现代有轨电车信号系统设备安全等级分析

现代有轨电车信号系统设备安全等级分析

摘要本文介绍了有轨电车信号系统的功能和架构以及安全等级的定义和分类，结合有轨电车的运行特点分析了信号系统失效后可能产生的危害，并参考了欧洲的有轨电车标准，给出了现代有轨电车信号系统各个子系统设备的安全等级分析。

关键词现代有轨电车；信号系统；安全等级

1 现代有轨电车及其信号系统简介

现代有轨电车因其中等运量、建设成本较低、节能环保、车体舒适美观从20世纪90年代以来迎来一股复兴的潮流，在我国一些不具备地铁建设条件的城市或区域，有轨电车成为很受市民欢迎的一种新兴城市轨道交通制式。

现代有轨电车一般在路口之间的区域为专用路权，通过绿化带或隔离栏保证路权的独立，在十字路口或人行路口采用平交的方式和社会车辆共享路权，一般设有路口优先通过的设备，让有轨电车优先通过路口，以提高其旅行速度。有軌电车通过道岔设备实现行车方向的改变，道岔通过转辙机控制，转辙机和信号机通过道岔控制器来控制。有轨电车采用司机手工目视驾驶行车，由司机保证行车安全，一般车载子系统无超速防护功能。控制中心采用ATS系统监控全线列车运行。

现代有轨电车信号系统一般有以下几个组成部分：正线道岔控制器CBI子系统、中心调度ATS子系统、路口优先控制OLC子系统、车载OBS子系统、车辆段连锁CBI-DEPOT子系统、数据传输DCS子系统和维护支持系统MSS组成。系统结构如图1所示：

2 功能安全等级和分类

现代有轨电车是中等运量的交通工具，以四模块电车为例，可容纳350人同时乘坐，因此一旦电车在运营过程中出现脱轨和冲撞事故，则会导致大量乘客伤亡的重大事故。信号系统的作用是保证有轨电车安全地运行，因此信号系统的设备本身要足够的安全，才能完成它的职责，设备的这种安全性叫作“功能安全”，国际标准IEC-61508（电气/电子/可编程电子安全系统的功能安全标准）中，对不同的功能安全等级通过安全完整度等级（Safety Integrity Level）来进行定义。

安全完整性等级（SIL）是一种离散的等级，用来规定分配给基于电子设备的安全相关系统安全功能的安全完整性要求。安全完整性等级可分为4个等级，SIL4是安全完整性最高的等级（平均概率最高），SIL1是最低等级；安全完整性等级越高，应执行所要求的安全功能的概率也越高；根据安全相关系统使用方式，要求发生的频率可分为低要求操作模式和高要求或连续操作模式。有轨电车的信号系统属于高要求操作模式[1]。

根据IEC-61508[2]标准，在高要求操作模式下，安全完整性的目标失效概率和目标风险降低见表1。

一个控制设备，如果由于它的失效会导致人员伤亡或重大财产损，抑或导致环境的破坏的，该设备就被定义为安全性设备（Safety Related Equipment），这类设备的危险失效的概率必须要被控制在很低的水平，根据事故后果的严重程度的不同，设备的SIL等级也不同。当然我们可以用最高SIL等级的设备来满足一些事故后果并不算严重的功能，但这样经济性上并不合适。

IEC-61508对相关的领域的设备SIL等级有明确的定义，例如，核能核电控制装置、航空航天控制设备、轨道交通（高速铁路和地铁）关键控制设备必须达到SIL4级，化工领域的控制设备必须达到SIL3级。

3 有轨电车信号系统各设备安全等级分析

3.1 正线道岔控制器及其外围设备

正线道岔控制器又称为正线连锁，它通过计轴器或轨道电路检测电车占用，当检测到电车占用时，必须确保转辙机不能动作；互相敌对的进路不能同时开放；人工取消进路后必须延时解锁道岔。这些安全攸关的功能如果失效，会导致电车通过道岔时脱轨翻车或电车冲撞。所以在高铁和地铁等大运量交通工具中，连锁功能环节上的每个设备（计轴器、轨道电路、转辙机和连锁）必须具有SIL4安全等级，而现代有轨电车相比于地铁和高铁，运量较低，速度也较慢，危害发生后的损失也小很多，所以行业中将道岔控制器的安全完整度等级定义为不低于SIL3级，同样的，其外围的转辙机、计轴和轨道电路的SIL等级也要求不低于SIL3。

3.2车辆段连锁及其外网设备

车辆段连锁普遍采用和地铁型号相同的计算机连锁，一般都具有SIL4的安全等级。所以大部分国内项目的招标文件中，要求达到SIL4级。但笔者认为，电车在车辆段内运行时不载客，而且速度一般都非常低（小于15公里/小时），其危害严重程度低于正线，所以车辆段连锁及其外围设备的安全等级定义为不低于SIL3也是合适的和经济的。

3.3 车载子系统

在高铁系统中，由于车辆速度很快（大于200公里/小时）；在地铁中，虽然车速不高（一般低于120公里/小时）但行车密度很大，列车与列车之间的间隔非常小，因此在高铁和地铁中，如果单纯依靠司机目视驾驶的话，受司机的目视距离所限和人类的反映时间的因素，当前方出现异常时，将无法保证列车在安全距离内停车，所以必须配备SIL4安全等级的ATP（Automatic Train Protection）自动列车防护车载系统，该车载系统能检测到前方的异常，并施加紧急制动，确

保列车自动停车。

在有轨电车中，由于车速较慢（一般低于70公里/小时），在路口时速度更低，司机的目视距离和反映时间一般情况下可以保证在安全距离内停车。所以国际上一般情况下，有轨电车的车载系统不配置ATP功能。

但是近年来，在法国和德国的交通管理部门也制定了相关的规定，提高有轨电车车载系统的安全等级，如转弯半径比较大的曲线线路和路口转弯时，如果司机疏忽忘记减速，则很容易超速发生侧翻脱轨；如在光线不好的隧道内，司机无法看清前方的线路，很容易发生追尾事故；如在线路尽头，司机如果注意力不集中没有减速，车辆容易冲出尽头线而发生脱轨；再比如司机未注意前方道岔的红色禁止信号灯，导致挤岔而脱轨。经历过若干次事故的教训后，法国和德国的交通管理部门更新了有轨电车信号系统的技术标准，要求在特殊路段，车载系统配置SIL2安全等级的ATP系统，以保证在这些路段的行车安全。笔者认为国内的现代有轨电车应该效仿法国和德国的做法，根据线路的情况，配置SIL2等级的车载ATP系统，以保证行车安全，同时此举也可以大幅度降低司机的劳动强度和精神压力。此外宜配置基于摄像头和雷达的ADAS（辅助驾驶）系统，该系统实时检测线路前方的行人、社会车辆及其他障碍物，并及时给司机报警减速，甚至可以直接控制车速。这些应用于汽车无人驾驶领域的新技术正逐步走向成熟和商用，但迄今为止尚未有ADAS系统通过安全认证的先例，也没有机构为这些功能定义过安全等级。所以我们可以认为尚处于试验阶段，但这些技术应用于有轨电车上，将无疑能提高司机的驾驶安全性。

3.4 路口优先控制器

路口优先控制器系统检测电车的位置，向社会交通信号控制系统发出申请优先的请求，后者综合考虑路口交通的情况，给出有轨电车优先通行的绿灯信号，同时把其他冲突方向上的信号灯置于禁止的红灯状态。由此可见，路口优先控制器失效，造成的后果时有轨电车不能得到优先通行的权力，不会造成事故。所以该系统为非安全产品。

同时我们注意到社会车辆信号灯控制系统如果失效，给出了冲突方向上都是绿灯的信号，那么將是危险的，可能导致交通事故。所以笔者认为，社会车辆信号控制系统应具备不低于SIL2安全等级。

3.5 控制中心ATS

控制中心ATS系统实现监测线路上电车的运行，并不承担安全的功能，它的失效只会导致行车秩序的下降，所以ATS系统也是非安全产品。但在地铁中，由于ATS系统承担了设置临时限速命令的安全功能，所以要求具备SIL2的安全等级。这也是地铁和有轨电车的区别之一[2]。

4 结束语