皮爾磁：根據EN 50129實現軌道交通行業的控制系統安全構架

以古鑒今 軌交安全值千金

　　鐵路交通，在汽車，航空和管道運輸還未迅速發展的上世紀，是運輸的主力軍，一直處于壟斷地位，它的誕生和發展與世界工業的革命乃至文化的交流密不可分。如今，隨著需求的多樣化和技術的創新發展，地鐵，輕軌，磁懸浮，有軌電車和捷運系統等逐漸面世，組成了我們現在所熟知的軌道交通業。

　　1918年11月1日，一輛在布魯克林剛開放運營的列車，因操作員經驗不足超速過彎，導致百余條生命的消逝。1977年，美國芝加哥發生兩車相撞事故，導致列車墜落，所付出的代價是極其慘痛的。類似的事故在軌道交通的發展歷程中屢見不鮮，付出的代價則是一條條鮮活的生命和運營商們長期以來好不容易樹立的良好聲譽。

　　由于類似事故的頻發，全球的專家們夜以繼日地研究和落實相關的標準和要求，并作為準則來指導各國軌道交通廠商的實際應用，力求“安全”無憂。EN 50129:2018/AC:2019(通訊，信號和處理系統—安全相關電子系統) 便是為此而生的標準。根據它的要求，廠商可以搭建符合安全性要求的控制體系，避免不必要的安全事故。

　　在 EN 50129標準中，將軌道交通的控制系統安全構架主要分為3個安全級別，從低至高分別是SIL 2, SIL 3, SIL 4。

　　讓我們一起來了解如何使用元器件來搭建出分別符合上述級別的安全構架：

　　SIL 2安全級別的接線示意

　　實現該級別的要求不高。在控制器達到IEC 61508 SIL3的情況下，外圍的傳感器和執行機構僅要求單通道結構即可。

　　SIL 3安全級別的接線示意

　　SIL3安全級別的要求自然比SIL2要高一些。除了要求控制器達到IEC 61508 SIL3外，外圍的傳感器和執行機構必須要求雙通道結構(如上圖所示)，此外2個安全輸出回路必須分別來自于不同的輸出模塊，各自的供電電源也必須是獨立的。

　　SIL 4安全級別的接線示意

　　SIL4的要求最高，實現過程也較復雜。首先需要有兩個獨立的、達到IEC 61508 SIL3的控制器，外圍的傳感器和執行機構也必須是雙通道的結構，此外安全輸入回路和安全輸出回路及其供電電源必須是完全獨立的。其實SIL4構架我們可以看作成是由兩套完全一模一樣的SIL 2系統物理組合實現的，這兩套系統互相之間還必須有輸入信號的交叉校驗以及輸出信號的交叉校驗，具體的輸入輸出接線示例如圖所示。

　　SIL4構架程序信號交叉校驗

　　當我們搭建起了SIL4的初步構架，兩套系統該如何正確地執行輸入輸出信號之間的交叉校驗呢?

　　如上圖“交叉校驗基本概念圖”所示，根據要求，同一個傳感器信號必須同時被兩套系統處理分析，那么這就意味著雙通道結構的2個傳感器信號將被處理四次。只有當四次處理結果是一致的，整個SIL4系統才會判定該雙通道傳感器的信號為有效。輸出使能信號，亦是采用類似的方式進行交叉校驗。

搭建控制系統安全構架的好幫手

　　2012，皮爾磁(Pilz)針對軌道交通行業的應用特點，推出了PSS 4000-R安全系統，它順利通過了TüV SüD嚴格的型式試驗和測試，擁有相關證書，能夠幫助行業用戶輕松實現EN 50129的3種構架。

　　PSS 4000-R安全系統自身滿足IEC 61508 SIL3的要求。因此，一套PSS 4000-R系統就可以實現SIL2和SIL3的應用需求。對于SIL4應用的高要求，兩套PSS 4000-R系統即可輕松搞定，再配合皮爾磁(Pilz)提供的信號交叉校驗邏輯圖，達到SIL4構架中的軟件要求也是不在話下。

　　PSS 4000-R系統的運行環境溫度在-40℃~+70℃，良好的散熱性確保其能用于高原鐵路中，安裝海拔高度最高可至5000米。模塊化的系統構架能讓用戶依據實際需求擴展相應的I/O模塊，獨特的M12類型以太網接口可滿足軌道交通車載應用的要求。

　　作為一家專業的自動化技術公司，皮爾磁(Pilz)始終致力于幫助客戶輕松、專業地實現各個行業領域的安全應用，讓生產運營環境更加安全、穩定和可靠。

（來源：皮爾磁供稿）