SIL4功能安全在城轨车门控制器中的应用
2020-11-11黄莉莉廖小美
黄莉莉,张 伟,廖小美
(1 南京康尼机电股份有限公司,南京 210013;2 南京康尼电子科技有限公司,南京 210013)
随着轨道交通近年来在中国市场的迅猛发展,轨道交通安全性问题也日益突显。轨道交通运输中遵循“预防为主、早期投入”的策略,把预防、发现、纠正各类安全隐患作为重点,采用安全控制技术,及时防止行车事故的发生,避免出现严重事故威胁乘客人身安全。
轨道车辆门系统安全性也越来越受到企业和客户的重视。国内外客户在轨道车辆门系统功能安全方面提出了越来越高的需求,希望产品在重要安全功能方面达到功能安全完整性的最高等级要求。
轨道车辆门系统的控制中心是车门控制器,接受车辆控制信号,控制门扇运动进行开、关门动作。车门控制器作为门控系统的核心,它的安全性直接关系到车门控制的安全。因此,研制高安全性的车门控制器具有非常重要的意义。
1 功能安全简介
1.1 功能安全概念
功能安全的概念源于国际电工委员会的IEC 61508标准。该标准的全称是《电气/电子/可编程电子安全相关系统的功能安全》。该标准中定义了功能安全:针对规定的危险事件,为达到或保持受控设备的安全状态,由电气/电子/可编程电子安全相关系统、其他技术安全系统或其他风险降低措施实现的功能[1]。
IEC 61508是电气与电子行业的通用标准,轨道交通领域基于此并参考多种其他标准,制定了铁路应用的标准规范: EN 50126《铁路应用-可靠性、可用性、可维护性和安全性规定和证明》,EN 50128《铁路应用-通讯、信号和程序系统——轨道控制和保护系统软件》,EN 50129《铁路应用——通信、信号、处理系统——信号用安全相关电子系统》。在这3个标准中,对铁路应用中的功能安全及实现做了描述。
1.2 安全完整性等级概念
EN 50129中描述了安全需求规范:每个系统/子系统/设备的特定安全需求,都应包括安全功能和安全完整性两项[4]。安全功能就是系统/子系统/设备应具备的实际与安全性相关的功能,通过危险识别和分析、风险评估和分类实现;安全完整性则定义了每一个安全相关功能的安全完整性等级,通过安全完整性等级分配来实现。当特定的安全功能获得实现,并且其所对应的安全完整性等级也被满足的时候,功能安全的目标才达到。
为了描述安全功能所对应的安全完整性等级,引入了SIL概念,它是Safety Integrity Level的缩写,是对诸如质量管理和安全管理以及技术安全条件这类要素的定性评价。它表示一个安全相关系统实现安全功能的能力。安全完整性等级越高,它在执行所需的安全功能时失效的可能性越低。EN 50129中,安全完整性被分为4个离散等级,SIL4为安全完整性最高等级,SIL1为最低等级,SIL0用于无安全性需求的应用场合。
1.3 安全完整性等级的实现方式
为了实现系统/子系统/设备的特定功能安全需求,应满足以下两项要求:(1)安全功能达到安全状态;(2)安全功能的安全完整性达到要求。安全完整性以定性的安全目标和与之关联的定量目标的形式出现,定性目标以1.2节所述安全完整性等级形式给出;定量目标以失效率形式给出。由于无法对系统失效进行量化,因此安全完整性等级被用作匹配定性方法和定量方法的手段[4]。由此引入了THR概念,它是Tolerable Hazard Rate的缩写,表示可容忍的危害发生的概率。THR和SIL的对应关系通过表1来确定。
表1 SIL等级和THR对照表
该对照表可根据危险率确定安全完整性等级;也可根据安全完整性等级设计系统或子系统以使其满足THR要求。
如果某安全功能的允许危险率可用一种定量方法获得THR,则其安全完整性等级可通过表1确定[3]。而其可量化的THR,则可以通过FTA(故障树分析)等方法,分配到子系统中,最后反应到硬件的FR(Failure Rate,失效率,可靠性相关)上。
同时,根据软件应用的风险水平和系统安全完整性等级,确定软件安全完整性等级。根据软件安全完整性等级,选择软件开发的生命周期模型,并在软件质量保证计划中详细说明,由评估员实现对软件的评估,评估过程贯穿整个生命周期。
1.4 功能安全认证
功能安全认证是基于IEC 61508(轨道交通领域对应EN 50126、EN 50128、EN 50129)等标准,对产品的安全完整性等级进行评估和确认的一种第3方评估、验证和认证。功能安全认证主要涉及针对产品开发流程的文档管理评估,硬件可靠性计算和评估,软件评估,环境试验、EMC电磁兼容试验评估等内容。功能安全认证贯穿产品整个安全生命周期。IEC 60158中规定:可进行功能安全评估的人、部门或组织必须是独立的,与被评估的项目没有任何关系。SIL1的产品功能安全评估由个人或部门来完成;SIL2的产品功能安全评估由相关部门进行;SIL3以上的产品要求第3方机构认证。
2 车门控制器功能安全简介
车门是乘客进出列车的唯一通道,面向的对象是大量乘客,因此车门控制器的安全直接关系到乘客人身安全。在对车门控制器潜在的所有危险进行初步危害分析后,评估出危险发生的频率、严重程度,然后依据EN 50126标准的4.6章节,定义危害的风险类别。综合以上分析,得出车门控制器“意外开门”的功能安全目标如表2所示:
表2 车门控制器功能安全表
车门控制器接收车辆顶层控制系统传输的列车线信号(开门、关门等)、传感器信号(行程开关、位置传感器等)、车辆网络信号等,判断对应时刻是否需要执行开门或关门命令,继而控制电机进行正转或反转,驱动车门完成解锁、开门或关门动作。车门控制器结构框图如图1所示。
图1 车门控制器结构框图
车门控制器的本质在于接收外部信号完成开关门判断,并驱动电机实现开门或关门功能。根据表2可知,车门控制器安全性要求最高的功能是“意外开门”功能。意外开门发生的必要条件是电机正转(假设正转表示开门,反转表示关门),结合图1,电机正转的必要条件是电机电源得电并且电机驱动电路正常。因此,为了实现“意外开门”功能的SIL4级高安全性,设计一个“安全电路”,作用于电机电源及电机驱动电路,如图1所示“安全电路”模块,以保证“意外开门”功能的安全完整性等级达到SIL4。
3 车门控制器SIL4功能安全的实现
EN 50129标准中规定了SIL4功能安全的3种实现方式:组合式实现;反应式实现;固有式实现。
组合式实现:采用组合式实现方式,每个安全相关功能应至少由两个项来执行。各项之间互相独立,避免共因失效,并且应该能检测出一个项中的危险故障并在足够的时间内加以拒绝,以避免第2个项发生相同故障。组合式安全电路实现原理如图2所示。
图2 组合式安全电路
组合式安全电路的本质是采用相异的冗余电路实现功能安全,消除电路单点故障。
反应式实现:采用反应式实现方式,这种技术允许一个安全功能由单个项执行,前提是通过快速的危险故障检测和拒绝来确保它的安全操作。虽然只由一个项来实施实际的安全功能,但检查/测试/检测功能应被看作第2项,并且两项之间相互独立,避免共因失效。反应式安全电路实现原理如图3所示。
图3 反应式安全电路
反应式安全电路的本质是利用相异电路互相校验实现功能安全。
固有式实现:采用固有式实现方式,一个安全功能仅由单个项执行,且该项所有失效模式均为安全的。固有式安全电路实现原理如图4所示。
图4 固有式安全电路
固有式安全电路的本质是利用电路的独特性确保电路任何失效模式均导向安全,实现功能安全。
综合车门控制器的设计结构及功能安全的3种实现方式,在车门控制器中采用第3种方式——固有式安全电路实现SIL4功能安全。SIL4安全电路控制框图如图5所示。
图5 SIL4安全电路控制框图
SIL4安全电路确保不会给电机驱动电路提供错误输出,无论任何器件出现故障,都不会误触发电机驱动电路,从而不出现“意外开门”,满足固有式安全电路“所有失效模式均为安全的”条件。
4 车门控制器SIL4安全等级的验证
4.1 SIL4等级验证
SIL4安全电路通过接收车辆列车线信号及外部传感器信号决定是否给电机驱动电路供电。在电机驱动电路模块得电的情况下,CPU控制输出开关门命令确保电机正常运转。可见:SIL4安全电路的失效率越低,电机误动作的概率越低,车门控制器的安全性越高。
在车门控制器“意外开门”功能SIL4等级要求上,通过固有式故障安全电路实现,其固有故障特性保证电路发生故障时导向安全,因此只需要通过计算可量化的THR,使其满足表1即可。而其可量化的THR,则可以通过FTA分析计算得出。
通过FTA分析方法,首先确定意外开门(顶事件)的直接原因或间接原因(或其组合),自顶向下一层一层展开原因分析,直至分析至基本事件(单个器件的失效)。器件的失效率根据美军标MIL-HDBK-217FN2进行预计,器件的失效模式及失效模式百分比根据EN 50129标准的附录表进行,由此得出器件级别的FMECA(Failure Mode Effect Criticality Analysis的缩写)分析表。FTA的基本事件可根据FMECA分析表中单个器件某种失效模式下的失效率及失效影响计算得出。最后应用自下而上的方法,计算出顶事件的THR。
通过此种分析计算,可得车门控制器“意外开门”功能的THR为1.946×10-10,参见图6(故障树的一部分)。
图6 SIL4功能安全车门控制器意外开门FTA简图
综上计算可知,“意外开门”功能的故障率满足10-9= 依据1.4节所述,SIL3以上的产品要求第3方机构认证。安全认证的目的是验证产品达到所述的功能安全。第3方认证机构全程参与了本车门控制器的评估及审核。主要包括如下几个方面: (1)建立功能安全管理体系,确定系统、软件、硬件的安全生命周期所有阶段的管理、技术活动及各个阶段的文档记录,通过体系保障安全完整性; (2)进行功能安全认证评估,包括3个阶段,分别是概念阶段审查(产品规范、设计、安全报告)、测试阶段审查(功能性测试、安全性测试、测试报告)、认证阶段审查(经过测试的产品认证); (3)给出SIL认证的结论及证书,结合产品整个生命周期的所有文档材料及各类试验报告证明产品符合相关功能安全标准的规定; 经过上述所有认证过程,第3方认证机构确定本车门控制器在“意外开门”功能上符合SIL4级功能安全要求。 SIL4级车门控制器委托第3方测试检验单位完成了电磁兼容性试验、环境试验、通信网络一致性试验等各项型式试验测试,测试全部通过。 同时通过了第3方认证机构对车门控制器技术设计、测试验证等全过程的专业审核,获得认证机构授予的符合EN 50126、EN 50128、EN 50129 SIL4级功能安全认证证书。 完成型式试验和第3方安全认证后,SIL4级车门控制器在国内两条城轨线路进行了约一年的正线试运营,检验了SIL4级车门控制器的设计和高安全性,为未来高安全需求的车门控制提供了解决方案。 随着城市轨道交通的高速发展,轨道车门数量与日俱增,客户对车门控制器高安全性的需求也日益提升。因此,研发SIL4级功能安全的车门控制器,并通过第3方独立机构认证,既满足了客户对车门控制器高安全性的需求;又填补了国内车门控制器SIL4级功能安全的空白,提高了车门控制器在国际市场的竞争力。4.2 SIL4级功能安全认证
4.3 SIL4级车门控制器的应用
5 结束语