周 超，杜呈欣，李 樊，李 帅，郭长青

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

站台门控制系统是涉及机械、电子、计算机、控制和材料等多专业的站台安全防护装备[1]，目前，已安装站台门控制系统的城际铁路包括长株潭城际、海南东环、广珠城际等多条线路。因城际铁路站台门控制系统工作周期快，关键电气部件如门单元控制器（DCU）、可编程控制器（PLC）、驱动电机等使用频率高，特别是节假日、上下班等客流高峰时段，站台门经常受到乘客挤压、不正规倚靠、外界环境等因素影响，导致站台门控制系统故障发生次数增加，给乘客出行带来不便，甚至可能会引发重大事故[2]，对城际铁路正常运营造成严重影响。

国内外学者对故障分析树（FTA，Fault Tree Analysis）方法已有一定研究，1960年美国贝尔试验室在研究自动控制系统时首次提出了FTA 分析方法[3]。1970年波音公司设计出基于FTA 的计算机软件，东京大学研究了故障树概率数学模型及求解方法[4]。东北石油大学提出一种新的T-S 模糊故障树分析方法[5]。本文将FTA 方法应用于城际铁路站台门控制系统的故障诊断研究，选取站台门无法自动关门故障作为顶事件建立故障树，分析站台门无法正常关门的主要故障因素，确定导致故障的各类底事件，从而为站台门控制系统故障诊断提供辅助决策参考依据。

1 站台门控制系统概述

1.1 站台门控制系统组成

站台门控制系统由机械结构部分和电气系统两部分组成。

（1）机械结构主要包括门体结构和门机系统[6]。门体结构由滑动门（ASD）、端门、应急门和固定门等组成，门机系统由驱动电机、减速器、传动装置、锁紧装置等组成。

（2）电气部分主要包括监控系统和电源系统。监控系统由中央控制器（PSC）、DCU、就地控制面板（PSL）、紧急控制面板（PEC）及就地控制盒（LCB）组成，电源系统由驱动电源（DPS）、控制电源（CPS）及蓄电池组成。

1.2 站台门控制系统控制原理

站台门控制系统根据运营场景不同可分为3 种控制模式，分别是系统级、站台级和手动级。系统级控制优先级最低，手动级最高，低优先级的控制模式不得影响高优先级控制模式实现系统开、关门控制。（1）系统级控制模式是指当站台门控制系统与信号系统有接口关系时，站台门控制系统可实现与高速铁路列车的车地联动功能。（2）站台级控制模式是指系统能通过手动操作PSL、PEC 实现对整侧站台门的开/关门控制。（3）手动级控制模式是指系统可通过手动操作LCB 对单道ASD 进行操作，且不影响其他门单元及整个站台门控制系统的运行。

系统级和站台级控制模式下，PSC 中的核心部件逻辑控制单元（PEDC）接收控制命令后向DCU发出开、关门命令，DCU 接收命令后驱动电机通过门机传动装置带动滑动门完成指定开关门动作，当在滑动门运动过程中检测到障碍物时，DCU 将控制电机进行回转，带动滑动门退回。在手动级控制模式下，DCU 直接接收LCB 发出的开、关门命令，执行相应动作。

2 风险分析

2.1 站台门风险分析

根据危险与可操作性分析（HAZOP）方法对站台门控制系统进行分析。（1）通过“功能+引导词”的方式列举出全部功能失效场景，对危害进行描述。（2）评估不同风险可能导致的后果，并分析风险产生的原因。（3）得出系统需要采取的措施或改进方法。根据此流程得出站台门控制系统风险分析，如表1 所示。

2.2 站台门安全功能

站台门控制系统中逻辑控制单元（PEDC），门控单元（DCU）是站台门控制系统最核心的部件，所以在故障分析中以这两个核心部件为主要分析对象进行进一步的拆解。

在EN50128-2011 中对于安全功能的定义是：一个实现部分或者全部安全要求的功能[7]。根据2.1 节中的分析可知，滑动门开门、滑动门关门和滑动门的防夹功能若产生故障会导致车站服务中断、乘客受伤等比较严重的后果，因此将此3项防夹功能作为站台门控制系统安全功能。

3 故障树分析

故障树分析方法主要应用在涉及安全的控制系统和机电设备上，通过分析系统失效原因，找到降低系统风险的最佳方法，分析过程中，可通过计算出某一系统安全功能的失效概率判断可靠性是否符合相关使用要求。故障树基本形式与逻辑门的图形表达形式如下，包括顶事件、中间事件和底事件，各类事件通过逻辑门连接起来，如图1 所示。

3.1 确认顶事件

根据本文第2 章节分析，站台门控制系统主要涉及安全的故障顶事件如下：

（1）站台门异常打开；

（2）列车到站时，站台门无法打开；

表1 风险分析

图1 故障树典型分析结构

（3）列车出站时，站台门无法关闭；

（4）防夹功能失效，夹伤乘客；

（5）门体已关闭，安全回路无法导通。

3.2 搭建故障树

选取“列车出站时站台门无法关闭”这一顶事件作为事例进行故障树搭建，通过对站台门控制开关门的原理分析，得出故障原因包括DCU 故障、PEDC 故障、电源系统失效等。FTA 定量分析主要目的是对各底事件进行重要度分析，计算出底事件概率以及底事件对顶事件的影响程度[8]。本文采用下行法对站台门无法关闭这一顶事件展开分析，得出故障树的最小割集[9]。通过图2 可以看出，主要故障来自 于PEDC 和DCU 的故障；图3 和图4 对PEDC 故障和DCU 故障进行进一步分解，可以看出PEDC 故障主要来自于接口继电器故障、PLC 故障和继电器模组故障，DCU 故障主要来自于STM32 故障、保护电路故障、电机驱动模块故障等。从设计和运维的角度，这些单点故障都应该尽力避免并需要采取相应的保障措施，如采取出厂测试、疲劳试验、增加冗余部件、日常巡检等方法减少单点故障出现的频率。

图2 顶事件站台门无法关闭故障树

3.3 确定底事件故障率

参考GJB/Z+299A-199l 电子设备可靠性预计手册和供应商提供的设备数据[10]，可得出各底事件（电子元器件）的概率，如表2 所示。

电磁锁行程传感器、霍尔传感器、电机编码器均属于外部接口提供，不在本次分析范围之内，认为该事件的发生概率为0。

电机采样电路和保护电路可拆分成由多种基本电子元器件通过串联或者并联的方式组成，串联和并联的故障率基本计算公式如式（1）和式（2），其中，F(t)为事件故障率，Fs(t)是系统事件故障率。为提高设备安全性和降低故障率计算的复杂性，强化安全评估，以最大的故障率发生模式进行计算，将电机采样电路和保护电路两种电路均考虑由各类电子元器件串联组成。

图3 中间事件PEDC 失效故障树

图4 中间事件DCU 失效故障树

表2 最小割集底事件

3.4 顶事件故障率计算

根据创建的故障树及计算的所有底事件发生概率可计算出顶事件的发生概率。因本文是对站台门控制系统本身进行分析，故对所有外部接口提供的设备故障情况不予考虑，在计算过程中，若得出概率小于10−9的事件，因其发生概率过低，又与10−6有指数级差距，认为该事件不会发生。

通过上文分析，已知道了所有底事件的故障率，可根据底事件故障率计算得出站台门无法关闭这一顶事件故障率。根据光耦故障率、反相器故障率、STM32 故障率、电机驱动模块故障率、电磁锁率、电源模块故障率可计算得出DCU 的故障率。根据SIG 接口继电器故障率、PSL 接口继电器故障率、PEC 接口继电器故障率、PLC 输入模块故障率、PLC 的CPU 模块故障率、PLC 输出模块故障率、逻辑处理继电器组故障率、DCU 的接口继电器故障率可计算得出PEDC 的故障率。最后根据DCU 的故障率和PEDC 故障率可计算得出站台门无法关闭的故障率。

4 结束语

本文采用HAZOP 方法对站台门控制系统存在的风险进行深入分析，将“站台门无法自动关闭”作为典型顶事件，采用FTA 方法分析其故障原因。分析结果表明，研发设计人员需要对电机采样电路、STM32、电磁锁电源模块、接口继电器等重点关注并考虑安全设计措施，车站人员在日常运维过程中需要对DCU、PEDC 进行重点维保。该结果与试验室测试和现场工程师经验基本保持一致, 对提高站台门控制系统安全性和可靠性的研发设计及提升车站的日常维护水平具有一定参考价值。