基于牽引控制單元功能安全模塊設計

譚富民 劉莉娜 羅云飛

摘? 要：隨著地鐵的快速發展，人們在追求舒適性、高效性和經濟性等方面的同時，也越來越關注無人駕駛地鐵的安全性。在地鐵無人駕駛系統中，通常要求牽引傳動控制單元滿足SIL2級功能安全。本文基于功能安全標準EN50128、EN50129，通過FMEC方法對危害性進行分析，得出控制系統的功能安全需求，并闡釋牽引控制功能安全模塊的設計與SIL2證書的獲得。

關鍵詞：牽引控制單元? 功能安全? DI模塊? DO模塊

中圖分類號：U284.48 ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? 文章編號：1674-098X（2021）04（c）-0076-03

Design of Functional Safety Module Based on Traction Control Unit

TAN Fumin? LIU Lina? LUO Yunfei

（1.CRRC Zhuzhou Institute Co.，Ltd.， Zhuzhou， Hunan Province， 412001 China; 2.Hunan Automotive Engineering Vocational College， Zhuzhou， Hunan Province， 412001 China）

Abstract： With the fast development of subways， the safety of unmanned subway services have attracted more and more attention， along with that on the convenience， efficiency， low cost， and other aspects of the services. In general， the traction drive control unit of automatic subways is designed to meet Safety Integrity Level （SIL） 2 functional safety requirements. Based on the functional safety standards EN 50128 and EN 50129， this paper has performed failure mode effects and criticality （FMEC） analysis， found out the functional safety requirements of the control system， and designed the functional safety module capable of SIL 2 certification.

Key Words： Traction control unit ; Functional safety; DI module; DO module

近年來，我國大力發展城市軌道交通，而安全是城市軌道交通發展面臨的重要問題，如果牽引控制系統一旦出現故障，將會危及人身安全和造成財產損失[1]。牽引傳動控制單元為地鐵的心臟，其可靠性關系著地鐵的安全性和穩定性。目前，牽引傳動系統的核心控制單元安全等級僅達到SIL0，尚不能滿足無人駕駛SIL2的安全要求[2]。

本文從無人駕駛場景基本的安全功能需求進行危害識別和風險分析，獲得功能安全模塊的開發需求，設計符合需求的功能安全DI模塊和安全DO模塊。在運行過程中，安全模塊一旦出現故障，牽引控制系統將導向安全態。

1? 危害識別和風險分析

風險分析通過識別系統在壽命周期內可能發生的風險事故，對這些事故造成的人員和財產損失進行評估，由此分析與確定出如何消除或減少這些風險的方法和措施[3]。

危害識別常用的方法有FMEC（Failure Mode Effects and Criticality Analysis，故障模式、影響及危害分析）、FTA（Fault Tree Analysis，故障樹分析法）、HAZOP（Hazard and Operating Study，危害與操作性研究）等[4]。本文基于FMEC方法進行危害識別及分析，過程如下。

（1）對牽引控制系統進行定義，將系統分解劃分不同層級功能。

（2）針對每一個層次的功能進行詳細分析，識別出硬件失效可能帶來的危害，并根據危害嚴重程度劃分不同等級。

（3）根據危險發生次數定義危險的可能性等級。發生的次數可通過獲取歷史故障記錄。

（4）基于風險控制矩陣，進行風險評估。

（5）確定安全功能模塊開發需求。牽引方向控制保護功能和緊急制動控制功能需要滿足SIL2。

2? 硬件方案設計

通過FMEC方法進行危害識別，功能安全模塊需要滿足牽引方向控制保護功能、緊急制動控制功能[5]。其中牽引方向控制保護功能分為牽引向前和牽引向后;車輛緊急制動、牽引向前和牽引向后都為硬線信號，通過控制機箱面板連接器輸入至牽引傳動控制單元，經3組DI模塊電路處理后，送入MCU進行處理。車輛緊急制動指令為0，MCU在接收到緊急制動指令后，MCU立即輸出脈沖斷開跳主斷信號;牽引方向分為向前和向后，MCU在判斷牽引方向錯誤后立即輸出斷開跳主斷信號，其硬件框圖如圖1所示。

2.1 DI模塊原理方案

DI模塊由自檢激勵、2選1開關、DI處理電路、隔離電路組成。如圖2所示，DI輸入為110V的電壓信號，MCU能識別的0～5V范圍的電平信號，需要將110V信號轉換成TTL信號;為防止外部環境對控制系統干擾，經過處理后的DI信號需要經過隔離處理，再送入給MCU進行判斷。DI模塊具備上電自檢和運行自檢能力。上電時，軟件輸出激勵控制信號為低電平，2選1開關動作選擇自檢激勵輸入，經過DI處理后，DI模塊輸出高電平送入MCU判斷。在運行過程中，需要周期性對DI模塊進行自檢;自檢周期由應用層根據系統需求確定。自檢過程中，檢測到DI模塊故障，系統應由運行狀態導向安全態[6]。

2.2 DO模塊原理方案

DO模塊由控制繼電器K1、診斷繼電器K2、驅動電路、觸點反饋電路組成。K1、K2都應選擇安全繼電器。如圖3所示，控制繼電器K1通道1接5V激勵信號，用于監測觸點狀態。控制繼電器K1與診斷繼電器K2的通道2串聯實現跳主斷信號安全輸出。驅動電路接收到斷開指令驅動繼電器斷開，觸點反饋電路檢測到斷開，MCU判斷為有效狀態，否則MCU強制K2斷開，系統由運行狀態導向安全態。

3? 軟件設計

牽引控制功能安全模塊的軟件包括2個部分，分別為DI模塊采集和自檢、DO模塊輸出和反饋;MCU初始化完成后，DI模塊進行自檢，自檢通過后，系統進入運行狀態。運行過程中，需要對DI模塊進行周期自檢;在每個周期，MCU通過判斷DI輸入指令，控制跳主斷信號，如上電自檢異常、運行自檢異常、跳主斷失敗，則系統由運行狀態導向安全態。主程序軟件流程如圖4所示。

3.1 DI模塊軟件設計

基于DI模塊硬件設計原理，車輛緊急制動、牽引方向為硬線信號輸入，上電后DI模塊進行初始化和自檢。MCU周期性采集DI輸入信號，并進行指令判斷。如運行過程中自檢異常，則系統由運行狀態導向安全態。

3.2 DO模塊軟件設計

基于DO模塊硬件設計原理，MCU負責模塊的控制并判斷。MCU監測到故障或接收到跳主斷指令后，MCU命令控制繼電器的觸點斷開，并監測控制繼電器觸點是否成功斷開，如果否，則發送命令斷開診斷繼電器的觸點來導向安全狀態。

4? 結語

本文通過對牽引傳動控制系統進行風險識別和風險評估，獲得牽引控制單元的功能安全開發需求，開發了牽引控制功能安全模塊，并獲得TUV鐵路行業安全級SIL2認證，為公司無人駕駛系統首個安全認證產品。在后續項目中，可以通過多個牽引控制功能安全模塊串并聯組合方式，以提高系統的可靠性，達到更高的安全等級。軟件設計可以增加RAM自檢、寄存器自檢、程序加密等不同方式來提高產品的安全可靠性。

參考文獻

[1] 胡怡東，蔣忠輝.道岔監測系統在城市軌道交通安全監測中的應用[J].鐵道建筑，2020，60（12）：121-125.

[2] 姚媛.高速磁浮列車速度曲線監控功能安全分析[D].北京：北京交通大學，2016.

[3] 羅云飛，廖麗誠，譚富民.無人駕駛地鐵牽引控制單元功能安全設計[J].石油石化物資采購，2020（10）：38-40.

[4] 王永剛.城市軌道交通站臺屏蔽門系統安全控制設計研究[J].價值工程，2017，36（31）：158-159.

[5] 聞繼偉.電子換擋系統功能安全研究與設計[D].長春：吉林大學，2020.

[6] 蔣玉虎，石彩霞.城市軌道交通站臺屏蔽門系統優化控制設計[J].科學技術創新，2018（27）：112-113.