行测试。CBB四端头电容直流运用条件下，元件厂家对电容容值在规定年限内作出不减值的书面承诺。共四十七页5）“应有的即时(jsh)工作或控制状态”其中“即时”系强调动态反应。“工作或

8、控制状态”，应根据设备(shbi)的受控指令变化而实时变化（或称刷新）。设备在故障时，严格禁止使其原有较为允许的工作或控制状态得以固定和保留（应有适度延时除外）。共四十七页6）“故障(gzhng)得不到检查”(1)定义：“检查”系指故障的结果能够使系统或设备(shbi)形成安全的保护状态，如： 发送器的“发送报警继电器”（FBJ）失磁； 接收器的“轨道继电器”（GJ）失磁； 信号机显示处于“红灯”或“灭灯”状态； 机车处于受控“制动状态”。 以上会引起机车驾驶人员、车站值班及维修人员的发现，使对列车运行控制处于安全的保护状态。共四十七页(2)说明(shumng)： 应特别强调该“检查”应不单纯

9、以设备“故障报警”指示为准。因为故障报警电路设计原则上按非“故障-安全”电路设计。 设备故障由车站车务值班员、电务维修人员、机车驾驶人员发现。 故障检测是使故障得到检查的一个组成部分，可用于参考制定维修恢复周期。但决不可把它理解为“故障得到检查”。(3)结论： “故障得到检查”是通过设备形成的安全保护状态来实现的。共四十七页7）“积累已发生(fshng)的故障”当某No.1故障的结果不能使系统或设备(shbi)形成安全保护状态即“红灯”，应保留此故障，再考虑其他No.2故障，仍不能使系统或设备形成安全保护状态，仍应保留此故障。按此原则持续No.3直至No.n，使系统或设备形成安全保护状态为止。

10、从保留No.1No.(n-1)故障过程，即为“积累已发生的故障”。我们应该看到，考虑到从故障No.1始至“红灯”止的路径可能有多条，从此也可联想到，系统和设备的故障试验是一件工作量巨大的工作。共四十七页8）“红灯(hn dn)”为止此处“红灯”系指系统或设备形成(xngchng)“安全保护状态”。安全保护状态可理解成：执行电路继电器失磁、进路锁闭、信号机红灯、机车制动继电器失磁形成制动等。共四十七页9）“红灯(hn dn)”后的“复活”指故障后系统或设备稳定处于安全保护状态，不再出现瞬间的工作状态。如：执行继电器固定失磁，不产生跳动；信号机固定在“红灯”或“灭灯”。不出现其他较禁止灯光跳动显示

11、。当然，“红灯”后出现的瞬间升级(shng j)工作，可危及被控制对象安全的状态故障升级，该种性质的“复活”是不允许的。共四十七页二、“版本(bnbn)二”铁路应用-可靠性、有效性、可维护性和安全性（RAMS）的规范(gufn)和说明（国际电工委员会EN50126 1.0 version）共四十七页1. 该版本中，对“故障-安全”概念的表述包含三层涵义： 1）“故障-安全”概念是铁路行业早期已经使用的固有概念。它是根据一套假设的概念，该概念建立在：沿用已久的元器件故障失效模式，在元器件故障后，系统仍能保证安全，不允许出现危险升级(shng j)（非原文直译但愿意准确）。 2）通常“故障-安全”

12、的有效性是建立在经验基础上。 3）微电子技术（指单片机、计算机）中大量复杂的集成芯片的运用，冲破了采用分立元件故障模式的“故障-安全”分析方法。突出了“概率”理论的应用和实践的有效性，即对于复杂微电子器件构成这样的复杂系统可以有效的运用概率方法。共四十七页2、对“版本(bnbn)二”概念的几点体会1）EN50126标准对安全性采用的风险管理方法与铁道工程师沿用已久的故障-安全概念一致。这就明确了故障-安全概念是安全性风险管理方法的根本。2）EN50126对“故障-安全”概念的叙述肯定了依据假设且沿用已久的具有固定故障-安全概念的有效性，并标明安全监理在保障？基础上。 这对铁路信号系统及器材早期

13、机械(jxi)、继电甚至分立元器件发展阶段的特点相吻合。共四十七页3）EN50126针对由商业微处理器及大型复杂系统的开发，突出表达了历史上已形成的一些固有 “故障-安全”分析方法已经过时，从而要有效的运用“概率方法”亦是十分正确的。 集成电路的出现，甚至从由分立元器件构成早期(zoq)组合件开始，实际上除掉元器件本身的故障模式外，还应考虑各元器件间因其新结构形成的新的故障模式，诸如：漏电、击穿、混线、分体电容影响共四十七页4）分立电子元器件实现“故障-安全”设计有较大的技术难度。采用分立元器件构成铁路信号的“故障-安全”电路(dinl)已是十分困难，严格说单元电路(dinl)故障-安全问题解

14、决了，设备中各单元电路连接后，新的“故障-安全”问题又出现了，系统中各设备连接后，更新的“故障-安全”问题又出现了， 应客观指出，采用分立元器件构成安全电路，除了少数经典电路环节外，在安全性上实难无漏洞，使从事该工作的技术人员日益信心降低，甚至惧怕从事该项工作。如：对于接收器的执行开关电路往往是一个驱动直流安全型继电器的电子开关，它采用变压器隔离直流，取得动态的开关信号。考虑到各元器件的故障模式保证开关灵敏度不升高是困难的。考虑到接入设备中，前级设备故障后的信号做到有效防护也属困难。接入系统电源设备故障产生的电压变化，纹波频率、幅度的变化，DC/DC变换器引发的特殊问题完全做到有效防护也是困难

15、的。这些都被多年的设备研发实践所证实。共四十七页5）在集成电路中不再考虑原分立器件的故障模式，在同一个组件内，一方面要考虑原有单一分立元器件芯片的多种故障模式与组合件各芯片元器件芯片多种故障模式同时出现的可能性，还要考虑它的相互间同时出现新的故障模式的可能性。这样故障的组合数量极大增长，造成故障试验的极大复杂性。实际上，这种故障试验是无法进行的。人们公认，对于分立元器件构成的组合件已无法进行其“故障-安全(nqun)”试验，也无法确定其安全(nqun)性。历史上，采用组件构成的单系统电路往往是用元器件的高可靠运用或其故障后特性变化尚未构成升级的高概率掩盖了系统的非安全性。这样的系统的运用严格说

16、是十分危险的。随着构成电路元器件结构复杂性的升级，不断总结经验和教训，人们对构成电路安全性的认知亦在不断提高。共四十七页6）采用高可靠元器件及概率设计方法形成(xngchng)了高安全电子设备的新阶段。上世纪80年代初期法国采用了CSEE公司在构成EMS发送器中，由两套单独震荡源分别控制的信号源发生器（CO）及供比较检测的校核源发生器（AX），该大规模CMOS集成电路由军工企业研发制造以保证其可靠性。其原理框图为：共四十七页该设计特点为：承认CMOS大规模集成电路故障模式复杂性，不再强调单一芯片故障模式的试验。考虑产品的高可靠以减少故障概率。考虑到故障后可能导致升级的可能性，用两个互异的芯片的

17、输出条件进行相互校核，判别形成信号的正确(zhngqu)与否及精准性。用具有故障安全的“安全与门”控制信号轨出。以上信号产品早期采用大规模集成电路有效运用概率的方法实现故障安全的典型。在集成逻辑器件采用“取2”方式进行安全设计迈出的“一小步”，为后来采用双CPU“取2”方式安全设计迈出的“一大步”。共四十七页7）微电子电路设备的故障(gzhng)-安全设计18信息载频发送器与接收器设计共四十七页发送器共四十七页三、“版本(bnbn)三”日本铁路标准列车安全控制系统的安全性技术指南（1996年3月财团法人：铁路综合技术研究所）1、故障-安全定义为： 安全控制系统在发生失效的情况(qngkung)

18、下，使对象系统能够维持在安全状态或转移至安全状态的特性。共四十七页2、对日本1996年指南(zhnn)的几点体会1）日本专业人士本着有助于提高列车安全控制系统的安全性及为在此领域的国际舞台上，使日本的安全技术得到客观评价的思路，既回避了将微电子技术详细写入指南的内部分歧，又将其国内积累的技术和经验反映在指南的解说中。2）日本将其微电子安全技术的大部叙述纳入解说仅作为“提出的检查标准”而不像欧标意图在于“以法律的方式加以限制”。3）日本认为对指南存在的问题及改进，望今后加以修正和充实。总之，日本对构成指南的作法是客观积极，对细节留有余地。这并不影响我们(w men)对其指南的认识和参考。共四十七

19、页3“传统”与“微电子”“故障-安全(nqun)”技术的对比日本在解说中对传统的以继电器、分立元器件电子电路（下简称“传统”）为主体以及以微电子技术为主体的两种故障-安全技术和基本要点做对比：1）对以“传统”为主体的分析为安全设计采用了多种技术手法，如： （1）能量不对称法： 臂板信号机故障，依重力使臂板置于禁止状态 轨道电路故障，使轨道继电器失磁。 （2）闭环电路法： 轨道电路信号源与接收器分别(fnbi)置于钢轨线路两端，接收器以接收到规定信号量表述钢轨线路空闲，当钢轨线路断路故障，闭环被断开，或列车轮对分路，闭环信号被分流。共四十七页（3）串联检查 同一信号的双 信号灯泡串联联法，其中一

20、灯泡断丝时，另一灯泡同时(tngsh)灭灯（双黄及绿黄显示）。 四端头电容检查了双引线各自的完整，有时也检查电容极板的完整（即串联）。 变压器耦合，从功能上实现了交流信号的连接。 共四十七页（4）安全侧定义的分配 对于安全型继电器以无电失磁状态定义为安全侧的保护状态，如： GJ：轨道继电器失磁，表示该轨道电路已处于被列车占用的安全保护状态； DBJ ：道岔定位表示继电器失磁，表示该道岔定位方向线路未构成，道岔处于不能建立该方向进路的安全保护状态； XJ ：信号继电器失磁，表示其防护进路并未建立，处于禁止驶入的安全保护状态； SJ ：进路（或区段(q dun)）锁闭继电器失磁，表示该进路（或区段

21、(q dun)）已处于锁闭的安全保护状态； ZCJ ：进路照查继电器失磁，表示本进路已建立，已处于排除建立敌对进路的安全保护状态。共四十七页 列车轮对计轴法： 检查列车驶入和列车驶出区段分别记录的列车轮轴数量一致，以反映列车的占用与出清。 超速控制 经安全电路判断列车实际速度高于规定即时运行速度时，实行对列车的制动控制（实际上有入口控制、出口控制和即时控制三种）。 法国TVM300带速度监督的机车信号设备采用对列车实际速度中规定的运行上限（顶棚）和出口下限(xixin)（撞墙）速度，用故障-安全电路进行比较，当实际运行速度超速时，超速继电器CV失磁，构成列车最大常用制动。 ATS（列车点式电动

22、停车） 当列车经过检查点的运行速度超过点式速度控制的规定时，构成列车自动停车。 共四十七页（5）失效(sh xio)发生时，将现状维持于安全侧的方法 电锁器故障，控制线圈断电，使止档块落入转辙握柄的沟槽，避免握柄动作。 励磁保持继电器 转辙机确认工作到极处（定、反位）依靠机械结构动作杆实现4mm锁闭。共四十七页（6）联锁手法 采用定反位的表示机构； 定反位相互检核，即定位(dngwi)励磁继电器，反位要在失磁状态； 采用极性控制（道岔启动电路）（7）禁止使用危险因素 不使用反光镜式的显示器 长距离传输电源要与控制对象分置于两端 禁止使用安全型继电器下接点解锁。共四十七页2）对“微电子”为主体的

23、分析 在传统技术的基础上加之新的技术手法 （1）“微电子”与“传统技术”最大的不同之处是器件本身不具备非对称错误的特性。但是硬件和软件可以进行冗余设计；软件的高智能和高速处理能力可以附加高频度的系统诊断和自动检出错误功能。这样可以实现在发生故障时能够维持或转向系统安全(nqun)侧，取得高安全(nqun)度的微机安全(nqun)控制系统。而且该系统具备将控制状态锁定在安全(nqun)侧。共四十七页 （2）微机化系统须特别注意以下事项： 利用智能化进行错误诊断及异常处理，应谋求逻辑的简化，以避免复杂化造成预料不到的危险后果。 对故障的考虑方法：微电子部件的故障模式不能特定，且不具备非对称错误特性

24、。实现故障-安全基本思路是采用硬件及软件的冗余设计与错误诊断技术结合的系统设计方法。 对环境的考虑：针对微电器件功耗小，灵敏度高，比继电器更容易受到周围环境及干扰的影响，有必要参考MEC技术，并采取适当的对策（我们的弱项，差距大）。 对故障-安全试验(shyn)的考虑方法：对硬件软件两方面进行，必须采用与传统继电器电路试验(shyn)方法不同的工具方法，求得有效与可靠，并以系统安全性工程学的方法进行组织。共四十七页对于软件的单元测试，应进行适应(shyng)于安全性完善度等级的测试，测试内容应在软件模块设计说明书中记录下来，并记录测试结果。共四十七页四、版本(bnbn)四中国铁道部行业标准TB

25、/T 2615-94铁路信号故障-安全(nqun)原则1995.7.1实施1、“故障-安全”定义为： 故障以后导向安全。共四十七页2、对该标准(biozhn)的讨论1）对故障定义过于(guy)简化，缺少参考价值。2）其构成内容多来自UIC规程738-1-1980规程铁路信号技术中采用电子元器件时应遵循的主要安全条件中第4节“铁路信号设备安全性评定”和第5节“信号设备中采用电子元件的安全原则” 引用内容过早，许多关键技术（如集成电路微电子线路应用）尚处初期。 作为我国铁路信号安全技术的完整性、权威性业已过时，不具备现实性。建议不再作为“经书”。共四十七页五、对“故障-安全”定义(dngy)诸版本的评价1、必懂“故障-安全”原则的定义： “故障-安全”定义涉及到安全技术标准的核心。在此定义基础上衍生了诸多铁路信号安全技术标准。我国相关标准在国际上已处于被动受控状态。2、“版本二”是我们的重点，应给予足够重视 要十分重视欧标的理解及借鉴，深悟EN50126,128