关于铁路信号控制系统故障导向安全的探讨 作者:翟红兵
来源:《信息安全与技术》2013年第02期
【 摘 要 】 本文以铁路“7.23”大事故为引例,概括介绍了铁路信号控制系统故障导向安全的含义,分析了“故障—安全”保障措施,探讨了如何进一步提高信号控制系统的安全性,对保证铁路运输安全具有积极的意义。
【 关键词 】 铁路信号;故障—安全
1 引言
2011年7月23日甬温线发生的动车组追尾事故,从技术上分析,主要是由于雷击造成信号设备故障,而故障后控制系统失灵,没有检查到前行列车占用的状态,造成后续列车仍按“前方无车”的指示以“正常速度运行”,从而造成列车追尾、车毁人亡的悲剧。
这是一起严重违背“故障导向安全”(以下简称故障—安全)原则的“故障—危险”典型案例。结合本案例,本文对铁路信号的“故障—安全”作以分析和探讨。
2 铁路信号”故障—安全”概述
所谓“故障—安全”(Fail —Safe 简称FS ),原意是:当设备内部发生任何故障时,设备动作的后果应该是安全的。详细一点解释即是:一个系统当其内部发生任何故障时,该系统能给出一个预先设定的确保安全的输出值,这样的系统称为”故障—安全”系统,记作“FSS”。
铁路信号控制系统的核心任务是为列车或车列(称站内的调车为车列)提供安全可靠的指示命令。其控制对象是在铁路线路上运行的列车或车列,如果给出错误或相反的指示命令,后果不堪设想。可见,“故障—安全”原则在铁路信号控制系统中尤为重要。因此,对于铁路信号控制系统而言,在任何情况下,无论发生任何故障,都应确保系统输出安全的结果。
对于运行中的列车或车列,显然“车停”是安全的(安全侧),而“车走”是危险的(危险侧)。即如果设备发生故障,让运行中的列车停下来是安全的,而让本该停下来的列车继续运行则是危险的。因此,铁路信号控制系统的安全结果应是控制“车停”的指示或动作。 3 信号系统的“故障—安全”保障措施
3.1 传统铁路信号控制系统的“故障—安全”设计
为了实现”故障—安全”,铁路信号控制系统在设计时,采取了多项安全控制措施:
机械控制手段上,大多利用重力向下的原理,保证安全。如过去应用的臂板信号机,利用重锤控制臂板动作,当传导拉力的导线或拉杆折断时,靠重锤的重力使臂板保持水平状态,指示列车停车,从而实现”故障—安全”。
广泛应用的继电控制,采用非对称的安全型继电器。信号控制电路所用的继电器为安全型继电器,当发生断电故障时,靠衔铁及重锤片的重力,使继电器可靠落下,这样,保证继电器故障落下的概率远远大于故障吸起的概率。电路设计时,采用安全对应原则,用继电器的吸起状态对应设备的危险侧,而用继电器的落下状态对应设备的安全侧。例如在信号点灯控制电路中,用列车信号继电器(LXJ )吸起接点控制允许灯光(绿灯或黄灯)点亮,而用列车信号继电器的落下接点控制红灯点亮,当发生故障使列车信号继电器落下时,信号显示红灯,指示列车停车,从而实现了继电电路的”故障—安全”。
3.2 现代铁路信号控制系统的“故障—安全”控制
以现代集成电子电路和信息技术为核心的铁路信号控制系统,通过软件和硬件冗余的方式,实现“故障—安全”,下面是几种常用的“故障—安全”控制方式。
3.2.1 安全性冗余结构
如图2,模块A 和模块B 经与门输出,两个模块同步工作,只有两个模块输出一致才能使系统输出,如果有一个模块故障,系统将不能输出正常结果,从而发现故障,停止输出危险侧的执行信息。由于两个模块发生相同的故障而产生相同的错误结果的概率很小,这样,提高了系统工作的安全性,减少了危险侧输出的概率。
3.2.2 静态多元控制
静态“故障—安全”输入接口电路如图3所示,一个采集条件(GJ )同时由多个光电耦合采集单元同时采集,送入计算机。当采集条件接通时,各单元输出均为高电平,计算机收到代码为1111;当采集条件断开时,各单元输出均为低电平,计算机收到代码为0000。计算机对四个码元进行逻辑“与”的运算,结果为“1”时证明采集条件接通(危险侧),结果为“0”,证明采集条件断开(危险侧)。显然当采集条件断开而电路发生故障时,运算的结果为“0”的概率远远大于运算结果为“1”的概率,实现了“故障—安全”。
3.2.3 动态闭环控制
动态“故障—安全”输入接口的电路形式如图4所示,由计算机输出口控制的光电耦合管G2输出侧与采集输入口的光电耦合管G1输入侧串联。在采集条件接通时,由计算机输出的脉冲序列,会返回到计算机的输入端,即用动态脉冲作为危险侧信息;采集条件断开时,计算机输入口收到稳定的低电平(0);当电路任何一点发生断线或混线故障时。计算机输入端必然收到稳定的电平(1或0),将稳定的1或0均作为安全侧信息处理。
关于铁路信号控制系统故障导向安全的探讨 作者:翟红兵
来源:《信息安全与技术》2013年第02期
【 摘 要 】 本文以铁路“7.23”大事故为引例,概括介绍了铁路信号控制系统故障导向安全的含义,分析了“故障—安全”保障措施,探讨了如何进一步提高信号控制系统的安全性,对保证铁路运输安全具有积极的意义。
【 关键词 】 铁路信号;故障—安全
1 引言
2011年7月23日甬温线发生的动车组追尾事故,从技术上分析,主要是由于雷击造成信号设备故障,而故障后控制系统失灵,没有检查到前行列车占用的状态,造成后续列车仍按“前方无车”的指示以“正常速度运行”,从而造成列车追尾、车毁人亡的悲剧。
这是一起严重违背“故障导向安全”(以下简称故障—安全)原则的“故障—危险”典型案例。结合本案例,本文对铁路信号的“故障—安全”作以分析和探讨。
2 铁路信号”故障—安全”概述
所谓“故障—安全”(Fail —Safe 简称FS ),原意是:当设备内部发生任何故障时,设备动作的后果应该是安全的。详细一点解释即是:一个系统当其内部发生任何故障时,该系统能给出一个预先设定的确保安全的输出值,这样的系统称为”故障—安全”系统,记作“FSS”。
铁路信号控制系统的核心任务是为列车或车列(称站内的调车为车列)提供安全可靠的指示命令。其控制对象是在铁路线路上运行的列车或车列,如果给出错误或相反的指示命令,后果不堪设想。可见,“故障—安全”原则在铁路信号控制系统中尤为重要。因此,对于铁路信号控制系统而言,在任何情况下,无论发生任何故障,都应确保系统输出安全的结果。
对于运行中的列车或车列,显然“车停”是安全的(安全侧),而“车走”是危险的(危险侧)。即如果设备发生故障,让运行中的列车停下来是安全的,而让本该停下来的列车继续运行则是危险的。因此,铁路信号控制系统的安全结果应是控制“车停”的指示或动作。 3 信号系统的“故障—安全”保障措施
3.1 传统铁路信号控制系统的“故障—安全”设计
为了实现”故障—安全”,铁路信号控制系统在设计时,采取了多项安全控制措施:
机械控制手段上,大多利用重力向下的原理,保证安全。如过去应用的臂板信号机,利用重锤控制臂板动作,当传导拉力的导线或拉杆折断时,靠重锤的重力使臂板保持水平状态,指示列车停车,从而实现”故障—安全”。
广泛应用的继电控制,采用非对称的安全型继电器。信号控制电路所用的继电器为安全型继电器,当发生断电故障时,靠衔铁及重锤片的重力,使继电器可靠落下,这样,保证继电器故障落下的概率远远大于故障吸起的概率。电路设计时,采用安全对应原则,用继电器的吸起状态对应设备的危险侧,而用继电器的落下状态对应设备的安全侧。例如在信号点灯控制电路中,用列车信号继电器(LXJ )吸起接点控制允许灯光(绿灯或黄灯)点亮,而用列车信号继电器的落下接点控制红灯点亮,当发生故障使列车信号继电器落下时,信号显示红灯,指示列车停车,从而实现了继电电路的”故障—安全”。
3.2 现代铁路信号控制系统的“故障—安全”控制
以现代集成电子电路和信息技术为核心的铁路信号控制系统,通过软件和硬件冗余的方式,实现“故障—安全”,下面是几种常用的“故障—安全”控制方式。
3.2.1 安全性冗余结构
如图2,模块A 和模块B 经与门输出,两个模块同步工作,只有两个模块输出一致才能使系统输出,如果有一个模块故障,系统将不能输出正常结果,从而发现故障,停止输出危险侧的执行信息。由于两个模块发生相同的故障而产生相同的错误结果的概率很小,这样,提高了系统工作的安全性,减少了危险侧输出的概率。
3.2.2 静态多元控制
静态“故障—安全”输入接口电路如图3所示,一个采集条件(GJ )同时由多个光电耦合采集单元同时采集,送入计算机。当采集条件接通时,各单元输出均为高电平,计算机收到代码为1111;当采集条件断开时,各单元输出均为低电平,计算机收到代码为0000。计算机对四个码元进行逻辑“与”的运算,结果为“1”时证明采集条件接通(危险侧),结果为“0”,证明采集条件断开(危险侧)。显然当采集条件断开而电路发生故障时,运算的结果为“0”的概率远远大于运算结果为“1”的概率,实现了“故障—安全”。
3.2.3 动态闭环控制
动态“故障—安全”输入接口的电路形式如图4所示,由计算机输出口控制的光电耦合管G2输出侧与采集输入口的光电耦合管G1输入侧串联。在采集条件接通时,由计算机输出的脉冲序列,会返回到计算机的输入端,即用动态脉冲作为危险侧信息;采集条件断开时,计算机输入口收到稳定的低电平(0);当电路任何一点发生断线或混线故障时。计算机输入端必然收到稳定的电平(1或0),将稳定的1或0均作为安全侧信息处理。