地鐵列車邏輯控制單元的安全性設(shè)計與研究

蘇 醒，李 鴻，姜俊彤

（長沙理工大學 電氣與信息工程學院，長沙 410114）

自動控制系統(tǒng)的安全性和可靠性已經(jīng)成為系統(tǒng)設(shè)計的重要指標。在工業(yè)生產(chǎn)中，安全問題越來越受到國家的重視與管控，所以控制系統(tǒng)的安全設(shè)計就顯得愈加重要。列車邏輯控制單元LCU作為列車控制系統(tǒng)的重要組成部分，其安全性值得關(guān)注和研究。

IEC 61508是功能安全的通用標準，英國等發(fā)達國家已將安全標準在相關(guān)行業(yè)強制實施。對安全性的研究在國內(nèi)雖然發(fā)展較晚，但隨后也頒布了對應(yīng)IEC標準的國標如GB/T 20438，然而安全標準在國內(nèi)僅為推薦而并未強制實施[1-2]。在國內(nèi)相關(guān)行業(yè)內(nèi)，功能安全在石油化工領(lǐng)域有著廣泛的應(yīng)用，隨著社會經(jīng)濟的發(fā)展，人們對生產(chǎn)安全的要求逐漸提高，功能安全勢必會在其它行業(yè)得到應(yīng)用。

近年來，我國的軌道交通發(fā)展迅速，但很多軌道交通電子控制設(shè)備并未嚴格滿足功能安全的標準，軌道交通電子產(chǎn)品的安全性勢必成為人們研究的熱點。在此，分析LCU的系統(tǒng)安全設(shè)計，介紹如何從系統(tǒng)設(shè)計角度提高安全性；計算相關(guān)失效率，建立故障樹模型，計算安全完整性等級，定量分析輯控制單元LCU系統(tǒng)硬件的安全性；考慮失效率的不確定性，提出使用模糊故障樹，以使其結(jié)果更符合實際。

1 安全設(shè)計理論

安全性常與可靠性一起出現(xiàn)，但兩者側(cè)重點不同?？煽啃缘亩x是指在設(shè)計技術(shù)規(guī)范內(nèi)，系統(tǒng)能夠完成預定功能的概率，而安全性更注重于當系統(tǒng)發(fā)生失效時是否會導致危險的結(jié)果發(fā)生。兩者的區(qū)別如圖1所示。

圖1 安全性與可靠性的區(qū)別Fig.1 Difference between security and reliability

當系統(tǒng)沒完成預定功能時，稱之為失效，失效概率反應(yīng)了系統(tǒng)的可靠性。由圖1可見，系統(tǒng)失效可分為安全失效和危險失效，安全失效又稱“誤動作”，首先它是失效，其次這種失效是安全的，沒有危險工況發(fā)生；危險失效是指系統(tǒng)既發(fā)生了失效又發(fā)生了危險工況。由此可知，安全性對系統(tǒng)的要求更高，在此安全性研究重點是系統(tǒng)發(fā)生危險失效的概率。

安全PLC源于安全儀表系統(tǒng)，根據(jù)邏輯控制器采用的技術(shù)，從原理上將安全儀表系統(tǒng)分為電氣、電子、可編程電子3類。安全PLC屬于可編程電子系統(tǒng)，與前兩類相比具有方便靈活的編程能力。

安全PLC不僅可以提供普通PLC的功能，更注重實現(xiàn)安全控制功能，符合IEC 61508等控制系統(tǒng)安全相關(guān)部件標準的要求。安全PLC具有以下特點：故障安全，冗余結(jié)構(gòu)，安全自檢，安全編程環(huán)境，安全等級認證，等。為保障列車LCU的安全性和可靠性，以及達到SIL安全認證標準，在LCU的設(shè)計中，參考安全PLC的概念和設(shè)計要求，設(shè)計出適用于地鐵列車的新型安全可靠的列車LCU。

2 LCU系統(tǒng)安全設(shè)計

2.1 列車LCU

邏輯控制單元LCU是軌道列車上進行數(shù)字邏輯控制的裝置[3]。其主要功能是采集列車上的接觸器輔助觸點、隔離開關(guān)，以及司機室控制器、按鍵開關(guān)、列車網(wǎng)絡(luò)等信號，經(jīng)邏輯計算處理后，輸出驅(qū)動車輛各類負載設(shè)備，完成列車指定的時序控制功能。

傳統(tǒng)的列車控制電路大量采用繼電器，這種觸點式電路存在易老化、接觸不良、易失效等問題，嚴重影響車輛的安全性。與傳統(tǒng)繼電器控制電路相比，列車LCU不僅克服觸點電路的缺點，還具有多冗余、自診斷、故障數(shù)據(jù)存儲等功能，使用壽命大大提升，安全性與可靠性也大大提高。因此，用MOSFET替代繼電器的無觸點式列車LCU勢必會越來越廣泛普及。

2.2 LCU系統(tǒng)冗余設(shè)計

基于安全PLC理論的LCU采用模塊化設(shè)計。其中電源板、IO板、主控板都具備硬件相同的A，B雙板卡，互為冗余?？刂破骶钟蚓W(wǎng)絡(luò)CAN（controller area network）板卡與多功能車輛總線MVB（multifunction vehicle bus）板卡，都具有2套獨立冗余的網(wǎng)絡(luò)總線。各板卡間通過CAN總線通信，MVB板卡通過MVB與列車控制和管理系統(tǒng)TCMS（train control and management system）網(wǎng)絡(luò)通信。模塊化設(shè)計使得實際使用中的維修更加方便、快捷，故障時只需更換對應(yīng)板卡即可，縮短了設(shè)備維修時間。LCU機箱各模塊配置如圖2所示。

圖2 LCU模塊配置Fig.2 LCU module configuration

除了為整個機箱板卡提供電源的電源模塊和用于數(shù)據(jù)收發(fā)的通信模塊外，輸入、輸出及控制模塊是整個LCU控制的核心，也是本文主要研究內(nèi)容。輸入模塊的主要作用是數(shù)據(jù)采集及輸入診斷等，并對其封裝后通過CAN總線發(fā)送給控制模塊；控制模塊根據(jù)總線接收到的數(shù)據(jù)進行邏輯處理，然后對輸出模塊發(fā)出指令；輸出模塊負責數(shù)據(jù)輸出及輸出診斷。

3 LCU控制系統(tǒng)結(jié)構(gòu)

系統(tǒng)結(jié)構(gòu)是影響系統(tǒng)安全性的重要因素之一。輸入模塊、控制模塊、輸出模塊均有A，B兩個相同的通道，兩通道的結(jié)構(gòu)為1oo2D，它們互為冗余并帶有診斷電路。MCU之間用CAN總線通信，實現(xiàn)通道數(shù)據(jù)同步和控制同步，總線通信采用安全協(xié)議封裝。2個通道進行交叉互診斷，診斷內(nèi)容包括輸入開路短路、MCU自診斷、輸出開路短路等[4-5]。輸入輸出及控制模塊的結(jié)構(gòu)如圖3所示。

圖3 輸入輸出及控制模塊結(jié)構(gòu)框圖Fig.3 Block diagram of input and output and control module

為了降低共因失效，2個通道的MCU采用不同的型號。整個輸入輸出及控制模塊采用1oo2D結(jié)構(gòu)，該模塊可以簡化為如圖4所示。1oo2D結(jié)構(gòu)有2個并行的通道，當其中任意一個通道發(fā)生故障時，系統(tǒng)仍然可以通過另一通道正常運行，完成系統(tǒng)預定功能，可以降低系統(tǒng)失效。其次，每個通道都有診斷電路，診斷電路與輸出通道串聯(lián)，檢測到故障時可以獨立關(guān)閉通道輸出，提高系統(tǒng)的安全性。

圖4 1oo2D系統(tǒng)結(jié)構(gòu)Fig.4 1oo2D system structure

與2oo3，2oo4系統(tǒng)結(jié)構(gòu)相比，在考慮系統(tǒng)成本的情況下，1oo2D結(jié)構(gòu)也能提供較高級別的安全性和可用性。

4 系統(tǒng)安全性分析

為了驗證LCU系統(tǒng)的安全性，對LCU硬件部分進行定量分析及建模研究。衡量系統(tǒng)安全性的指標是系統(tǒng)發(fā)生危險失效的概率，因此安全性分析的重點就是計算危險失效的概率。LCU除了通信板、背板外，都做了冗余設(shè)計。在計算失效率時，冗余部件應(yīng)考慮系統(tǒng)結(jié)構(gòu)對系統(tǒng)失效的影響。

LCU失效概率計算框圖如圖5所示。LCU安全性分析從最底層的元器件失效率開始，先計算板卡級的失效率，再考慮系統(tǒng)結(jié)構(gòu)，搭建故障樹模型，計算整個LCU的失效參數(shù)。

圖5 LCU失效概率計算框圖Fig.5 Block diagram of LCU failure probability calculation

要求時失效概率PFD（Probability of Failure on Demand），是用于衡量系統(tǒng)安全性的指標。它意味著系統(tǒng)是危險的，系統(tǒng)執(zhí)行規(guī)定安全功能的不可用性，即危險失效概率，它不會在要求（潛在的緊急條件）發(fā)生時產(chǎn)生規(guī)定的響應(yīng)。要求時平均失效概率PFDavg（average Probability of Failure on Demand），用于描述系統(tǒng)需求時平均失效的術(shù)語，表示控制系統(tǒng)發(fā)生執(zhí)行規(guī)定安全功能的平均不可用性。

4.1 元器件失效率的計算

系統(tǒng)研究的對象是由電子電路構(gòu)成的控制系統(tǒng)，主要由電子元器件組成。電子元器件的失效除了自身內(nèi)部原因失效（基本失效率），還與外界環(huán)境、溫度、應(yīng)力等因素相關(guān)。以電路中廣泛使用的二極管為例，其工作失效率為

式中：λp為工作失效率，10-6/h；λb為基本失效率；πE為環(huán)境系數(shù)；πQ為質(zhì)量系數(shù)；πT為溫度系數(shù)；πS為應(yīng)力系數(shù)。

其它元器件計算類似，相關(guān)數(shù)據(jù)可根據(jù)元器件選型查閱說明手冊得到，由此可計算出LCU所有的元器件工作失效率。

4.2 板卡級硬件電路的失效模式影響及診斷分析

失效模式影響及診斷分析FMEDA（Failure Modes Effects and Diagnostic Analysis），是一種“自底向上”的方法，由電子電路系統(tǒng)每個元器件的一個詳細的列表開始，一次一個部件地分析整個系統(tǒng)[6]。FMEDA列出了系統(tǒng)每個部件（元器件）的失效模式、失效類型、失效影響、失效率、診斷檢測能力等信息。可由FMEDA得到元件的安全失效率λs、危險失效率λd，影響系統(tǒng)安全性的主要原因來自危險失效[7]。

該控制系統(tǒng)板卡內(nèi)部加入了診斷電路。診斷電路可以減少冗余系統(tǒng)處于降級運行模式下的時間，也可以在系統(tǒng)危險失效時檢測到失效，便于迅速采取安全措施保證系統(tǒng)安全。設(shè)定當診斷電路檢測到危險失效時，可以將輸出置于安全側(cè)，系統(tǒng)不會造成危險后果，則計算安全指標時僅需考慮未檢測到的危險失效。帶診斷的系統(tǒng)存在診斷覆蓋率的問題，診斷覆蓋率反應(yīng)了系統(tǒng)的檢測能力。診斷覆蓋率的取值可參考IEC 61508-6，診斷覆蓋率分為安全失效診斷覆蓋率和危險失效診斷覆蓋率，在此僅考慮危險失效。可計算出系統(tǒng)各元件危險未檢測到的失效率λDU為

式中：Cd為危險失效診斷覆蓋率。假設(shè)各元件失效均引起板卡失效，則板卡失效率為板卡各元件失效率之和。

當系統(tǒng)存在冗余部件時，共因失效會導致系統(tǒng)發(fā)生安全失效或危險失效。在此采用雙通道冗余設(shè)計，因此需要考慮共因失效給系統(tǒng)帶來的影響。

共因失效通常采用β模型，β因子將故障分為共因失效部分、一般失效部分?？梢杂嬎愠龈靼蹇ㄔ诳紤]診斷和共因失效下的失效率：

——危險未檢測到的一般失效率λDUN為

——危險未檢測到的共因失效率λDUC為

4.3 模糊故障樹模型及系統(tǒng)安全性指標

在得到系統(tǒng)各板卡的失效數(shù)據(jù)后，可進行系統(tǒng)可靠性建模計算?？刂葡到y(tǒng)的安全性與可靠性建模常用的方法有故障樹分析、網(wǎng)絡(luò)建模和馬爾可夫模型。不同模型的結(jié)果均依賴于所用模型的細化程度，如多失效模式、共因和診斷等。

系統(tǒng)采用故障樹模型進行安全性建模，并考慮了共因和診斷對系統(tǒng)的影響。以冗余板卡為例，LCU的冗余設(shè)計采用1oo2D結(jié)構(gòu)，導致頂事件系統(tǒng)危險失效的底事件，需滿足A，B兩板卡均發(fā)生危險失效，且失效不能被診斷程序檢測到。對應(yīng)4.2節(jié)的A，B兩板卡發(fā)生危險未檢測到的共因失效，或單個板卡均發(fā)生危險未檢測到的一般失效。建立故障樹模型如圖6所示。

圖6 1oo2D結(jié)構(gòu)故障樹Fig.6 1oo2D structure fault tree

1oo2D結(jié)構(gòu)要求時失效概率近似計算公式[6]為

式中：Ti為設(shè)備周期性檢查間隔時間。設(shè)備周期性檢查時可以完全修復系統(tǒng)。

考慮到底事件失效率的不確定性[7]，引入模糊概率，應(yīng)用模糊理論和擴展原理進行模糊處理，得到事件失效率的模糊區(qū)間，使得到的數(shù)據(jù)更加符合實際失效率特性。底事件采用的三角模糊數(shù)為

其隸屬函數(shù)[8]為

底事件A/B板卡DUC失效的三角模糊數(shù)為（λDUC-α1，λDUC，λDUC+ β1），由于 A/B 板卡設(shè)計完全相同，底事件A板卡或B板卡DUN失效，計算時可使用相同的三角模糊數(shù)（λDUN-α2，λDUN，λDUN+ β2），則

由此代入式（5），可計算出頂事件模糊概率為

假設(shè)各功能模塊失效均引起系統(tǒng)失效，則LCU設(shè)備要求時失效概率PFD為各模塊PFD之和。而要求時平均失效概率PFDavg為運行時間上危險失效PFD概率平均值[9]，即

5 結(jié)果分析

5.1 安全完整性等級

根據(jù)IEC 61508，安全完整性等級SIL（safety integrity level）是一種離散的等級，用于規(guī)定分配給電氣/電子/可編程電子安全相關(guān)系統(tǒng)安全功能的安全完整性要求[10]。安全完整性等級共分為4個等級，其中SIL4為最高等級，SIL1為最低等級。安全完整性等級越高，系統(tǒng)應(yīng)執(zhí)行所要求的安全功能的概率也越高，系統(tǒng)的可靠性也就越高。安全完整性等級（低要求模式）見表1，在低要求模式下，安全完整性等級使用要求時平均失效概率作為等級劃分指標。

表1 安全完整性等級（低要求模式）Tab.1 Safety integrity level（low demand mode）

5.2 SIL計算結(jié)果分析

假設(shè)元件失效率在生命周期內(nèi)保持不變，取β=0.03，LCU設(shè)備檢修周期為0.5 a，根據(jù)上述方法模型，最終計算出LCU設(shè)備0.5 a的PFDavg模糊數(shù)為（1.147×10-3，1.508×10-3，2.169×10-3）。 根據(jù)表 1，基于1oo2D結(jié)構(gòu)的列車LCU，其PFDavg在模糊概率最壞的情況下，滿足安全完整性等級SIL2。

可靠性指標的計算與很多建模細節(jié)因素有關(guān)，如：失效率，多失效模式（安全失效、危險失效），診斷（覆蓋率），共因失效，系統(tǒng)結(jié)構(gòu)，模型方法，等。在計算過程中考慮的因素越多，計算結(jié)果越可靠。

6 結(jié)語

新型的地鐵列車LCU參考了安全PLC設(shè)計理論，采用1oo2D系統(tǒng)結(jié)構(gòu)，通過冗余和診斷設(shè)計提高了LCU的安全性與可靠性，達到國際上對軌道交通產(chǎn)品的安全標準。從LCU系統(tǒng)控制結(jié)構(gòu)入手，實現(xiàn)了功能安全的相關(guān)設(shè)計，計算了相關(guān)失效率，通過模糊故障樹模型，驗證其安全完整性等級。定量分析結(jié)果表明，LCU在安全性指標上滿足SIL2的要求。滿足了安全標準的軌道交通產(chǎn)品，在實際應(yīng)用中更加安全可靠，在國內(nèi)外市場上將具有更大的競爭力。故障樹模型簡單易懂，加上模糊概率后，更加符合實際，如果能夠考慮時變失效率的問題，計算結(jié)果會更加可靠。