1、1铁路信号控制系统故障导向安全分析摘要:在 2011 年 7 月 23 日,在甬温线发生了举世瞩目的“7.23”动车追尾交通事故。这起事故的引发的主要原因是雷击导致信号系统发生故障,引起信号指示错误,列车在错误的指示下,发生了列车追尾。这起事故属于典型的违反“故障-安全”的案例,本文就以此次事故为例进行简要分析。 关键词:铁路信号;故障-安全;措施 中图分类号: F530.32 文献标识码: A 文章编号: 所谓“故障安全” ,是指当设备发生故障的时候,在设备出现动作以后应当是安全的。也就是说,不管设备发生什么样的故障,在故障发生以后,都应该设定一个保证安全的输出信号,这种系统我们叫做“故障安
2、全”系统,简称“FSS” 。 1 信号系统的“FSS”保障措施 1.1 传统铁路信号控制系统的“FSS”设计 为了实现”故障安全” ,铁路信号控制系统在设计时,采取了多项安全控制措施: 1.1.1 机械控制手段上,大多利用重力向下的原理,保证安全。如过去应用的臂板信号机,利用重锤控制臂板动作,当传导拉力的导线或拉杆折断时,靠重锤的重力使臂板保持水平状态,指示列车停车,从而实现”故障安全” 。 21.1.2 广泛应用的继电控制,采用非对称的安全型继电器。信号控制电路所用的继电器为安全型继电器,保证继电器故障落下的概率远远大于故障吸起的概率。电路设计时,采用安全对应原则,用继电器的吸起状态对应设备
3、的危险侧,而用继电器的落下状态对应设备的安全侧。例如在信号点灯控制电路中,用列车信号继电器(LXJ)吸起接点控制允许灯光(绿灯或黄灯)点亮,而用列车信号继电器的落下接点控制红灯点亮,当发生故障使列车信号继电器落下时,信号显示红灯,指示列车停车,从而实现了继电电路的”故障安全” 。 图 1 “FSS”系统继电电路 1.2 现代铁路信号控制系统的“FSS”控制 以现代集成电子电路和信息技术为核心的铁路信号控制系统,通过软件和硬件冗余的方式,实现“FSS” ,下面是几种常用的“FSS”控制方式。 1.2.1 安全性冗余结构 图 2 安全性冗余结构 如图 2,模块 A 和模块 B 经与门输出,两个模块
4、同步工作,只有两个模块输出一致才能使系统输出,如果有一个模块故障,系统将不能输出正常结果,从而发现故障,停止输出危险侧的执行信息。由于两个模块发生相同的故障而产生相同的错误结果的概率很小,这样提高了系统工作的安全性,减少了危险侧输出的概率。 31.2.2 静态多元控制 静态“FSS”输入接口电路如图 3 所示,一个采集条件(GJ)同时由多个光电耦合采集单元同时采集,送入计算机。当采集条件接通时,各单元输出均为高电平,计算机收到代码为 1111;当采集条件断开时,各单元输出均为低电平,计算机收到代码为 0000。计算机对四个码元进行逻辑“与”的运算,结果为“1”时证明采集条件接通(危险侧) ,结
5、果为“0” ,证明采集条件断开(危险侧) 。显然当采集条件断开而电路发生故障时,运算的结果为“0”的概率远远大于运算结果为“1”的概率,实现了“故障-安全” 。 图 3 静态多元控制 1.2.3 动态闭环控制 图 4 动态闭环控制电路 动态“FSS”输入接口的电路形式如图 4 所示,由计算机输出口控制的光电耦合管 G2 输出侧与采集输入口的光电耦合管 G1 输入侧串联。在采集条件接通时,由计算机输出的脉冲序列,会返回到计算机的输入端,即用动态脉冲作为危险侧信息;采集条件断开时,计算机输入口收到稳定的低电平(0) ;当电路任何一点发生断线或混线故障时。计算机输入端必然收到稳定的电平(1 或 0)
6、 ,将稳定的 1 或 0 均作为安全侧信息处理。 动态输出驱动电路则采用输出动态脉冲作为控制信息。只有动态信4息才能驱动执行继电器吸起,静态电平驱动无效。输出代码还要回读到计算机。当计算机“死机”或输出电路故障时,计算机不能连续输出动态信息,执行继电器不吸,设备不会错误动作。 实际上,动态输入或输出电路是一个闭环控制系统,它是通过计算机校验输入或输出代码是否畸变来判断电路是否故障。这种动态闭环控制,以动态信息对应危险侧,以静态信息对应安全侧,当电路发生故障,只能产生静态信息,从而实现“FSS” 。 2 提高现代铁路信号控制系统安全性的探讨 随着铁路运输车流密度的加大和列车运行速度的提高,铁路信
7、号自动控制系统越来越复杂,现代铁路信号控制已有传统的机电控制变为集自动控制、机电一体化、网络通信、信息处理为一体的综合控制系统。但是无论系统如何复杂,都应严格保证实现”故障安全” 。 2.1 采用综合安全性冗余方式保证列车运行安全 高速铁路的信号控制设备,主要包括车站联锁控制系统、区间闭塞控制系统、调度集中(CTC)控制系统、列车运行控制系统等,各系统之间即相对独立,又相互联系。为了保证列车运行安全,应设计综合上述各系统的安全性冗余环节,如图 5 所示,只有各子系统均输出指示列车正常运行的命令,列车才能正常运行。当任一子系统输出要求列车“减速或停车”的安全侧信息时,综合控制系统都能输出使列车“
8、减速或停车”的控制命令,防止“故障危险” 。 图 5 高速铁路“FSS”综合系统 52.2 增加“丢车”检查功能,防止故障危险 “7.23”大事故是由于前方运行的列车占用信息被覆盖,即发生了“丢车”才造成了后续列车追尾。实际在线路上运行的列车,不可能丢失,出清一个区段,必然已进入另一区段。如果出现“丢车”或“飞车”信息,一定是设备发生了故障。因此,在各控制系统中应增加“丢车”检查功能,一旦发现“丢车” ,应立即使综合系统输出后续列车“紧急制动”信息,以保证后续列车的运行安全。 2.3 增加机头和列尾防护设备,防止列车冲突 铁路运输尽管有一套功能完善、性能可靠的信号控制系统,但历史上不止一次发生
9、了列车追尾甚至正面冲突的重大事故。如果在现有信号控制系统之外,在列车头部和尾部增加一套防护设备,当两车之间的距离小于“安全距离”时,通过无线设备或通过钢轨直接向前后运行的列车分别发送 “相撞危险”的信息。相邻列车接收后,立即报警和紧急制动,这是避免列车冲突的最好方法。当然这种防护设备要考虑防止干扰,需要认真研究和实验。现有条件下,即使在列车尾部增加传输距离较远的监视设备或者特殊颜色灯光闪光提示,也能减少列车冲突事故的发生。 2.4 提高系统可靠性,减少危险故障发生 相对铁路运输而言,航空运输“故障危险”的概率更大,但飞机发生“危险失效”的概率极低,主要原因在于飞机采用“多个发动机”等措施,使系
10、统运行的可靠性远远高于其他运输方式,从而也提高了运输的安全性。 铁路信号控制设备虽然在车站联锁等系统中采用了多套冗余设备,6但为了提高铁路运输的安全性,还应在区间闭塞、调度集中(CTC) 、列车运行控制等系统中增加冗余设备,以保证发生故障后,能够通过自动切换等方式正常运行,以减少系统发生故障失效的概率。 3 结语 总之, “故障安全”是铁路信号控制系统应严格遵循的重要原则,任何高科技的设备,发生任何故障时,都应确保安全,否则再先进的技术设备也不会有生命力。 参考文献 1 何文卿.车站信号自动控制.北京:中国铁道出版社,1980. 2 林瑜筠.铁路信号基础.北京:中国铁道出版社,2006. 3 铁道部劳卫司.信号工.北京:中国铁道出版社,2005. 4 国务院“7.23”甬温线特别重大铁路交通事故调查组. “7.23”甬温线特别重大铁路交通事故调查报告.国安监总局网站.2012.
