苏 醒，李 鸿，姜俊彤

（长沙理工大学 电气与信息工程学院，长沙 410114）

自动控制系统的安全性和可靠性已经成为系统设计的重要指标。在工业生产中，安全问题越来越受到国家的重视与管控，所以控制系统的安全设计就显得愈加重要。列车逻辑控制单元LCU作为列车控制系统的重要组成部分，其安全性值得关注和研究。

IEC 61508是功能安全的通用标准，英国等发达国家已将安全标准在相关行业强制实施。对安全性的研究在国内虽然发展较晚，但随后也颁布了对应IEC标准的国标如GB/T 20438，然而安全标准在国内仅为推荐而并未强制实施[1-2]。在国内相关行业内，功能安全在石油化工领域有着广泛的应用，随着社会经济的发展，人们对生产安全的要求逐渐提高，功能安全势必会在其它行业得到应用。

近年来，我国的轨道交通发展迅速，但很多轨道交通电子控制设备并未严格满足功能安全的标准，轨道交通电子产品的安全性势必成为人们研究的热点。在此，分析LCU的系统安全设计，介绍如何从系统设计角度提高安全性；计算相关失效率，建立故障树模型，计算安全完整性等级，定量分析辑控制单元LCU系统硬件的安全性；考虑失效率的不确定性，提出使用模糊故障树，以使其结果更符合实际。

1 安全设计理论

安全性常与可靠性一起出现，但两者侧重点不同。可靠性的定义是指在设计技术规范内，系统能够完成预定功能的概率，而安全性更注重于当系统发生失效时是否会导致危险的结果发生。两者的区别如图1所示。

图1 安全性与可靠性的区别Fig.1 Difference between security and reliability

当系统没完成预定功能时，称之为失效，失效概率反应了系统的可靠性。由图1可见，系统失效可分为安全失效和危险失效，安全失效又称“误动作”，首先它是失效，其次这种失效是安全的，没有危险工况发生；危险失效是指系统既发生了失效又发生了危险工况。由此可知，安全性对系统的要求更高，在此安全性研究重点是系统发生危险失效的概率。

安全PLC源于安全仪表系统，根据逻辑控制器采用的技术，从原理上将安全仪表系统分为电气、电子、可编程电子3类。安全PLC属于可编程电子系统，与前两类相比具有方便灵活的编程能力。

安全PLC不仅可以提供普通PLC的功能，更注重实现安全控制功能，符合IEC 61508等控制系统安全相关部件标准的要求。安全PLC具有以下特点：故障安全，冗余结构，安全自检，安全编程环境，安全等级认证，等。为保障列车LCU的安全性和可靠性，以及达到SIL安全认证标准，在LCU的设计中，参考安全PLC的概念和设计要求，设计出适用于地铁列车的新型安全可靠的列车LCU。

2 LCU系统安全设计

2.1 列车LCU

逻辑控制单元LCU是轨道列车上进行数字逻辑控制的装置[3]。其主要功能是采集列车上的接触器辅助触点、隔离开关，以及司机室控制器、按键开关、列车网络等信号，经逻辑计算处理后，输出驱动车辆各类负载设备，完成列车指定的时序控制功能。

传统的列车控制电路大量采用继电器，这种触点式电路存在易老化、接触不良、易失效等问题，严重影响车辆的安全性。与传统继电器控制电路相比，列车LCU不仅克服触点电路的缺点，还具有多冗余、自诊断、故障数据存储等功能，使用寿命大大提升，安全性与可靠性也大大提高。因此，用MOSFET替代继电器的无触点式列车LCU势必会越来越广泛普及。

2.2 LCU系统冗余设计

基于安全PLC理论的LCU采用模块化设计。其中电源板、IO板、主控板都具备硬件相同的A，B双板卡，互为冗余。控制器局域网络CAN（controller area network）板卡与多功能车辆总线MVB（multifunction vehicle bus）板卡，都具有2套独立冗余的网络总线。各板卡间通过CAN总线通信，MVB板卡通过MVB与列车控制和管理系统TCMS（train control and management system）网络通信。模块化设计使得实际使用中的维修更加方便、快捷，故障时只需更换对应板卡即可，缩短了设备维修时间。LCU机箱各模块配置如图2所示。

图2 LCU模块配置Fig.2 LCU module configuration

除了为整个机箱板卡提供电源的电源模块和用于数据收发的通信模块外，输入、输出及控制模块是整个LCU控制的核心，也是本文主要研究内容。输入模块的主要作用是数据采集及输入诊断等，并对其封装后通过CAN总线发送给控制模块；控制模块根据总线接收到的数据进行逻辑处理，然后对输出模块发出指令；输出模块负责数据输出及输出诊断。

3 LCU控制系统结构

系统结构是影响系统安全性的重要因素之一。输入模块、控制模块、输出模块均有A，B两个相同的通道，两通道的结构为1oo2D，它们互为冗余并带有诊断电路。MCU之间用CAN总线通信，实现通道数据同步和控制同步，总线通信采用安全协议封装。2个通道进行交叉互诊断，诊断内容包括输入开路短路、MCU自诊断、输出开路短路等[4-5]。输入输出及控制模块的结构如图3所示。

图3 输入输出及控制模块结构框图Fig.3 Block diagram of input and output and control module

为了降低共因失效，2个通道的MCU采用不同的型号。整个输入输出及控制模块采用1oo2D结构，该模块可以简化为如图4所示。1oo2D结构有2个并行的通道，当其中任意一个通道发生故障时，系统仍然可以通过另一通道正常运行，完成系统预定功能，可以降低系统失效。其次，每个通道都有诊断电路，诊断电路与输出通道串联，检测到故障时可以独立关闭通道输出，提高系统的安全性。

图4 1oo2D系统结构Fig.4 1oo2D system structure

与2oo3，2oo4系统结构相比，在考虑系统成本的情况下，1oo2D结构也能提供较高级别的安全性和可用性。

4 系统安全性分析

为了验证LCU系统的安全性，对LCU硬件部分进行定量分析及建模研究。衡量系统安全性的指标是系统发生危险失效的概率，因此安全性分析的重点就是计算危险失效的概率。LCU除了通信板、背板外，都做了冗余设计。在计算失效率时，冗余部件应考虑系统结构对系统失效的影响。

LCU失效概率计算框图如图5所示。LCU安全性分析从最底层的元器件失效率开始，先计算板卡级的失效率，再考虑系统结构，搭建故障树模型，计算整个LCU的失效参数。

图5 LCU失效概率计算框图Fig.5 Block diagram of LCU failure probability calculation

要求时失效概率PFD（Probability of Failure on Demand），是用于衡量系统安全性的指标。它意味着系统是危险的，系统执行规定安全功能的不可用性，即危险失效概率，它不会在要求（潜在的紧急条件）发生时产生规定的响应。要求时平均失效概率PFDavg（average Probability of Failure on Demand），用于描述系统需求时平均失效的术语，表示控制系统发生执行规定安全功能的平均不可用性。

4.1 元器件失效率的计算

系统研究的对象是由电子电路构成的控制系统，主要由电子元器件组成。电子元器件的失效除了自身内部原因失效（基本失效率），还与外界环境、温度、应力等因素相关。以电路中广泛使用的二极管为例，其工作失效率为

式中：λp为工作失效率，10-6/h；λb为基本失效率；πE为环境系数；πQ为质量系数；πT为温度系数；πS为应力系数。

其它元器件计算类似，相关数据可根据元器件选型查阅说明手册得到，由此可计算出LCU所有的元器件工作失效率。

4.2 板卡级硬件电路的失效模式影响及诊断分析

失效模式影响及诊断分析FMEDA（Failure Modes Effects and Diagnostic Analysis），是一种“自底向上”的方法，由电子电路系统每个元器件的一个详细的列表开始，一次一个部件地分析整个系统[6]。FMEDA列出了系统每个部件（元器件）的失效模式、失效类型、失效影响、失效率、诊断检测能力等信息。可由FMEDA得到元件的安全失效率λs、危险失效率λd，影响系统安全性的主要原因来自危险失效[7]。

该控制系统板卡内部加入了诊断电路。诊断电路可以减少冗余系统处于降级运行模式下的时间，也可以在系统危险失效时检测到失效，便于迅速采取安全措施保证系统安全。设定当诊断电路检测到危险失效时，可以将输出置于安全侧，系统不会造成危险后果，则计算安全指标时仅需考虑未检测到的危险失效。带诊断的系统存在诊断覆盖率的问题，诊断覆盖率反应了系统的检测能力。诊断覆盖率的取值可参考IEC 61508-6，诊断覆盖率分为安全失效诊断覆盖率和危险失效诊断覆盖率，在此仅考虑危险失效。可计算出系统各元件危险未检测到的失效率λDU为

式中：Cd为危险失效诊断覆盖率。假设各元件失效均引起板卡失效，则板卡失效率为板卡各元件失效率之和。

当系统存在冗余部件时，共因失效会导致系统发生安全失效或危险失效。在此采用双通道冗余设计，因此需要考虑共因失效给系统带来的影响。

共因失效通常采用β模型，β因子将故障分为共因失效部分、一般失效部分。可以计算出各板卡在考虑诊断和共因失效下的失效率：

——危险未检测到的一般失效率λDUN为

——危险未检测到的共因失效率λDUC为

4.3 模糊故障树模型及系统安全性指标

在得到系统各板卡的失效数据后，可进行系统可靠性建模计算。控制系统的安全性与可靠性建模常用的方法有故障树分析、网络建模和马尔可夫模型。不同模型的结果均依赖于所用模型的细化程度，如多失效模式、共因和诊断等。

系统采用故障树模型进行安全性建模，并考虑了共因和诊断对系统的影响。以冗余板卡为例，LCU的冗余设计采用1oo2D结构，导致顶事件系统危险失效的底事件，需满足A，B两板卡均发生危险失效，且失效不能被诊断程序检测到。对应4.2节的A，B两板卡发生危险未检测到的共因失效，或单个板卡均发生危险未检测到的一般失效。建立故障树模型如图6所示。

图6 1oo2D结构故障树Fig.6 1oo2D structure fault tree

1oo2D结构要求时失效概率近似计算公式[6]为

式中：Ti为设备周期性检查间隔时间。设备周期性检查时可以完全修复系统。

考虑到底事件失效率的不确定性[7]，引入模糊概率，应用模糊理论和扩展原理进行模糊处理，得到事件失效率的模糊区间，使得到的数据更加符合实际失效率特性。底事件采用的三角模糊数为

其隶属函数[8]为

底事件A/B板卡DUC失效的三角模糊数为（λDUC-α1，λDUC，λDUC+ β1），由于 A/B 板卡设计完全相同，底事件A板卡或B板卡DUN失效，计算时可使用相同的三角模糊数（λDUN-α2，λDUN，λDUN+ β2），则

由此代入式（5），可计算出顶事件模糊概率为

假设各功能模块失效均引起系统失效，则LCU设备要求时失效概率PFD为各模块PFD之和。而要求时平均失效概率PFDavg为运行时间上危险失效PFD概率平均值[9]，即

5 结果分析

5.1 安全完整性等级

根据IEC 61508，安全完整性等级SIL（safety integrity level）是一种离散的等级，用于规定分配给电气/电子/可编程电子安全相关系统安全功能的安全完整性要求[10]。安全完整性等级共分为4个等级，其中SIL4为最高等级，SIL1为最低等级。安全完整性等级越高，系统应执行所要求的安全功能的概率也越高，系统的可靠性也就越高。安全完整性等级（低要求模式）见表1，在低要求模式下，安全完整性等级使用要求时平均失效概率作为等级划分指标。

表1 安全完整性等级（低要求模式）Tab.1 Safety integrity level（low demand mode）

5.2 SIL计算结果分析

假设元件失效率在生命周期内保持不变，取β=0.03，LCU设备检修周期为0.5 a，根据上述方法模型，最终计算出LCU设备0.5 a的PFDavg模糊数为（1.147×10-3，1.508×10-3，2.169×10-3）。 根据表 1，基于1oo2D结构的列车LCU，其PFDavg在模糊概率最坏的情况下，满足安全完整性等级SIL2。

可靠性指标的计算与很多建模细节因素有关，如：失效率，多失效模式（安全失效、危险失效），诊断（覆盖率），共因失效，系统结构，模型方法，等。在计算过程中考虑的因素越多，计算结果越可靠。

6 结语

新型的地铁列车LCU参考了安全PLC设计理论，采用1oo2D系统结构，通过冗余和诊断设计提高了LCU的安全性与可靠性，达到国际上对轨道交通产品的安全标准。从LCU系统控制结构入手，实现了功能安全的相关设计，计算了相关失效率，通过模糊故障树模型，验证其安全完整性等级。定量分析结果表明，LCU在安全性指标上满足SIL2的要求。满足了安全标准的轨道交通产品，在实际应用中更加安全可靠，在国内外市场上将具有更大的竞争力。故障树模型简单易懂，加上模糊概率后，更加符合实际，如果能够考虑时变失效率的问题，计算结果会更加可靠。