关于铁路信号控制系统故障导向安全探讨.docVIP

关于铁路信号控制系统故障导向安全探讨 　　【 摘 要 】 本文以铁路“7.23”大事故为引例，概括介绍了铁路信号控制系统故障导向安全的含义，分析了“故障―安全”保障措施，探讨了如何进一步提高信号控制系统的安全性，对保证铁路运输安全具有积极的意义。 　　【 关键词 】 铁路信号；故障―安全 　　1 引言 　　2011年7月23日甬温线发生的动车组追尾事故，从技术上分析，主要是由于雷击造成信号设备故障，而故障后控制系统失灵，没有检查到前行列车占用的状态，造成后续列车仍按“前方无车”的指示以“正常速度运行”，从而造成列车追尾、车毁人亡的悲剧。 　　这是一起严重违背“故障导向安全”（以下简称故障―安全）原则的“故障―危险”典型案例。结合本案例，本文对铁路信号的“故障―安全”作以分析和探讨。 　　2 铁路信号”故障―安全”概述 　　所谓“故障―安全”（Fail―Safe简称FS），原意是：当设备内部发生任何故障时，设备动作的后果应该是安全的。详细一点解释即是：一个系统当其内部发生任何故障时，该系统能给出一个预先设定的确保安全的输出值，这样的系统称为”故障―安全”系统，记作“FSS”。 　　铁路信号控制系统的核心任务是为列车或车列（称站内的调车为车列）提供安全可靠的指示命令。其控制对象是在铁路线路上运行的列车或车列，如果给出错误或相反的指示命令，后果不堪设想。可见，“故障―安全”原则在铁路信号控制系统中尤为重要。因此，对于铁路信号控制系统而言，在任何情况下，无论发生任何故障，都应确保系统输出安全的结果。 　　对于运行中的列车或车列，显然“车停”是安全的（安全侧），而“车走”是危险的（危险侧）。即如果设备发生故障，让运行中的列车停下来是安全的，而让本该停下来的列车继续运行则是危险的。因此，铁路信号控制系统的安全结果应是控制“车停”的指示或动作。 　　3 信号系统的“故障―安全”保障措施 　　3.1 传统铁路信号控制系统的“故障―安全”设计 　　为了实现”故障―安全”，铁路信号控制系统在设计时，采取了多项安全控制措施： 　　机械控制手段上，大多利用重力向下的原理，保证安全。如过去应用的臂板信号机，利用重锤控制臂板动作，当传导拉力的导线或拉杆折断时，靠重锤的重力使臂板保持水平状态，指示列车停车，从而实现”故障―安全”。 　　广泛应用的继电控制，采用非对称的安全型继电器。信号控制电路所用的继电器为安全型继电器，当发生断电故障时，靠衔铁及重锤片的重力，使继电器可靠落下，这样，保证继电器故障落下的概率远远大于故障吸起的概率。电路设计时，采用安全对应原则，用继电器的吸起状态对应设备的危险侧，而用继电器的落下状态对应设备的安全侧。例如在信号点灯控制电路中，用列车信号继电器（LXJ）吸起接点控制允许灯光（绿灯或黄灯）点亮，而用列车信号继电器的落下接点控制红灯点亮，当发生故障使列车信号继电器落下时，信号显示红灯，指示列车停车，从而实现了继电电路的”故障―安全”。 　　3.2 现代铁路信号控制系统的“故障―安全”控制 　　以现代集成电子电路和信息技术为核心的铁路信号控制系统，通过软件和硬件冗余的方式，实现“故障―安全”，下面是几种常用的“故障―安全”控制方式。 　　3.2.1 安全性冗余结构 　　如图2，模块A和模块B经与门输出，两个模块同步工作，只有两个模块输出一致才能使系统输出，如果有一个模块故障，系统将不能输出正常结果，从而发现故障，停止输出危险侧的执行信息。由于两个模块发生相同的故障而产生相同的错误结果的概率很小，这样，提高了系统工作的安全性，减少了危险侧输出的概率。 　　3.2.2 静态多元控制 　　静态“故障―安全”输入接口电路如图3所示，一个采集条件（GJ）同时由多个光电耦合采集单元同时采集，送入计算机。当采集条件接通时，各单元输出均为高电平，计算机收到代码为1111；当采集条件断开时，各单元输出均为低电平，计算机收到代码为0000。计算机对四个码元进行逻辑“与”的运算，结果为“1”时证明采集条件接通（危险侧），结果为“0”，证明采集条件断开（危险侧）。显然当采集条件断开而电路发生故障时，运算的结果为“0”的概率远远大于运算结果为“1”的概率，实现了“故障―安全”。 　　3.2.3 动态闭环控制 　　动态“故障―安全”输入接口的电路形式如图4所示，由计算机输出口控制的光电耦合管G2输出侧与采集输入口的光电耦合管G1输入侧串联。在采集条件接通时，由计算机输出的脉冲序列，会返回到计算机的输入端，即用动态脉冲作为危险侧信息；采集条件断开时，计算机输入口收到稳定的低电平（0）；当电路任何一点发生断线或混线故障时。计算机输入端必然收到稳定的电平（1或0），将稳定的1或0均作为安全侧信息处理。 　　动态输出驱动电路则采用输出动态脉冲作为控制信息。只有动态信