基于牽引控制單元功能安全模塊設(shè)計(jì)

譚富民 劉莉娜 羅云飛

摘? 要：隨著地鐵的快速發(fā)展，人們?cè)谧非笫孢m性、高效性和經(jīng)濟(jì)性等方面的同時(shí)，也越來越關(guān)注無人駕駛地鐵的安全性。在地鐵無人駕駛系統(tǒng)中，通常要求牽引傳動(dòng)控制單元滿足SIL2級(jí)功能安全。本文基于功能安全標(biāo)準(zhǔn)EN50128、EN50129，通過FMEC方法對(duì)危害性進(jìn)行分析，得出控制系統(tǒng)的功能安全需求，并闡釋牽引控制功能安全模塊的設(shè)計(jì)與SIL2證書的獲得。

關(guān)鍵詞：牽引控制單元? 功能安全? DI模塊? DO模塊

中圖分類號(hào)：U284.48 ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? 文章編號(hào)：1674-098X（2021）04（c）-0076-03

Design of Functional Safety Module Based on Traction Control Unit

TAN Fumin? LIU Lina? LUO Yunfei

（1.CRRC Zhuzhou Institute Co.，Ltd.， Zhuzhou， Hunan Province， 412001 China; 2.Hunan Automotive Engineering Vocational College， Zhuzhou， Hunan Province， 412001 China）

Abstract： With the fast development of subways， the safety of unmanned subway services have attracted more and more attention， along with that on the convenience， efficiency， low cost， and other aspects of the services. In general， the traction drive control unit of automatic subways is designed to meet Safety Integrity Level （SIL） 2 functional safety requirements. Based on the functional safety standards EN 50128 and EN 50129， this paper has performed failure mode effects and criticality （FMEC） analysis， found out the functional safety requirements of the control system， and designed the functional safety module capable of SIL 2 certification.

Key Words： Traction control unit ; Functional safety; DI module; DO module

近年來，我國(guó)大力發(fā)展城市軌道交通，而安全是城市軌道交通發(fā)展面臨的重要問題，如果牽引控制系統(tǒng)一旦出現(xiàn)故障，將會(huì)危及人身安全和造成財(cái)產(chǎn)損失[1]。牽引傳動(dòng)控制單元為地鐵的心臟，其可靠性關(guān)系著地鐵的安全性和穩(wěn)定性。目前，牽引傳動(dòng)系統(tǒng)的核心控制單元安全等級(jí)僅達(dá)到SIL0，尚不能滿足無人駕駛SIL2的安全要求[2]。

本文從無人駕駛場(chǎng)景基本的安全功能需求進(jìn)行危害識(shí)別和風(fēng)險(xiǎn)分析，獲得功能安全模塊的開發(fā)需求，設(shè)計(jì)符合需求的功能安全DI模塊和安全DO模塊。在運(yùn)行過程中，安全模塊一旦出現(xiàn)故障，牽引控制系統(tǒng)將導(dǎo)向安全態(tài)。

1? 危害識(shí)別和風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析通過識(shí)別系統(tǒng)在壽命周期內(nèi)可能發(fā)生的風(fēng)險(xiǎn)事故，對(duì)這些事故造成的人員和財(cái)產(chǎn)損失進(jìn)行評(píng)估，由此分析與確定出如何消除或減少這些風(fēng)險(xiǎn)的方法和措施[3]。

危害識(shí)別常用的方法有FMEC（Failure Mode Effects and Criticality Analysis，故障模式、影響及危害分析）、FTA（Fault Tree Analysis，故障樹分析法）、HAZOP（Hazard and Operating Study，危害與操作性研究）等[4]。本文基于FMEC方法進(jìn)行危害識(shí)別及分析，過程如下。

（1）對(duì)牽引控制系統(tǒng)進(jìn)行定義，將系統(tǒng)分解劃分不同層級(jí)功能。

（2）針對(duì)每一個(gè)層次的功能進(jìn)行詳細(xì)分析，識(shí)別出硬件失效可能帶來的危害，并根據(jù)危害嚴(yán)重程度劃分不同等級(jí)。

（3）根據(jù)危險(xiǎn)發(fā)生次數(shù)定義危險(xiǎn)的可能性等級(jí)。發(fā)生的次數(shù)可通過獲取歷史故障記錄。

（4）基于風(fēng)險(xiǎn)控制矩陣，進(jìn)行風(fēng)險(xiǎn)評(píng)估。

（5）確定安全功能模塊開發(fā)需求。牽引方向控制保護(hù)功能和緊急制動(dòng)控制功能需要滿足SIL2。

2? 硬件方案設(shè)計(jì)

通過FMEC方法進(jìn)行危害識(shí)別，功能安全模塊需要滿足牽引方向控制保護(hù)功能、緊急制動(dòng)控制功能[5]。其中牽引方向控制保護(hù)功能分為牽引向前和牽引向后;車輛緊急制動(dòng)、牽引向前和牽引向后都為硬線信號(hào)，通過控制機(jī)箱面板連接器輸入至牽引傳動(dòng)控制單元，經(jīng)3組DI模塊電路處理后，送入MCU進(jìn)行處理。車輛緊急制動(dòng)指令為0，MCU在接收到緊急制動(dòng)指令后，MCU立即輸出脈沖斷開跳主斷信號(hào);牽引方向分為向前和向后，MCU在判斷牽引方向錯(cuò)誤后立即輸出斷開跳主斷信號(hào)，其硬件框圖如圖1所示。

2.1 DI模塊原理方案

DI模塊由自檢激勵(lì)、2選1開關(guān)、DI處理電路、隔離電路組成。如圖2所示，DI輸入為110V的電壓信號(hào)，MCU能識(shí)別的0～5V范圍的電平信號(hào)，需要將110V信號(hào)轉(zhuǎn)換成TTL信號(hào);為防止外部環(huán)境對(duì)控制系統(tǒng)干擾，經(jīng)過處理后的DI信號(hào)需要經(jīng)過隔離處理，再送入給MCU進(jìn)行判斷。DI模塊具備上電自檢和運(yùn)行自檢能力。上電時(shí)，軟件輸出激勵(lì)控制信號(hào)為低電平，2選1開關(guān)動(dòng)作選擇自檢激勵(lì)輸入，經(jīng)過DI處理后，DI模塊輸出高電平送入MCU判斷。在運(yùn)行過程中，需要周期性對(duì)DI模塊進(jìn)行自檢;自檢周期由應(yīng)用層根據(jù)系統(tǒng)需求確定。自檢過程中，檢測(cè)到DI模塊故障，系統(tǒng)應(yīng)由運(yùn)行狀態(tài)導(dǎo)向安全態(tài)[6]。

2.2 DO模塊原理方案

DO模塊由控制繼電器K1、診斷繼電器K2、驅(qū)動(dòng)電路、觸點(diǎn)反饋電路組成。K1、K2都應(yīng)選擇安全繼電器。如圖3所示，控制繼電器K1通道1接5V激勵(lì)信號(hào)，用于監(jiān)測(cè)觸點(diǎn)狀態(tài)?？刂评^電器K1與診斷繼電器K2的通道2串聯(lián)實(shí)現(xiàn)跳主斷信號(hào)安全輸出。驅(qū)動(dòng)電路接收到斷開指令驅(qū)動(dòng)繼電器斷開，觸點(diǎn)反饋電路檢測(cè)到斷開，MCU判斷為有效狀態(tài)，否則MCU強(qiáng)制K2斷開，系統(tǒng)由運(yùn)行狀態(tài)導(dǎo)向安全態(tài)。

3? 軟件設(shè)計(jì)

牽引控制功能安全模塊的軟件包括2個(gè)部分，分別為DI模塊采集和自檢、DO模塊輸出和反饋;MCU初始化完成后，DI模塊進(jìn)行自檢，自檢通過后，系統(tǒng)進(jìn)入運(yùn)行狀態(tài)。運(yùn)行過程中，需要對(duì)DI模塊進(jìn)行周期自檢;在每個(gè)周期，MCU通過判斷DI輸入指令，控制跳主斷信號(hào)，如上電自檢異常、運(yùn)行自檢異常、跳主斷失敗，則系統(tǒng)由運(yùn)行狀態(tài)導(dǎo)向安全態(tài)。主程序軟件流程如圖4所示。

3.1 DI模塊軟件設(shè)計(jì)

基于DI模塊硬件設(shè)計(jì)原理，車輛緊急制動(dòng)、牽引方向?yàn)橛簿€信號(hào)輸入，上電后DI模塊進(jìn)行初始化和自檢。MCU周期性采集DI輸入信號(hào)，并進(jìn)行指令判斷。如運(yùn)行過程中自檢異常，則系統(tǒng)由運(yùn)行狀態(tài)導(dǎo)向安全態(tài)。

3.2 DO模塊軟件設(shè)計(jì)

基于DO模塊硬件設(shè)計(jì)原理，MCU負(fù)責(zé)模塊的控制并判斷。MCU監(jiān)測(cè)到故障或接收到跳主斷指令后，MCU命令控制繼電器的觸點(diǎn)斷開，并監(jiān)測(cè)控制繼電器觸點(diǎn)是否成功斷開，如果否，則發(fā)送命令斷開診斷繼電器的觸點(diǎn)來導(dǎo)向安全狀態(tài)。

4? 結(jié)語

本文通過對(duì)牽引傳動(dòng)控制系統(tǒng)進(jìn)行風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，獲得牽引控制單元的功能安全開發(fā)需求，開發(fā)了牽引控制功能安全模塊，并獲得TUV鐵路行業(yè)安全級(jí)SIL2認(rèn)證，為公司無人駕駛系統(tǒng)首個(gè)安全認(rèn)證產(chǎn)品。在后續(xù)項(xiàng)目中，可以通過多個(gè)牽引控制功能安全模塊串并聯(lián)組合方式，以提高系統(tǒng)的可靠性，達(dá)到更高的安全等級(jí)。軟件設(shè)計(jì)可以增加RAM自檢、寄存器自檢、程序加密等不同方式來提高產(chǎn)品的安全可靠性。

參考文獻(xiàn)

[1] 胡怡東，蔣忠輝.道岔監(jiān)測(cè)系統(tǒng)在城市軌道交通安全監(jiān)測(cè)中的應(yīng)用[J].鐵道建筑，2020，60（12）：121-125.

[2] 姚媛.高速磁浮列車速度曲線監(jiān)控功能安全分析[D].北京：北京交通大學(xué)，2016.

[3] 羅云飛，廖麗誠(chéng)，譚富民.無人駕駛地鐵牽引控制單元功能安全設(shè)計(jì)[J].石油石化物資采購(gòu)，2020（10）：38-40.

[4] 王永剛.城市軌道交通站臺(tái)屏蔽門系統(tǒng)安全控制設(shè)計(jì)研究[J].價(jià)值工程，2017，36（31）：158-159.

[5] 聞繼偉.電子換擋系統(tǒng)功能安全研究與設(shè)計(jì)[D].長(zhǎng)春：吉林大學(xué)，2020.

[6] 蔣玉虎，石彩霞.城市軌道交通站臺(tái)屏蔽門系統(tǒng)優(yōu)化控制設(shè)計(jì)[J].科學(xué)技術(shù)創(chuàng)新，2018（27）：112-113.