城軌車輛牽引系統(tǒng)安全功能的確定方法與設(shè)計策略研究

摘 要：根據(jù)鐵路應(yīng)用系列安全標(biāo)準(zhǔn)相關(guān)要求，車輛及其子系統(tǒng)的安全功能應(yīng)滿足相應(yīng)安全完整性等級（SIL）要求，以保證整個系統(tǒng)的安全性。通常要求車輛牽引系統(tǒng)的安全功能須滿足SIL2等級，現(xiàn)基于EN 50126標(biāo)準(zhǔn)中對系統(tǒng)安全性的管理規(guī)范和說明，對某全自動駕駛地鐵車輛牽引系統(tǒng)安全功能的確定過程和方法以及安全功能的設(shè)計策略進(jìn)行了探究。

關(guān)鍵詞：全自動駕駛；地鐵車輛；牽引系統(tǒng)；安全功能；SIL

中圖分類號：U270.2" " 文獻(xiàn)標(biāo)志碼：A" " 文章編號：1671-0797（2025）01-0046-04

DOI：10.19514/j.cnki.cn32-1628/tm.2025.01.011

0" " 引言

近年來，受益于現(xiàn)代通信、自動控制、計算機(jī)等技術(shù)快速發(fā)展，全自動駕駛系統(tǒng)在軌道交通行業(yè)的應(yīng)用日趨穩(wěn)定成熟。車輛作為軌道交通運(yùn)行系統(tǒng)的重要載體，對車輛相關(guān)功能的安全性要求高于常規(guī)運(yùn)行系統(tǒng)。根據(jù)鐵路應(yīng)用系列安全標(biāo)準(zhǔn)要求，車輛子系統(tǒng)的安全功能應(yīng)達(dá)到相應(yīng)的SIL等級；最新發(fā)布的DB 32/T 4320—2022《城市軌道交通全自動運(yùn)行線路初期運(yùn)營前安全評估技術(shù)規(guī)范》[1]中同樣明確規(guī)定了車輛子系統(tǒng)安全功能的SIL等級（表1）。

1" " 基本概念

1.1" " 風(fēng)險矩陣

風(fēng)險矩陣根據(jù)風(fēng)險發(fā)生的頻率和嚴(yán)重程度來評估風(fēng)險等級。軌道交通主管部門按照風(fēng)險可接受原則，明確不同等級的風(fēng)險應(yīng)采取的管理方式和措施，以降低風(fēng)險等級，保證系統(tǒng)的安全性。表2為某全自動駕駛地鐵線路技術(shù)規(guī)范中要求的風(fēng)險概念和定義表，表3為風(fēng)險矩陣表。

1.2" " 安全完整性等級

安全完整性等級是對系統(tǒng)所要求的安全完整性水平的一種定量指標(biāo)。根據(jù)EN 50129標(biāo)準(zhǔn)[2]，SIL等級劃分是以每小時每種功能的可容忍危害率（THR）衡量，如表4所示，分為4個等級，即SIL1～SIL4，其中SIL等級越高，則系統(tǒng)安全功能失效的可能性就越小[3]。若某一種風(fēng)險的等級被評估為不容許或不能接受，在風(fēng)險嚴(yán)重程度已知的情況下，需要采取使風(fēng)險發(fā)生頻率降低的措施實(shí)現(xiàn)降低風(fēng)險等級的目的。提高系統(tǒng)安全功能的SIL等級是措施之一，從系統(tǒng)設(shè)計階段開始，對安全功能的THR提出要求，采用技術(shù)手段對功能的THR進(jìn)行控制，從而降低風(fēng)險發(fā)生頻率。由此可見，風(fēng)險發(fā)生頻率與THR相對應(yīng)，可將風(fēng)險等級降至可接受范圍（容許或可忽略）對應(yīng)的風(fēng)險發(fā)生頻率作為THR目標(biāo)值，最終確定安全功能應(yīng)達(dá)到的SIL等級。

2" " 安全功能與SIL等級的確定

根據(jù)EN 50126標(biāo)準(zhǔn)[4]的安全管理要求，整個系統(tǒng)從設(shè)計到報廢全生命周期各個階段都需要進(jìn)行可靠性、可用性、可維護(hù)性和安全性（RAMS）管理活動。在系統(tǒng)開發(fā)設(shè)計階段，車輛制造廠采用國際安全標(biāo)準(zhǔn)規(guī)定的方法進(jìn)行危害識別、風(fēng)險分析、風(fēng)險評估、安全目標(biāo)分配等安全性分析工作，以確定子系統(tǒng)的安全功能及相應(yīng)的SIL等級。一般過程具體如下：

1）確定安全功能并分配安全目標(biāo)。此過程需要在最初的開發(fā)階段完成，通過諸如預(yù)先危害分析（PHA）等方法確定出對安全產(chǎn)生影響的子系統(tǒng)功能，參考類似鐵路系統(tǒng)的運(yùn)行經(jīng)驗(yàn)或國際公布的標(biāo)準(zhǔn)數(shù)據(jù)指南，依據(jù)規(guī)范標(biāo)準(zhǔn)或合同技術(shù)要求，為子系統(tǒng)安全功能分配相應(yīng)的安全目標(biāo)。

2）分析研究系統(tǒng)及子系統(tǒng)的安全目標(biāo)。根據(jù)規(guī)范標(biāo)準(zhǔn)或合同技術(shù)要求，結(jié)合系統(tǒng)設(shè)備或子系統(tǒng)的重要程度，通過相關(guān)方法進(jìn)行分析研究，如通過FMEA（潛在失效模式及后果分析）或FMECA（故障模式、影響和危害性分析）方法研究設(shè)備故障在不同層次（部件層次到系統(tǒng)層次）的影響及故障可能性，區(qū)分可能導(dǎo)致的服務(wù)故障、非服務(wù)故障和安全故障，同時提供能減輕故障影響的建議。因設(shè)備改進(jìn)導(dǎo)致的影響分析，則在該設(shè)備之前FMEA分析的基礎(chǔ)上，重新識別故障模式的影響，確認(rèn)并研究新故障模式，評估新故障發(fā)生的頻率，從而評估子系統(tǒng)故障率。

3）證明達(dá)到了安全目標(biāo)。此過程一般采用故障樹分析（FTA）方法進(jìn)行定量分析，以證明安全目標(biāo)的可容忍危害率（THR）是符合要求的。對不符合項，將采取恰當(dāng)?shù)慕档惋L(fēng)險改進(jìn)措施，并按照質(zhì)量保證計劃的指導(dǎo)進(jìn)行管理。

牽引子系統(tǒng)是車輛系統(tǒng)的關(guān)鍵子系統(tǒng)，車輛制造廠憑借豐富的經(jīng)驗(yàn)和專業(yè)知識，結(jié)合城軌全自動駕駛系統(tǒng)特點(diǎn)，采用預(yù)先危險性分析（PHA）方法，確定可能影響安全性的車輛功能，分析潛在危害的嚴(yán)重程度和頻率，采取必要的降低風(fēng)險的方法和措施。對于牽引系統(tǒng)的安全功能與SIL等級，分別由以下預(yù)先危險性分析確定：

1）在疏散時，車輛控制系統(tǒng)意外啟動牽引力，造成車輛與軌道上的人員或動物發(fā)生碰撞事故，事故發(fā)生的頻率和嚴(yán)重程度分別為很少和嚴(yán)重，對照表3，確定風(fēng)險等級為不能接受。

2）在疏散時，車輛控制系統(tǒng)意外啟動牽引力，造成人員在車廂內(nèi)摔傷，事故發(fā)生的頻率和嚴(yán)重程度分別為有時和次要，對照表3，確定風(fēng)險等級為不能接受。

3）在車輛運(yùn)行中，車門打開或未鎖閉時，車輛控制系統(tǒng)意外啟動牽引力，造成人員從車輛墜落軌道事故，事故發(fā)生的頻率和嚴(yán)重程度分別為有時和特別嚴(yán)重，對照表3，確定風(fēng)險等級為不容許。

4）在車輛運(yùn)行中，運(yùn)行方向控制錯誤或方向選擇錯誤，致使車輛意外退行，造成車輛與車輛或車輛與工程車碰撞事故，事故發(fā)生的頻率和嚴(yán)重程度分別為很少和特別嚴(yán)重，對照表3，確定風(fēng)險等級為不能接受。

通過分析得出：1）、2）、3）三個風(fēng)險均是由車輛控制系統(tǒng)意外啟動牽引力造成，提出降低風(fēng)險的措施之一為車輛控制系統(tǒng)意外啟動牽引力時，牽引子系統(tǒng)應(yīng)具有切除功能，以保證安全。而4）風(fēng)險由車輛控制系統(tǒng)運(yùn)行方向控制錯誤或方向選擇錯誤造成，提出降低風(fēng)險的措施之一為車輛控制系統(tǒng)運(yùn)行方向控制錯誤或方向選擇錯誤時，牽引子系統(tǒng)具有方向檢測功能并能執(zhí)行安全防護(hù)。根據(jù)上述4個風(fēng)險對應(yīng)的等級，對照表3，得知當(dāng)牽引切除功能和運(yùn)行方向檢測功能導(dǎo)致事故發(fā)生的頻率均為極少時，可將風(fēng)險等級降至容許，對應(yīng)的THR≤10-7/h，對照表4，SIL等級至少為2級。

綜上，確定車輛牽引系統(tǒng)的安全功能分別為牽引切除功能和運(yùn)行方向檢測功能，分配的安全目標(biāo)均為SIL2。

3" " 安全功能的設(shè)計策略

明確了牽引系統(tǒng)的安全功能和安全目標(biāo)，設(shè)計人員將根據(jù)安全要求進(jìn)行合理的系統(tǒng)設(shè)計、試驗(yàn)，并按規(guī)范流程完成第三方安全評估認(rèn)證，下文將對安全功能的設(shè)計策略進(jìn)行研究。

3.1" " 牽引切除功能

該地鐵車輛牽引控制外部電路設(shè)有牽引脈沖使能列車線，在車輛低速或正常運(yùn)行的情況下，牽引脈沖使能信號為高電平，允許牽引逆變器正常工作，采用故障導(dǎo)向安全的低電平方式抑制牽引逆變器，即當(dāng)脈沖使能為低電平時，抑制牽引逆變器，使車輛無電氣牽引力和電制動輸出。基于牽引脈沖使能列車線的設(shè)計，牽引切除功能將通過在系統(tǒng)控制單元內(nèi)部集成的具有SIL2等級的物理硬件DI3S板實(shí)現(xiàn)，為純硬線輸入和輸出，硬線信號請求抑制牽引逆變器工作時，DI3S板將牽引脈沖使能信號置為低電平，以達(dá)到切除牽引的目的，DI3S板失效率滿足安全要求。

3.2" " 運(yùn)行方向檢測功能

車輛運(yùn)行方向控制錯誤或方向選擇錯誤會導(dǎo)致意外退行，造成碰撞、沖突等事故。對于此類風(fēng)險，本項目分兩種情況考慮：一是在信號系統(tǒng)正常的情況下，車輛由具有SIL4等級的車載信號防護(hù)系統(tǒng)（ATP）負(fù)責(zé)執(zhí)行車輛緊急制動，安全完整性等級達(dá)到SIL4，高于安全要求；二是因信號系統(tǒng)故障隔離ATP（即非ATP防護(hù)狀態(tài)）后，則需要車輛自身子系統(tǒng)檢測運(yùn)行方向錯誤并進(jìn)行安全防護(hù)，且該功能的失效率須滿足安全要求?；诖艘?，牽引系統(tǒng)供應(yīng)商通過開發(fā)具有SIL2安全等級的SP3S控制板件，配合外部電路設(shè)計，實(shí)現(xiàn)非ATP防護(hù)下運(yùn)行方向錯誤后執(zhí)行緊急制動的功能。

SP3S控制板是一個配置FPGA（現(xiàn)場可編程邏輯器件）的電子板件，內(nèi)置控制程序，接口設(shè)有邏輯和模擬量輸入端口、邏輯輸出端口，用以與系統(tǒng)控制單元通信和采集相關(guān)信號進(jìn)行邏輯判斷并輸出控制[5]。牽引系統(tǒng)控制單元與SP3S控制板之間通過CAN網(wǎng)絡(luò)連接進(jìn)行信號交換、狀態(tài)監(jiān)控和故障監(jiān)控。對于運(yùn)行方向檢測，SP3S控制板充分利用牽引系統(tǒng)既有配置的傳感器信號及列車線信號進(jìn)行邏輯判斷。其能夠采集向前/向后列車線信號、牽引電機(jī)速度傳感器脈沖模擬信號、牽引電機(jī)相電流模擬信號等，并利用FPGA程序進(jìn)行計算處理，當(dāng)判斷為列車運(yùn)行方向錯誤，且超出設(shè)定的延時或行駛距離時，立即激活SP3S控制板的SIL2輸出。

為使SP3S控制板輸出指令執(zhí)行安全防護(hù)首選緊急制動，設(shè)計人員采用外部電路設(shè)計將SP3S輸出集成至車輛緊急制動控制回路中（圖1）。在信號系統(tǒng)（ATC）正常情況下，由信號系統(tǒng)監(jiān)控車輛的安全狀態(tài)，如運(yùn)行方向錯誤、退行等，一旦意外發(fā)生與信號系統(tǒng)安全設(shè)計相悖的行為，將控制車輛執(zhí)行緊急制動。當(dāng)信號系統(tǒng)故障而隔離ATP時，圖1中相應(yīng)的ATPFR繼電器激活，從而將緊急制動回路切換至由牽引系統(tǒng)控制單元（PCE）監(jiān)控的回路中，利用SP3S控制板監(jiān)控車輛的運(yùn)行方向，當(dāng)同一單元或不同單元非對稱的兩個牽引單元內(nèi)的SP3S檢測到運(yùn)行方向錯誤，SP3S通過邏輯輸出使RBamp;DP觸點(diǎn)打開，從而斷開緊急制動回路，施加緊急制動，以達(dá)到緊急停車防護(hù)的目的。從圖1中可以看出，該回路采用串聯(lián)與并聯(lián)相結(jié)合的設(shè)計，目的是平衡整個車輛系統(tǒng)可用性與可靠性之間的關(guān)系。

針對運(yùn)行方向檢測功能，涉及FPGA軟件開發(fā)和安全認(rèn)證，根據(jù)EN 50129標(biāo)準(zhǔn)要求，須提供技術(shù)安全報告，報告內(nèi)容包括設(shè)計原理、測試規(guī)范、安全性分析等證明文件。設(shè)計人員完成軟件開發(fā)后，功能驗(yàn)證是一項重要工作，驗(yàn)證程序須重點(diǎn)突出安全功能的相關(guān)測試，且須覆蓋所有安全功能測試，有針對性地設(shè)計和制定測試程序，嚴(yán)格按照測試程序開展測試活動，測試完成后提供符合要求的安全測試報告，確保所有測試都通過，最終形成系統(tǒng)的技術(shù)安全報告，以確保通過第三方安全認(rèn)證。SP3S控制板軟件設(shè)計開發(fā)完成后，現(xiàn)場按照精心設(shè)計的測試程序逐一進(jìn)行驗(yàn)證測試，收集有效數(shù)據(jù)，并通過了第三方SIL2的安全認(rèn)證，最終實(shí)現(xiàn)了牽引系統(tǒng)運(yùn)行方向檢測功能SIL2安全目標(biāo)。

4" " 設(shè)計思考

在實(shí)際運(yùn)營過程中，車輛系統(tǒng)通常在信號系統(tǒng)控制下運(yùn)行，特別是全自動駕駛系統(tǒng)，非信號系統(tǒng)防護(hù)（隔離ATP）的場景更是大幅減少，信號系統(tǒng)對安全相關(guān)的輸入/輸出均具有最高SIL4等級要求，實(shí)際已滿足運(yùn)營安全要求。對于本項目設(shè)計的牽引系統(tǒng)運(yùn)行方向檢測功能，則是補(bǔ)充了因信號故障隔離ATP條件下應(yīng)用場景的安全性保證。從控制原理可以看出，該功能只能局部應(yīng)用，同時外部電路會增加車輛控制線纜數(shù)量和故障點(diǎn)。從設(shè)計角度出發(fā)，此設(shè)計考慮了車輛的可用性要求，規(guī)避了因牽引共性故障導(dǎo)致車輛施加緊急制動，造成其他運(yùn)營影響。

5" " 結(jié)束語

隨著軌道交通行業(yè)的快速發(fā)展，軌道交通安全愈加受到行業(yè)的關(guān)注，尤其是安全性要求更高的全自動駕駛系統(tǒng)。目前軌道交通安全相關(guān)系統(tǒng)功能是按照歐洲標(biāo)準(zhǔn)體系進(jìn)行開發(fā)，通過獨(dú)立的第三方安全認(rèn)證來保證安全性，且已形成行業(yè)發(fā)展趨勢，同時相關(guān)標(biāo)準(zhǔn)規(guī)范的發(fā)布，也將引導(dǎo)形成更多解決方案來保證系統(tǒng)穩(wěn)定、安全、高效運(yùn)行。

[參考文獻(xiàn)]

[1] 城市軌道交通全自動運(yùn)行線路初期運(yùn)營前安全評估技術(shù)規(guī)范：DB 32/T 4320—2022[S].

[2] Railway applications-communication，signalling and processing systems-safety related electronic systems for signalling：EN 50129：2018[S].

[3] 徐陽，李俊紅，劉金安，等.軌道車輛安全完整性等級SIL的分析與研究[J].科技展望，2014（21）：206-207.

[4] Railway Applications-The Specification and Demons-

tration of Reliability，Availability，Maintainabi-

lity and Safety（RAMS）-Part 1：Generic RAMS Process：EN 50126-1-1999[S].

[5] 譚富民，劉莉娜，羅云飛.基于牽引控制單元功能安全模塊設(shè)計[J].科技創(chuàng)新導(dǎo)報，2021，18（12）：76-78.

收稿日期：2024-08-16

作者簡介：盧昌虎（1989—），男，甘肅景泰人，工程師，研究方向：車輛技術(shù)管理。