道岔控制模块系统需求规格说明书版本号修改版本编 写日 期审 核日 期批 准日 期发 布日 期归 档日 期北京全路通信信号研究设计院上海分院内部资料 注意保密目录概述 3第一部分 道岔控制模块一般需求 31 道岔控制模块功能需求 32 道岔控制模块功能需求分析 32.1 接收联锁发出的道岔转换命令 42.2 按照联锁的转换命令,控制道岔转换 42.3 实时检测转辙机位置 42.4 实时连续的传送转辙机位置信息给联锁 42.5 系统响应时间 52.6 自检测功能 52.7 故障提示报警 52.8 与监测系统接口(扩展功能) 53 道岔控制模块设计需求 53.1 功能完备 53.2 安全可靠 63.3 技术先进 63.4 经济实用 6第二部分 道岔控制模块RAMS需求 71 可靠性需求 72 可用性需求 73 可维护性需求 74 安全性需求 8第三部分 道岔控制模块 RAMS 计划 91 道岔控制模块生命周期控制 92 常用方法与技术 9第四部分 道岔控制模块确认计划 101 系统确认 102 系统测试 103 系统确认计划 10第五部分 接口定义 121 外部设备接口 122 人工接口 143 工程接口 144 环境条件 14概述本文档的目的是对所开发的道岔控制模块的软、硬件系统规定各种功能 级的需求、和研发过程的必要配置管理条款,以保证所交付的道岔控制模块 能够满足规定的各种原则需求。
第一部分 道岔控制模块一般需求1 道岔控制模块功能需求道岔控制模块主要由受令部分、强电控制部分及转辙机表示部分组成 道岔控制模块在车站计算机联锁的支持下完成对转辙机的转换控制和位置 表示,实现以下功能:•接收联锁发出的道岔转换命令•按照联锁的转换命令,控制道岔转换• 实时检测转辙机位置• 将检测到的转辙机位置信息,实时连续的传送给联锁• 为方便维护的自检测功能 (扩展功能)• 故障提示报警 (扩展功能)• 与监测系统接口:向监测系统提供必要的检测和故障报警信息 (扩 展功能)2 道岔控制模块功能需求分析道岔控制模块的功能是按照联锁提供的命令,控制转辙机的转换,并实 时监测转辙机的位置,提供给计算机联锁并且进行自检,提供自检信息给 相关系统道岔控制模块的功能如 1 所列2.1 接收联锁发出的道岔转换命令通过接入计算机联锁的控制输出接口,接收联锁发出的控制转辙机正转 或反转的命令接收命令的方式有以下三种可能:•接收联锁原来控制继电器的控制线的控制命令•接收与联锁间专门设置的串口传送的命令信息包• 接入联锁网络,接收计算机联锁网络传来的命令信息包 以上三种方式的选择,最后在设计文件中规定2.2 按照联锁的转换命令,控制道岔转换道岔控制模块接收到联锁的转换命令后,控制转辙机按照联锁的命令, 进行正传或反转。
绝对限制条件: 在没有接收到联锁的转换命令时,任何情况下不得向转辙机提供转换电 源2.3 实时检测转辙机位置按照目前转辙机的表示电路,实时检测转辙机的位置表示国内在用的 转辙机表示电路有两种:• 直流控制电路中,共有两种位置,三种位置状态一种位置表示 用两线,其中一条线公用,表示共用 3 线;• 交流控制电路中,共有两种位置,三种位置状态一种位置表示 用三线,其中一条线公用;表示共用 5 线;2.4 实时连续的传送转辙机位置信息给联锁道岔控制模块将检测到的转辙机位置信息,实时连续的传送给联锁系 统传送的方式有以下三种:向联锁系统的采用接口传送开关量电压信息•向与联锁间专门设置的串口传送位置表示信息包•接入联锁网络,向计算机联锁网络传送的位置表示信息包 以上三种方式的选择,最后在设计文件中规定绝对限制条件: 在没有检测到转辙机的位置表示时,任何情况下不得向联锁提供转辙机 位置表示信息2.5 系统响应时间表示:转辙机设备状态变化至道岔控制模块反应不大于 100 毫秒; 控制:控制模块收到联锁转换命令至被控系统开始执行不大于 200 毫秒2.6 自检测功能为方便维护,道岔控制模块应具有自检功能,能发现模块本身和相关接 口的非正常工作状态。
并能够向相关系统提供自检信息2.7 故障提示报警当道岔控制模块发生故障,在模块本身或相关系统上应有光或声报警, 以提示使用、维修人员注意2.8 与监测系统接口 (扩展功能)向监测系统提供必要的检测和故障报警信息,由监测系统记录,为维护 和维修提供依据3 道岔控制模块设计需求道岔控制模块对设计的需求可以用功能完备、安全可靠、技术先进、经 济实用高度概括3.1 功能完备所谓功能完备,是指系统在进行软、硬件及网络设计时,必须完整考虑 道岔控制模块的功能、性能、维护及价格等的需求,同时充分考虑系统的兼容和扩展3.2 安全可靠由于道岔控制模块有着极高的安全性和可靠性要求——最高安全等级 (SIL4),在道岔控制模块的设计方案中要求:•关键硬件的设计采用冗余设计实现• 软件的开发基于EN50128标准包括在安全设备中的软件达到 “系统软件”中描述的 S I L4 (安全集成水平 4级)3.3 技术先进在保证安全可靠的前提下,选用当前已充分验证的先进的软、硬件技术 和设计开发工具,采用严格的过程控制和项目管理手段和方法,确保道岔控 制模块的技术先进性3.4 经济实用在确保功能完备、安全可靠和技术先进的前提下,充分考虑系统的开发 费用和工程造价,适当的选用硬件设备和软件,保证道岔控制模块的经济实 用性,提高其性能价格比。
第二部分 道岔控制模块RAMS需求1 可靠性需求道岔控制模块和其中每一相对独立的子模块,须满足规定的平均无故障 时间(MTBF)和平均无运行故障时间(MTBFS)要求平均无故障时间(MTBF)指标如下:控制模块:1 x 105小时~ 12年; 也就是说,道岔控制模块在启用第一年内出现故障的概率不大于 1/12 平均无运行故障时间(MTBFS)指标如下: 系统平均无运行故障时间的参数值至少可以达到平均无故障时间的参 数值基于系统的冗余概念,如果第一次故障及时地得到了修复就不会发生 运行故障平均无运行故障时间的参数值取决于平均恢复时间( MTTR )和维修计划平均恢复时间应保证少于 15 分钟,以保证运行故障时的要求2 可用性需求道岔控制模块可用性是可靠性和可维护性的综合指标 道岔控制模块的可用性指标应达到 99.999% 根据系统可行性分析与研究,在道岔控制模块服役 15 年内,整个控制 模块停机时间不大于 1.3 小时从另外一个角度理解为:系统服役期间,平 均每年停用时间不得大于 5.2 分钟3 可维护性需求道岔控制模块设计应考虑最少的调整和维护控制模块软硬件应包括有 适当的测试点、故障隔离及诊断措施,以减少设备修复时间和维护成本。
道岔控制模块应具有完善的自检和自诊断功能,并具备远程测试和诊断 功能,设备故障诊断应能定位到板级道岔控制模块系统运行的平均修复时间(MTTR)须确保少于15分钟4 安全性需求道岔控制模块是涉及行车安全的设备应符合故障 -安全原则,并具有规定 的安全等级涉及行车安全的系统设备,在错误操作发出时,不应导致危险 侧输出定量指标为:系统导致危险侧的故障率低于 10-8/工作小时,也即1141.6 年内,最多只能出现 1 次导致危险侧的故障根据“系统可行性分析与研究”中的风险分析,由于与高级别完善度系 统(如与联锁 )进行交互,以及系统自身的安全性要求,道岔控制模块的安全 完善度等级定义为 4 级第三部分 道岔控制模块RAMS计划1 道岔控制模块生命周期控制见“可行性分析研究”中的“ RAMS 策略”及“系统安全计划”内容2 常用方法与技术实现道岔控制模块 RAMS 性能的方法和技术包括但不限于以下内容:>对道岔控制模块进行初步风险分析>采用多重冗余技术;> 选用已证明具有高可靠性的标准元器件;>使用制造商信息,即“故障解决报告”来了解错误或问题;>减少会中断运行的单点故障;>具有可靠的后备运行模式;> 保持计算机通道的独立性;A 根据国际铁路标准规定防止辐射;> 通过循环的检查程序,在输入方向避免故障;>深入测试特定的功能;>根据EN50128,严格选择软件开发语言和技术。
第四部分 道岔控制模块确认计划1 系统确认系统确认是指判断系统是不是正确的产品确认应表明需求规格说明书 的要求已经被正确地实现,其正确性应由适当的测试所证明确认在其它活 动已经结束的情况下,才是一种有用的方式一般情况下,系统验收和确认以系统测试为主要手段之一2 系统测试产品在真实系统环境中,实时条件下的系统测试是系统最重要的试金 石系统测试的测试方法是面向功能的,并来自于性能说明书的要求验收 和确认测试时需根据功能和性能说明书的要求的作测试准备,测试仅能由授 权的专家承担系统测试也对设计工程师和专家对说明书共同的理解错误提供了一种 防护3 系统确认计划>功能确认根据每个功能规格及测试规格说明,进行功能测试(黑箱测试) 功能测 试可以并行与白箱测试同步进行> RAMS性能确认根据 RAMS 需求及测试规格说明书的测试方法或附加测试方法,验证系 统的 RAMS 性能>工程试运行确认系统在一个实际的工程项目中,进行标准负荷和超负荷试验运转,验证 其切实可行性>系统确认人员系统确认将尽量选用未参加或较少参与系统设计开发的人员进行 系统确认时间系统确认时间,将根据计划安排,并尽可能的长第五部分 接口定义1 外部设备接口道岔控制模块主要有三个主要界面:联锁、供电、转辙机。
其中,与联 锁的接口有多种方式;模块有多种电源供电;根据转辙机的不同,与转辙机 的接口也有不同的方式另外,交流道岔控制模块需要级联控制的接口1.1 与计算机联锁逻辑控制部份的接口道岔控制模块接收计算机联锁的控制命令,并按照联锁发出的命令控制 转辙机进行转换目前的联锁一般采用控制继电器的方式来控制继电器组对转辙机进行转换操作联锁I/O控制板输出高电平(+ 24V)、低电平(一24V)或采用 正负两端均控制的方式进行继电器控制模块的设计应该满足目前通用的控制方式1.2 与计算机联锁逻辑表示部份的接口道岔控制模块实时监测转辙机的位置表示,并将位置表示正确的传输至 计算机联锁目前的联锁一般采用表示继电器来监测转辙机的位置表示,通过联锁I/O输入板监测表示继电器的接点,表示接点向I/O输入板输入高电平(+ 24V)或低电平(一24V)来表示表示继电器的有效吸起状态控制模块的表示设计应满足目前通用的表示方式1.3 与计算机联锁逻辑部份的串口 /CAN 口 目前的联锁一般都具有对外的通信接口,串口或 CAN 总线接口模块 可以设计成通过这两种接口与联锁通信,在解决通信安全的前提下,可以设 计传输控制命令、表示信息;否则只能传输模块自检信息等非安全相关信息。
1.4 与电源屏的电源接口模块的工作电源和所控制的转辙机电源,主要由专用电源屏提供模块 与电源屏的接口为:> AC220V或DC24V模块工作电源;> DC220V转辙机工作电源;> 交流三相380V无中线转辙机工作电源;> AC220V转辙机表示电源电源屏提供的电源,为变压器隔离后电源,在负载侧不接地;目前通常 使用的是只能电源屏提供的高频开关电源1.5 与转辙机的控制 /表示接口与转辙机的控制与表示接口为合用的控制电缆,按照转辙机的不同分为 两种方式:> 4/6线直流控制/表示方式> 5线交流控制/表示方式1.6 与其他设备的接口在交流多机控制模式下,模块应与其他模块进行级联方式的控制模块 的级联方式接口,应向下级模块传递控制命令,向上级模块传递表示信息, 所以级联接口须设计为安全接口2 人工接口在道岔进行室外维护或检修时,需要在转辙机处手摇道岔,控制模块可 能需要一个单独的锁定装置,以防止未经授权的使用单独的锁定装置须进 行必要的防护,以防止在未使用时,被意外的误碰模块应提供友好的人机接口,为维修提供方便在检修时,可以提供人 工自检按钮,对模块本身进行自检; 应提供必要的模块自身信息在模块表面 比如: LED 显示灯或小的液晶屏幕。
3 工程接口模块在现场的应用,应有很好的工程应用接口模块的外壳设计应满足 EMC 的需要,并且牢固的安装在固定的位置 模块的对外接口应方便工程施 工和维护工程接口设计如果采用插头方式,应有防止插错措施4 环境条件道岔控制模块通常安装在信号机械室,其使用环境满足以下条件:温 度:-40 °C〜+ 60°C;相对湿度:90% 以下(+25 C);气 压:不低于 70 kPa (相当于海拔高度 3000 m 以下);振 动:频率不大于 15Hz ,振幅不大于 0.45mm ; 周围无引起爆炸危险的有害气体,并应有防尘措施 模块应有良好的防电磁干扰功能,并且本身不向外辐射电磁干扰;对连 接室外的电缆部分,应有雷电防护功能;对于人工可以接触到的地方,应进 行防静电设计相关的防护标准应符合下列标准:> TB/T 1447-1982 信号产品的绝缘电阻> TB/T 1448-1982 通信信号产品的绝缘耐压> TB/T 2846-1997 铁路地面信号产品振动试验方法> TB/T 3073-2003铁道信号电气设备电磁兼容性试验及其限值> TB/T 3074-2003铁道信号设备雷电电磁脉冲防护技术条件> GJB 3007-1997防静电工作区技术要求。