丁召榮，黃天新

（1.西安鐵路信號(hào)有限責(zé)任公司，西安 710100；2.北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；3.北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

1 概述

道岔表示功能是道岔控制電路的功能之一，用于表示對(duì)應(yīng)道岔的位置狀態(tài)信息，該功能屬于安全功能。

道岔表示信息是聯(lián)鎖系統(tǒng)確保對(duì)應(yīng)道岔、進(jìn)路、信號(hào)聯(lián)鎖關(guān)系正確的輸入條件之一。聯(lián)鎖系統(tǒng)的安全性是建立在輸入的相關(guān)信息（包含道岔信息）正確的基礎(chǔ)之上，道岔表示信息的錯(cuò)誤必然導(dǎo)致對(duì)應(yīng)道岔、進(jìn)路、信號(hào)聯(lián)鎖關(guān)系的不正確，當(dāng)然其安全性也就無法保證[1]。

當(dāng)?shù)啦肀硎竟δ苁В涔收夏Ｊ郊白罱K影響如表1 所示。

可見，序號(hào)1 的故障模式不會(huì)影響到行車安全，但序號(hào)為2、3、4 的故障模式會(huì)產(chǎn)生影響行車安全的危害?？梢詫⑿蛱?hào)為2、3、4 的故障模式統(tǒng)一描述為“錯(cuò)誤的表示道岔為定位或反位”。這就是道岔表示功能的危害（可能導(dǎo)致事故的一種狀況），屬于不可接受的風(fēng)險(xiǎn)，將其歸為安全性苛求系統(tǒng)[2]。

表1 道岔表示功能故障模式及最終影響Tab.1 Failure mode and consequence of switch indication function

信號(hào)從業(yè)人員的職責(zé)之一就是保證系統(tǒng)安全性，免除不可接受的風(fēng)險(xiǎn)影響。按照鐵路行業(yè)已廣泛接受的理念（EN50126 及EN50129）， 以安全完整性等級(jí)來描述安全相關(guān)功能的安全性。安全完整性關(guān)系到一個(gè)安全相關(guān)系統(tǒng)實(shí)現(xiàn)其所需安全功能的能力，安全完整性越高，執(zhí)行所需的安全功能時(shí)失效的可能性越低。安全完整性包括系統(tǒng)失效完整性和隨機(jī)失效完整性。系統(tǒng)失效完整性由質(zhì)量管理和安全管理?xiàng)l件來實(shí)現(xiàn)，不屬于本文討論范圍。隨機(jī)失效完整性是安全完整性中與危害隨機(jī)故障（特別是隨機(jī)硬件故障）相關(guān)的部分。隨機(jī)失效完整性可以在硬件元器件失效率、失效模式和隨機(jī)硬件失效的出現(xiàn)次數(shù)等已知數(shù)據(jù)的基礎(chǔ)上，利用概率計(jì)算進(jìn)行定量評(píng)估。這就是本文討論的主要內(nèi)容。

2 道岔表示功能的安全性指標(biāo)

按照GB/T 28809-2012《軌道交通 通信、信號(hào)和處理系統(tǒng) 信號(hào)用安全相關(guān)電子系統(tǒng)》（等同EN50129-2003 及IEC 62425：2007）的規(guī)定[3]，結(jié) 合鐵路主管部門的要求及鐵路行業(yè)從業(yè)人員的認(rèn)識(shí)，道岔表示功能的安全完整性等級(jí)應(yīng)為最高等級(jí)即SIL4，除了必須應(yīng)用質(zhì)量管理?xiàng)l件、安全管理?xiàng)l件、技術(shù)安全條件來保證系統(tǒng)失效完整性的要求，以防護(hù)系統(tǒng)性故障外，還必須采取措施控制隨機(jī)故障，以保證隨機(jī)失效完整性的要求。隨機(jī)失效完整性的安全定量指標(biāo)是容許危害率（THR），通?？梢允褂妹抗δ苊啃r(shí)容許危害率表示。根據(jù)每功能每小時(shí)容許危害率可以確定系統(tǒng)的安全完整性等級(jí)（SIL），如表2 所示。

表2 THR對(duì)應(yīng)的SIL等級(jí)表Tab.2 SIL corresponding to THR

實(shí)際上，道岔控制電路僅僅是鐵路運(yùn)輸系統(tǒng)中的一個(gè)小系統(tǒng)，為保證運(yùn)輸安全的安全完整性等級(jí)，需將其每功能每小時(shí)容許危害率分配至各相關(guān)子系統(tǒng)，這樣，各子系統(tǒng)的THR 數(shù)值需要明顯小于表2 中SIL4 對(duì)應(yīng)的數(shù)值。本文中不對(duì)具體的THR 分配及數(shù)值進(jìn)行討論，僅僅說明THR 的計(jì)算方法。

前述已經(jīng)指明，道岔控制電路的道岔表示功能為安全功能，其危害為“錯(cuò)誤的表示道岔為定位或反位”，因此道岔表示功能的安全定量指標(biāo)就是“每小時(shí)錯(cuò)誤的表示道岔為定位或反位”的概率，該指標(biāo)應(yīng)滿足運(yùn)輸系統(tǒng)的需求。

3 道岔表示功能的危害率計(jì)算

3.1 電路及FTA分析

道岔表示功能是道岔控制電路的功能之一，不同的道岔控制電路實(shí)現(xiàn)道岔表示功能的具體電路也不相同。本文以目前廣泛使用的四線制直流轉(zhuǎn)轍機(jī)控制電路為例，說明其道岔表示功能危害率的計(jì)算。

四線制直流轉(zhuǎn)轍機(jī)控制電路道岔表示電路原理如圖1 所示[4]，電路中使用轉(zhuǎn)轍機(jī)內(nèi)部三組接點(diǎn)串聯(lián)來控制表示電路的接通或斷開，以DBJ 和FBJ 來表示道岔信息[5]。

圖1 道岔表示電路原理圖（直流轉(zhuǎn)轍機(jī)）Fig.1 Circuit diagram of switch indication （ DC point machine）

由前述可知，“錯(cuò)誤表示道岔為定位或反位”可能會(huì)產(chǎn)生影響行車安全的危害，屬于不可接受的風(fēng)險(xiǎn)，因此需控制此危害至可接受的程度，使其達(dá)到系統(tǒng)所需的THR 的范圍。

以“錯(cuò)誤表示道岔為定位或反位”作為頂事件T，對(duì)如圖1 所示道岔表示電路進(jìn)行FTA 分析?！板e(cuò)誤表示道岔為定位或反位”以DBJ 或FBJ 保持前接點(diǎn)接通狀態(tài)作為判斷依據(jù)。由于移位接觸器不是所有機(jī)型都有，故將其按照一直接通處理，不考慮其故障。經(jīng)分析所得故障樹，如圖2 所示[6-7]。

圖2 錯(cuò)誤表示道岔為定位或反位的故障樹Fig.2 FTA of normal indicatiion or reverse indication by mistake

圖中T 為頂事件，M 為中間事件，X 為底事件（基本事件），各事件具體如下。

T：錯(cuò)誤表示道岔為定位或反位；

M1：錯(cuò)誤表示道岔為定位；

M2：錯(cuò)誤表示道岔為反位；

M3：向定位轉(zhuǎn)換，不應(yīng)接通表示時(shí)，機(jī)內(nèi)定位表示相關(guān)的接點(diǎn)錯(cuò)誤接通；

M4：道岔及機(jī)內(nèi)對(duì)應(yīng)反位狀態(tài)，13-14，33-34，31-32 錯(cuò)誤接通，2DQJ 錯(cuò)誤轉(zhuǎn)極接通DBJ；

M5：道岔不在定位鎖閉時(shí)，DBJ 不能斷開且FBJ 不能吸起；

M6：道岔定位鎖閉，擠岔時(shí)相關(guān)接點(diǎn)沒有斷開；

M7：道岔不在反位鎖閉時(shí)，F(xiàn)BJ 不能斷開且DBJ 不能吸起；

M8：道岔反位鎖閉，擠岔時(shí)相關(guān)接點(diǎn)沒有斷開；

M9：向反位轉(zhuǎn)換，不應(yīng)接通表示時(shí)，機(jī)內(nèi)反位表示相關(guān)的接點(diǎn)錯(cuò)誤接通；

M10：道岔及機(jī)內(nèi)對(duì)應(yīng)定位狀態(tài)，21-22，23-24,43-44 錯(cuò)誤接通，2DQJ 錯(cuò)誤轉(zhuǎn)極接通FBJ；

M11：DBJ 前接點(diǎn)不能斷開；

M12：FBJ 前接點(diǎn)不能接通；

M13：FBJ 前接點(diǎn)不能斷開；

M14：DBJ 前接點(diǎn)不能接通；

X1：31-32 錯(cuò)誤接通；

X2：33-34 錯(cuò)誤接通；

X3：13-14 錯(cuò)誤接通；

X4：2DQJ 錯(cuò)誤轉(zhuǎn)極；

X5：23-24 錯(cuò)誤接通；

X6：21-22 錯(cuò)誤接通；

X7：43-44 錯(cuò)誤接通；

X8：發(fā)生擠岔事故；

X9：DBJ 前接點(diǎn)粘連；

X10：DBJ 接點(diǎn)動(dòng)作機(jī)構(gòu)卡阻，前接點(diǎn)不能斷開；

X11：表示繼電器電源不滿足需求；

X12：43-44 不能接通；

X13：21-22 不能接通；

X14：23-24 不能接通；

X15：電阻R 斷開；

X16：FBJ 前接點(diǎn)不能接通（不能閉合或閉合而不通）；

X17：FBJ 前接點(diǎn)粘連；

X18：FBJ 接點(diǎn)動(dòng)作機(jī)構(gòu)卡阻前接點(diǎn)不能斷開；

X19：表示繼電器內(nèi)部電路斷開或短路；

X20：13-14 不能接通；

X21：31-32 不能接通；

X22：33-34 不能接通；

X23：DBJ 前接點(diǎn)不能接通（不能閉合或閉合而不通）。

經(jīng)分析計(jì)算可得，頂事件的最小割集為{X1，X2}，{X5，X6}，{X9，X11}，{X9，X12}，{X9，X13}，{X9，X14}，{X9，X15}，{X9，X16}，{X9，X19}，{X10，X11}，{X10，X12}，{X10，X13}，{X10，X14}，{X10，X15}，{X10，X16}，{X10，X19}，{X17，X11}，{X17，X20}，{X17，X21}，{X17，X22}，{X17，X23}，{X17，X15}，{X17，X19}，{X18，X11}，{X18，X20}，{X18，X21}，{X18，X22}，{X18，X23}，{X18，X15}，{X18，X19}。

可見，“錯(cuò)誤表示道岔為定位或反位”的頂事件基本都是由兩個(gè)基本事件組合導(dǎo)致，也就是說任何一個(gè)隨機(jī)硬件故障不會(huì)導(dǎo)致所述的頂事件。這滿足EN50129 中“當(dāng)可識(shí)別的任何一種單一隨機(jī)硬件故障發(fā)生時(shí)，應(yīng)保證SIL3 及SIL4 的系統(tǒng)保持安全?！钡陌踩骩8]。

3.2 危害率的計(jì)算

根據(jù)前述分析，四線制直流轉(zhuǎn)轍機(jī)控制電路中道岔表示電路“錯(cuò)誤表示道岔為定位或反位”的發(fā)生概率是前述30 個(gè)最小割集發(fā)生概率之和。

由各基本事件的定義可知：

P（X1）=P（X2）=P（X5）=P（X6）。

P（X9）=P（X17）。

P（X10）=P（X18）。

P（X16）=P（X23）。

P（X12）=P（X13）=P（X14）=P（X20）=P（X21）=P（X22）。

則，所述頂事件的發(fā)生概率表示如下。

P(T)=2×P(X1)2+2×{P(X9)+P(X10)}·{P(X1 1)+3×P(X12)+P(X15)+P(X16)+P(X19)}（1）

式（1）中，P（X1）為轉(zhuǎn)轍機(jī)接點(diǎn)每小時(shí)錯(cuò)誤接通的概率。P（X9）+P（X10）為表示繼電器前接點(diǎn)每小時(shí)不能斷開的概率。P（X11）為表示繼電器電源每小時(shí)不能滿足其工作要求的概率。P（X12）為轉(zhuǎn)轍機(jī)接點(diǎn)每小時(shí)不能接通的概率。P（X15）為表示電路中電阻R 每小時(shí)斷路的概率。P（X16）為表示繼電器前接點(diǎn)每小時(shí)不能接通的概率。P（X19）為表示繼電器內(nèi)部電路每小時(shí)斷路的概率。前述各項(xiàng)故障概率已知后即可計(jì)算出頂事件“錯(cuò)誤表示道岔為定位或反位”每小時(shí)的發(fā)生概率，這就是道岔表示電路的表示功能安全定量指標(biāo)THR，該指標(biāo)必須滿足系統(tǒng)要求，以保證系統(tǒng)的隨機(jī)失效完整性。

3.3 相關(guān)失效率或故障率的計(jì)算

如前所述，計(jì)算出每個(gè)最小割集中涉及的基本事件發(fā)生概率才可以計(jì)算出頂事件的發(fā)生概率。以接點(diǎn)錯(cuò)誤接通的故障率為例，說明最小割集發(fā)生概率。

依據(jù)GJB/Z 299C-2006 對(duì)前述3.2 中各故障率進(jìn)行計(jì)算[9]，室外器材的環(huán)境分類按照“惡劣地面固定，符號(hào)為GF2”，室內(nèi)器材的環(huán)境分類按照“一般地面固定，符號(hào)為GF1”，如表3 所示。

根據(jù)表3 中的失效率數(shù)據(jù)，計(jì)算道岔表示功能的危害率如下。

表3 基本事件概率計(jì)算Tab.3 Calculation of basic event probability

3.4 相關(guān)說明

轉(zhuǎn)轍機(jī)內(nèi)部接點(diǎn)沒有可用的、權(quán)威的失效率數(shù)據(jù)，經(jīng)過對(duì)比權(quán)衡，按照撥動(dòng)式開關(guān)選取數(shù)值并計(jì)算。對(duì)于轉(zhuǎn)轍機(jī)內(nèi)部接點(diǎn)，由于沒有相關(guān)的額定阻性負(fù)載電流指標(biāo)，考慮到接點(diǎn)真實(shí)負(fù)載中主要是電機(jī)，因此觸點(diǎn)負(fù)載系數(shù)按照感性負(fù)載的較大值選取。表3 中的各種系數(shù)具體數(shù)值按照理論工況并結(jié)合實(shí)際應(yīng)用經(jīng)驗(yàn)進(jìn)行選取。綜上所述失效率的具體計(jì)算結(jié)果存在一定偏差。

4 結(jié)論

四線制直流轉(zhuǎn)轍機(jī)控制電路的道岔表示功能每小時(shí)危害率按照本文所述參數(shù)計(jì)算結(jié)果為0.9×10-9，隨機(jī)失效完整性參數(shù)滿足SIL4 的安全完整性等級(jí)。

當(dāng)各基本事件的發(fā)生概率差異不大時(shí)，導(dǎo)致危險(xiǎn)事件（錯(cuò)誤表示道岔為定位或反位）的影響因素中轉(zhuǎn)轍機(jī)內(nèi)部接點(diǎn)故障所占權(quán)重明顯較大。

當(dāng)轉(zhuǎn)轍機(jī)內(nèi)部接點(diǎn)不能接通且表示繼電器前接點(diǎn)不能斷開時(shí)，也會(huì)發(fā)生錯(cuò)誤表示道岔為定位或反位的危險(xiǎn)事件。

表3 中，由于速率系數(shù)和負(fù)載系數(shù)選取數(shù)值較大，使得轉(zhuǎn)轍機(jī)內(nèi)部接點(diǎn)短路和開路的失效率均明顯大于其他器件的相關(guān)失效率。