SIL4功能安全在城軌車門控制器中的應(yīng)用

黃莉莉，張 偉，廖小美

(1 南京康尼機(jī)電股份有限公司，南京 210013；2 南京康尼電子科技有限公司，南京 210013)

隨著軌道交通近年來在中國(guó)市場(chǎng)的迅猛發(fā)展，軌道交通安全性問題也日益突顯。軌道交通運(yùn)輸中遵循“預(yù)防為主、早期投入”的策略，把預(yù)防、發(fā)現(xiàn)、糾正各類安全隱患作為重點(diǎn)，采用安全控制技術(shù)，及時(shí)防止行車事故的發(fā)生，避免出現(xiàn)嚴(yán)重事故威脅乘客人身安全。

軌道車輛門系統(tǒng)安全性也越來越受到企業(yè)和客戶的重視。國(guó)內(nèi)外客戶在軌道車輛門系統(tǒng)功能安全方面提出了越來越高的需求，希望產(chǎn)品在重要安全功能方面達(dá)到功能安全完整性的最高等級(jí)要求。

軌道車輛門系統(tǒng)的控制中心是車門控制器，接受車輛控制信號(hào)，控制門扇運(yùn)動(dòng)進(jìn)行開、關(guān)門動(dòng)作。車門控制器作為門控系統(tǒng)的核心，它的安全性直接關(guān)系到車門控制的安全。因此，研制高安全性的車門控制器具有非常重要的意義。

1 功能安全簡(jiǎn)介

1.1 功能安全概念

功能安全的概念源于國(guó)際電工委員會(huì)的IEC 61508標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的全稱是《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》。該標(biāo)準(zhǔn)中定義了功能安全：針對(duì)規(guī)定的危險(xiǎn)事件，為達(dá)到或保持受控設(shè)備的安全狀態(tài)，由電氣/電子/可編程電子安全相關(guān)系統(tǒng)、其他技術(shù)安全系統(tǒng)或其他風(fēng)險(xiǎn)降低措施實(shí)現(xiàn)的功能[1]。

IEC 61508是電氣與電子行業(yè)的通用標(biāo)準(zhǔn)，軌道交通領(lǐng)域基于此并參考多種其他標(biāo)準(zhǔn)，制定了鐵路應(yīng)用的標(biāo)準(zhǔn)規(guī)范： EN 50126《鐵路應(yīng)用-可靠性、可用性、可維護(hù)性和安全性規(guī)定和證明》，EN 50128《鐵路應(yīng)用-通訊、信號(hào)和程序系統(tǒng)——軌道控制和保護(hù)系統(tǒng)軟件》，EN 50129《鐵路應(yīng)用——通信、信號(hào)、處理系統(tǒng)——信號(hào)用安全相關(guān)電子系統(tǒng)》。在這3個(gè)標(biāo)準(zhǔn)中，對(duì)鐵路應(yīng)用中的功能安全及實(shí)現(xiàn)做了描述。

1.2 安全完整性等級(jí)概念

EN 50129中描述了安全需求規(guī)范：每個(gè)系統(tǒng)/子系統(tǒng)/設(shè)備的特定安全需求，都應(yīng)包括安全功能和安全完整性兩項(xiàng)[4]。安全功能就是系統(tǒng)/子系統(tǒng)/設(shè)備應(yīng)具備的實(shí)際與安全性相關(guān)的功能，通過危險(xiǎn)識(shí)別和分析、風(fēng)險(xiǎn)評(píng)估和分類實(shí)現(xiàn)；安全完整性則定義了每一個(gè)安全相關(guān)功能的安全完整性等級(jí)，通過安全完整性等級(jí)分配來實(shí)現(xiàn)。當(dāng)特定的安全功能獲得實(shí)現(xiàn)，并且其所對(duì)應(yīng)的安全完整性等級(jí)也被滿足的時(shí)候，功能安全的目標(biāo)才達(dá)到。

為了描述安全功能所對(duì)應(yīng)的安全完整性等級(jí)，引入了SIL概念，它是Safety Integrity Level的縮寫，是對(duì)諸如質(zhì)量管理和安全管理以及技術(shù)安全條件這類要素的定性評(píng)價(jià)。它表示一個(gè)安全相關(guān)系統(tǒng)實(shí)現(xiàn)安全功能的能力。安全完整性等級(jí)越高，它在執(zhí)行所需的安全功能時(shí)失效的可能性越低。EN 50129中，安全完整性被分為4個(gè)離散等級(jí)，SIL4為安全完整性最高等級(jí)，SIL1為最低等級(jí)，SIL0用于無安全性需求的應(yīng)用場(chǎng)合。

1.3 安全完整性等級(jí)的實(shí)現(xiàn)方式

為了實(shí)現(xiàn)系統(tǒng)/子系統(tǒng)/設(shè)備的特定功能安全需求，應(yīng)滿足以下兩項(xiàng)要求：(1)安全功能達(dá)到安全狀態(tài)；(2)安全功能的安全完整性達(dá)到要求。安全完整性以定性的安全目標(biāo)和與之關(guān)聯(lián)的定量目標(biāo)的形式出現(xiàn)，定性目標(biāo)以1.2節(jié)所述安全完整性等級(jí)形式給出；定量目標(biāo)以失效率形式給出。由于無法對(duì)系統(tǒng)失效進(jìn)行量化，因此安全完整性等級(jí)被用作匹配定性方法和定量方法的手段[4]。由此引入了THR概念，它是Tolerable Hazard Rate的縮寫，表示可容忍的危害發(fā)生的概率。THR和SIL的對(duì)應(yīng)關(guān)系通過表1來確定。

表1 SIL等級(jí)和THR對(duì)照表

該對(duì)照表可根據(jù)危險(xiǎn)率確定安全完整性等級(jí)；也可根據(jù)安全完整性等級(jí)設(shè)計(jì)系統(tǒng)或子系統(tǒng)以使其滿足THR要求。

如果某安全功能的允許危險(xiǎn)率可用一種定量方法獲得THR，則其安全完整性等級(jí)可通過表1確定[3]。而其可量化的THR，則可以通過FTA(故障樹分析)等方法，分配到子系統(tǒng)中，最后反應(yīng)到硬件的FR(Failure Rate，失效率，可靠性相關(guān))上。

同時(shí)，根據(jù)軟件應(yīng)用的風(fēng)險(xiǎn)水平和系統(tǒng)安全完整性等級(jí)，確定軟件安全完整性等級(jí)。根據(jù)軟件安全完整性等級(jí)，選擇軟件開發(fā)的生命周期模型，并在軟件質(zhì)量保證計(jì)劃中詳細(xì)說明，由評(píng)估員實(shí)現(xiàn)對(duì)軟件的評(píng)估，評(píng)估過程貫穿整個(gè)生命周期。

1.4 功能安全認(rèn)證

功能安全認(rèn)證是基于IEC 61508(軌道交通領(lǐng)域?qū)?yīng)EN 50126、EN 50128、EN 50129)等標(biāo)準(zhǔn)，對(duì)產(chǎn)品的安全完整性等級(jí)進(jìn)行評(píng)估和確認(rèn)的一種第3方評(píng)估、驗(yàn)證和認(rèn)證。功能安全認(rèn)證主要涉及針對(duì)產(chǎn)品開發(fā)流程的文檔管理評(píng)估，硬件可靠性計(jì)算和評(píng)估，軟件評(píng)估，環(huán)境試驗(yàn)、EMC電磁兼容試驗(yàn)評(píng)估等內(nèi)容。功能安全認(rèn)證貫穿產(chǎn)品整個(gè)安全生命周期。IEC 60158中規(guī)定：可進(jìn)行功能安全評(píng)估的人、部門或組織必須是獨(dú)立的，與被評(píng)估的項(xiàng)目沒有任何關(guān)系。SIL1的產(chǎn)品功能安全評(píng)估由個(gè)人或部門來完成；SIL2的產(chǎn)品功能安全評(píng)估由相關(guān)部門進(jìn)行；SIL3以上的產(chǎn)品要求第3方機(jī)構(gòu)認(rèn)證。

2 車門控制器功能安全簡(jiǎn)介

車門是乘客進(jìn)出列車的唯一通道，面向的對(duì)象是大量乘客，因此車門控制器的安全直接關(guān)系到乘客人身安全。在對(duì)車門控制器潛在的所有危險(xiǎn)進(jìn)行初步危害分析后，評(píng)估出危險(xiǎn)發(fā)生的頻率、嚴(yán)重程度，然后依據(jù)EN 50126標(biāo)準(zhǔn)的4.6章節(jié)，定義危害的風(fēng)險(xiǎn)類別。綜合以上分析，得出車門控制器“意外開門”的功能安全目標(biāo)如表2所示：

表2 車門控制器功能安全表

車門控制器接收車輛頂層控制系統(tǒng)傳輸?shù)牧熊嚲€信號(hào)(開門、關(guān)門等)、傳感器信號(hào)(行程開關(guān)、位置傳感器等)、車輛網(wǎng)絡(luò)信號(hào)等，判斷對(duì)應(yīng)時(shí)刻是否需要執(zhí)行開門或關(guān)門命令，繼而控制電機(jī)進(jìn)行正轉(zhuǎn)或反轉(zhuǎn)，驅(qū)動(dòng)車門完成解鎖、開門或關(guān)門動(dòng)作。車門控制器結(jié)構(gòu)框圖如圖1所示。

圖1 車門控制器結(jié)構(gòu)框圖

車門控制器的本質(zhì)在于接收外部信號(hào)完成開關(guān)門判斷，并驅(qū)動(dòng)電機(jī)實(shí)現(xiàn)開門或關(guān)門功能。根據(jù)表2可知，車門控制器安全性要求最高的功能是“意外開門”功能。意外開門發(fā)生的必要條件是電機(jī)正轉(zhuǎn)(假設(shè)正轉(zhuǎn)表示開門，反轉(zhuǎn)表示關(guān)門)，結(jié)合圖1，電機(jī)正轉(zhuǎn)的必要條件是電機(jī)電源得電并且電機(jī)驅(qū)動(dòng)電路正常。因此，為了實(shí)現(xiàn)“意外開門”功能的SIL4級(jí)高安全性，設(shè)計(jì)一個(gè)“安全電路”，作用于電機(jī)電源及電機(jī)驅(qū)動(dòng)電路，如圖1所示“安全電路”模塊，以保證“意外開門”功能的安全完整性等級(jí)達(dá)到SIL4。

3 車門控制器SIL4功能安全的實(shí)現(xiàn)

EN 50129標(biāo)準(zhǔn)中規(guī)定了SIL4功能安全的3種實(shí)現(xiàn)方式：組合式實(shí)現(xiàn)；反應(yīng)式實(shí)現(xiàn)；固有式實(shí)現(xiàn)。

組合式實(shí)現(xiàn)：采用組合式實(shí)現(xiàn)方式，每個(gè)安全相關(guān)功能應(yīng)至少由兩個(gè)項(xiàng)來執(zhí)行。各項(xiàng)之間互相獨(dú)立，避免共因失效，并且應(yīng)該能檢測(cè)出一個(gè)項(xiàng)中的危險(xiǎn)故障并在足夠的時(shí)間內(nèi)加以拒絕，以避免第2個(gè)項(xiàng)發(fā)生相同故障。組合式安全電路實(shí)現(xiàn)原理如圖2所示。

圖2 組合式安全電路

組合式安全電路的本質(zhì)是采用相異的冗余電路實(shí)現(xiàn)功能安全，消除電路單點(diǎn)故障。

反應(yīng)式實(shí)現(xiàn)：采用反應(yīng)式實(shí)現(xiàn)方式，這種技術(shù)允許一個(gè)安全功能由單個(gè)項(xiàng)執(zhí)行，前提是通過快速的危險(xiǎn)故障檢測(cè)和拒絕來確保它的安全操作。雖然只由一個(gè)項(xiàng)來實(shí)施實(shí)際的安全功能，但檢查/測(cè)試/檢測(cè)功能應(yīng)被看作第2項(xiàng)，并且兩項(xiàng)之間相互獨(dú)立，避免共因失效。反應(yīng)式安全電路實(shí)現(xiàn)原理如圖3所示。

圖3 反應(yīng)式安全電路

反應(yīng)式安全電路的本質(zhì)是利用相異電路互相校驗(yàn)實(shí)現(xiàn)功能安全。

固有式實(shí)現(xiàn)：采用固有式實(shí)現(xiàn)方式，一個(gè)安全功能僅由單個(gè)項(xiàng)執(zhí)行，且該項(xiàng)所有失效模式均為安全的。固有式安全電路實(shí)現(xiàn)原理如圖4所示。

圖4 固有式安全電路

固有式安全電路的本質(zhì)是利用電路的獨(dú)特性確保電路任何失效模式均導(dǎo)向安全，實(shí)現(xiàn)功能安全。

綜合車門控制器的設(shè)計(jì)結(jié)構(gòu)及功能安全的3種實(shí)現(xiàn)方式，在車門控制器中采用第3種方式——固有式安全電路實(shí)現(xiàn)SIL4功能安全。SIL4安全電路控制框圖如圖5所示。

圖5 SIL4安全電路控制框圖

SIL4安全電路確保不會(huì)給電機(jī)驅(qū)動(dòng)電路提供錯(cuò)誤輸出，無論任何器件出現(xiàn)故障，都不會(huì)誤觸發(fā)電機(jī)驅(qū)動(dòng)電路，從而不出現(xiàn)“意外開門”，滿足固有式安全電路“所有失效模式均為安全的”條件。

4 車門控制器SIL4安全等級(jí)的驗(yàn)證

4.1 SIL4等級(jí)驗(yàn)證

SIL4安全電路通過接收車輛列車線信號(hào)及外部傳感器信號(hào)決定是否給電機(jī)驅(qū)動(dòng)電路供電。在電機(jī)驅(qū)動(dòng)電路模塊得電的情況下，CPU控制輸出開關(guān)門命令確保電機(jī)正常運(yùn)轉(zhuǎn)?？梢姡篠IL4安全電路的失效率越低，電機(jī)誤動(dòng)作的概率越低，車門控制器的安全性越高。

在車門控制器“意外開門”功能SIL4等級(jí)要求上，通過固有式故障安全電路實(shí)現(xiàn)，其固有故障特性保證電路發(fā)生故障時(shí)導(dǎo)向安全，因此只需要通過計(jì)算可量化的THR，使其滿足表1即可。而其可量化的THR，則可以通過FTA分析計(jì)算得出。

通過FTA分析方法，首先確定意外開門(頂事件)的直接原因或間接原因(或其組合)，自頂向下一層一層展開原因分析，直至分析至基本事件(單個(gè)器件的失效)。器件的失效率根據(jù)美軍標(biāo)MIL-HDBK-217FN2進(jìn)行預(yù)計(jì)，器件的失效模式及失效模式百分比根據(jù)EN 50129標(biāo)準(zhǔn)的附錄表進(jìn)行，由此得出器件級(jí)別的FMECA(Failure Mode Effect Criticality Analysis的縮寫)分析表。FTA的基本事件可根據(jù)FMECA分析表中單個(gè)器件某種失效模式下的失效率及失效影響計(jì)算得出。最后應(yīng)用自下而上的方法，計(jì)算出頂事件的THR。

通過此種分析計(jì)算，可得車門控制器“意外開門”功能的THR為1.946×10-10，參見圖6(故障樹的一部分)。

圖6 SIL4功能安全車門控制器意外開門FTA簡(jiǎn)圖

綜上計(jì)算可知，“意外開門”功能的故障率滿足10-9=

4.2 SIL4級(jí)功能安全認(rèn)證

依據(jù)1.4節(jié)所述，SIL3以上的產(chǎn)品要求第3方機(jī)構(gòu)認(rèn)證。安全認(rèn)證的目的是驗(yàn)證產(chǎn)品達(dá)到所述的功能安全。第3方認(rèn)證機(jī)構(gòu)全程參與了本車門控制器的評(píng)估及審核。主要包括如下幾個(gè)方面：

(1)建立功能安全管理體系，確定系統(tǒng)、軟件、硬件的安全生命周期所有階段的管理、技術(shù)活動(dòng)及各個(gè)階段的文檔記錄，通過體系保障安全完整性；

(2)進(jìn)行功能安全認(rèn)證評(píng)估，包括3個(gè)階段，分別是概念階段審查(產(chǎn)品規(guī)范、設(shè)計(jì)、安全報(bào)告)、測(cè)試階段審查(功能性測(cè)試、安全性測(cè)試、測(cè)試報(bào)告)、認(rèn)證階段審查(經(jīng)過測(cè)試的產(chǎn)品認(rèn)證)；

(3)給出SIL認(rèn)證的結(jié)論及證書，結(jié)合產(chǎn)品整個(gè)生命周期的所有文檔材料及各類試驗(yàn)報(bào)告證明產(chǎn)品符合相關(guān)功能安全標(biāo)準(zhǔn)的規(guī)定；

經(jīng)過上述所有認(rèn)證過程，第3方認(rèn)證機(jī)構(gòu)確定本車門控制器在“意外開門”功能上符合SIL4級(jí)功能安全要求。

4.3 SIL4級(jí)車門控制器的應(yīng)用

SIL4級(jí)車門控制器委托第3方測(cè)試檢驗(yàn)單位完成了電磁兼容性試驗(yàn)、環(huán)境試驗(yàn)、通信網(wǎng)絡(luò)一致性試驗(yàn)等各項(xiàng)型式試驗(yàn)測(cè)試，測(cè)試全部通過。

同時(shí)通過了第3方認(rèn)證機(jī)構(gòu)對(duì)車門控制器技術(shù)設(shè)計(jì)、測(cè)試驗(yàn)證等全過程的專業(yè)審核，獲得認(rèn)證機(jī)構(gòu)授予的符合EN 50126、EN 50128、EN 50129 SIL4級(jí)功能安全認(rèn)證證書。

完成型式試驗(yàn)和第3方安全認(rèn)證后，SIL4級(jí)車門控制器在國(guó)內(nèi)兩條城軌線路進(jìn)行了約一年的正線試運(yùn)營(yíng)，檢驗(yàn)了SIL4級(jí)車門控制器的設(shè)計(jì)和高安全性，為未來高安全需求的車門控制提供了解決方案。

5 結(jié)束語

隨著城市軌道交通的高速發(fā)展，軌道車門數(shù)量與日俱增，客戶對(duì)車門控制器高安全性的需求也日益提升。因此，研發(fā)SIL4級(jí)功能安全的車門控制器，并通過第3方獨(dú)立機(jī)構(gòu)認(rèn)證，既滿足了客戶對(duì)車門控制器高安全性的需求；又填補(bǔ)了國(guó)內(nèi)車門控制器SIL4級(jí)功能安全的空白，提高了車門控制器在國(guó)際市場(chǎng)的競(jìng)爭(zhēng)力。