论文部分内容阅读
摘 要:随着地铁的快速发展,人们在追求舒适性、高效性和经济性等方面的同时,也越来越关注无人驾驶地铁的安全性。在地铁无人驾驶系统中,通常要求牵引传动控制单元满足SIL2级功能安全。本文基于功能安全标准EN50128、EN50129,通过FMEC方法对危害性进行分析,得出控制系统的功能安全需求,并阐释牵引控制功能安全模块的设计与SIL2证书的获得。
关键词:牵引控制单元 功能安全 DI模块 DO模块
中图分类号:U284.48 文献标识码:A 文章编号:1674-098X(2021)04(c)-0076-03
Design of Functional Safety Module Based on Traction Control Unit
TAN Fumin LIU Lina LUO Yunfei
(1.CRRC Zhuzhou Institute Co.,Ltd., Zhuzhou, Hunan Province, 412001 China; 2.Hunan Automotive Engineering Vocational College, Zhuzhou, Hunan Province, 412001 China)
Abstract: With the fast development of subways, the safety of unmanned subway services have attracted more and more attention, along with that on the convenience, efficiency, low cost, and other aspects of the services. In general, the traction drive control unit of automatic subways is designed to meet Safety Integrity Level (SIL) 2 functional safety requirements. Based on the functional safety standards EN 50128 and EN 50129, this paper has performed failure mode effects and criticality (FMEC) analysis, found out the functional safety requirements of the control system, and designed the functional safety module capable of SIL 2 certification.
Key Words: Traction control unit ; Functional safety; DI module; DO module
近年來,我国大力发展城市轨道交通,而安全是城市轨道交通发展面临的重要问题,如果牵引控制系统一旦出现故障,将会危及人身安全和造成财产损失[1]。牵引传动控制单元为地铁的心脏,其可靠性关系着地铁的安全性和稳定性。目前,牵引传动系统的核心控制单元安全等级仅达到SIL0,尚不能满足无人驾驶SIL2的安全要求[2]。
本文从无人驾驶场景基本的安全功能需求进行危害识别和风险分析,获得功能安全模块的开发需求,设计符合需求的功能安全DI模块和安全DO模块。在运行过程中,安全模块一旦出现故障,牵引控制系统将导向安全态。
1 危害识别和风险分析
风险分析通过识别系统在寿命周期内可能发生的风险事故,对这些事故造成的人员和财产损失进行评估,由此分析与确定出如何消除或减少这些风险的方法和措施[3]。
危害识别常用的方法有FMEC(Failure Mode Effects and Criticality Analysis,故障模式、影响及危害分析)、FTA(Fault Tree Analysis,故障树分析法)、HAZOP(Hazard and Operating Study,危害与操作性研究)等[4]。本文基于FMEC方法进行危害识别及分析,过程如下。
(1)对牵引控制系统进行定义,将系统分解划分不同层级功能。
(2)针对每一个层次的功能进行详细分析,识别出硬件失效可能带来的危害,并根据危害严重程度划分不同等级。
(3)根据危险发生次数定义危险的可能性等级。发生的次数可通过获取历史故障记录。
(4)基于风险控制矩阵,进行风险评估。
(5)确定安全功能模块开发需求。牵引方向控制保护功能和紧急制动控制功能需要满足SIL2。
2 硬件方案设计
通过FMEC方法进行危害识别,功能安全模块需要满足牵引方向控制保护功能、紧急制动控制功能[5]。其中牵引方向控制保护功能分为牵引向前和牵引向后;车辆紧急制动、牵引向前和牵引向后都为硬线信号,通过控制机箱面板连接器输入至牵引传动控制单元,经3组DI模块电路处理后,送入MCU进行处理。车辆紧急制动指令为0,MCU在接收到紧急制动指令后,MCU立即输出脉冲断开跳主断信号;牵引方向分为向前和向后,MCU在判断牵引方向错误后立即输出断开跳主断信号,其硬件框图如图1所示。
2.1 DI模块原理方案 DI模块由自检激励、2选1开关、DI处理电路、隔离电路组成。如图2所示,DI输入为110V的电压信号,MCU能识别的0~5V范围的电平信号,需要将110V信号转换成TTL信号;为防止外部环境对控制系统干扰,经过处理后的DI信号需要经过隔离处理,再送入给MCU进行判断。DI模块具备上电自检和运行自检能力。上电时,软件输出激励控制信号为低电平,2选1开关动作选择自检激励输入,经过DI处理后,DI模块输出高电平送入MCU判断。在运行过程中,需要周期性对DI模块进行自检;自检周期由应用层根据系统需求确定。自检过程中,检测到DI模块故障,系统应由运行状态导向安全态[6]。
2.2 DO模块原理方案
DO模块由控制继电器K1、诊断继电器K2、驱动电路、触点反馈电路组成。K1、K2都应选择安全继电器。如图3所示,控制继电器K1通道1接5V激励信号,用于监测触点状态。控制继电器K1与诊断继电器K2的通道2串联实现跳主断信号安全输出。驱动电路接收到断开指令驱动继电器断开,触点反馈电路检测到断开,MCU判断为有效状态,否则MCU强制K2断开,系统由运行状态导向安全态。
3 软件设计
牵引控制功能安全模块的软件包括2个部分,分别为DI模块采集和自检、DO模块输出和反馈;MCU初始化完成后,DI模块进行自检,自检通过后,系统进入运行状态。运行过程中,需要对DI模块进行周期自检;在每个周期,MCU通过判断DI输入指令,控制跳主断信号,如上电自检异常、运行自检异常、跳主断失败,则系统由运行状态导向安全态。主程序软件流程如图4所示。
3.1 DI模块软件设计
基于DI模块硬件设计原理,车辆紧急制动、牵引方向为硬线信号输入,上电后DI模块进行初始化和自检。MCU周期性采集DI输入信号,并进行指令判断。如运行过程中自检异常,则系统由运行状态导向安全态。
3.2 DO模块软件设计
基于DO模块硬件设计原理,MCU负责模块的控制并判断。MCU监测到故障或接收到跳主断指令后,MCU命令控制继电器的触点断开,并监测控制继电器触点是否成功断开,如果否,则发送命令断开诊断继电器的触点来导向安全状态。
4 结语
本文通过对牵引传动控制系统进行风险识别和风险评估,获得牵引控制单元的功能安全开发需求,开发了牵引控制功能安全模块,并获得TUV铁路行业安全级SIL2认证,为公司无人驾驶系统首个安全认证产品。在后续项目中,可以通过多个牵引控制功能安全模块串并联组合方式,以提高系统的可靠性,达到更高的安全等级。软件设计可以增加RAM自检、寄存器自检、程序加密等不同方式来提高产品的安全可靠性。
参考文献
[1] 胡怡东,蒋忠辉.道岔监测系统在城市轨道交通安全监测中的应用[J].铁道建筑,2020,60(12):121-125.
[2] 姚媛.高速磁浮列车速度曲线监控功能安全分析[D].北京:北京交通大學,2016.
[3] 罗云飞,廖丽诚,谭富民.无人驾驶地铁牵引控制单元功能安全设计[J].石油石化物资采购,2020(10):38-40.
[4] 王永刚.城市轨道交通站台屏蔽门系统安全控制设计研究[J].价值工程,2017,36(31):158-159.
[5] 闻继伟.电子换挡系统功能安全研究与设计[D].长春:吉林大学,2020.
[6] 蒋玉虎,石彩霞.城市轨道交通站台屏蔽门系统优化控制设计[J].科学技术创新,2018(27):112-113.
关键词:牵引控制单元 功能安全 DI模块 DO模块
中图分类号:U284.48 文献标识码:A 文章编号:1674-098X(2021)04(c)-0076-03
Design of Functional Safety Module Based on Traction Control Unit
TAN Fumin LIU Lina LUO Yunfei
(1.CRRC Zhuzhou Institute Co.,Ltd., Zhuzhou, Hunan Province, 412001 China; 2.Hunan Automotive Engineering Vocational College, Zhuzhou, Hunan Province, 412001 China)
Abstract: With the fast development of subways, the safety of unmanned subway services have attracted more and more attention, along with that on the convenience, efficiency, low cost, and other aspects of the services. In general, the traction drive control unit of automatic subways is designed to meet Safety Integrity Level (SIL) 2 functional safety requirements. Based on the functional safety standards EN 50128 and EN 50129, this paper has performed failure mode effects and criticality (FMEC) analysis, found out the functional safety requirements of the control system, and designed the functional safety module capable of SIL 2 certification.
Key Words: Traction control unit ; Functional safety; DI module; DO module
近年來,我国大力发展城市轨道交通,而安全是城市轨道交通发展面临的重要问题,如果牵引控制系统一旦出现故障,将会危及人身安全和造成财产损失[1]。牵引传动控制单元为地铁的心脏,其可靠性关系着地铁的安全性和稳定性。目前,牵引传动系统的核心控制单元安全等级仅达到SIL0,尚不能满足无人驾驶SIL2的安全要求[2]。
本文从无人驾驶场景基本的安全功能需求进行危害识别和风险分析,获得功能安全模块的开发需求,设计符合需求的功能安全DI模块和安全DO模块。在运行过程中,安全模块一旦出现故障,牵引控制系统将导向安全态。
1 危害识别和风险分析
风险分析通过识别系统在寿命周期内可能发生的风险事故,对这些事故造成的人员和财产损失进行评估,由此分析与确定出如何消除或减少这些风险的方法和措施[3]。
危害识别常用的方法有FMEC(Failure Mode Effects and Criticality Analysis,故障模式、影响及危害分析)、FTA(Fault Tree Analysis,故障树分析法)、HAZOP(Hazard and Operating Study,危害与操作性研究)等[4]。本文基于FMEC方法进行危害识别及分析,过程如下。
(1)对牵引控制系统进行定义,将系统分解划分不同层级功能。
(2)针对每一个层次的功能进行详细分析,识别出硬件失效可能带来的危害,并根据危害严重程度划分不同等级。
(3)根据危险发生次数定义危险的可能性等级。发生的次数可通过获取历史故障记录。
(4)基于风险控制矩阵,进行风险评估。
(5)确定安全功能模块开发需求。牵引方向控制保护功能和紧急制动控制功能需要满足SIL2。
2 硬件方案设计
通过FMEC方法进行危害识别,功能安全模块需要满足牵引方向控制保护功能、紧急制动控制功能[5]。其中牵引方向控制保护功能分为牵引向前和牵引向后;车辆紧急制动、牵引向前和牵引向后都为硬线信号,通过控制机箱面板连接器输入至牵引传动控制单元,经3组DI模块电路处理后,送入MCU进行处理。车辆紧急制动指令为0,MCU在接收到紧急制动指令后,MCU立即输出脉冲断开跳主断信号;牵引方向分为向前和向后,MCU在判断牵引方向错误后立即输出断开跳主断信号,其硬件框图如图1所示。
2.1 DI模块原理方案 DI模块由自检激励、2选1开关、DI处理电路、隔离电路组成。如图2所示,DI输入为110V的电压信号,MCU能识别的0~5V范围的电平信号,需要将110V信号转换成TTL信号;为防止外部环境对控制系统干扰,经过处理后的DI信号需要经过隔离处理,再送入给MCU进行判断。DI模块具备上电自检和运行自检能力。上电时,软件输出激励控制信号为低电平,2选1开关动作选择自检激励输入,经过DI处理后,DI模块输出高电平送入MCU判断。在运行过程中,需要周期性对DI模块进行自检;自检周期由应用层根据系统需求确定。自检过程中,检测到DI模块故障,系统应由运行状态导向安全态[6]。
2.2 DO模块原理方案
DO模块由控制继电器K1、诊断继电器K2、驱动电路、触点反馈电路组成。K1、K2都应选择安全继电器。如图3所示,控制继电器K1通道1接5V激励信号,用于监测触点状态。控制继电器K1与诊断继电器K2的通道2串联实现跳主断信号安全输出。驱动电路接收到断开指令驱动继电器断开,触点反馈电路检测到断开,MCU判断为有效状态,否则MCU强制K2断开,系统由运行状态导向安全态。
3 软件设计
牵引控制功能安全模块的软件包括2个部分,分别为DI模块采集和自检、DO模块输出和反馈;MCU初始化完成后,DI模块进行自检,自检通过后,系统进入运行状态。运行过程中,需要对DI模块进行周期自检;在每个周期,MCU通过判断DI输入指令,控制跳主断信号,如上电自检异常、运行自检异常、跳主断失败,则系统由运行状态导向安全态。主程序软件流程如图4所示。
3.1 DI模块软件设计
基于DI模块硬件设计原理,车辆紧急制动、牵引方向为硬线信号输入,上电后DI模块进行初始化和自检。MCU周期性采集DI输入信号,并进行指令判断。如运行过程中自检异常,则系统由运行状态导向安全态。
3.2 DO模块软件设计
基于DO模块硬件设计原理,MCU负责模块的控制并判断。MCU监测到故障或接收到跳主断指令后,MCU命令控制继电器的触点断开,并监测控制继电器触点是否成功断开,如果否,则发送命令断开诊断继电器的触点来导向安全状态。
4 结语
本文通过对牵引传动控制系统进行风险识别和风险评估,获得牵引控制单元的功能安全开发需求,开发了牵引控制功能安全模块,并获得TUV铁路行业安全级SIL2认证,为公司无人驾驶系统首个安全认证产品。在后续项目中,可以通过多个牵引控制功能安全模块串并联组合方式,以提高系统的可靠性,达到更高的安全等级。软件设计可以增加RAM自检、寄存器自检、程序加密等不同方式来提高产品的安全可靠性。
参考文献
[1] 胡怡东,蒋忠辉.道岔监测系统在城市轨道交通安全监测中的应用[J].铁道建筑,2020,60(12):121-125.
[2] 姚媛.高速磁浮列车速度曲线监控功能安全分析[D].北京:北京交通大學,2016.
[3] 罗云飞,廖丽诚,谭富民.无人驾驶地铁牵引控制单元功能安全设计[J].石油石化物资采购,2020(10):38-40.
[4] 王永刚.城市轨道交通站台屏蔽门系统安全控制设计研究[J].价值工程,2017,36(31):158-159.
[5] 闻继伟.电子换挡系统功能安全研究与设计[D].长春:吉林大学,2020.
[6] 蒋玉虎,石彩霞.城市轨道交通站台屏蔽门系统优化控制设计[J].科学技术创新,2018(27):112-113.