降低机车车辆电子产品及其系统风险的对策

降低机车车辆电子产品及其系统风险的对策

风险,故障诊断,冗余

严云升，周桂法 （株洲南车时代电气股份有限公司技术中心，湖南株洲 412001）

摘　要：从硬件和软件可靠性设计、保护、故障诊断和冗余几方面阐述了降低机车车辆电子产品及其系统风险的各种措施及其有效性。在产品设计阶段，就必须考虑各种降低风险的对策，采取行之有效的措施，才能得到高安全完整性的产品。

关键词：安全完整性；风险；可靠性；故障诊断；冗余；机车车辆

中图分类号：U298　　文献标识码：A　　　　文章编号：1000-128X(2006)05-0001-04

Countermeasures to Reduce Risks of Electronic Components and System for Rolling Stock
YAN Yun-sheng, ZHOU Gui-fa
(Technology Center, Zhuzhou CSR Times Electric Co., Ltd., Zhuzhou, Hunan 412001, China)
Abstract: Various measures and their effectiveness to reduce the risks of electronic components and system for rolling stock are illustrated from aspects of hardware, software reliability design, rotection, failure diagnosis and redundancy. During the phase of product design, the measures to reduce the risks must be taken into account and effective measures should be taken to achieve products of high safety integrity.
key words: safety integrity; risk; reliability; failure diagnosis; redundancy; rolling stock

0 引言
机车车辆上的电气/ 电子/ 可编程电子（简称E/E/PE）安全相关系统，其安全完整性级别（简称SIL）分成４级，最高的SIL4，每小时危险失效的概率应在10-9～10-8之间；每降低一级，其每小时危险失效概率递增一个数量级；最低的SIL1，每小时危险失效的概率应在10-5～10-6之间。在现有元器件水平和工艺条件下，对于不太复杂的系统，是不难实现SIL4 的；但对于一个相对复杂的系统（例如可编程电子安全相关系统），要实现SIL4 就必须采取许多相关的措施。
一般可编程电子安全相关系统可由３部分组成：传感器子系统，逻辑控制子系统和最终部件子系统，这３个部分互相串联。
对于串联的子系统，如果子系统的SIL不同，则串联后最高只能达到其中最低的SIL级，假定３个子系统的SIL分别为1，3，2级，则串联后整个系统最高只能达到SIL1级。因而要找出串联系统中最薄弱的环节，对其采取一定措施方能提高整个系统的SIL等级。在采取一定措施后，原来最薄弱的环节失效率得到改善，其他环节有可能又成为最薄弱环节。如此对最薄弱环节不断采取有效措施，直至最后整个系统达到预定的SIL级别的要求。
在确定安全功能的安全完整性时，首先要分析可
能导致不安全状态的所有失效原因。例如硬件失效、
软件引发的失效、电气干扰引起的失效或是人为操作
引起的失效等。降低风险的对策一是要避免这些隐患
的发生（避错），二是在故障发生时采取措施不致使系
统失效（容错）。

1 硬件可靠性设计
如图１所示，在明确产品的工作条件，主要输入和输出参数（设计输入）后，首先要进行安全性设计，目标是开发总体安全要求规范，包括安全功能要求和安全完整性要求。为此要对产品进行隐患和风险分析，得到该产品可能具有的风险；对每个已确定的隐患规定所必需的安全功能，以保证所需的功能安全性。同时根据该产品的作用和重要性，确定各安全功能的危害严酷等级，确定所需的安全完整性级别，亦即得到该产品容许的风险。
为了把产品的风险降到容许风险以下，使其成为可接受的产品，必须进行可靠性设计。总体而言，系统的可靠性依赖于组成系统的各个零部件的可靠性。所以，提高零部件的可靠性是提高系统可靠性的根本途径。如果将零部件的失效率降低１个数量级，系统的安全完整性就可以提高一个等级。系统的可靠性还与系统的复杂程度相关。简化系统的复杂性，可以提高系统工作的可靠性。所以在系统设计时，在不影响系统基本性能的前提下，应尽量简化系统结构。’

常用的可靠性设计措施有：
①元件降额设计。目的是降低发热和应力，从而减少故障率，这是一种“避错”措施。通常，在降低使用应力水准的情况下，其可靠性可以提高一个数量级以上[1]。
②热设计。热设计也是一种“避错”措施。热设计对电子产品是非常重要的，通常电子产品的热容量比较小，对温度比较敏感。除了选择适当级别的元器件外，还可以考虑以下措施：一是借助车体通风来降低电子产品周围的环境温度；二是电子柜自身的通风和热交换，把热量散发出去。在通风的同时还需保持电子产品的清洁。因而往往采用内外2 层风道。内风道是封闭的，它通过空气流动使温度均匀并保持产品清洁；外风道靠通风将散热器上的热量带走。对于没有强迫通风的产品也需考虑发热体与周围器件的距离以及安装方式，以减少对邻近元器件的影响。对于需在特殊低温环境下工作的情况，还需考虑低温下的启动问题。
③容差设计。这是一种“容错”措施。元器件的输入有一定容许范围，对可能的过大信号应采取钳位限制措施。例如计算机的A/D转换都有一定范围，对于输入的模拟信号最好采用钳位限制，以免烧损A/D芯片。

④保护。保护是一种“容错”措施。保护措施的作用详见本文的第3 部分。
⑤EMC设计。产品的EMC设计是可靠性设计中的重要部分。机车车辆上空间受到限制，各种强电设备（如牵引变压器、牵引变流器）和弱电设备（如各种电子控制装置）往往紧凑地布置在一起。电子产品要能满意地工作，自身必须有一定的承受外界电磁干扰的能力，同时它对外界的干扰也必须限制在一定水平以内。机车车辆上的电子产品的EMC一般应满足恶劣的工业环境要求。TB/T3021-2001《铁道机车车辆电子装置》标准中规定了电子产品必须进行的EMC试验项目和考核等级；产品须通过EMC试验才能上车。实践证明这对于提高产品质量和可靠性确实起到了重要的作用。
提高产品的抗电磁干扰能力一般都从屏蔽、滤波、隔离和接地4 个方面下功夫。只要这几种措施得当，一般可以达到规定的EMC 要求，当然需要有不断改进、不断试验的过程，才能得到较为完美的产品。除了产品自身的EMC设计外，还需考虑它在机车上的安装条件和布线要求，如安装在具有磁屏蔽功能的小室内，接地线的截面和接地点的选择，采用什么样的导线和电缆以及这些电缆与动力线间的距离等。
当产品在实际工作中受到干扰而有时不能正常工作时，还须从系统的角度分析干扰的来源和采取必要的措施。如SS7D 机车一开始头灯每次起辉时总引起显示屏的闪动，原因是头灯起辉时有较高的过电压，他影响到110 V蓄电池电路，引起显示屏闪动，后将头灯的电源线改用双绞屏蔽线后，这一问题得以解决。

2 软件可靠性设计
一个软件系统的可靠性很大程度是在系统设计阶段就已经决定了的，换句话说，如果在软件系统的设计时没有对软件可靠性问题给予很好的考虑，以致设计水准较低的话（如系统结构不佳、可读性不好），则即使在系统调试过程中投入很大资源，也很难得到一个高可靠性的软件系统。因此在软件设计阶段，设计者就应对产品设计可能影响其可靠性的因素，如结构、编写方法等给以足够的重视。
软件设计之初首先要编制软件要求规范。根据系统要求规范，系统安全性要求规范和系统结构描述来确定分配至软件的全部安全功能。应明确软件与任何其他系统间的接口，包括与操作员的接口，对于可能出现的人为操作错误应采取安全导向措施；明确软件与硬件间的任何约束，确定软件自检的程度及由软件检测硬件的程度；明确软件的安全完整性等级并确定诊断测试的范围和周期。
目前，从理论上讲还没有真正解决怎样得到一个高可靠的软件产品问题，而只是利用某些方法、技巧和经验来提高软件的可靠性：
①限制跳转语句的使用。任何一种程序逻辑结构都可以用顺序、选择和循环３种基本结构组成的单一进出口逻辑结构来实现。

3 保护

4 故障诊断

5 冗余
冗余是一种容错措施。冗余的作用是提供功能备用，不论是通道冗余，还是设备冗余，在一个通道或一个设备故障时，另一通道或另一设备仍能正常工作，从而不致使系统失效。
冗余要能真正起到作用，冗余的通道或设备必须互相独立，尽量避免因共同原因使其一齐失效。例如，将一个信号送至２个不相关的设备中，可以起到冗余作用；若将一个信号送到同一设备的不同通道中，就起不到冗余作用，一旦该设备电源故障，这个信号仍然没有通道，系统仍会失效。２个冗余的设备电源应互相独立，虽然供电电源在机车上DC 110 V只有一个，但去设备的电源线必须分别进线，而不应公共进线后２个设备并联，否则会由于电源进线断线或连线松脱，造成２个设备都不能工作。