丁召荣，黄天新

（1.西安铁路信号有限责任公司，西安 710100；2.北京全路通信信号研究设计院集团有限公司，北京 100070；3.北京市高速铁路运行控制系统工程技术研究中心，北京 100070)

1 概述

道岔表示功能是道岔控制电路的功能之一，用于表示对应道岔的位置状态信息，该功能属于安全功能。

道岔表示信息是联锁系统确保对应道岔、进路、信号联锁关系正确的输入条件之一。联锁系统的安全性是建立在输入的相关信息（包含道岔信息）正确的基础之上，道岔表示信息的错误必然导致对应道岔、进路、信号联锁关系的不正确，当然其安全性也就无法保证[1]。

当道岔表示功能失效，其故障模式及最终影响如表1 所示。

可见，序号1 的故障模式不会影响到行车安全，但序号为2、3、4 的故障模式会产生影响行车安全的危害。可以将序号为2、3、4 的故障模式统一描述为“错误的表示道岔为定位或反位”。这就是道岔表示功能的危害（可能导致事故的一种状况），属于不可接受的风险，将其归为安全性苛求系统[2]。

表1 道岔表示功能故障模式及最终影响Tab.1 Failure mode and consequence of switch indication function

信号从业人员的职责之一就是保证系统安全性，免除不可接受的风险影响。按照铁路行业已广泛接受的理念（EN50126 及EN50129）， 以安全完整性等级来描述安全相关功能的安全性。安全完整性关系到一个安全相关系统实现其所需安全功能的能力，安全完整性越高，执行所需的安全功能时失效的可能性越低。安全完整性包括系统失效完整性和随机失效完整性。系统失效完整性由质量管理和安全管理条件来实现，不属于本文讨论范围。随机失效完整性是安全完整性中与危害随机故障（特别是随机硬件故障）相关的部分。随机失效完整性可以在硬件元器件失效率、失效模式和随机硬件失效的出现次数等已知数据的基础上，利用概率计算进行定量评估。这就是本文讨论的主要内容。

2 道岔表示功能的安全性指标

按照GB/T 28809-2012《轨道交通 通信、信号和处理系统 信号用安全相关电子系统》（等同EN50129-2003 及IEC 62425：2007）的规定[3]，结 合铁路主管部门的要求及铁路行业从业人员的认识，道岔表示功能的安全完整性等级应为最高等级即SIL4，除了必须应用质量管理条件、安全管理条件、技术安全条件来保证系统失效完整性的要求，以防护系统性故障外，还必须采取措施控制随机故障，以保证随机失效完整性的要求。随机失效完整性的安全定量指标是容许危害率（THR），通常可以使用每功能每小时容许危害率表示。根据每功能每小时容许危害率可以确定系统的安全完整性等级（SIL），如表2 所示。

表2 THR对应的SIL等级表Tab.2 SIL corresponding to THR

实际上，道岔控制电路仅仅是铁路运输系统中的一个小系统，为保证运输安全的安全完整性等级，需将其每功能每小时容许危害率分配至各相关子系统，这样，各子系统的THR 数值需要明显小于表2 中SIL4 对应的数值。本文中不对具体的THR 分配及数值进行讨论，仅仅说明THR 的计算方法。

前述已经指明，道岔控制电路的道岔表示功能为安全功能，其危害为“错误的表示道岔为定位或反位”，因此道岔表示功能的安全定量指标就是“每小时错误的表示道岔为定位或反位”的概率，该指标应满足运输系统的需求。

3 道岔表示功能的危害率计算

3.1 电路及FTA分析

道岔表示功能是道岔控制电路的功能之一，不同的道岔控制电路实现道岔表示功能的具体电路也不相同。本文以目前广泛使用的四线制直流转辙机控制电路为例，说明其道岔表示功能危害率的计算。

四线制直流转辙机控制电路道岔表示电路原理如图1 所示[4]，电路中使用转辙机内部三组接点串联来控制表示电路的接通或断开，以DBJ 和FBJ 来表示道岔信息[5]。

图1 道岔表示电路原理图（直流转辙机）Fig.1 Circuit diagram of switch indication （ DC point machine）

由前述可知，“错误表示道岔为定位或反位”可能会产生影响行车安全的危害，属于不可接受的风险，因此需控制此危害至可接受的程度，使其达到系统所需的THR 的范围。

以“错误表示道岔为定位或反位”作为顶事件T，对如图1 所示道岔表示电路进行FTA 分析。“错误表示道岔为定位或反位”以DBJ 或FBJ 保持前接点接通状态作为判断依据。由于移位接触器不是所有机型都有，故将其按照一直接通处理，不考虑其故障。经分析所得故障树，如图2 所示[6-7]。

图2 错误表示道岔为定位或反位的故障树Fig.2 FTA of normal indicatiion or reverse indication by mistake

图中T 为顶事件，M 为中间事件，X 为底事件（基本事件），各事件具体如下。

T：错误表示道岔为定位或反位；

M1：错误表示道岔为定位；

M2：错误表示道岔为反位；

M3：向定位转换，不应接通表示时，机内定位表示相关的接点错误接通；

M4：道岔及机内对应反位状态，13-14，33-34，31-32 错误接通，2DQJ 错误转极接通DBJ；

M5：道岔不在定位锁闭时，DBJ 不能断开且FBJ 不能吸起；

M6：道岔定位锁闭，挤岔时相关接点没有断开；

M7：道岔不在反位锁闭时，FBJ 不能断开且DBJ 不能吸起；

M8：道岔反位锁闭，挤岔时相关接点没有断开；

M9：向反位转换，不应接通表示时，机内反位表示相关的接点错误接通；

M10：道岔及机内对应定位状态，21-22，23-24,43-44 错误接通，2DQJ 错误转极接通FBJ；

M11：DBJ 前接点不能断开；

M12：FBJ 前接点不能接通；

M13：FBJ 前接点不能断开；

M14：DBJ 前接点不能接通；

X1：31-32 错误接通；

X2：33-34 错误接通；

X3：13-14 错误接通；

X4：2DQJ 错误转极；

X5：23-24 错误接通；

X6：21-22 错误接通；

X7：43-44 错误接通；

X8：发生挤岔事故；

X9：DBJ 前接点粘连；

X10：DBJ 接点动作机构卡阻，前接点不能断开；

X11：表示继电器电源不满足需求；

X12：43-44 不能接通；

X13：21-22 不能接通；

X14：23-24 不能接通；

X15：电阻R 断开；

X16：FBJ 前接点不能接通（不能闭合或闭合而不通）；

X17：FBJ 前接点粘连；

X18：FBJ 接点动作机构卡阻前接点不能断开；

X19：表示继电器内部电路断开或短路；

X20：13-14 不能接通；

X21：31-32 不能接通；

X22：33-34 不能接通；

X23：DBJ 前接点不能接通（不能闭合或闭合而不通）。

经分析计算可得，顶事件的最小割集为{X1，X2}，{X5，X6}，{X9，X11}，{X9，X12}，{X9，X13}，{X9，X14}，{X9，X15}，{X9，X16}，{X9，X19}，{X10，X11}，{X10，X12}，{X10，X13}，{X10，X14}，{X10，X15}，{X10，X16}，{X10，X19}，{X17，X11}，{X17，X20}，{X17，X21}，{X17，X22}，{X17，X23}，{X17，X15}，{X17，X19}，{X18，X11}，{X18，X20}，{X18，X21}，{X18，X22}，{X18，X23}，{X18，X15}，{X18，X19}。

可见，“错误表示道岔为定位或反位”的顶事件基本都是由两个基本事件组合导致，也就是说任何一个随机硬件故障不会导致所述的顶事件。这满足EN50129 中“当可识别的任何一种单一随机硬件故障发生时，应保证SIL3 及SIL4 的系统保持安全。”的安全要求[8]。

3.2 危害率的计算

根据前述分析，四线制直流转辙机控制电路中道岔表示电路“错误表示道岔为定位或反位”的发生概率是前述30 个最小割集发生概率之和。

由各基本事件的定义可知：

P（X1）=P（X2）=P（X5）=P（X6）。

P（X9）=P（X17）。

P（X10）=P（X18）。

P（X16）=P（X23）。

P（X12）=P（X13）=P（X14）=P（X20）=P（X21）=P（X22）。

则，所述顶事件的发生概率表示如下。

P(T)=2×P(X1)2+2×{P(X9)+P(X10)}·{P(X1 1)+3×P(X12)+P(X15)+P(X16)+P(X19)}（1）

式（1）中，P（X1）为转辙机接点每小时错误接通的概率。P（X9）+P（X10）为表示继电器前接点每小时不能断开的概率。P（X11）为表示继电器电源每小时不能满足其工作要求的概率。P（X12）为转辙机接点每小时不能接通的概率。P（X15）为表示电路中电阻R 每小时断路的概率。P（X16）为表示继电器前接点每小时不能接通的概率。P（X19）为表示继电器内部电路每小时断路的概率。前述各项故障概率已知后即可计算出顶事件“错误表示道岔为定位或反位”每小时的发生概率，这就是道岔表示电路的表示功能安全定量指标THR，该指标必须满足系统要求，以保证系统的随机失效完整性。

3.3 相关失效率或故障率的计算

如前所述，计算出每个最小割集中涉及的基本事件发生概率才可以计算出顶事件的发生概率。以接点错误接通的故障率为例，说明最小割集发生概率。

依据GJB/Z 299C-2006 对前述3.2 中各故障率进行计算[9]，室外器材的环境分类按照“恶劣地面固定，符号为GF2”，室内器材的环境分类按照“一般地面固定，符号为GF1”，如表3 所示。

根据表3 中的失效率数据，计算道岔表示功能的危害率如下。

表3 基本事件概率计算Tab.3 Calculation of basic event probability

3.4 相关说明

转辙机内部接点没有可用的、权威的失效率数据，经过对比权衡，按照拨动式开关选取数值并计算。对于转辙机内部接点，由于没有相关的额定阻性负载电流指标，考虑到接点真实负载中主要是电机，因此触点负载系数按照感性负载的较大值选取。表3 中的各种系数具体数值按照理论工况并结合实际应用经验进行选取。综上所述失效率的具体计算结果存在一定偏差。

4 结论

四线制直流转辙机控制电路的道岔表示功能每小时危害率按照本文所述参数计算结果为0.9×10-9，随机失效完整性参数满足SIL4 的安全完整性等级。

当各基本事件的发生概率差异不大时，导致危险事件（错误表示道岔为定位或反位）的影响因素中转辙机内部接点故障所占权重明显较大。

当转辙机内部接点不能接通且表示继电器前接点不能断开时，也会发生错误表示道岔为定位或反位的危险事件。

表3 中，由于速率系数和负载系数选取数值较大，使得转辙机内部接点短路和开路的失效率均明显大于其他器件的相关失效率。