[科普中国]-铁路控制系统

概述

高速铁路的崛起和发展给世界铁路的振兴带来了勃勃生机，但同时对铁路通信信号等的装备也提出了更高的要求。当列车运行速度提高到某一限度时，司机瞭望和确认地面信号的时间很短，不能保证行车安全和效率，无法依靠地面信号显示正常行车。因此，随着列车运行速度和密度的不断提高，世界各国都在发展各自的铁路控制系统。

铁路控制系统主要是以技术手段对列车运行方向、运行间隔和运行速度进行控制，使列车能够安全运行且提高运行效率，列车运行控制系统地面设备和车站联锁设备主要实现联锁控制功能，并生成列车控制所需的基础数据，通过车-地信息传输通道将地面控制信息传送给列车，经列车运行控制车载设备进行处理后，生成列车速度控制曲线，监督控制列车安全、高速运行。1

欧洲铁路控制系统ETCS背景欧盟、国际铁路联盟，欧洲铁路组织和铁路信号与通信公司通力合作，创立了一种一体化的欧洲铁路控制命令系统，称为ERTMS/ETCS。该系统可以为列车在本国和外国铁路网中以最大允许速度运行时提供安生所需的数据。

最大允许速度由3个因素来决定 (1)列车的特性(它的重量，牵引性能)；(2)轨道的性能(坡度、弯道、桥梁)；(3)允许运行距离(它由列车目前的位置及前方列车位置来决定)。

这些数据由ERTMS/ETCS计算机控制系统进行处理。列车的特性由通过预先编制的程序输人到车载计算机。轨道的特性也通过预先编程或在列车运行时输入到车载计算机上：允许运行距离由控制中心判定并传送给列车 ERTMS/ETCS计算机处理这些数据．并将有关信息显示给列车司机：

首先是允许运行距离；

其次是列车的速度曲线。这是车载计算机依据允许运行距离算出的，列车在这段距离中允许的最大速度的曲线；

第三是列车的制动点 这是列车司机为避免列车超越允许运行距离而设置的开始制动的点。在整个过程中 系统不断地比较实际的速度与最大允许速度，如果实际速度超过最大允许速度，系统将对司机发出警告。如果没有反应，则将自动开始制动使列车速度回落到安全的允许最大速度之内 ERTMS/ETCS是一种模块化的系统，能根据铁路网的构形和商业运行的战略来装配这一系统。2

第1阶段第1阶段是在既有铁路信号的线路上，利用列车探测器来测定列车的位置在ERTMS/ETCS第1阶段中。应答器装在路轨上．并与控制中心相连接。应答器中含有预先编制的轨道数据，列车探测器将列车的位置信电传给列控中心， 列控中心得到所有在线路上运行的列车的位置信息．计算出新的允许运行距离并传送给应答器；列车在越过应答器时收取到新的允许运行距离和道路数据，车载计算机算出其允许速度和下一个制动点，并将这些信息显示给 列车司机 为提高第1阶段的区间通过能力。可在应答器前加上环形电路，下一个应答器的信息通过环形电路传给经过的列车，因此，车载计算机能预先接收到下一个应答器发出的允许运行距离和下一区间的道路特性，根据这个提前接收到的允许运行距离可算出一个新的制动点，这样可防止列车频繁制动，明显地缩短旅途时间。2

第2阶段ERTMS/ETCS第2阶段已不需要传统的地面信号．但仍需要安装路旁的探测装置，其采用车载的无线系统GSM—R，使车载计算机能与列控中心直接通信；在轨道旁的应答器只是作为简易电子位置标识。道路特性预先编入程序输人到车载计算机中，列车探测装置将列车位置信息传给列控中心．收到列车在线路上位置信息后，列控中心判定新的允许运行距离，并通过无线接口传给列车司机。车载计算机根据允许运行距离和道路特性算出其允许速度曲线和下一个制动点．并将这些信息显示给列车司机：列车通过应答器时收到新的位置信息。为确保运行的安全，车载计算机不断地测定列车的位置，检查当前的速度是否适合允许运行距离。2

第3阶段第3阶段与第2阶段的不同在于拥有一个车载的列车时刻表系统.这个系统监视列车的运行． 无需列车探测装置。第3阶段需要车载的无线GSM—R系统，使车载计算机能与列控中心通信。应答器只作为简单的公里标识：轨道特性预先编入程序并输人到车载计算机，列控中心当列车经过应答器时通过无线接口接收到列车新的位置指示，列控中心判定新的允许运行距离．并通过无线接口传送给列车，车载计算机计算出自己的速度曲线和下一个制动点 这些信息将显示给列车司机。通过无线传输，允许运行距离将得到及时更新。这样列车的间距可以更短，明显地提高线路的通过能力。2

FMEA方法在铁路控制系统的安全分析中，最常用的方法是FEMA（Failure Modes and Effects Enalysis，失效模式和影响分析）分析方法。也就是在安全功能失效的情况下，分析系统可能产生的危害，并提出缓解危害的方法。

方法介绍在对列控中心的系统危害分析中，采用了CENELEC标准中的FEMA（失效模式和影响分析）方法。这是一种通过假定功能失效情况下，确定其潜在危害的分析方法。具体为：在分析列控中心系统的设计时，通过对系统的各个组件进行系统性检查，从而确定这些组件的失效对系统的行为或者安全性的影响。

FEMA是一种定性的安全分析方法，无法用THR（Tolerable Hazard Rate）的定量指标来衡量，其目的在于帮助设计者发现列控中心系统中存在的缺陷。通过对某个特定功能分析每一种失效模式下导致的风险严重度和发生频率，判断该功能在风险矩阵中所处的SIL水平。

FEMA是一种有效识别系统性失效和非系统性失效的方法，应尽早应用在系统开发的生命周期中，也是系统安全保证计划中所定义的系统危害分析（SHA）、接口危害分析（IHA）所采用的基本方法，输出的安全需求在HL中管理并追踪其状态。3

基本步骤1，识别系统功能及其输出

在开展FMEA分析时，列控中心的系统需求已经产生，并且作为危害分析的基本输入。对于安全分析人员来说，危害分析的质量很大程度上受系统需求质量的影响，通常系统需求功能的划分、功能之间的输入输出越详细，FMEA 能够识别的危害也就越多，这些需求包括：所有功能模块，尤其是安全相关功能模块；系统内部/外部接口等。在功能的FMEA 分析中，某个特定功能的输入必定是另一个模块或者外部系统的输出，因此只需分析功能模块的输出在失效模式下的影响即可。

2.识别失效模式

在标准（IEC/CENELEC）中并未对功能的失效模式有详细的解释，通常失效模式需要结合具体的功能，大致分为以下几种，可根据实际情况选择。

1．硬件连接失效模式。包括：电缆/连接器腐蚀造成的绝缘失效、传输中断；安装或维护时电缆/板卡位置颠倒；错误的位置，即插在错误的连接器或端口上。

2．电源接口失效模式。包括：失去电源，掉电；电压升高，过压；电压降低，欠压；频率改变，电源频率不稳定；波动/失真，电信号失真等。

3．内部/外部接口失效模式。包括：数据丢失，对方未收到数据；数据破坏，输出错误的数据；数据过时，输出过时的数据；数据乱序，输出乱序的数据；数据源不可信，数据源错误。

4．功能间接口失效模式。包括：数据丢失，未更新输出；数据破坏，输出被破坏；数据不合适，不适当的输出；数据过时，输出过时数据；数据源不可信，数据源未知等。

3.提出缓解措施（安全需求）

安全需求被系统需求所追踪，并且最终被实现，该过程由验证和确认活动来保证。安全活动将通过HL的方式管理这些安全需求。3