司机钥匙开关输入节点数量选择与可靠性关系

[摘 要]本文针对信号与车辆接口中驾驶室司机钥匙开关种类的选择分析，从可靠性及冗余度比较了两种技术方案，通过进一步计算仿真，分析后得出较好的方案。

[关键词]驾驶室激活；可靠性；冗余度

中图分类号：U270.3 文献标识码：A 文章编号：1009-914X（2015）41-0350-03

1.引言

司机驾驶台钥匙开关与信号车载设备进行接口设计是目前国内地铁项目信号系统与车辆系统接口部分的重要组成部分，本文结合国内某条真实的地铁项目中，关于司控室钥匙开关节点数量选择上，甲、乙两家车辆和信号供货商各自的方案存在较大分歧。本文从RAM的角度，对这两种方案进行了比较，通过分析比较，得出了RAM相对较好的方案。为今后项目中类似的接口问题提供了一定的理论基础。

2.两种接口解决方案分析

2.1 两种方案的描述

方案一：数字输入信号驾驶室激活均在两套车载控制单元OBCU_ATP中读取。图1所示为来自驾驶室的该数字输入信号的接线原理。每个驾驶室都装有一组钥匙开关，每个钥匙开关都有2个浮动接点。

方案二：数字输入信号“近端驾驶室激活”和“远端驾驶室激活”均在两套车载控制单元中读取。图2所示为来自驾驶室的该数字安全输入信号的接线原理。每个驾驶室都装有一组钥匙开关，由于属于安全输入，每个钥匙开关都有4个浮动接点。每个车载控制单元提供其自身的电压，并且不与其它电源混合。

2.2 两种方案的比较

方案一与方案二比较，如表1所示：

如表1所示，方案一仅提供两路输入，使冗余的OBCU_ATP车载单元无法判定哪个驾驶室开启工作，均为近端驾驶室激活。车辆方无法处理剩余的两个车载远端驾驶室激活输入信号，并区分近端还是远端驾驶室在主用还是备用。无法实现冗余切换的功能，降低了整体系统的可靠性，由于车载信号系统安全完整度等级通常定义为SIL4，因此RAMS必须也相应满足更高的要求，此方案有待商榷。

如图1-2所示，方案二对于每个信号车载单元需要4个输入，包括：近端驾驶室开启两个独立输入和远端驾驶室开启另两个独立输入。当打开驾驶室A的司机台，如果钥匙开关4个触点中的一个触点发生故障，则近端车载单元收到近端驾驶室开启得到两个不同的输入信号，则认为此输入为故障因此将切换至另一端车载单元进行冗余处理，由于远端得到的驾驶室开启状态正确，则远端车载单元仍然可以控制列车正常运营。

2.3 两种方案的可靠性分析

2.3.1 假设

[1]司控室开关设备运行在规定的环境条件和技术条件下；

[2]计算结果忽略了生产工艺对系统的RAM的影响；

[3]系统的故障分布均服从指数分布；

[6]故障定义：车载OBCU_ATP全部都不能被激活或正常的工作，在使用中出现不能符合规定性能或丧失执行预定功能的偶然事故状态；

[8]钥匙开关的MTTR=0.5小时；

[9]驾驶室的激活信息为车载的安全输入信息，需要满足安全输入的条件，即：

-两个独立接点的输入

-一个接点的故障不应影响另一个接点的工作

-接点要同步工作

2.3.2相关文件及标准

[1] GJB/Z 299C电子设备可靠性预计手册

[2] EN50126-1（1999）： 铁路应用-可靠性、可用性、可维护性、安全性（RAMS）的规范和说明

2.3.3术语及缩略语

RAMS（Reliability Availability Maintainability and Safety）；可靠性、可用性、可维护性和安全性；

RBD（Reliability Block Diagram）；可靠性框图；

FTA（Fault Tree Analysis）；故障树；

2.3.4可靠性预计

可靠性预计是为了估计产品在给定的工作条件下的可靠性而进行的工作。它根据组成产品的单元可靠性来推算产品是否满足规定的可靠性而进行的工作。它根据组成产品的单元可靠性来推算产品是否满足规定的可靠性要求。这是一个由局部到整体、由下到上的综合过程。以下预计过程采用的是应力分析法。

应力分析法用于电子产品详细设计阶段的故障率预计。在详细设计阶段，已有元器件清单及元器件的应力数据，此时用应力分析法对电子产品的可靠性进行预计。

1、所需数据

*选用的元器件种类；

*选用的元器件数量；

*选用的元器件质量等级；

*产品工作环境；

*选用的元器件使用应力。

对于国产元器件，可查阅[1] GJB/Z 299C；对于进口电子元器件，可查阅MIL-HDBK-217F。

2、预计模型

根据[1] GJB/Z 299C中的A.2.9-1，开关的工作失效率预计模型如下：

3、一般步骤

第一步：明确预计单元所用元器件的种类、数量、质量等级、环境类别、工作温度、降额等详细设计资料。

第二步：计算元器件的故障率。

第三步：同种类元器件的故障率相加。

第四部：将各种类元器件的故障率相加，从而得出单元的故障率。

具体计算过程如下：

可靠性预计的工程应用要点

1、可靠性预计工作应与功能/性能设计同步进行。在产品研制的各个阶段，可靠性预计应逐步深入，以使预计结果与产品的技术状态保持一致。

2、可靠性预计可以发现设计中的薄弱环节，为改进设计和加强控制提供依据。

使用Reliability Workbench V10.2软件，对方案二进行FTA的计算过程，如图6所示：

2.3.7计算结果

使用Reliability Workbench V10.2的RBD模块，对方案一进行计算分析，软件计算结果如图7所示：

故障率

可用度

运行1000小时（约一年）后，系统可靠度=

使用Reliability Workbench V10.2的RBD模块，对方案二进行计算分析，软件计算结果如图8所示：

故障率

可用度

运行1000小时（约一年）后，系统可靠度=

方法三

FTA工程应用要点

1、研制阶段的FTA应与设计工作同步进行。FTA能够找到系统的薄弱环节，提出改进方向。只有与设计工作同步进行，FTA的结果对于设计才是及时有效的。

2、FTA应随设计的深入逐步细化并做出合理的简化。故障树的建立比较繁琐，容易错漏，因此需在确定合理的边界条件下，深入细致地建立一棵完备的故障树，同时进行合理的简化。3、应恰当选择顶事件。顶事件的选择可以参考类似系统发生过的故障事件，也可以在初步故障分析的基础上，结合FMECA进行，选择那些危害性大的影响安全、任务完成的关键事件进行分析。

4、FTA应落到实处。FTA对系统设计是否有帮助，关键在于能否找到系统的薄弱环节，采取恰当的改进或补偿措施，并落实到实际设计工作中。

3.结论

通过上述讨论及软件仿真计算，采用图1-1的开关的失效率将为，而采用图1-2的开关的失效率为，两者相差的数量级较大，显然图1-2的解决方案拥有极低的失效率，因而将更能保证整体安全系统的可靠性及较高的冗余度，当然在成本上将使得开关选型的成本有所升高，但综合比较后，业主最终选择图1-2方案作为项目的最后解决方案。

由于电子产品的更新换代很快，有些产品相关元器件的可靠性数据获得和积累相当困难，模型中有些因素没有考虑，以及实际工作环境有差异等，所以准确预计是不可能的。可靠性预计的绝对值与产品实际可靠性数据相差数十倍是常有的，但不同方案预计结果的相对值是很有意义的，可以比较不同方案的可靠性的优劣。

当采用冗余时，在产品层次较低的地方采用冗余的效果比层次较高的地方好。例如，在元件级采用冗余比部件级采用冗余，其可靠性提高更明显。但工程上有时不允许进行级别低的冗余，工程上常用的是部件级及设备的冗余。

采用并联模型可以提高产品的任务可靠性，但也会降低产品的基本可靠性，同时增加产品的重量、体积、复杂度、费用及设计时间。因此，必须进行综合权衡。

FTA应以设计人员为主并协同进行。贯彻“谁设计、谁分析”的原则，在可靠性工程师的协助下，主要由产品的设计人员完成，并邀请经验丰富的制造、使用和维修人员参与FTA工作。

参考文献

《可靠性设计与分析》主编：曾声奎国防工业出版社，2011.04.

《可靠性工程师手册》主编：李良巧中国人民大学出版社，2012.0.