2、道岔控制模块-系统需求规格说明书

1、 道岔控制模块系统需求规格说明书版本号修改版本编写日期审核日期批准日期发布日期归档日期北京全路通信信号研究设计院上海分院内部资料注意保密目录TOC o 1-5 h z概述3第一部分道岔控制模块一般需求3道岔控制模块功能需求3道岔控制模块功能需求分析3接收联锁发出的道岔转换命令4按照联锁的转换命令，控制道岔转换42.3实时检测转辙机位置42.4实时连续的传送转辙机位置信息给联锁4系统响应时间5自检测功能52.7故障提示报警52.8与监测系统接口（扩展功能）5道岔控制模块设计需求53.1功能完备53.2安全可靠63.3技术先进63.4经济实用6第二部分道岔控制模块RAMS需求7可靠性需求7可用性需

2、求7可维护性需求7安全性需求8第三部分道岔控制模块RAMS计划9道岔控制模块生命周期控制9常用方法与技术9第四部分道岔控制模块确认计划10系统确认10系统测试10系统确认计划10第五部分接口定义121外部设备接口122人工接口143工程接口14环境条件14概述本文档的目的是对所开发的道岔控制模块的软、硬件系统规定各种功能级的需求、和研发过程的必要配置管理条款，以保证所交付的道岔控制模块能够满足规定的各种原则需求。第一部分道岔控制模块一般需求道岔控制模块功能需求道岔控制模块主要由受令部分、强电控制部分及转辙机表示部分组成。道岔控制模块在车站计算机联锁的支持下完成对转辙机的转换控制和位置表示，实现

3、以下功能：接收联锁发出的道岔转换命令。按照联锁的转换命令，控制道岔转换。实时检测转辙机位置。将检测到的转辙机位置信息，实时连续的传送给联锁。为方便维护的自检测功能（扩展功能）故障提示报警（扩展功能）与监测系统接口：向监测系统提供必要的检测和故障报警信息（扩展功能）。道岔控制模块功能需求分析道岔控制模块的功能是按照联锁提供的命令，控制转辙机的转换，并实时监测转辙机的位置，提供给计算机联锁。并且进行自检，提供自检信息给SC：系统需求规格说明书 相关系统。道岔控制模块的功能如1所列。2.1接收联锁发出的道岔转换命令通过接入计算机联锁的控制输出接口，接收联锁发出的控制转辙机正转或反转的命令。接收命令的

4、方式有以下三种可能：接收联锁原来控制继电器的控制线的控制命令。接收与联锁间专门设置的串口传送的命令信息包。接入联锁网络，接收计算机联锁网络传来的命令信息包。以上三种方式的选择，最后在设计文件中规定。按照联锁的转换命令，控制道岔转换道岔控制模块接收到联锁的转换命令后，控制转辙机按照联锁的命令，进行正传或反转。绝对限制条件：在没有接收到联锁的转换命令时，任何情况下不得向转辙机提供转换电源。实时检测转辙机位置按照目前转辙机的表示电路，实时检测转辙机的位置表示。国内在用的转辙机表示电路有两种：直流控制电路中，共有两种位置，三种位置状态。一种位置表示用两线，其中一条线公用，表示共用3线；交流控制电路中，

5、共有两种位置，三种位置状态。一种位置表示用三线，其中一条线公用；表示共用5线；实时连续的传送转辙机位置信息给联锁道岔控制模块将检测到的转辙机位置信息，实时连续的传送给联锁系统。传送的方式有以下三种：向联锁系统的采用接口传送开关量电压信息。向与联锁间专门设置的串口传送位置表示信息包。接入联锁网络，向计算机联锁网络传送的位置表示信息包。以上三种方式的选择，最后在设计文件中规定。绝对限制条件：在没有检测到转辙机的位置表示时，任何情况下不得向联锁提供转辙机位置表示信息。系统响应时间表示：转辙机设备状态变化至道岔控制模块反应不大于100毫秒；控制：控制模块收到联锁转换命令至被控系统开始执行不大于200毫

6、秒。自检测功能为方便维护，道岔控制模块应具有自检功能，能发现模块本身和相关接口的非正常工作状态。并能够向相关系统提供自检信息。故障提示报警当道岔控制模块发生故障，在模块本身或相关系统上应有光或声报警，以提示使用、维修人员注意。与监测系统接口（扩展功能）向监测系统提供必要的检测和故障报警信息，由监测系统记录，为维护和维修提供依据。道岔控制模块设计需求道岔控制模块对设计的需求可以用功能完备、安全可靠、技术先进、经济实用高度概括。3.1功能完备所谓功能完备，是指系统在进行软、硬件及网络设计时，必须完整考虑道岔控制模块的功能、性能、维护及价格等的需求，同时充分考虑系统的兼容和扩展。3.2安全可靠由于道

7、岔控制模块有着极高的安全性和可靠性要求最高安全等级(SIL4)，在道岔控制模块的设计方案中要求：关键硬件的设计采用冗余设计实现。软件的开发基于EN50128标准。包括在安全设备中的软件达到“系统软件”中描述的SIL4(安全集成水平4级)。3.3技术先进在保证安全可靠的前提下，选用当前已充分验证的先进的软、硬件技术和设计开发工具，采用严格的过程控制和项目管理手段和方法，确保道岔控制模块的技术先进性。3.4经济实用在确保功能完备、安全可靠和技术先进的前提下，充分考虑系统的开发费用和工程造价，适当的选用硬件设备和软件，保证道岔控制模块的经济实用性，提高其性能价格比。第二部分道岔控制模块RAMS需求可

8、靠性需求道岔控制模块和其中每一相对独立的子模块，须满足规定的平均无故障时间（MTBF）和平均无运行故障时间（MTBFS）要求。平均无故障时间（MTBF）指标如下：控制模块：1x105小时12年；也就是说，道岔控制模块在启用第一年内出现故障的概率不大于1/12。平均无运行故障时间（MTBFS）指标如下：系统平均无运行故障时间的参数值至少可以达到平均无故障时间的参数值。基于系统的冗余概念，如果第一次故障及时地得到了修复就不会发生运行故障。平均无运行故障时间的参数值取决于平均恢复时间（MTTR）和维修计划。平均恢复时间应保证少于15分钟，以保证运行故障时的要求。可用性需求道岔控制模块可用性是可靠性和

9、可维护性的综合指标。道岔控制模块的可用性指标应达到99.999%。根据系统可行性分析与研究，在道岔控制模块服役15年内，整个控制模块停机时间不大于1.3小时。从另外一个角度理解为：系统服役期间，平均每年停用时间不得大于5.2分钟。可维护性需求道岔控制模块设计应考虑最少的调整和维护。控制模块软硬件应包括有适当的测试点、故障隔离及诊断措施，以减少设备修复时间和维护成本。道岔控制模块应具有完善的自检和自诊断功能，并具备远程测试和诊断功能，设备故障诊断应能定位到板级。道岔控制模块系统运行的平均修复时间（MTTR）须确保少于15分钟。安全性需求道岔控制模块是涉及行车安全的设备应符合故障-安全原则，并具有

10、规定的安全等级。涉及行车安全的系统设备，在错误操作发出时，不应导致危险侧输出。定量指标为：系统导致危险侧的故障率低于10-8/工作小时，也即1141.6年内，最多只能出现1次导致危险侧的故障。根据“系统可行性分析与研究”中的风险分析，由于与高级别完善度系统（如与联锁）进行交互，以及系统自身的安全性要求，道岔控制模块的安全完善度等级定义为4级。第三部分道岔控制模块RAMS计划1道岔控制模块生命周期控制见“可行性分析研究”中的“RAMS策略”及“系统安全计划”内容2常用方法与技术实现道岔控制模块RAMS性能的方法和技术包括但不限于以下内容：对道岔控制模块进行初步风险分析采用多重冗余技术；选用已证明

11、具有高可靠性的标准元器件；使用制造商信息，即“故障解决报告”来了解错误或问题；减少会中断运行的单点故障；具有可靠的后备运行模式；保持计算机通道的独立性；A根据国际铁路标准规定防止辐射；通过循环的在线检查程序，在输入方向避免故障；深入测试特定的功能；根据EN50128，严格选择软件开发语言和技术。系统需求规格说明书 第四部分道岔控制模块确认计划系统确认系统确认是指判断系统是不是正确的产品。确认应表明需求规格说明书的要求已经被正确地实现，其正确性应由适当的测试所证明。确认在其它活动已经结束的情况下，才是一种有用的方式。一般情况下，系统验收和确认以系统测试为主要手段之一。系统测试产品在真实系统环境中

12、，实时条件下的系统测试是系统最重要的试金石。系统测试的测试方法是面向功能的，并来自于性能说明书的要求。验收和确认测试时需根据功能和性能说明书的要求的作测试准备，测试仅能由授权的专家承担。系统测试也对设计工程师和专家对说明书共同的理解错误提供了一种防护。系统确认计划功能确认根据每个功能规格及测试规格说明，进行功能测试（黑箱测试）。功能测试可以并行与白箱测试同步进行。RAMS性能确认根据RAMS需求及测试规格说明书的测试方法或附加测试方法，验证系统的RAMS性能。工程试运行确认系统在一个实际的工程项目中，进行标准负荷和超负荷试验运转，验证其切实可行性。系统确认人员系统确认将尽量选用未参加或较少参与

13、系统设计开发的人员进行。系统确认时间系统确认时间，将根据计划安排，并尽可能的长。第五部分接口定义1外部设备接口道岔控制模块主要有三个主要界面：联锁、供电、转辙机。其中，与联锁的接口有多种方式；模块有多种电源供电；根据转辙机的不同，与转辙机的接口也有不同的方式。另外，交流道岔控制模块需要级联控制的接口。1.1与计算机联锁逻辑控制部份的接口道岔控制模块接收计算机联锁的控制命令，并按照联锁发出的命令控制转辙机进行转换。目前的联锁一般采用控制继电器的方式来控制继电器组对转辙机进行转换操作。联锁I/O控制板输出高电平（+24V）、低电平（一24V）或采用正负两端均控制的方式进行继电器控制。模块的设计应该

14、满足目前通用的控制方式。1.2与计算机联锁逻辑表示部份的接口道岔控制模块实时监测转辙机的位置表示，并将位置表示正确的传输至计算机联锁。目前的联锁一般采用表示继电器来监测转辙机的位置表示，通过联锁I/O输入板监测表示继电器的接点，表示接点向I/O输入板输入高电平（+24V）或低电平（一24V）来表示表示继电器的有效吸起状态。控制模块的表示设计应满足目前通用的表示方式。SC：系统需求规格说明书 1.3与计算机联锁逻辑部份的串口/CAN口目前的联锁一般都具有对外的通信接口，串口或CAN总线接口。模块可以设计成通过这两种接口与联锁通信，在解决通信安全的前提下，可以设计传输控制命令、表示信息；否则只能传

15、输模块自检信息等非安全相关信息。与电源屏的电源接口模块的工作电源和所控制的转辙机电源，主要由专用电源屏提供。模块与电源屏的接口为：AC220V或DC24V模块工作电源；DC220V转辙机工作电源；交流三相380V无中线转辙机工作电源；AC220V转辙机表示电源。电源屏提供的电源，为变压器隔离后电源，在负载侧不接地；目前通常使用的是只能电源屏提供的高频开关电源。与转辙机的控制/表示接口与转辙机的控制与表示接口为合用的控制电缆，按照转辙机的不同分为两种方式：4/6线直流控制/表示方式5线交流控制/表示方式与其他设备的接口在交流多机控制模式下，模块应与其他模块进行级联方式的控制。模块的级联方式接口，

16、应向下级模块传递控制命令，向上级模块传递表示信息，所以级联接口须设计为安全接口。2人工接口在道岔进行室外维护或检修时，需要在转辙机处手摇道岔，控制模块可能需要一个单独的锁定装置，以防止未经授权的使用。单独的锁定装置须进行必要的防护，以防止在未使用时，被意外的误碰。模块应提供友好的人机接口，为维修提供方便。在检修时，可以提供人工自检按钮，对模块本身进行自检；应提供必要的模块自身信息在模块表面比如：LED显示灯或小的液晶屏幕。工程接口模块在现场的应用，应有很好的工程应用接口。模块的外壳设计应满足EMC的需要，并且牢固的安装在固定的位置。模块的对外接口应方便工程施工和维护。工程接口设计如果采用插头方式，应有防止插错措施。环境条件道岔控制模块通常安装在信号机械室，其使用环境满足以下条件：温度：-40C+60C；相对湿度：90%以下（+25C）；气压：不低于70kPa（相当于海拔高度3000m以下）；振动：频率不大于15Hz，振幅不大于0.45mm；周围无引起爆炸危险的有害气体，并应