铁道机车车辆电子产品的RAMS

铁道机车车辆电子产品的RAMS

摘 要：根据IEC 62278—2002提出的铁道风险评估框架，阐述了铁道机车车辆电子产品的RAMS，对电子产品危害出现的频度进行了量化，对各种电子产品可能引发的危害严重等级进行了细化，并提出降低风险的3种设计对策。

关键词：机车车辆；电子产品；可靠性；
中图分类号：U26 文献标识码：A
可用性；可维护性；安全性；风险；冗余设计
文章编号：1000．128X(2003)06．0001．0

RAMS of electronic products for railway rolling stock
YAN Yun-sheng
(R& D Center,Zhuzhou Electric Locomotive Research Institute，Zhuzhou，Hunan 412001，China)
Abstract：On the basis of railway risk evaluation framework proposed by IEC62278—2002，the RAM S of electronic products for rolling stocks are presented．The frequency of the hazards caused by electronic products is quantitated．Possible hazards are classified and 3 design countermeasures are put forward to reduce the hazards．
Key words：rolling stock；electronic prod uct；reliability；availability；maintainability；security；risk；redundancy design

1 RAMS简介
RAMS是可靠性(Reliability)、可用性(Availability)、可维护性(Maintainability)和安全性(Safety)英文第一个字母的组合。RAMS是系统长期工作的特性，它是在系统的寿命周期内，通过对工程概念、方法、工具和技术的应用获得的。系统的RAMS可用质量和数值来表示系统、子系统或组成系统的部件的性能程度，它是系统可靠性、可用性、可维护性及安全性的组合，这四者之间的关系如图1所示。
可靠性：某个项目在给定条件和给定时间间隔内，能执行所要求功能的几率。
可用性：在规定的一段时间或一定的时间间隔内，假定所有的外部资源均满足，产品处于能完成所要求功能的状态之时间的比率。
维修性：在给定情况下使用的某个产品于规定时间内，在规定条件下用规定的程序和资源有效地完成维护作业的概率。

安全性：没有非允许损坏的危险。
安全完整性：在给定时间和所有规定条件下，系统满意地实现所要求功能的可能性。
关于铁道RAMS国际上~ "EN50126：．1999标准，现在该标准已上升为IEC 62278：2002铁路应用——铁道可靠性、可用性、可维护性和安全性(RAMS)规范及说明。
学习和贯彻该标准有利于了解我们产品现在的水平、提高产品的质量，与国际接轨。
在国内及香港的招标文件中，对系统或产品都有可靠性、可用性、可维护性及安全性要求的相关章节。在标书中可靠性用平均无故障时间MTBF(计算值)表
示；可用性用实际可用的时间对全运行时间的比率表示；可维护性用识别判断故障及恢复到正常状态平均所需的时间以及维护方便性来表示，以便能在运行安排的间隙中完成维修；安全性需通过风险评估，达到可接受的风险等级。

2 铁道产品的风险评估
铁道产品的风险用出现危害事件的频度及危害的严重等级的矩阵来评估。
在IEC 62278中，对于危害事件出现的频度分成6个等级，对危害的严重等级分成4级，对质量风险分成4级，分别见表1、表2、表3。该标准中给出了风险评估矩阵的例子，见表4。

3 机车车辆电子产品的RAMS
3．1 电子产品的故障形式
系统的正常功能可能因为一个不希望事件u E(Unexpectant event)而被破坏，0出现不希望事件的原因可能有物理的、逻辑的、信息的和外部的4个论域，发生在物理域的UE称为失效，而从逻辑域到外部域的UE称为故障、差错和错误。由于逻辑域变量只有2个值：正确或不正确，分析起来比较简单，因此最好把其他论域中的UE，归纳在简单术语“故障”之下，尽量用逻辑域来描述。电子产品的故障形式有以下5种：

永久故障：由元件中不可逆变化引起的，它永久地将原逻辑变成一个新逻辑。
瞬时故障：持续时间不超过一个确定的最大时间长度的故障。这类故障只引起有关元件当前值的改变，但不导致不可逆变化。这一般由外部干扰而引起。
间歇故障：是由元件失效，不正确设计或恶劣环境所引起的，但只有若干逻辑变量组合时才发生这类的故障。
物理故障：由物理系统内部的或外部的原因引起，发生在逻辑域的故障。
人为故障：由设计人员的不正确设计和操作人员的误操作而引起的故障。
目前电子产品的故障统计以更换插件或其他重要器件为依据，把更换一个插件作为一次故障看待。这种统计方法可能忽略了瞬时故障和间歇故障，因为回库后，引发这类故障的条件不一定具备，库内检查不出来。实际上在运行中只要有适当的保护措施，复位后也不致影响列车的运行。而采用以更换插件作为故障的统计方法是直观易行的，可以在相当程度上反映产品的质量，由此得到的实际平均无故障时间(AMTBF)可以作为衡量危害出现频度的依据。

3．2 危害出现的频度
《IEC 61508．1—— 电气，电子，可编程电子安全相关系统的功能安全》第1部分：一般要求中，对安全完整性级别(SIL)作出了规定，它是用执行所要求功能的平均故障率表示的，见表5。
现在机车车辆电子产品的平均故障率一般都属于低要求模式的第3级，个别产品能达到低要求模式的第4级。
这种分级方法是以10的倍数进级的，仍然不够具体，缺少可操作性，而且也无法与IEC 62278中的6个等级相对应。

实际平均无故障时间(AMTBF)与计算的平均无故障时间(MTBF)有着本质的区别。MTBF是在比较理想的条件下计算的，而实际运行条件比较恶劣，振动、冲击、环温变化、发热、坡道、电磁干扰等都会引发故障或缩短使用寿命。AMTBF是根据实际运行中发生故障的次数统计计算得到的，较为客观地反映了实际情况。
对于危害出现的频度进行量化是很困难的，根据个人经验提出下列建议，采用2倍进级的算法：
频繁：每季度都要发生1次或几次；
经常：一季度以上发生1次；
有时：半年以上发生1次；
很少：1年以上发生1次；
极少：2年以上发生1次；
几乎不可能：4年以上发生1次。

如果每天运行16 h，一个月运行26天，一个月的工作小时为416 h，一个季度为1 248 h，圆整为一季度工作1 250 h，则有
频繁 AMTBF<I 250 h
经常 2500h>AMTBF~1 250h
有时 5 000 h>AMTBF>_-2 500 h
很少 10000h>AMTBF~5 000h
极少 20000h>AMTBF~10000h
几乎不可能 AMTBF~20 000 h

我们目前电子柜的AMTBF一般大于5 000 h，属很少级；SS 6B机车电子柜在株洲机务段AMTBF达到15 000 h(属极少级)o但也有的车型如SS4B在运行初期只能达到3 000多小时(属有时级)，这主要是由于初期运行电子产品故障的浴盆效应所致，随着时间推移，AMTBF也随之提高。
由于我们产品的AMTBF还不够高，因而从风险评估来说我们的产品不允许引发重大故障或特大故障。另外我们产品的AMTBF大部分还停留在6 000 h左右，要想提高到8 000～10 000 h时，还任重道远，需作出艰苦不懈的努力。

3．3 危害的严重等级
电子产品故障对列车造成的危害大致上可分为：
特大：引发火灾、列车超速、冒进信号；
重大：机破；
次要：由于牵引力，制动力的部分损失造成列车晚点或短时途停，客车空调无电源及故障，造成人身不舒服，门失灵造成上下车不便；

…..

5 结束语
(1)本文从实际应用出发，提出按实际平均无故障时间(AMTBF)来量化事故出现频度的等级，具有可操作性，既符合当前实际情况，又能促使产品质量的提高。
(2)机车车辆上的各种电子装置故障时所引发的事故严重等级是不等同的，因此在产品设计时，可按照它的重要程度分别采取对策。
(3)为减少电子产品故障时的风险，应采取冗余设计、可靠性设计和故障诊断。尤其是故障诊断，在系统设计时应特别予以重视。