1.隐患排查技术
1)隐患分级
(1)一般隐患:危害和整改难度不大,发现后能够立即整改销号的隐患;
(2)较大隐患:危害较大,可能造成安全生产事故和质量问题,或整改难度较大,需经过一定时间整改治理方能销号的隐患;
(3)重大隐患:危害大,可能造成重大的安全生产事故和质量事故,在全国或省市范围内造成不良社会影响的;或隐患整改难度大,需全部或局部停工。
2)隐患排查治理流程
隐患排查治理流程如图5-2所示。
2.故障注入技术
1)故障注入原理
为了能够预防轨旁设备故障的发生以及设计故障发生后的有效减灾措施,需要对轨旁设备实行测试评估。通过建立列车运行控制系统模型,并在实验室仿真平台下进行建模仿真,来对设备的安全可靠性进行评估。安全测试评估技术的发展如图5-3所示。
在众多安全评估测试方法中,故障注入法是其中较有代表性的一种方法。对应的故障注入技术,作为一种测试技术是指:按照特定的故障模型,用人为的、有意识的方式产生故障,并施加于待测系统中,用以加速该系统的错误和失效的发生,同时观测并反馈系统对所注入故障的响应信息,通过分析从而对系统进行验证和评价。故障注入原理可用图5-4所示的行为循环层次结构模型进行说明。
图5-2 隐患排查治理流程
图5-3 安全测试评估技术的发展
图5-4 故障注入原理
目前,国内外的故障注入测试系统有以下几种:国际上,关于故障注入研究处于领先地位的是法国图卢兹国家科学研究中心系统分析与架构实验室(LAAS-CNRS)。除此之外,美国许多高校也开发出各种典型的故障注入工具,比如伊利诺伊大学开发的Ftape,卡内基梅隆大学开发的FIAT,密歇根大学开发的DOCTOR,得克萨斯大学开发的FERRARI等。在欧洲,葡萄牙科英布拉(Coimbra)大学开发了Xception,意大利都灵理工大学(Politecnico di TORINO)开发了基于嵌入式工具EXFI,瑞典查尔姆斯(Chalmers)理工大学开发了基于软件故障注入的MEFISTC-C等。国内开展故障注入技术研究比国外晚,主要研究成果有哈尔滨工业大学开发研制的故障注入工具SOBFI,中科院电子所开发的基于单片机的故障注入工具,还有同济大学的轨道交通运行控制原型试验子系统等。
故障注入的试验过程由以下四个步骤组成:选定试验者与目标系统→选择故障模型→执行故障注入→监视系统行为和分析试验结果,如图5-5所示。
图5-5 故障注入试验过程
(1)试验者与目标系统
试验者不仅要提供故障模型以用于执行故障注入,还应采取一定的措施对试验过程进行自动控制。在系统开发过程的不同阶段中形成了故障注入试验中不同类型的目标系统,包括模拟系统模型和真实系统原型。模拟系统模型是针对目标系统的一种模拟系统,根据抽象级别的不同可以有多种形式;真实系统原型可包括软件、硬件和硬件与软件原型三类。目标系统的类型是影响故障注入各步骤的重要原因。
目标系统应运行某种工作负载。工作负载指的是在目标系统中运行的全部任务或是应用程序的集合。从广义角度来讲,工作负载应包括用户的全部行为、用户执行的程序以及支持任何执行的操作系统等,可以是真实的应用程序、综合测试程序、标准测试程序、模拟程序等,应根据研究目标的不同进行合理选择。
(2)选择故障模型
选择故障模型的任务是定义对待测容错机制的输入即故障的构成属性,并将生成的模型传递给执行注入步骤。试验中选择的故障模型越接近并尽可能覆盖系统真实运行期间所发生的故障,试验结果就越精确。如图5-6所示,应尽可能使表示覆盖率的|F1∩FR|/|FR|增大和使表示开销的|F1|-|F1∩FR|/|F1|减小。
目标系统类型、注入方式、度量结果等会影响故障模型的确定。由于故障集的庞大和时间花费过多而无法实现一一列举。因而必须采用一定策略选择所有可能发生的和可以注入的故障的一个子集进行故障注入研究。而随机抽样就是一种简单易行的策略,但其结果有可能因不够精确或严重偏差而令人无法接受。目前,多级抽样、分层抽样及典型抽样等抽样技术已被广泛应用于选择故障模型的过程中。
图5-6 故障模型的选择
(3)执行故障注入
该步骤接收“选择故障模型”步骤中生成的故障模型并将该模型转换为可应用于故障注入的故障形式,而后选定恰当的注入方式将故障施加于目标系统。注入方式的选择取决于目标系统的类型:系统模拟模型或真实系统原型。
目标系统模拟模型决定了模拟注入方法的使用。模拟方法可以比解析模型更为细化描述复杂的系统,无须因可处理问题而进行简化和假设。同时,模拟注入还具有如下优点:能访问在原型阶段无法访问到的内部结点、注入监控更精确容易、在设计阶段便可进行试验等。
当目标计算机系统为真实的系统原型时,物理故障注入方法可适合测评系统原型的可信性特征。物理故障注入方法使注入实际故障成为可能,同时也可以测试容错机制的实现。物理故障注入方法一般均需要构造一个包含监控试验过程的组件和故障注入器的故障注入环境,其中故障注入器可通过硬件、软件、辐射源等方法实现。
(4)监视系统行为和分析实验结果
试验者在形成试验意图和目标之后进行试验,分析试验结果阶段是一次完整的试验过程中向试验者提供其预先指定的试验目标的最后步骤。同时,该步骤也是一个回答“试验是否可以终止”问题的一次完整试验的中间步骤。一次完整试验包括一系列独立的故障注入试验,而每一次独立的故障注入试验均包含故障注入原理所阐述的四个步骤。当每一次独立试验进行至分析试验结果阶段时,该步骤判断是否可以终止试验。判定的依据可以是置信区间是否满足、欲获得的概率分布是否稳定或参数是否达到某一预定闭值等。若试验可以终止,则该步骤总结并分析以前所有独立试验结果,从而得出试验者的目标。分析试验结果经常需要用到概率统计方法,以分析和综合由多次独立故障注入试验获得的结果。
2)故障注入分类
从技术实现上来分,故障注入主要有三类:基于硬件的故障注入、基于软件的故障注入和基于模拟的故障注入。
(1)基于硬件的故障注入
硬件实现的故障注入技术就是使用额外的硬件将故障注入目标系统硬件中。根据故障和位置将硬件实现的故障注入方法分为两类:
①接触式硬件故障注入。注入器和目标系统在物理上连接在一起,从外部改变目标芯片的电压或电流。接触式硬件故障注入中最为普遍采用的一种方法是管脚级注入,即通过直接和电路管脚相连进行硬件的故障注入。有两种改变管脚电流的主要技术:第一种是强制式故障注入,即通过在管脚上绑上探针来改变电流;第二种是插入式,即在目标系统和其电路板之间插入一个插座,通过插座可以注入固定、开路或者更复杂的逻辑故障。
②非接触式硬件故障注入。注入器和目标系统之间没有物理连接,并且利用某种外部因素产生某种物理现象,比如重离子射线照射、电磁干扰、激光注入等。这些方法很适合研究一些原型系统的可靠性,这些系统一般对硬件的触发和监视要求有很高的时间分辨率,例如内部的故障,或者需要注入其他注入方式无法到达的地方。
(2)基于软件的故障注入
软件实现的故障注入是根据一定的故障模型,通过修改目标系统的内存映像来模拟系统硬件或软件故障的发生。尽管由于自身的原因使得它存在一些缺点,如只能将故障注入软件能达到的地方、容易对被测系统造成入侵、时间精度不高等,但与其他故障注入技术相比仍存在明显的优势,如:可注入的故障范围广,既可模拟硬件故障,又可模拟软件故障;无须昂贵的附加硬件设备,开发成本低廉,且不会对硬件造成任何形式的损伤;能够方便地跟踪目标系统的执行和回收数据,具有较好的可移植性;无须开发和验证复杂的系统模型,开发周期短等。
(3)基于模拟的故障注入
基于模拟的故障注入技术是利用某种标准硬件描述语言(如VHDL)为目标系统建立硬件仿真模型,然后在该模型内部插入故障注入单元来实现故障注入。由于该方法是把故障注入进被测系统的仿真模型中,因此它可用于设计过程的早期阶段,此时实际系统还没有产生。所以该方法的一个优点是可探测早期的设计错误,这就大大降低后期纠正这些错误的开销。另外,由于注入故障的时间和位置以及跟踪系统响应的观测点的设置比较自由,该技术所提供的故障注入的可控险和可观性也非常高。主要缺点则是仿真过程的时间消耗很大,这就限制了可模拟的硬件和软件行为总的数量。根据抽象层次的不同,基于模拟的故障注入方法可在三个层次上进行:晶体管开关级、逻辑级、功能级。
3)故障注入平台
基于故障注入理论的测试验证平台,主要搭建的测试设备包括:控制器、故障注入器和状态监视器。控制器负责控制整个测试验证的执行过程,协调各子系统以保证测试的进行;故障注入器接收控制器的命令,将故障注入被测系统之中;状态监视器用于监视系统输出,并将监视结果返回给控制器。
图5-7 故障注入平台结构
3.故障检测技术
可靠的故障检测技术是保障现代有轨电车运输安全与效率,降低建设和维护成本的前提。应用故障检测技术,形成了以下几种常见的现代有轨电车设备运行安全检测系统:微机监测设备系统(图5-8)、信号灯故障自动检测报警(图5-9)。
图5-8 微机监测
具体来说,对于运行中的车辆,按故障发生原因可分为:车体故障、运动故障和通信故障。针对这三类故障,每一类故障中最为典型的代表为列车完整性故障、空转打滑故障和车地通信超时故障。
1)列车完整性检查技术
列车完整性检查是指在列车运行期间检查列车整体是否连接完整,是否发生车厢脱节等问题。若列车尾部一节或者多节车厢因脱节而被遗留在线路上,会给后续车辆的运行带来重大安全风险。
检测车辆完整性的传统方法主要是依靠轨旁设备,如:轨道电路、计轴器等。若发生车厢脱节,遗留的车厢占用轨道,轨道电路会显示持续占用信号;而计轴器则通过在闭塞分区的出入口检测列车车轮轮轴数,判断列车是否完整,闭塞分区是否被占用。这两种方法均要求有较多的轨旁设备,且维护成本偏高。
对于新一代列控列车而言,列车完整性可以不依赖于轨旁设备,而是通过车载设备自行检测并向闭塞中心报告。实现车辆完整性检测的方法按照列车电源供电方式和通信方式可分为两种:
图5-9 信号灯故障自动检测报警(www.xing528.com)
(1)采用有线供电和通信的列车车体内包含连通的供电和通信电缆,如动车组列车。动车组列首和列尾通过车体有线网络连接,车载ATP(Automatic Train Protection)设备从列首和独立列车完整性装置采集列车完整性信息,如图5-10所示。工作方法是:设备上电后,驾驶室激活完整性检测装置,周期性检测每节车厢的电缆是否完整,有线通信是否能进行首尾配对。若列首和列尾能完成通信配对,则说明车体内部电缆完整,车体完整,并将判断结果通过ATP接口周期性地报告给车载主机。
(2)对于货运列车而言,大多不具有连通线缆通信,此时利用线缆通信连通与否来检测车辆完整性的方式便不再适用。转而采用基于无线传感网络的列车完整性检查方案。此方案在列车每个车厢中配备了传感器节点,工作方法是:设备上电后,车载ATP通过无线传感器网络收集所有节点的传感信息,由位于列首的节点初始化并周期性发送数据请求。每个车厢的传感器通过无线网络互联传输数据,从列首传感器初始数据依次向后传递,最终到达列尾传感器并回传。每个传感器节点传输的数据包括上一个节点发送的数据和自身身份标志数据,最终由驾驶室ATP设备判断列车的整体完整性。采用传感器网络的列车完整性检测如图5-11所示。
图5-10 采用有线通信的列车完整性检测
图5-11 采用传感器网络的列车完整性检测
2)列车空转打滑检测
空转和打滑是列车运行过程中车轮容易出现的异常状况之一。空转指车轮未完全与轨道接触,转动圈数大于实际运行距离;滑行指车轮与轨道接触时打滑,转动圈数小于实际运行距离。二者的成因都是车轮与轨道表面的摩擦力不足。空转和打滑成因示意图如图5-12所示。
图5-12 列车空转与打滑成因
实际场景中,列车出现空转主要有以下三种情况:
(1)列车在加速阶段,由于牵引力的增加,导致牵引力大于轮轨摩擦力而引起空转。
(2)轨道坡度增加时,列车行驶速度降低,牵引力加大,轮轨摩擦力减小,导致牵引力大于轮轨摩擦力而引起空转。
(3)不良天气(如降雨、降雪等)情况下使轮轨黏着系数减小,轮轨摩擦力减小,列车在运行过程中车轮可能会发生空转。
而列车打滑一般发生在列车制动阶段,此时制动力大于轮轨黏着力。
传统列车空转打滑有加速度和速度两种检测方式。加速度检测是指,正常情况下,加减速度是在一定范围内的,列车在加速过程中,如果加速度超过一定范围,则认为列车出现空转。列车在减速过程中,如果减速度超过一定范围,则认为列车出现滑行。速度检测是指,用速度传感器检测列车车轮转速,通过比较不同测速周期的速度传感器测量值完成空转打滑的检测,若当前周期检测到的速度大于设定值,则认为列车出现空转,若当前周期检测到的速度小于设定值,则认为列车出现打滑。
列车空转和打滑对列车测速和定位的影响都很大,尤其是测距误差会不断累积,导致列车位置不确定性增大,进而直接影响列车运行效率的提高。因此,需采取适当的方法对列车的空转和打滑进行检测。
较为简单的方法是通过硬件实现的双传感器结合检测法。其中双传感器是指光电式速度传感器和雷达速度传感器相冗余的空转打滑检测。在检测空转打滑状态时,光电式速度传感器用于检测假设状态开始的时间点,雷达速度传感器用于检测该状态结束的时间点。设某一时刻光电式速度传感器的速度增量为:ΔVOPG,车载计算机读取到当前列车运行速度下最大的加速度和减速度增量分别为ΔVacc和ΔVb,通过比较三者的大小,从而确定空转或是滑行的起始点。雷达传感器测量速度的变化率较小,认为空转打滑发生在较短的时间内,雷达速度约等于列车真实速度。当光电传感器测速ΔVOPG和雷达传感器测速ΔVRD间绝对差值小于设定阈值时,即|ΔVOPG-ΔVRD|<ΔV时,认为该状态结束。
图5-13是判定列车空转时的速度变化图,当ΔVOPG>ΔVacc时,即t0时刻,对应图中速度三角形左下角,判定为空转开始时刻。雷达传感器检测速度ΔVRD基本不变,当两传感器差值小于设定阈值时,判定为空转状态结束。
图5-14是判定列车打滑时的速度变化图,当ΔVOPG<ΔVb时,即t0时刻,对应图中速度三角形左上角,判定为打滑开始时刻。雷达传感器检测速度ΔVRD与光电传感器差值小于设定阈值时,判定为打滑状态结束。
图5-13 列车空转速度变化图
图5-14 列车打滑速度变化图
除去依靠单一的脉冲速度传感器,也可以通过速度传感器和加速度计联合检测实现对列车空转打滑的检测,但其测量精度并不理想。采用脉冲速度传感器作为基本测速测距手段,同时搭配加速度计对空转打滑结果进行进一步确认,可以提高测量精度。对结果采取冗余校验,如果加速度检测和速度检测有一个发生,或者二者同时发生,则判定车轮发生了空转打滑。
使用加速度法判断空转打滑,即通过计算加速度计测量的加速度值和脉冲速度传感器测量的加速度值之差a差(n)和加速度限值实现。若超过限值,则判断车轮发生了加速度打滑。a差(n)计算公式如下:
式中 a差(n)——第n个周期加速度的差值;
a传x(n)——第n个周期由速度传感器x测得的速度值计算得到的加速度;
a测(n)——第n个周期加速度计测得的加速度经过一阶低通滤波后的值;
a测(n-1)——第(n-1)个周期加速度计测得的加速度经过一阶低通滤波后的值;
a始(n)——第n个周期加速度计测得的原始加速度;
v传x(n)——第n个周期速度传感器x测得的速度经过一阶低通滤波后的值;
v传x(n-1)——第(n-1)个周期速度传感器x测得的速度经过一阶低通滤波后的值;
T——检测周期;
p——加速度滤波因子。
若只用速度传感器,可以通过速度法判断列车空转打滑,与光电雷达双传感器判断的思路类似,即用速度的前后测量差值与更为贴近真实值的变化限值进行比较。区别在于,此处的测量速度经过了一阶滤波,减少了随机误差的影响。速度限值使用加速度计间接计算,而不是由另一速度传感器直接测量。计算公式如下:
式中 v差(n)——第n个周期速度的差值;
v测(n)——第n个周期速度传感器x测得的速度经过一阶低通滤波后的值;
v加x(n)——第n个周期由加速度计测得的加速度值计算得到的速度;
v测(n-1)——第(n-1)个周期速度传感器x测量的速度;
v始(n)——第n个周期速度传感器x测量的原始速度;
v计x(n-1)——第(n-1)个周期车轮x最终计算的速度;
v计x(n)——第n个周期车轮x最终计算的速度;
v加x(n)——第n个周期加速度计测量的速度;
a坡x(n)——第n个周期的坡道加速度;
T——检测周期;
p——速度滤波因子;
k——加速度计和脉冲速度传感器的权重比。
3)列车车地通信超时故障检测
目前,广泛采用的CTCS-3级列控系统采用GSM-R无线通信进行车地间通信,实现列控中心对列车的移动授权命令下达、运行间隔防护等功能。然而,现实中该通信常常发生超时故障,导致列车减速或者制动,从而降低了运行效率和体验。
车地通信超时故障的原因较为复杂,常常是一个或多个因素导致的结果,如车载通信设备故障、无线闭塞中心故障、无线网络异常等。
传统检测车地通信超时的方法主要有:人工故障诊断方法、基于信号处理的方法和基于解析模型的方法。人工故障诊断方法依靠现场技术人员的工作经验找出设备问题,该方法具有一定的主观性和随机性,对于特殊的异常状态处理精度不高;基于信号处理的方法是采集工作中设备收发的信号进行分析,通过得到能耗指标如幅值相位等得出结论,该方法受外界干扰影响较大;基于解析模型的方法是用数学方法建立诊断模型,将实际参数输入到模型中比较形成的残差信号并分析,诊断效果较前两种方法更加稳定。
从无线报文的角度去分析,超时故障可分为两大类:①20s超时;②超时触发报文异常交互。其中,20s超时是指车地通信延时超过20s的情况,此时会触发列控系统对列车的安全控制逻辑,向列车下发导向安全侧的命令,如减速制动等。由于20s超时发生的概率较大,故采用计算机自动拟合检测。
计算机自动拟合检测的20s超时故障检测方法具体来说就是:列车运行过程中无线闭塞中心(Radio Block Center,RBC)下发命令给列车,用M_ACK标志位表示该消息是否需要车载设备回复,当M_ACK=1时车载设备执行命令的情况需要回馈给RBC,若该回馈与RBC发送时间超过20s即触发超时故障逻辑处理。因此,检测系统根据此工作原理,以RBC发送第一个消息包时刻为起点,跟踪无线报文的发送时间,当确认所有消息包发送完毕(如24包)后结束跟踪,若两消息的间隔时间超过20s,则判定发生超时故障。系统工作的流程图如图5-15所示。
图5-15 超时检测流程图
工作时首先读取一个报文的ID号和发送时间,RBC发送的无线报文ID号介于1~50之间,列车发送的无线报文ID号介于100~200之间,由此可判断报文发送方向。针对两种不同报文形成两个逻辑功能相似的分支,判断超时故障发生在哪一侧。检测完成后,系统重置,等待下一个报文发送时继续检测,实现周期性检测工作。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
