崔科董德存

列车组合测速系统安全完整性分析

崔科董德存

（同济大学交通运输工程学院，201804，上海//第一作者，博士研究生）

采用编码里程计及多普勒雷达进行组合测速，描述了列车组合测速平台的主要结构，提出了利用卡尔曼滤波残差字2来检测列车空转/打滑故障的方法。采用故障树分析法对列车组合测速系统进行了故障分析，并对其故障树进行重构，根据实际参数对组合测速系统危险侧失效率进行了计算。计算结果证明，利用多普勒雷达补偿列车空转/打滑，列车组合测速系统的安全完整性符合SIL 4等级。

轨道交通；列车组合测速；安全完整性分析；故障树分析法

Author′s addressSchool of Transportation Engineering，TongjiUniversity，201804，Shanghai，China

在轨道交通列车运行控制中，测速的安全性直接影响列车追踪的安全，对列车的测速方法进行分析，寻找合理的列车安全速度测量方案，是列控系统研究的重点和难题。

基于轮轴测速传感器的测速方法在轨道交通中较为常用，其主要测速误差来自于轮径的磨损及空转/打滑。文献［1］采用固定门限检测方法来判断空转/打滑，利用空转/打滑前后的速度进行线性插值，作为相应时刻的补偿速度。文献［2］利用固定加速度积分的方式来计算相应时刻的补偿速度，为保证空转/打滑期间列车测速的安全性，通常需对列车速度进行充分过估甚至让列车失位，这严重影响了系统的可用性。

为提高列车测速的可用性并减小误差，文献［3-4］引入非轮轴测速传感器，通过融合多种传感器的冗余互补信息来检测列车的空转/打滑故障，然而文献中并未对列车组合测速的安全性进行明确评估。

文献［5］提出了一种包括全球导航卫星系统（GNSS）、里程计、多普勒雷达、惯性测量装置（IMU）等4种传感器在内的带诊断的“两级二取一”结构作为列车组合测速定位系统的结构，并利用可靠性框图分析法，从理论上假设相关参数，分析该列车组合定位系统的失效概率，但其未对实际的应用需求进行分析。

本文提出采用编码里程计及多普勒雷达实现列车组合测速的方案：编码里程计作为核心传感器测量列车速度，多普勒雷达用于在车轮空转/打滑时进行测速补偿修正；同时利用故障树分析法对列车组合测速系统进行危险性失效概率建模和分析，并使用实际参数进行危险失效概率计算，论证该方案达到SIL 4等级需求。

1 列车组合测速定位系统

1.1列车组合测速定位平台结构

列车组合测速定位平台采用编码里程计及多普勒雷达组合结构，如图1所示。编码里程计安装在列车轮轴上，通过测量列车轮轴的转动脉冲数来计算列车的运行速度；多普勒雷达安装在车体上，位于钢轨上方，根据多普勒频移效应来测量列车的运行速度；应答器天线安装在车体上，用于列车初始化及修正列车位移的累积误差。本文重点论述列车速度测量的安全性。

图1 列车组合测速系统平台结构

在列车组合测速系统中，基于轮轴测速的里程计具有测量简单、技术成熟、稳定可靠及短时相对精度较高等优点，故作为核心传感器进行测速计算；多普勒雷达由于在低速时误差较大，因此作为辅助的测速装置，其主要用于检测列车的空转/打滑故障并进行补偿。

列车组合测速系统从功能上可划分为传感器输入层、故障诊断与隔离层、卡尔曼滤波残差计算层、空转/打滑检测层和输出判决层等5个层次，如图2所示。

各层次所实现的功能如下：

图2 列车组合测速系统功能结构

（1）传感器输入层：编码里程计和多普勒雷达分别对列车进行速度脉冲采集并进行预处理。

（2）故障诊断与隔离层：根据传感器测量特性及系统设计要求，利用测量数据对编码里程计和多普勒雷达进行故障诊断，如果判定故障，则隔离故障单元。

（3）卡尔曼滤波残差计算层：对多普勒雷达及编码里程计的测量数据进行融合，利用卡尔曼滤波算法进行残差计算。

（4）空转/打滑检测层：利用卡尔曼滤波残差及其协方差确定空转/打滑检测函数，根据设定的判定阈值来检测列车是否发生空转/打滑。

（5）输出判决层：根据空转/打滑检测结果对列车进行判决，如果没有出现空转/打滑现象，则输出编码里程计的测量结果，如果检测到系统发生了空转/打滑，则输出多普勒雷达的测量结果。

1.2空转/打滑检测

列车空转/打滑的检测一般采用基于加速度的方法［1-2］，相对较复杂。本文采用一种基于卡尔曼滤波残差χ2检测的方法来进行空转/打滑的判断。

根据列车运动学特性，建立列车的状态方程：

式中：

＾Xk-——一步预测状态变量；

＾Xk-1——状态变量，＾Xk-1=［s，v，a］T，其中s、v、a分别为列车位移、速度及加速度；

A——状态转移矩阵；

B——输入矩阵；

uk——编码里程计控制输入。

测量方程为：

式中：

H——观测矩阵；

＾Zk——基于一步预测的观测估计值。

列车运行过程中，根据uk进行时间更新，获得及误差协方差Pk-；然后通过测量更新计算卡尔曼增益Kk，并根据多普勒雷达的测量值Zk进行更新，获得测量更新后的状态变量＾Xk及误差协方差Pk，送给时间更新模块进行下一步推算。在测量更新过程中，计算残差ek=Zk-H＾Xk-及其协方差Sk=HPk-· HT+R，送给计算检测函数值模块，构建空转/打滑检测函数如下：

根据大量试验结果设定合理的阈值Td，对空转/打滑进行判断，当姿k＞Td时，认为列车发生了空转/打滑现象。空转/打滑检测图如图3所示。

图3 空转/打滑检测图

2 组合测速系统故障树分析

故障树分析（FTA）方法是一种自顶向下识别系统故障的方法，由发现问题开始，找出一个故障出现的各种可能方式，并对每种情况进行分解，直到发现所有引发该故障的事件或基本故障。FTA法是对系统进行安全性、可靠性分析的好方法，用以确定一个危险事件的可能性或系统的安全功能等级。

在列车组合测速系统中，测速传感器测量得到的列车位移、速度等信息，经数据采集后传输到车载计算机进行滤波、故障诊断等处理，在此过程中，传感器测量、数据传输、车载计算机处理这几个环节都有可能发生故障，导致列车测速故障的发生。在传感器测量环节，故障包括传感器硬件本身故障、列车车轮打滑抱死或空转故障、安装及外界干扰等。在数据传输环节，数据在传输过程中易受周围电磁干扰等影响而造成故障。在车载数据处理环节，由于处理器软硬件故障，可能会引起数据诊断功能的失效。列车组合测速系统故障树如图4所示。

在图4中，传感器故障、打滑/空转、诊断参数失效、残差检测失效及外界干扰是导致组合测速系统故障输出这一顶事件发生的基本事件，而编码里程计故障、多普勒雷达故障及故障诊断失效这些中间事件是基本事件共同作用的结果。

3 组合测速系统危险失效率计算

IEC 61508标准对安全完整性的定义为：安全完整性是指一个系统在给定时间内、给定条件下完成所要求的安全功能的概率［6］。它根据量化指标最大可容忍危险率RTH，把安全完整性分为4个SIL（安全完整性等级）。从SIL1～4，安全完整性等级依次增高，如表1所示。对于列车组合测速系统，要求能保证RTH满足表1所示的SIL4。

图4 列车组合测速系统故障树

表1 安全完整性等级表

在列车组合测速系统中，编码里程计作为核心传感器进行测速计算，多普勒雷达用于检测列车的空转/打滑故障并进行补偿。当列车出现空转/打滑时，需采用多普勒雷达的测量数据来补偿列车的测速，因此要对列车空转/打滑期间的安全完整性进行评估。

对图4所示的组合测速系统故障树进行重构，将组合测速系统的安全完整性评估分为非空转/打滑危险输出及空转/打滑危险输出两部分，对应于列车没有发生空转/打滑时的危险率及列车发生空转/打滑时的危险率。

列车没有发生空转/打滑时，测速数据由编码里程计提供。每个编码里程计有S1～S4四组光电传感器，其中S1、S2、S3安装在编码盘外圈（外圈有100个孔），S4安装在编码盘内圈（内圈有25个孔）。当列车车轴带动编码盘旋转时，S1、S2、S3生成占空比50%、相位相差为120°的脉冲，而S4生成的脉冲信号高低电平持续长度不一样（因编码盘内圈开孔不均匀）。在S1、S2、S3的上升沿采样S4输出脉冲的电平，可生成100个不同的八位编码，通过检测编码间的连续性，发现测速导向危险侧的故障。这类故障归为非空转/打滑危险输出。编码里程计故障输出的危险率λodo=1.42×10-10h-1［7］。列车发生空转/打滑期间，多普勒雷达的测量数据被用来补偿列车的测速。当列车发生空转/打滑，且多普勒雷达出现未检测到的危险故障时，则列车空转/打滑期间的测速补偿可能会导致危险，这类故障归为空转/打滑危险输出。重构简化后的故障树结构如图5所示。

图5 列车组合测速安全完整性评估

列车空转/打滑期间，组合测速系统的需求失效概率PFD，slide计算式为：

式中：

λodo，slide——列车空转/打滑的概率；

TR——列车空转打滑持续时间；

λradar——雷达的故障率；

T——系统的总工作时间。

组合测速系统空转/打滑的可容忍危险率RTH，slide为：

组合测速系统所使用的DRS05a型多普勒雷达的平均无故障时间tMTBF=166 389 h［9］，当多普勒雷达发生故障时，诊断程序会进行故障判断，当发生未检测到的雷达危险故障时，可能会导致危险输出。对多普勒雷达危险故障率进行安全侧简化，取为雷达的故障率λradar，则：

轨道条件比较湿滑（如下小雨、轨道有水雾或轨道结冰、轨面上存在大量污染颗粒或落叶）时，容易出现空转/打滑现象，根据线路测试数据，列车空转/打滑的概率λodo，slide=1×10-1h-1。由于列车大都安装了ABS防抱死装置，列车不可能长时间处于空转/打滑状态，空转/打滑持续时间取为TR=10 s。根据式（5）可得：

RTH，slide向安全侧取值为：

则组合测速系统的可容忍危险率RTH，system为：

由于10-9h-1＜RTH，system＜10-8h-1，根据表1数据，列车组合测速系统的安全完整性符合SIL4等级。

4 结语

本文提出采用编码里程计及多普勒雷达实现列车测速的方案，通过重构列车组合测速系统故障树，将组合测速系统分为非空转/打滑危险输出及空转/打滑危险输出两部分，并利用实际参数对组合系统危险失效率进行计算，证明用多普勒雷达来补偿列车空转/打滑时测速计算的安全完整性符合SIL4等级。

［1］SAAB S S，NASR G E，BADR E A.Compensation of Axlegenerator errors due to wheel slip and slide［J］.IEEE Transactions on Vehicular Technology，2002，51（3）：577-587.

［2］MONICA M，PAOLO T，BENEDETTO A，et al.Train speed and position evaluation using wheel velocity measurements［C］//2001 IEEE/ASME International Conference on Advanced Intelligent Mechatronics Proceedings.Italy：Corno，2001：220-224.

［3］MAZL R，PREUCIL L.Sensor data fusion for inertial navigation of trains in GPS-dark areas［C］//Intelligent Vehicles Symposium 2003 Proceedings IEEE.IEEE，2003：345-350.

［4］张洋，周达天，刘宏杰，等.基于多传感器整合的列车测速定位方法［J］.都市快轨交通，2011，24（4）：30-32.

［5］FILIP A，TAUFER J，MOCEK H，et al.The high integrity GNSS/INS based train position locator［C］//Computers in Railways IX，W IT Press，2004：498-506.

［6］International Electrotechnical Comm ission.Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 1：General requirements：IEC 61508-1[S].2010：34.

［7］FILIPA.Safety aspectsof GNSSbased train position determ ination for railway signaling［C］//UIC Galileo for rail symposium，Oct 18-19，2007.Paris，2007：50-55.

Analysis of the Safety Integrity in Integrated Train Speed M easurement System

CUI Ke，DONG Decun

Coded odometer and Doppler radar are used to measure the train speed，and the main structure of the train speed measurement platform is described.Then，Kalman filtering residualsχ2is proposed to detect train sliding/slipping phenomenon，FTA method is used to conduct the failure analysis of the proposed system.The fault tree of the integrated system is reconstructed and the failure rate of the dangerous side is calculated according to the actual parameters.The results verify that safety integrity of train speed measurement fits in w ith SIL4 security level by using Doppler radar to compensate the errors caused by train idling and slipping.

rail transit；integrated train speed measurement；safety integrity analysis；fault tree analysis（FTA）

U284.48+1

10.16037/j.1007-869x.2017.07.013

2016-12-10）