概述
高速鐵路的崛起和發展給世界鐵路的振興帶來了勃勃生機,但同時對鐵路通信信號等的裝備也提出了更高的要求。當列車運行速度提高到某一限度時,司機瞭望和確認地面信號的時間很短,不能保證行車安全和效率,無法依靠地面信號顯示正常行車。因此,隨著列車運行速度和密度的不斷提高,世界各國都在發展各自的鐵路控制系統。
鐵路控制系統主要是以技術手段對列車運行方向、運行間隔和運行速度進行控制,使列車能夠安全運行且提高運行效率,列車運行控制系統地面設備和車站聯鎖設備主要實現聯鎖控制功能,並生成列車控制所需的基礎數據,通過車-地信息傳輸通道將地面控制信息傳送給列車,經列車運行控制車載設備進行處理後,生成列車速度控制曲線,監督控制列車安全、高速運行。
歐洲鐵路控制系統
ETCS背景
歐盟、國際鐵路聯盟,歐洲鐵路組織和鐵路信號與通信公司通力合作,創立了一種一體化的歐洲鐵路控制命令系統,稱為ERTMS/ETCS。該系統可以為列車在本國和外國鐵路網中以最大允許速度運行時提供安生所需的數據。
最大允許速度由3個因素來決定 (1)列車的特性(它的重量,牽引性能);(2)軌道的性能(坡度、彎道、橋樑);(3)允許運行距離(它由列車目前的位置及前方列車位置來決定)。
這些數據由ERTMS/ETCS計算機控制系統進行處理。列車的特性由通過預先編制的程式輸人到車載計算機。軌道的特性也通過預先編程或在列車運行時輸入到車載計算機上:允許運行距離由控制中心判定並傳送給列車 ERTMS/ETCS計算機處理這些數據.並將有關信息顯示給列車司機:
首先是允許運行距離;
其次是列車的速度曲線。這是車載計算機依據允許運行距離算出的,列車在這段距離中允許的最大速度的曲線;
第三是列車的制動點 這是列車司機為避免列車超越允許運行距離而設定的開始制動的點。在整個過程中 系統不斷地比較實際的速度與最大允許速度,如果實際速度超過最大允許速度,系統將對司機發出警告。如果沒有反應,則將自動開始制動使列車速度回落到安全的允許最大速度之內 ERTMS/ETCS是一種模組化的系統,能根據鐵路網的構形和商業運行的戰略來裝配這一系統。
第1階段
第1階段是在既有鐵路信號的線路上,利用列車探測器來測定列車的位置在ERTMS/ETCS第1階段中。應答器裝在路軌上.並與控制中心相連線。應答器中含有預先編制的軌道數據,列車探測器將列車的位置信電傳給列控中心, 列控中心得到所有線上路上運行的列車的位置信息.計算出新的允許運行距離並傳送給應答器;列車在越過應答器時收取到新的允許運行距離和道路數據,車載計算機算出其允許速度和下一個制動點,並將這些信息顯示給 列車司機 為提高第1階段的區間通過能力。可在應答器前加上環形電路,下一個應答器的信息通過環形電路傳給經過的列車,因此,車載計算機能預先接收到下一個應答器發出的允許運行距離和下一區間的道路特性,根據這個提前接收到的允許運行距離可算出一個新的制動點,這樣可防止列車頻繁制動,明顯地縮短旅途時間。
第2階段
ERTMS/ETCS第2階段已不需要傳統的地面信號.但仍需要安裝路旁的探測裝置,其採用車載的無線系統GSM—R,使車載計算機能與列控中心直接通信;在軌道旁的應答器只是作為簡易電子位置標識。道路特性預先編入程式輸人到車載計算機中,列車探測裝置將列車位置信息傳給列控中心.收到列車線上路上位置信息後,列控中心判定新的允許運行距離,並通過無線接口傳給列車司機。車載計算機根據允許運行距離和道路特性算出其允許速度曲線和下一個制動點.並將這些信息顯示給列車司機:列車通過應答器時收到新的位置信息。為確保運行的安全,車載計算機不斷地測定列車的位置,檢查當前的速度是否適合允許運行距離。
第3階段
第3階段與第2階段的不同在於擁有一個車載的列車時刻表系統.這個系統監視列車的運行. 無需列車探測裝置。第3階段需要車載的無線GSM—R系統,使車載計算機能與列控中心通信。應答器只作為簡單的公里標識:軌道特性預先編入程式並輸人到車載計算機,列控中心當列車經過應答器時通過無線接口接收到列車新的位置指示,列控中心判定新的允許運行距離.並通過無線接口傳送給列車,車載計算機計算出自己的速度曲線和下一個制動點 這些信息將顯示給列車司機。通過無線傳輸,允許運行距離將得到及時更新。這樣列車的間距可以更短,明顯地提高線路的通過能力。
FMEA方法
在鐵路控制系統的安全分析中,最常用的方法是FEMA(Failure Modes and Effects Enalysis,失效模式和影響分析)分析方法。也就是在安全功能失效的情況下,分析系統可能產生的危害,並提出緩解危害的方法。
方法介紹
在對列控中心的系統危害分析中,採用了CENELEC標準中的FEMA(失效模式和影響分析)方法。這是一種通過假定功能失效情況下,確定其潛在危害的分析方法。具體為:在分析列控中心繫統的設計時,通過對系統的各個組件進行系統性檢查,從而確定這些組件的失效對系統的行為或者安全性的影響。
FEMA是一種定性的安全分析方法,無法用THR(Tolerable Hazard Rate)的定量指標來衡量,其目的在於幫助設計者發現列控中心繫統中存在的缺陷。通過對某個特定功能分析每一種失效模式下導致的風險嚴重度和發生頻率,判斷該功能在風險矩陣中所處的SIL水平。
FEMA是一種有效識別系統性失效和非系統性失效的方法,應儘早套用在系統開發的生命周期中,也是系統安全保證計畫中所定義的系統危害分析(SHA)、接口危害分析(IHA)所採用的基本方法,輸出的安全需求在HL中管理並追蹤其狀態。
基本步驟
1,識別系統功能及其輸出
在開展FMEA分析時,列控中心的系統需求已經產生,並且作為危害分析的基本輸入。對於安全分析人員來說,危害分析的質量很大程度上受系統需求質量的影響,通常系統需求功能的劃分、功能之間的輸入輸出越詳細,FMEA 能夠識別的危害也就越多,這些需求包括:所有功能模組,尤其是安全相關功能模組;系統內部/外部接口等。在功能的FMEA 分析中,某個特定功能的輸入必定是另一個模組或者外部系統的輸出,因此只需分析功能模組的輸出在失效模式下的影響即可。
2.識別失效模式
在標準(IEC/CENELEC)中並未對功能的失效模式有詳細的解釋,通常失效模式需要結合具體的功能,大致分為以下幾種,可根據實際情況選擇。
1.硬體連線失效模式。包括:電纜/連線器腐蝕造成的絕緣失效、傳輸中斷;安裝或維護時電纜/板卡位置顛倒;錯誤的位置,即插在錯誤的連線器或連線埠上。
2.電源接口失效模式。包括:失去電源,掉電;電壓升高,過壓;電壓降低,欠壓;頻率改變,電源頻率不穩定;波動/失真,電信號失真等。
3.內部/外部接口失效模式。包括:數據丟失,對方未收到數據;數據破壞,輸出錯誤的數據;數據過時,輸出過時的數據;數據亂序,輸出亂序的數據;數據源不可信,數據源錯誤。
4.功能間接口失效模式。包括:數據丟失,未更新輸出;數據破壞,輸出被破壞;數據不合適,不適當的輸出;數據過時,輸出過時數據;數據源不可信,數據源未知等。
3.提出緩解措施(安全需求)
安全需求被系統需求所追蹤,並且最終被實現,該過程由驗證和確認活動來保證。安全活動將通過HL的方式管理這些安全需求。