关于铁路信号控制系统故障导向安全的探讨
开篇:润墨网以专业的文秘视角,为您筛选了一篇关于铁路信号控制系统故障导向安全的探讨范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【 摘 要 】 本文以铁路“7.23”大事故为引例,概括介绍了铁路信号控制系统故障导向安全的含义,分析了“故障―安全”保障措施,探讨了如何进一步提高信号控制系统的安全性,对保证铁路运输安全具有积极的意义。
【 关键词 】 铁路信号;故障―安全
1 引言
2011年7月23日甬温线发生的动车组追尾事故,从技术上分析,主要是由于雷击造成信号设备故障,而故障后控制系统失灵,没有检查到前行列车占用的状态,造成后续列车仍按“前方无车”的指示以“正常速度运行”,从而造成列车追尾、车毁人亡的悲剧。
这是一起严重违背“故障导向安全”(以下简称故障―安全)原则的“故障―危险”典型案例。结合本案例,本文对铁路信号的“故障―安全”作以分析和探讨。
2 铁路信号”故障―安全”概述
所谓“故障―安全”(Fail―Safe简称FS),原意是:当设备内部发生任何故障时,设备动作的后果应该是安全的。详细一点解释即是:一个系统当其内部发生任何故障时,该系统能给出一个预先设定的确保安全的输出值,这样的系统称为”故障―安全”系统,记作“FSS”。
铁路信号控制系统的核心任务是为列车或车列(称站内的调车为车列)提供安全可靠的指示命令。其控制对象是在铁路线路上运行的列车或车列,如果给出错误或相反的指示命令,后果不堪设想。可见,“故障―安全”原则在铁路信号控制系统中尤为重要。因此,对于铁路信号控制系统而言,在任何情况下,无论发生任何故障,都应确保系统输出安全的结果。
对于运行中的列车或车列,显然“车停”是安全的(安全侧),而“车走”是危险的(危险侧)。即如果设备发生故障,让运行中的列车停下来是安全的,而让本该停下来的列车继续运行则是危险的。因此,铁路信号控制系统的安全结果应是控制“车停”的指示或动作。
3 信号系统的“故障―安全”保障措施
3.1 传统铁路信号控制系统的“故障―安全”设计
为了实现”故障―安全”,铁路信号控制系统在设计时,采取了多项安全控制措施:
机械控制手段上,大多利用重力向下的原理,保证安全。如过去应用的臂板信号机,利用重锤控制臂板动作,当传导拉力的导线或拉杆折断时,靠重锤的重力使臂板保持水平状态,指示列车停车,从而实现”故障―安全”。
广泛应用的继电控制,采用非对称的安全型继电器。信号控制电路所用的继电器为安全型继电器,当发生断电故障时,靠衔铁及重锤片的重力,使继电器可靠落下,这样,保证继电器故障落下的概率远远大于故障吸起的概率。电路设计时,采用安全对应原则,用继电器的吸起状态对应设备的危险侧,而用继电器的落下状态对应设备的安全侧。例如在信号点灯控制电路中,用列车信号继电器(LXJ)吸起接点控制允许灯光(绿灯或黄灯)点亮,而用列车信号继电器的落下接点控制红灯点亮,当发生故障使列车信号继电器落下时,信号显示红灯,指示列车停车,从而实现了继电电路的”故障―安全”。
3.2 现代铁路信号控制系统的“故障―安全”控制
以现代集成电子电路和信息技术为核心的铁路信号控制系统,通过软件和硬件冗余的方式,实现“故障―安全”,下面是几种常用的“故障―安全”控制方式。
3.2.1 安全性冗余结构
如图2,模块A和模块B经与门输出,两个模块同步工作,只有两个模块输出一致才能使系统输出,如果有一个模块故障,系统将不能输出正常结果,从而发现故障,停止输出危险侧的执行信息。由于两个模块发生相同的故障而产生相同的错误结果的概率很小,这样,提高了系统工作的安全性,减少了危险侧输出的概率。
3.2.2 静态多元控制
静态“故障―安全”输入接口电路如图3所示,一个采集条件(GJ)同时由多个光电耦合采集单元同时采集,送入计算机。当采集条件接通时,各单元输出均为高电平,计算机收到代码为1111;当采集条件断开时,各单元输出均为低电平,计算机收到代码为0000。计算机对四个码元进行逻辑“与”的运算,结果为“1”时证明采集条件接通(危险侧),结果为“0”,证明采集条件断开(危险侧)。显然当采集条件断开而电路发生故障时,运算的结果为“0”的概率远远大于运算结果为“1”的概率,实现了“故障―安全”。
3.2.3 动态闭环控制
动态“故障―安全”输入接口的电路形式如图4所示,由计算机输出口控制的光电耦合管G2输出侧与采集输入口的光电耦合管G1输入侧串联。在采集条件接通时,由计算机输出的脉冲序列,会返回到计算机的输入端,即用动态脉冲作为危险侧信息;采集条件断开时,计算机输入口收到稳定的低电平(0);当电路任何一点发生断线或混线故障时。计算机输入端必然收到稳定的电平(1或0),将稳定的1或0均作为安全侧信息处理。
动态输出驱动电路则采用输出动态脉冲作为控制信息。只有动态信息才能驱动执行继电器吸起,静态电平驱动无效。输出代码还要回读到计算机。当计算机“死机”或输出电路故障时,计算机不能连续输出动态信息,执行继电器不吸,设备不会错误动作。
实际上,动态输入或输出电路是一个闭环控制系统,它是通过计算机校验输入或输出代码是否畸变来判断电路是否故障。这种动态闭环控制,以动态信息对应危险侧,以静态信息对应安全侧,当电路发生故障,只能产生静态信息,从而实现“故障―安全”。
4 提高现代铁路信号控制系统安全性的探讨
随着铁路运输车流密度的加大和列车运行速度的提高,铁路信号自动控制系统越来越复杂,现代铁路信号控制已有传统的机电控制变为集自动控制、机电一体化、网络通信、信息处理为一体的综合控制系统。但是无论系统如何复杂,都应严格保证实现”故障―安全”。
4.1 采用综合安全性冗余方式保证列车运行安全
高速铁路的信号控制设备,主要包括车站联锁控制系统、区间闭塞控制系统、调度集中(CTC)控制系统、列车运行控制系统等,各系统之间即相对独立,又相互联系。为了保证列车运行安全,应设计综合上述各系统的安全性冗余环节,如图5所示,只有各子系统均输出指示列车正常运行的命令,列车才能正常运行。当任一子系统输出要求列车“减速或停车”的安全侧信息时,综合控制系统都能输出使列车“减速或停车”的控制命令,防止“故障―危险”。
4.2 增加“丢车”检查功能,防止故障―危险
“7.23”大事故是由于前方运行的列车占用信息被覆盖,即发生了“丢车”才造成了后续列车追尾。实际在线路上运行的列车,不可能丢失,出清一个区段,必然已进入另一区段。如果出现“丢车”或“飞车”信息,一定是设备发生了故障。因此,在各控制系统中应增加“丢车”检查功能,一旦发现“丢车”,应立即使综合系统输出后续列车“紧急制动”信息,以保证后续列车的运行安全。
4.3 增加机头和列尾防护设备,防止列车冲突
铁路运输尽管有一套功能完善、性能可靠的信号控制系统,但历史上不止一次发生了列车追尾甚至正面冲突的重大事故。如果在现有信号控制系统之外,在列车头部和尾部增加一套防护设备,当两车之间的距离小于“安全距离”时,通过无线设备或通过钢轨直接向前后运行的列车分别发送 “相撞危险”的信息。相邻列车接收后,立即报警和紧急制动,这是避免列车冲突的最好方法。当然这种防护设备要考虑防止干扰,需要认真研究和实验。现有条件下即使在列车尾部增加传输距离较远的监视设备或者特殊颜色灯光闪光提示,也能减少列车冲突事故的发生。
4.4 提高系统可靠性,减少危险故障发生
相对铁路运输而言,航空运输“故障―危险”的概率更大,但飞机发生“危险失效”的概率极低。主要原因在机采用“多个发动机”等措施,使系统运行的可靠性远远高于其他运输方式,从而也提高了运输的安全性。
铁路信号控制设备虽然在车站联锁等系统中采用了多套冗余设备,但为了提高铁路运输的安全性,还应在区间闭塞、调度集中(CTC)、列车运行控制等系统中增加冗余设备,以保证发生故障后,能够通过自动切换等方式正常运行,以减少系统发生故障失效的概率。此外,应进一步加强信号控制系统耐高压、耐高温、耐强磁等试验,通过“破坏性”试验,检验系统在极限条件下的运行状态,以提高系统的可靠性,减少危险的故障发生。
总之,”故障―安全”是铁路信号控制系统应严格遵循的重要原则,任何高科技的设备,发生任何故障时,都应确保安全,否则再先进的技术设备也不会有生命力。
参考文献
[1] 何文卿.车站信号自动控制.北京:中国铁道出版社,1980.
[2] 林瑜筠.铁路信号基础.北京:中国铁道出版社,2006.
[3] 铁道部劳卫司.信号工.北京:中国铁道出版社,2005.
[4] 国务院“7.23”甬温线特别重大铁路交通事故调查组. “7.23”甬温线特别重大铁路交通事故调查报告.国安监总局网站.2012.
作者简介:
翟红兵(1962-),男,辽宁朝阳人,大学本科,辽宁铁道职业技术学院,副院长,副教授;研究方向:铁道通信信号。