黃莉莉，張 偉，廖小美

(1 南京康尼機電股份有限公司，南京 210013；2 南京康尼電子科技有限公司，南京 210013)

隨著軌道交通近年來在中國市場的迅猛發(fā)展，軌道交通安全性問題也日益突顯。軌道交通運輸中遵循“預(yù)防為主、早期投入”的策略，把預(yù)防、發(fā)現(xiàn)、糾正各類安全隱患作為重點，采用安全控制技術(shù)，及時防止行車事故的發(fā)生，避免出現(xiàn)嚴重事故威脅乘客人身安全。

軌道車輛門系統(tǒng)安全性也越來越受到企業(yè)和客戶的重視。國內(nèi)外客戶在軌道車輛門系統(tǒng)功能安全方面提出了越來越高的需求，希望產(chǎn)品在重要安全功能方面達到功能安全完整性的最高等級要求。

軌道車輛門系統(tǒng)的控制中心是車門控制器，接受車輛控制信號，控制門扇運動進行開、關(guān)門動作。車門控制器作為門控系統(tǒng)的核心，它的安全性直接關(guān)系到車門控制的安全。因此，研制高安全性的車門控制器具有非常重要的意義。

1 功能安全簡介

1.1 功能安全概念

功能安全的概念源于國際電工委員會的IEC 61508標準。該標準的全稱是《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》。該標準中定義了功能安全：針對規(guī)定的危險事件，為達到或保持受控設(shè)備的安全狀態(tài)，由電氣/電子/可編程電子安全相關(guān)系統(tǒng)、其他技術(shù)安全系統(tǒng)或其他風(fēng)險降低措施實現(xiàn)的功能[1]。

IEC 61508是電氣與電子行業(yè)的通用標準，軌道交通領(lǐng)域基于此并參考多種其他標準，制定了鐵路應(yīng)用的標準規(guī)范： EN 50126《鐵路應(yīng)用-可靠性、可用性、可維護性和安全性規(guī)定和證明》，EN 50128《鐵路應(yīng)用-通訊、信號和程序系統(tǒng)——軌道控制和保護系統(tǒng)軟件》，EN 50129《鐵路應(yīng)用——通信、信號、處理系統(tǒng)——信號用安全相關(guān)電子系統(tǒng)》。在這3個標準中，對鐵路應(yīng)用中的功能安全及實現(xiàn)做了描述。

1.2 安全完整性等級概念

EN 50129中描述了安全需求規(guī)范：每個系統(tǒng)/子系統(tǒng)/設(shè)備的特定安全需求，都應(yīng)包括安全功能和安全完整性兩項[4]。安全功能就是系統(tǒng)/子系統(tǒng)/設(shè)備應(yīng)具備的實際與安全性相關(guān)的功能，通過危險識別和分析、風(fēng)險評估和分類實現(xiàn)；安全完整性則定義了每一個安全相關(guān)功能的安全完整性等級，通過安全完整性等級分配來實現(xiàn)。當特定的安全功能獲得實現(xiàn)，并且其所對應(yīng)的安全完整性等級也被滿足的時候，功能安全的目標才達到。

為了描述安全功能所對應(yīng)的安全完整性等級，引入了SIL概念，它是Safety Integrity Level的縮寫，是對諸如質(zhì)量管理和安全管理以及技術(shù)安全條件這類要素的定性評價。它表示一個安全相關(guān)系統(tǒng)實現(xiàn)安全功能的能力。安全完整性等級越高，它在執(zhí)行所需的安全功能時失效的可能性越低。EN 50129中，安全完整性被分為4個離散等級，SIL4為安全完整性最高等級，SIL1為最低等級，SIL0用于無安全性需求的應(yīng)用場合。

1.3 安全完整性等級的實現(xiàn)方式

為了實現(xiàn)系統(tǒng)/子系統(tǒng)/設(shè)備的特定功能安全需求，應(yīng)滿足以下兩項要求：(1)安全功能達到安全狀態(tài)；(2)安全功能的安全完整性達到要求。安全完整性以定性的安全目標和與之關(guān)聯(lián)的定量目標的形式出現(xiàn)，定性目標以1.2節(jié)所述安全完整性等級形式給出；定量目標以失效率形式給出。由于無法對系統(tǒng)失效進行量化，因此安全完整性等級被用作匹配定性方法和定量方法的手段[4]。由此引入了THR概念，它是Tolerable Hazard Rate的縮寫，表示可容忍的危害發(fā)生的概率。THR和SIL的對應(yīng)關(guān)系通過表1來確定。

表1 SIL等級和THR對照表

該對照表可根據(jù)危險率確定安全完整性等級；也可根據(jù)安全完整性等級設(shè)計系統(tǒng)或子系統(tǒng)以使其滿足THR要求。

如果某安全功能的允許危險率可用一種定量方法獲得THR，則其安全完整性等級可通過表1確定[3]。而其可量化的THR，則可以通過FTA(故障樹分析)等方法，分配到子系統(tǒng)中，最后反應(yīng)到硬件的FR(Failure Rate，失效率，可靠性相關(guān))上。

同時，根據(jù)軟件應(yīng)用的風(fēng)險水平和系統(tǒng)安全完整性等級，確定軟件安全完整性等級。根據(jù)軟件安全完整性等級，選擇軟件開發(fā)的生命周期模型，并在軟件質(zhì)量保證計劃中詳細說明，由評估員實現(xiàn)對軟件的評估，評估過程貫穿整個生命周期。

1.4 功能安全認證

功能安全認證是基于IEC 61508(軌道交通領(lǐng)域?qū)?yīng)EN 50126、EN 50128、EN 50129)等標準，對產(chǎn)品的安全完整性等級進行評估和確認的一種第3方評估、驗證和認證。功能安全認證主要涉及針對產(chǎn)品開發(fā)流程的文檔管理評估，硬件可靠性計算和評估，軟件評估，環(huán)境試驗、EMC電磁兼容試驗評估等內(nèi)容。功能安全認證貫穿產(chǎn)品整個安全生命周期。IEC 60158中規(guī)定：可進行功能安全評估的人、部門或組織必須是獨立的，與被評估的項目沒有任何關(guān)系。SIL1的產(chǎn)品功能安全評估由個人或部門來完成；SIL2的產(chǎn)品功能安全評估由相關(guān)部門進行；SIL3以上的產(chǎn)品要求第3方機構(gòu)認證。

2 車門控制器功能安全簡介

車門是乘客進出列車的唯一通道，面向的對象是大量乘客，因此車門控制器的安全直接關(guān)系到乘客人身安全。在對車門控制器潛在的所有危險進行初步危害分析后，評估出危險發(fā)生的頻率、嚴重程度，然后依據(jù)EN 50126標準的4.6章節(jié)，定義危害的風(fēng)險類別。綜合以上分析，得出車門控制器“意外開門”的功能安全目標如表2所示：

表2 車門控制器功能安全表

車門控制器接收車輛頂層控制系統(tǒng)傳輸?shù)牧熊嚲€信號(開門、關(guān)門等)、傳感器信號(行程開關(guān)、位置傳感器等)、車輛網(wǎng)絡(luò)信號等，判斷對應(yīng)時刻是否需要執(zhí)行開門或關(guān)門命令，繼而控制電機進行正轉(zhuǎn)或反轉(zhuǎn)，驅(qū)動車門完成解鎖、開門或關(guān)門動作。車門控制器結(jié)構(gòu)框圖如圖1所示。

圖1 車門控制器結(jié)構(gòu)框圖

車門控制器的本質(zhì)在于接收外部信號完成開關(guān)門判斷，并驅(qū)動電機實現(xiàn)開門或關(guān)門功能。根據(jù)表2可知，車門控制器安全性要求最高的功能是“意外開門”功能。意外開門發(fā)生的必要條件是電機正轉(zhuǎn)(假設(shè)正轉(zhuǎn)表示開門，反轉(zhuǎn)表示關(guān)門)，結(jié)合圖1，電機正轉(zhuǎn)的必要條件是電機電源得電并且電機驅(qū)動電路正常。因此，為了實現(xiàn)“意外開門”功能的SIL4級高安全性，設(shè)計一個“安全電路”，作用于電機電源及電機驅(qū)動電路，如圖1所示“安全電路”模塊，以保證“意外開門”功能的安全完整性等級達到SIL4。

3 車門控制器SIL4功能安全的實現(xiàn)

EN 50129標準中規(guī)定了SIL4功能安全的3種實現(xiàn)方式：組合式實現(xiàn)；反應(yīng)式實現(xiàn)；固有式實現(xiàn)。

組合式實現(xiàn)：采用組合式實現(xiàn)方式，每個安全相關(guān)功能應(yīng)至少由兩個項來執(zhí)行。各項之間互相獨立，避免共因失效，并且應(yīng)該能檢測出一個項中的危險故障并在足夠的時間內(nèi)加以拒絕，以避免第2個項發(fā)生相同故障。組合式安全電路實現(xiàn)原理如圖2所示。

圖2 組合式安全電路

組合式安全電路的本質(zhì)是采用相異的冗余電路實現(xiàn)功能安全，消除電路單點故障。

反應(yīng)式實現(xiàn)：采用反應(yīng)式實現(xiàn)方式，這種技術(shù)允許一個安全功能由單個項執(zhí)行，前提是通過快速的危險故障檢測和拒絕來確保它的安全操作。雖然只由一個項來實施實際的安全功能，但檢查/測試/檢測功能應(yīng)被看作第2項，并且兩項之間相互獨立，避免共因失效。反應(yīng)式安全電路實現(xiàn)原理如圖3所示。

圖3 反應(yīng)式安全電路

反應(yīng)式安全電路的本質(zhì)是利用相異電路互相校驗實現(xiàn)功能安全。

固有式實現(xiàn)：采用固有式實現(xiàn)方式，一個安全功能僅由單個項執(zhí)行，且該項所有失效模式均為安全的。固有式安全電路實現(xiàn)原理如圖4所示。

圖4 固有式安全電路

固有式安全電路的本質(zhì)是利用電路的獨特性確保電路任何失效模式均導(dǎo)向安全，實現(xiàn)功能安全。

綜合車門控制器的設(shè)計結(jié)構(gòu)及功能安全的3種實現(xiàn)方式，在車門控制器中采用第3種方式——固有式安全電路實現(xiàn)SIL4功能安全。SIL4安全電路控制框圖如圖5所示。

圖5 SIL4安全電路控制框圖

SIL4安全電路確保不會給電機驅(qū)動電路提供錯誤輸出，無論任何器件出現(xiàn)故障，都不會誤觸發(fā)電機驅(qū)動電路，從而不出現(xiàn)“意外開門”，滿足固有式安全電路“所有失效模式均為安全的”條件。

4 車門控制器SIL4安全等級的驗證

4.1 SIL4等級驗證

SIL4安全電路通過接收車輛列車線信號及外部傳感器信號決定是否給電機驅(qū)動電路供電。在電機驅(qū)動電路模塊得電的情況下，CPU控制輸出開關(guān)門命令確保電機正常運轉(zhuǎn)?？梢姡篠IL4安全電路的失效率越低，電機誤動作的概率越低，車門控制器的安全性越高。

在車門控制器“意外開門”功能SIL4等級要求上，通過固有式故障安全電路實現(xiàn)，其固有故障特性保證電路發(fā)生故障時導(dǎo)向安全，因此只需要通過計算可量化的THR，使其滿足表1即可。而其可量化的THR，則可以通過FTA分析計算得出。

通過FTA分析方法，首先確定意外開門(頂事件)的直接原因或間接原因(或其組合)，自頂向下一層一層展開原因分析，直至分析至基本事件(單個器件的失效)。器件的失效率根據(jù)美軍標MIL-HDBK-217FN2進行預(yù)計，器件的失效模式及失效模式百分比根據(jù)EN 50129標準的附錄表進行，由此得出器件級別的FMECA(Failure Mode Effect Criticality Analysis的縮寫)分析表。FTA的基本事件可根據(jù)FMECA分析表中單個器件某種失效模式下的失效率及失效影響計算得出。最后應(yīng)用自下而上的方法，計算出頂事件的THR。

通過此種分析計算，可得車門控制器“意外開門”功能的THR為1.946×10-10，參見圖6(故障樹的一部分)。

圖6 SIL4功能安全車門控制器意外開門FTA簡圖

綜上計算可知，“意外開門”功能的故障率滿足10-9=

4.2 SIL4級功能安全認證

依據(jù)1.4節(jié)所述，SIL3以上的產(chǎn)品要求第3方機構(gòu)認證。安全認證的目的是驗證產(chǎn)品達到所述的功能安全。第3方認證機構(gòu)全程參與了本車門控制器的評估及審核。主要包括如下幾個方面：

(1)建立功能安全管理體系，確定系統(tǒng)、軟件、硬件的安全生命周期所有階段的管理、技術(shù)活動及各個階段的文檔記錄，通過體系保障安全完整性；

(2)進行功能安全認證評估，包括3個階段，分別是概念階段審查(產(chǎn)品規(guī)范、設(shè)計、安全報告)、測試階段審查(功能性測試、安全性測試、測試報告)、認證階段審查(經(jīng)過測試的產(chǎn)品認證)；

(3)給出SIL認證的結(jié)論及證書，結(jié)合產(chǎn)品整個生命周期的所有文檔材料及各類試驗報告證明產(chǎn)品符合相關(guān)功能安全標準的規(guī)定；

經(jīng)過上述所有認證過程，第3方認證機構(gòu)確定本車門控制器在“意外開門”功能上符合SIL4級功能安全要求。

4.3 SIL4級車門控制器的應(yīng)用

SIL4級車門控制器委托第3方測試檢驗單位完成了電磁兼容性試驗、環(huán)境試驗、通信網(wǎng)絡(luò)一致性試驗等各項型式試驗測試，測試全部通過。

同時通過了第3方認證機構(gòu)對車門控制器技術(shù)設(shè)計、測試驗證等全過程的專業(yè)審核，獲得認證機構(gòu)授予的符合EN 50126、EN 50128、EN 50129 SIL4級功能安全認證證書。

完成型式試驗和第3方安全認證后，SIL4級車門控制器在國內(nèi)兩條城軌線路進行了約一年的正線試運營，檢驗了SIL4級車門控制器的設(shè)計和高安全性，為未來高安全需求的車門控制提供了解決方案。

5 結(jié)束語

隨著城市軌道交通的高速發(fā)展，軌道車門數(shù)量與日俱增，客戶對車門控制器高安全性的需求也日益提升。因此，研發(fā)SIL4級功能安全的車門控制器，并通過第3方獨立機構(gòu)認證，既滿足了客戶對車門控制器高安全性的需求；又填補了國內(nèi)車門控制器SIL4級功能安全的空白，提高了車門控制器在國際市場的競爭力。