列車組合測速系統(tǒng)安全完整性分析

崔科董德存

列車組合測速系統(tǒng)安全完整性分析

崔科董德存

（同濟大學(xué)交通運輸工程學(xué)院，201804，上海//第一作者，博士研究生）

采用編碼里程計及多普勒雷達進行組合測速，描述了列車組合測速平臺的主要結(jié)構(gòu)，提出了利用卡爾曼濾波殘差字2來檢測列車空轉(zhuǎn)/打滑故障的方法。采用故障樹分析法對列車組合測速系統(tǒng)進行了故障分析，并對其故障樹進行重構(gòu)，根據(jù)實際參數(shù)對組合測速系統(tǒng)危險側(cè)失效率進行了計算。計算結(jié)果證明，利用多普勒雷達補償列車空轉(zhuǎn)/打滑，列車組合測速系統(tǒng)的安全完整性符合SIL 4等級。

軌道交通；列車組合測速；安全完整性分析；故障樹分析法

Author′s addressSchool of Transportation Engineering，TongjiUniversity，201804，Shanghai，China

在軌道交通列車運行控制中，測速的安全性直接影響列車追蹤的安全，對列車的測速方法進行分析，尋找合理的列車安全速度測量方案，是列控系統(tǒng)研究的重點和難題。

基于輪軸測速傳感器的測速方法在軌道交通中較為常用，其主要測速誤差來自于輪徑的磨損及空轉(zhuǎn)/打滑。文獻［1］采用固定門限檢測方法來判斷空轉(zhuǎn)/打滑，利用空轉(zhuǎn)/打滑前后的速度進行線性插值，作為相應(yīng)時刻的補償速度。文獻［2］利用固定加速度積分的方式來計算相應(yīng)時刻的補償速度，為保證空轉(zhuǎn)/打滑期間列車測速的安全性，通常需對列車速度進行充分過估甚至讓列車失位，這嚴重影響了系統(tǒng)的可用性。

為提高列車測速的可用性并減小誤差，文獻［3-4］引入非輪軸測速傳感器，通過融合多種傳感器的冗余互補信息來檢測列車的空轉(zhuǎn)/打滑故障，然而文獻中并未對列車組合測速的安全性進行明確評估。

文獻［5］提出了一種包括全球?qū)Ш叫l(wèi)星系統(tǒng)（GNSS）、里程計、多普勒雷達、慣性測量裝置（IMU）等4種傳感器在內(nèi)的帶診斷的“兩級二取一”結(jié)構(gòu)作為列車組合測速定位系統(tǒng)的結(jié)構(gòu)，并利用可靠性框圖分析法，從理論上假設(shè)相關(guān)參數(shù)，分析該列車組合定位系統(tǒng)的失效概率，但其未對實際的應(yīng)用需求進行分析。

本文提出采用編碼里程計及多普勒雷達實現(xiàn)列車組合測速的方案：編碼里程計作為核心傳感器測量列車速度，多普勒雷達用于在車輪空轉(zhuǎn)/打滑時進行測速補償修正；同時利用故障樹分析法對列車組合測速系統(tǒng)進行危險性失效概率建模和分析，并使用實際參數(shù)進行危險失效概率計算，論證該方案達到SIL 4等級需求。

1 列車組合測速定位系統(tǒng)

1.1列車組合測速定位平臺結(jié)構(gòu)

列車組合測速定位平臺采用編碼里程計及多普勒雷達組合結(jié)構(gòu)，如圖1所示。編碼里程計安裝在列車輪軸上，通過測量列車輪軸的轉(zhuǎn)動脈沖數(shù)來計算列車的運行速度；多普勒雷達安裝在車體上，位于鋼軌上方，根據(jù)多普勒頻移效應(yīng)來測量列車的運行速度；應(yīng)答器天線安裝在車體上，用于列車初始化及修正列車位移的累積誤差。本文重點論述列車速度測量的安全性。

圖1 列車組合測速系統(tǒng)平臺結(jié)構(gòu)

在列車組合測速系統(tǒng)中，基于輪軸測速的里程計具有測量簡單、技術(shù)成熟、穩(wěn)定可靠及短時相對精度較高等優(yōu)點，故作為核心傳感器進行測速計算；多普勒雷達由于在低速時誤差較大，因此作為輔助的測速裝置，其主要用于檢測列車的空轉(zhuǎn)/打滑故障并進行補償。

列車組合測速系統(tǒng)從功能上可劃分為傳感器輸入層、故障診斷與隔離層、卡爾曼濾波殘差計算層、空轉(zhuǎn)/打滑檢測層和輸出判決層等5個層次，如圖2所示。

各層次所實現(xiàn)的功能如下：

圖2 列車組合測速系統(tǒng)功能結(jié)構(gòu)

（1）傳感器輸入層：編碼里程計和多普勒雷達分別對列車進行速度脈沖采集并進行預(yù)處理。

（2）故障診斷與隔離層：根據(jù)傳感器測量特性及系統(tǒng)設(shè)計要求，利用測量數(shù)據(jù)對編碼里程計和多普勒雷達進行故障診斷，如果判定故障，則隔離故障單元。

（3）卡爾曼濾波殘差計算層：對多普勒雷達及編碼里程計的測量數(shù)據(jù)進行融合，利用卡爾曼濾波算法進行殘差計算。

（4）空轉(zhuǎn)/打滑檢測層：利用卡爾曼濾波殘差及其協(xié)方差確定空轉(zhuǎn)/打滑檢測函數(shù)，根據(jù)設(shè)定的判定閾值來檢測列車是否發(fā)生空轉(zhuǎn)/打滑。

（5）輸出判決層：根據(jù)空轉(zhuǎn)/打滑檢測結(jié)果對列車進行判決，如果沒有出現(xiàn)空轉(zhuǎn)/打滑現(xiàn)象，則輸出編碼里程計的測量結(jié)果，如果檢測到系統(tǒng)發(fā)生了空轉(zhuǎn)/打滑，則輸出多普勒雷達的測量結(jié)果。

1.2空轉(zhuǎn)/打滑檢測

列車空轉(zhuǎn)/打滑的檢測一般采用基于加速度的方法［1-2］，相對較復(fù)雜。本文采用一種基于卡爾曼濾波殘差χ2檢測的方法來進行空轉(zhuǎn)/打滑的判斷。

根據(jù)列車運動學(xué)特性，建立列車的狀態(tài)方程：

式中：

＾Xk-——一步預(yù)測狀態(tài)變量；

＾Xk-1——狀態(tài)變量，＾Xk-1=［s，v，a］T，其中s、v、a分別為列車位移、速度及加速度；

A——狀態(tài)轉(zhuǎn)移矩陣；

B——輸入矩陣；

uk——編碼里程計控制輸入。

測量方程為：

式中：

H——觀測矩陣；

＾Zk——基于一步預(yù)測的觀測估計值。

列車運行過程中，根據(jù)uk進行時間更新，獲得及誤差協(xié)方差Pk-；然后通過測量更新計算卡爾曼增益Kk，并根據(jù)多普勒雷達的測量值Zk進行更新，獲得測量更新后的狀態(tài)變量＾Xk及誤差協(xié)方差Pk，送給時間更新模塊進行下一步推算。在測量更新過程中，計算殘差ek=Zk-H＾Xk-及其協(xié)方差Sk=HPk-· HT+R，送給計算檢測函數(shù)值模塊，構(gòu)建空轉(zhuǎn)/打滑檢測函數(shù)如下：

根據(jù)大量試驗結(jié)果設(shè)定合理的閾值Td，對空轉(zhuǎn)/打滑進行判斷，當姿k＞Td時，認為列車發(fā)生了空轉(zhuǎn)/打滑現(xiàn)象。空轉(zhuǎn)/打滑檢測圖如圖3所示。

圖3 空轉(zhuǎn)/打滑檢測圖

2 組合測速系統(tǒng)故障樹分析

故障樹分析（FTA）方法是一種自頂向下識別系統(tǒng)故障的方法，由發(fā)現(xiàn)問題開始，找出一個故障出現(xiàn)的各種可能方式，并對每種情況進行分解，直到發(fā)現(xiàn)所有引發(fā)該故障的事件或基本故障。FTA法是對系統(tǒng)進行安全性、可靠性分析的好方法，用以確定一個危險事件的可能性或系統(tǒng)的安全功能等級。

在列車組合測速系統(tǒng)中，測速傳感器測量得到的列車位移、速度等信息，經(jīng)數(shù)據(jù)采集后傳輸?shù)杰囕d計算機進行濾波、故障診斷等處理，在此過程中，傳感器測量、數(shù)據(jù)傳輸、車載計算機處理這幾個環(huán)節(jié)都有可能發(fā)生故障，導(dǎo)致列車測速故障的發(fā)生。在傳感器測量環(huán)節(jié)，故障包括傳感器硬件本身故障、列車車輪打滑抱死或空轉(zhuǎn)故障、安裝及外界干擾等。在數(shù)據(jù)傳輸環(huán)節(jié)，數(shù)據(jù)在傳輸過程中易受周圍電磁干擾等影響而造成故障。在車載數(shù)據(jù)處理環(huán)節(jié)，由于處理器軟硬件故障，可能會引起數(shù)據(jù)診斷功能的失效。列車組合測速系統(tǒng)故障樹如圖4所示。

在圖4中，傳感器故障、打滑/空轉(zhuǎn)、診斷參數(shù)失效、殘差檢測失效及外界干擾是導(dǎo)致組合測速系統(tǒng)故障輸出這一頂事件發(fā)生的基本事件，而編碼里程計故障、多普勒雷達故障及故障診斷失效這些中間事件是基本事件共同作用的結(jié)果。

3 組合測速系統(tǒng)危險失效率計算

IEC 61508標準對安全完整性的定義為：安全完整性是指一個系統(tǒng)在給定時間內(nèi)、給定條件下完成所要求的安全功能的概率［6］。它根據(jù)量化指標最大可容忍危險率RTH，把安全完整性分為4個SIL（安全完整性等級）。從SIL1～4，安全完整性等級依次增高，如表1所示。對于列車組合測速系統(tǒng)，要求能保證RTH滿足表1所示的SIL4。

圖4 列車組合測速系統(tǒng)故障樹

表1 安全完整性等級表

在列車組合測速系統(tǒng)中，編碼里程計作為核心傳感器進行測速計算，多普勒雷達用于檢測列車的空轉(zhuǎn)/打滑故障并進行補償。當列車出現(xiàn)空轉(zhuǎn)/打滑時，需采用多普勒雷達的測量數(shù)據(jù)來補償列車的測速，因此要對列車空轉(zhuǎn)/打滑期間的安全完整性進行評估。

對圖4所示的組合測速系統(tǒng)故障樹進行重構(gòu)，將組合測速系統(tǒng)的安全完整性評估分為非空轉(zhuǎn)/打滑危險輸出及空轉(zhuǎn)/打滑危險輸出兩部分，對應(yīng)于列車沒有發(fā)生空轉(zhuǎn)/打滑時的危險率及列車發(fā)生空轉(zhuǎn)/打滑時的危險率。

列車沒有發(fā)生空轉(zhuǎn)/打滑時，測速數(shù)據(jù)由編碼里程計提供。每個編碼里程計有S1～S4四組光電傳感器，其中S1、S2、S3安裝在編碼盤外圈（外圈有100個孔），S4安裝在編碼盤內(nèi)圈（內(nèi)圈有25個孔）。當列車車軸帶動編碼盤旋轉(zhuǎn)時，S1、S2、S3生成占空比50%、相位相差為120°的脈沖，而S4生成的脈沖信號高低電平持續(xù)長度不一樣（因編碼盤內(nèi)圈開孔不均勻）。在S1、S2、S3的上升沿采樣S4輸出脈沖的電平，可生成100個不同的八位編碼，通過檢測編碼間的連續(xù)性，發(fā)現(xiàn)測速導(dǎo)向危險側(cè)的故障。這類故障歸為非空轉(zhuǎn)/打滑危險輸出。編碼里程計故障輸出的危險率λodo=1.42×10-10h-1［7］。列車發(fā)生空轉(zhuǎn)/打滑期間，多普勒雷達的測量數(shù)據(jù)被用來補償列車的測速。當列車發(fā)生空轉(zhuǎn)/打滑，且多普勒雷達出現(xiàn)未檢測到的危險故障時，則列車空轉(zhuǎn)/打滑期間的測速補償可能會導(dǎo)致危險，這類故障歸為空轉(zhuǎn)/打滑危險輸出。重構(gòu)簡化后的故障樹結(jié)構(gòu)如圖5所示。

圖5 列車組合測速安全完整性評估

列車空轉(zhuǎn)/打滑期間，組合測速系統(tǒng)的需求失效概率PFD，slide計算式為：

式中：

λodo，slide——列車空轉(zhuǎn)/打滑的概率；

TR——列車空轉(zhuǎn)打滑持續(xù)時間；

λradar——雷達的故障率；

T——系統(tǒng)的總工作時間。

組合測速系統(tǒng)空轉(zhuǎn)/打滑的可容忍危險率RTH，slide為：

組合測速系統(tǒng)所使用的DRS05a型多普勒雷達的平均無故障時間tMTBF=166 389 h［9］，當多普勒雷達發(fā)生故障時，診斷程序會進行故障判斷，當發(fā)生未檢測到的雷達危險故障時，可能會導(dǎo)致危險輸出。對多普勒雷達危險故障率進行安全側(cè)簡化，取為雷達的故障率λradar，則：

軌道條件比較濕滑（如下小雨、軌道有水霧或軌道結(jié)冰、軌面上存在大量污染顆粒或落葉）時，容易出現(xiàn)空轉(zhuǎn)/打滑現(xiàn)象，根據(jù)線路測試數(shù)據(jù)，列車空轉(zhuǎn)/打滑的概率λodo，slide=1×10-1h-1。由于列車大都安裝了ABS防抱死裝置，列車不可能長時間處于空轉(zhuǎn)/打滑狀態(tài)，空轉(zhuǎn)/打滑持續(xù)時間取為TR=10 s。根據(jù)式（5）可得：

RTH，slide向安全側(cè)取值為：

則組合測速系統(tǒng)的可容忍危險率RTH，system為：

由于10-9h-1＜RTH，system＜10-8h-1，根據(jù)表1數(shù)據(jù)，列車組合測速系統(tǒng)的安全完整性符合SIL4等級。

4 結(jié)語

本文提出采用編碼里程計及多普勒雷達實現(xiàn)列車測速的方案，通過重構(gòu)列車組合測速系統(tǒng)故障樹，將組合測速系統(tǒng)分為非空轉(zhuǎn)/打滑危險輸出及空轉(zhuǎn)/打滑危險輸出兩部分，并利用實際參數(shù)對組合系統(tǒng)危險失效率進行計算，證明用多普勒雷達來補償列車空轉(zhuǎn)/打滑時測速計算的安全完整性符合SIL4等級。

［1］SAAB S S，NASR G E，BADR E A.Compensation of Axlegenerator errors due to wheel slip and slide［J］.IEEE Transactions on Vehicular Technology，2002，51（3）：577-587.

［2］MONICA M，PAOLO T，BENEDETTO A，et al.Train speed and position evaluation using wheel velocity measurements［C］//2001 IEEE/ASME International Conference on Advanced Intelligent Mechatronics Proceedings.Italy：Corno，2001：220-224.

［3］MAZL R，PREUCIL L.Sensor data fusion for inertial navigation of trains in GPS-dark areas［C］//Intelligent Vehicles Symposium 2003 Proceedings IEEE.IEEE，2003：345-350.

［4］張洋，周達天，劉宏杰，等.基于多傳感器整合的列車測速定位方法［J］.都市快軌交通，2011，24（4）：30-32.

［5］FILIP A，TAUFER J，MOCEK H，et al.The high integrity GNSS/INS based train position locator［C］//Computers in Railways IX，W IT Press，2004：498-506.

［6］International Electrotechnical Comm ission.Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 1：General requirements：IEC 61508-1[S].2010：34.

［7］FILIPA.Safety aspectsof GNSSbased train position determ ination for railway signaling［C］//UIC Galileo for rail symposium，Oct 18-19，2007.Paris，2007：50-55.

Analysis of the Safety Integrity in Integrated Train Speed M easurement System

CUI Ke，DONG Decun

Coded odometer and Doppler radar are used to measure the train speed，and the main structure of the train speed measurement platform is described.Then，Kalman filtering residualsχ2is proposed to detect train sliding/slipping phenomenon，F(xiàn)TA method is used to conduct the failure analysis of the proposed system.The fault tree of the integrated system is reconstructed and the failure rate of the dangerous side is calculated according to the actual parameters.The results verify that safety integrity of train speed measurement fits in w ith SIL4 security level by using Doppler radar to compensate the errors caused by train idling and slipping.

rail transit；integrated train speed measurement；safety integrity analysis；fault tree analysis（FTA）

U284.48+1

10.16037/j.1007-869x.2017.07.013

2016-12-10）