地鐵列車邏輯控制單元的安全性設計與研究

蘇 醒，李 鴻，姜俊彤

（長沙理工大學 電氣與信息工程學院，長沙 410114）

自動控制系統的安全性和可靠性已經成為系統設計的重要指標。在工業生產中，安全問題越來越受到國家的重視與管控，所以控制系統的安全設計就顯得愈加重要。列車邏輯控制單元LCU作為列車控制系統的重要組成部分，其安全性值得關注和研究。

IEC 61508是功能安全的通用標準，英國等發達國家已將安全標準在相關行業強制實施。對安全性的研究在國內雖然發展較晚，但隨后也頒布了對應IEC標準的國標如GB/T 20438，然而安全標準在國內僅為推薦而并未強制實施[1-2]。在國內相關行業內，功能安全在石油化工領域有著廣泛的應用，隨著社會經濟的發展，人們對生產安全的要求逐漸提高，功能安全勢必會在其它行業得到應用。

近年來，我國的軌道交通發展迅速，但很多軌道交通電子控制設備并未嚴格滿足功能安全的標準，軌道交通電子產品的安全性勢必成為人們研究的熱點。在此，分析LCU的系統安全設計，介紹如何從系統設計角度提高安全性；計算相關失效率，建立故障樹模型，計算安全完整性等級，定量分析輯控制單元LCU系統硬件的安全性；考慮失效率的不確定性，提出使用模糊故障樹，以使其結果更符合實際。

1 安全設計理論

安全性常與可靠性一起出現，但兩者側重點不同。可靠性的定義是指在設計技術規范內，系統能夠完成預定功能的概率，而安全性更注重于當系統發生失效時是否會導致危險的結果發生。兩者的區別如圖1所示。

圖1 安全性與可靠性的區別Fig.1 Difference between security and reliability

當系統沒完成預定功能時，稱之為失效，失效概率反應了系統的可靠性。由圖1可見，系統失效可分為安全失效和危險失效，安全失效又稱“誤動作”，首先它是失效，其次這種失效是安全的，沒有危險工況發生；危險失效是指系統既發生了失效又發生了危險工況。由此可知，安全性對系統的要求更高，在此安全性研究重點是系統發生危險失效的概率。

安全PLC源于安全儀表系統，根據邏輯控制器采用的技術，從原理上將安全儀表系統分為電氣、電子、可編程電子3類。安全PLC屬于可編程電子系統，與前兩類相比具有方便靈活的編程能力。

安全PLC不僅可以提供普通PLC的功能，更注重實現安全控制功能，符合IEC 61508等控制系統安全相關部件標準的要求。安全PLC具有以下特點：故障安全，冗余結構，安全自檢，安全編程環境，安全等級認證，等。為保障列車LCU的安全性和可靠性，以及達到SIL安全認證標準，在LCU的設計中，參考安全PLC的概念和設計要求，設計出適用于地鐵列車的新型安全可靠的列車LCU。

2 LCU系統安全設計

2.1 列車LCU

邏輯控制單元LCU是軌道列車上進行數字邏輯控制的裝置[3]。其主要功能是采集列車上的接觸器輔助觸點、隔離開關，以及司機室控制器、按鍵開關、列車網絡等信號，經邏輯計算處理后，輸出驅動車輛各類負載設備，完成列車指定的時序控制功能。

傳統的列車控制電路大量采用繼電器，這種觸點式電路存在易老化、接觸不良、易失效等問題，嚴重影響車輛的安全性。與傳統繼電器控制電路相比，列車LCU不僅克服觸點電路的缺點，還具有多冗余、自診斷、故障數據存儲等功能，使用壽命大大提升，安全性與可靠性也大大提高。因此，用MOSFET替代繼電器的無觸點式列車LCU勢必會越來越廣泛普及。

2.2 LCU系統冗余設計

基于安全PLC理論的LCU采用模塊化設計。其中電源板、IO板、主控板都具備硬件相同的A，B雙板卡，互為冗余。控制器局域網絡CAN（controller area network）板卡與多功能車輛總線MVB（multifunction vehicle bus）板卡，都具有2套獨立冗余的網絡總線。各板卡間通過CAN總線通信，MVB板卡通過MVB與列車控制和管理系統TCMS（train control and management system）網絡通信。模塊化設計使得實際使用中的維修更加方便、快捷，故障時只需更換對應板卡即可，縮短了設備維修時間。LCU機箱各模塊配置如圖2所示。

圖2 LCU模塊配置Fig.2 LCU module configuration

除了為整個機箱板卡提供電源的電源模塊和用于數據收發的通信模塊外，輸入、輸出及控制模塊是整個LCU控制的核心，也是本文主要研究內容。輸入模塊的主要作用是數據采集及輸入診斷等，并對其封裝后通過CAN總線發送給控制模塊；控制模塊根據總線接收到的數據進行邏輯處理，然后對輸出模塊發出指令；輸出模塊負責數據輸出及輸出診斷。

3 LCU控制系統結構

系統結構是影響系統安全性的重要因素之一。輸入模塊、控制模塊、輸出模塊均有A，B兩個相同的通道，兩通道的結構為1oo2D，它們互為冗余并帶有診斷電路。MCU之間用CAN總線通信，實現通道數據同步和控制同步，總線通信采用安全協議封裝。2個通道進行交叉互診斷，診斷內容包括輸入開路短路、MCU自診斷、輸出開路短路等[4-5]。輸入輸出及控制模塊的結構如圖3所示。

圖3 輸入輸出及控制模塊結構框圖Fig.3 Block diagram of input and output and control module

為了降低共因失效，2個通道的MCU采用不同的型號。整個輸入輸出及控制模塊采用1oo2D結構，該模塊可以簡化為如圖4所示。1oo2D結構有2個并行的通道，當其中任意一個通道發生故障時，系統仍然可以通過另一通道正常運行，完成系統預定功能，可以降低系統失效。其次，每個通道都有診斷電路，診斷電路與輸出通道串聯，檢測到故障時可以獨立關閉通道輸出，提高系統的安全性。

圖4 1oo2D系統結構Fig.4 1oo2D system structure

與2oo3，2oo4系統結構相比，在考慮系統成本的情況下，1oo2D結構也能提供較高級別的安全性和可用性。

4 系統安全性分析

為了驗證LCU系統的安全性，對LCU硬件部分進行定量分析及建模研究。衡量系統安全性的指標是系統發生危險失效的概率，因此安全性分析的重點就是計算危險失效的概率。LCU除了通信板、背板外，都做了冗余設計。在計算失效率時，冗余部件應考慮系統結構對系統失效的影響。

LCU失效概率計算框圖如圖5所示。LCU安全性分析從最底層的元器件失效率開始，先計算板卡級的失效率，再考慮系統結構，搭建故障樹模型，計算整個LCU的失效參數。

圖5 LCU失效概率計算框圖Fig.5 Block diagram of LCU failure probability calculation

要求時失效概率PFD（Probability of Failure on Demand），是用于衡量系統安全性的指標。它意味著系統是危險的，系統執行規定安全功能的不可用性，即危險失效概率，它不會在要求（潛在的緊急條件）發生時產生規定的響應。要求時平均失效概率PFDavg（average Probability of Failure on Demand），用于描述系統需求時平均失效的術語，表示控制系統發生執行規定安全功能的平均不可用性。

4.1 元器件失效率的計算

系統研究的對象是由電子電路構成的控制系統，主要由電子元器件組成。電子元器件的失效除了自身內部原因失效（基本失效率），還與外界環境、溫度、應力等因素相關。以電路中廣泛使用的二極管為例，其工作失效率為

式中：λp為工作失效率，10-6/h；λb為基本失效率；πE為環境系數；πQ為質量系數；πT為溫度系數；πS為應力系數。

其它元器件計算類似，相關數據可根據元器件選型查閱說明手冊得到，由此可計算出LCU所有的元器件工作失效率。

4.2 板卡級硬件電路的失效模式影響及診斷分析

失效模式影響及診斷分析FMEDA（Failure Modes Effects and Diagnostic Analysis），是一種“自底向上”的方法，由電子電路系統每個元器件的一個詳細的列表開始，一次一個部件地分析整個系統[6]。FMEDA列出了系統每個部件（元器件）的失效模式、失效類型、失效影響、失效率、診斷檢測能力等信息。可由FMEDA得到元件的安全失效率λs、危險失效率λd，影響系統安全性的主要原因來自危險失效[7]。

該控制系統板卡內部加入了診斷電路。診斷電路可以減少冗余系統處于降級運行模式下的時間，也可以在系統危險失效時檢測到失效，便于迅速采取安全措施保證系統安全。設定當診斷電路檢測到危險失效時，可以將輸出置于安全側，系統不會造成危險后果，則計算安全指標時僅需考慮未檢測到的危險失效。帶診斷的系統存在診斷覆蓋率的問題，診斷覆蓋率反應了系統的檢測能力。診斷覆蓋率的取值可參考IEC 61508-6，診斷覆蓋率分為安全失效診斷覆蓋率和危險失效診斷覆蓋率，在此僅考慮危險失效。可計算出系統各元件危險未檢測到的失效率λDU為

式中：Cd為危險失效診斷覆蓋率。假設各元件失效均引起板卡失效，則板卡失效率為板卡各元件失效率之和。

當系統存在冗余部件時，共因失效會導致系統發生安全失效或危險失效。在此采用雙通道冗余設計，因此需要考慮共因失效給系統帶來的影響。

共因失效通常采用β模型，β因子將故障分為共因失效部分、一般失效部分。可以計算出各板卡在考慮診斷和共因失效下的失效率：

——危險未檢測到的一般失效率λDUN為

——危險未檢測到的共因失效率λDUC為

4.3 模糊故障樹模型及系統安全性指標

在得到系統各板卡的失效數據后，可進行系統可靠性建模計算。控制系統的安全性與可靠性建模常用的方法有故障樹分析、網絡建模和馬爾可夫模型。不同模型的結果均依賴于所用模型的細化程度，如多失效模式、共因和診斷等。

系統采用故障樹模型進行安全性建模，并考慮了共因和診斷對系統的影響。以冗余板卡為例，LCU的冗余設計采用1oo2D結構，導致頂事件系統危險失效的底事件，需滿足A，B兩板卡均發生危險失效，且失效不能被診斷程序檢測到。對應4.2節的A，B兩板卡發生危險未檢測到的共因失效，或單個板卡均發生危險未檢測到的一般失效。建立故障樹模型如圖6所示。

圖6 1oo2D結構故障樹Fig.6 1oo2D structure fault tree

1oo2D結構要求時失效概率近似計算公式[6]為

式中：Ti為設備周期性檢查間隔時間。設備周期性檢查時可以完全修復系統。

考慮到底事件失效率的不確定性[7]，引入模糊概率，應用模糊理論和擴展原理進行模糊處理，得到事件失效率的模糊區間，使得到的數據更加符合實際失效率特性。底事件采用的三角模糊數為

其隸屬函數[8]為

底事件A/B板卡DUC失效的三角模糊數為（λDUC-α1，λDUC，λDUC+ β1），由于 A/B 板卡設計完全相同，底事件A板卡或B板卡DUN失效，計算時可使用相同的三角模糊數（λDUN-α2，λDUN，λDUN+ β2），則

由此代入式（5），可計算出頂事件模糊概率為

假設各功能模塊失效均引起系統失效，則LCU設備要求時失效概率PFD為各模塊PFD之和。而要求時平均失效概率PFDavg為運行時間上危險失效PFD概率平均值[9]，即

5 結果分析

5.1 安全完整性等級

根據IEC 61508，安全完整性等級SIL（safety integrity level）是一種離散的等級，用于規定分配給電氣/電子/可編程電子安全相關系統安全功能的安全完整性要求[10]。安全完整性等級共分為4個等級，其中SIL4為最高等級，SIL1為最低等級。安全完整性等級越高，系統應執行所要求的安全功能的概率也越高，系統的可靠性也就越高。安全完整性等級（低要求模式）見表1，在低要求模式下，安全完整性等級使用要求時平均失效概率作為等級劃分指標。

表1 安全完整性等級（低要求模式）Tab.1 Safety integrity level（low demand mode）

5.2 SIL計算結果分析

假設元件失效率在生命周期內保持不變，取β=0.03，LCU設備檢修周期為0.5 a，根據上述方法模型，最終計算出LCU設備0.5 a的PFDavg模糊數為（1.147×10-3，1.508×10-3，2.169×10-3）。 根據表 1，基于1oo2D結構的列車LCU，其PFDavg在模糊概率最壞的情況下，滿足安全完整性等級SIL2。

可靠性指標的計算與很多建模細節因素有關，如：失效率，多失效模式（安全失效、危險失效），診斷（覆蓋率），共因失效，系統結構，模型方法，等。在計算過程中考慮的因素越多，計算結果越可靠。

6 結語

新型的地鐵列車LCU參考了安全PLC設計理論，采用1oo2D系統結構，通過冗余和診斷設計提高了LCU的安全性與可靠性，達到國際上對軌道交通產品的安全標準。從LCU系統控制結構入手，實現了功能安全的相關設計，計算了相關失效率，通過模糊故障樹模型，驗證其安全完整性等級。定量分析結果表明，LCU在安全性指標上滿足SIL2的要求。滿足了安全標準的軌道交通產品，在實際應用中更加安全可靠，在國內外市場上將具有更大的競爭力。故障樹模型簡單易懂，加上模糊概率后，更加符合實際，如果能夠考慮時變失效率的問題，計算結果會更加可靠。