Korszerű, magas biztonságintegritású ütemadó berendezések a MÁV vonalain
A cikk a MÁV vonalain alkalmazott ütemezett jelfeladás biztonsági és technikai kérdéseit tekinti át. A technikai kérdések tárgyalásához bemutat egy új fejlesztésű ütemadó családot, amely SIL4-es biztonságinteritást valósít meg fail-safe, kétcsatornás hardverkialakítással, diverz módon létrehozott programokkal. Az ütemadó-család elveinek bemutatása után az állomási, illetve a vonali megvalósítások speciális kérdései kerülnek elemzésre.
1. Bevezetés
A Magyar Államvasutak ZRt. vonalain a közlekedésbiztonság elvárt szintje fenntartásának egyik eszköze a folyamatos jelfeladáson alapuló egyesített éberségi és vonatbefolyásoló berendezések (EÉVB) alkalmazása. Noha az Európai Vasúti Forgalomirányító Rendszer (ERTMS) részeként megvalósuló ETCS rendszerek I. szinten alapvetően pontszerű jelfeladáson alapulnak, míg a II. és III. szinten a jelfeladás szerepét a GSM-R veszi át, a folyamatos jelfeladás még várhatóan hosszú ideig üzemben lesz.
A jelfeladáshoz egyszerű kódrendszert használ a MÁV, a hatékony információátvitel miatt 75Hz-es vivőt modulál 100%-os modulációs mélységben AM eljárással. A lehetséges moduláló jelek hordozzák a közelített jelzőhöz tartozó célsebességet – ezek az un. ütemek.
Az ütemezett jelfeladás tehát igényli a kódolás megvalósítását is, erre a célra szolgálnak a különböző ütemadó berendezések. A jelfeladás megvalósítását bonyolítja, hogy a jelfeladáshoz szükséges jelfeladási áram vagy a sínszálak mellé telepített un. sugárzókábelen, vagy magán a sínszálon folyik keresztül – ez utóbbi esetben a foglaltságérzékelés alapját is a kódolt 75Hz-es jel képezi.
A jelenleg használatos, korábban fail-safe-nek tekintett jelfeladó eszközök a mai követelmények szerint nem tekinthető biztonságinak, hiszen pl. egy megfutott órajel esetén bármely ütemezett kimeneti jel a mozdonyberendezés részére értelmezhetetlen ún. ütemezetlen pályán történő közlekedésnek felel meg. Az ütemkiválasztó hálózat szakadása esetén (amely a biztosítóberendezési technikában alapvetően feltételezett, egy érintkező nem zárásából következhet be) ettől rosszabb helyzet keletkezik, nevezetesen a fedélzeti berendezés akár 1-es ütemet követően is fékezés nélkül “kifehéredik”, azaz egy ilyen hiba bekövetkezésekor a fedélzeti berendezés átkapcsolódik éberségi berendezéssé.
A hagyományos berendezés ezen hiányosságainak kiküszöbölése mindenképpen szükséges a jelfeladás biztonságának növeléséhez.
Cikkünkben az ütemadók szempontjából áttekintjük azokat a rendszereket, amelyeknek az ütemadók a részét képezik és elemezzük a biztonsági igényeket. Bemutatunk két, a biztonsági igényeknek megfelelő, sőt azokat felülmúló berendezést, egy állomási és egy vonali ütemadót, amelyek a mai kor színvonalának megfelelő technológiával, korszerű, processzoros megvalósításban készültek. Bemutatjuk az ezekkel kapcsolatos bevezetési tapasztalatokat, majd végezetül összefoglaljuk a leírtakat.
2. Az ütemezett jelfeladás elemei és a hozzájuk kapcsolódó biztonsági igények
Az ütemezett 75 Hz-es jelfeladás a jelfeladási feladatokon túl foglaltságérzékelési feladatokat is megvalósít (1. ábra). Az ütemadó feladata némiképpen különbözik állomási és vonali megvalósításban: az állomási ütemadó minden egyes ütemet külön kimeneten szolgáltat, és a táplálandó szakaszokhoz tartozó kiválasztó érintkezőhálózatok határozzák meg a ténylegesen tápláló ütemeket. Ezzel szemben a vonali ütemadó – mivel egyetlen szakaszt táplál – egy kimenettel rendelkezik, de fogadja az ütemkijelölő bemeneti jeleket és ezek állapotának megfelelően ütemezi az egyetlen kimenetét.
Az elvárt biztonsági szint meghatározásánál külön kell választani a jelfeladási és a foglaltságérzékelési funkciót. Az ütemadók által tévesen adott ütemek a foglaltságérzékelés szempontjából nem relevánsak, mivel a foglaltságérzékelés alapja a (bármilyen ütemmel) ütemezett sínjel megfelelő szintű megléte vagy hiánya. Az ütemadók leállása viszont hamis foglaltságot, és adott szituációban ezzel kényszerfékezést okoz, ezért a működőképesség fenntartása fontos szempont (különösen állomási ütemadónál, ahol az egyetlen állomási ütemadó leállása esetén a gépi vezérlésű vonatforgalom lehetetlenné válik)
1. ábra.Az ütemadók kettős funkciója
A jelfeladási funkció szempontjából az ütemadó biztonságkritikusabb, mint a foglaltságérzékelés szempontjából. Itt egy tévesen kiadott ütem az egyesített éberségi és vonatbefolyásoló berendezés (EÉVB) nem megfelelő (adott esetben a kevésbé biztonságos irányba ható) működését vonhatja maga után. Mivel az EÉVB nem automata vonatvezető rendszer, hanem csak a mozdonyvezető számára ad ismétlőjelzést a közelített jelzők jelzéseiről, valamint a mozdonyvezető egyes tevékenységeit ellenőrzi, működése nem a legbiztonságkritikusabb feladat a vasúti közlekedésben. Noha a jelenleg használatos EÉVB berendezések megalkotásakor a biztonságintegritás fogalmát nem használták, és így nem is vehették figyelembe, a MÁV az EÉVB biztonságintegritását a SIL2 szintre sorolja.
A pályamenti elemek soros rendszert alkotnak a fedélzeten lévő vonatbefolyásoló berendezéssel, bármelyikük hibája azonos módon jelentkezik a jelfeladási funkciók végrehajtásában, a soros rendszerek biztonságintegritása a teljes rendszerre vonatkozó követelmények allokációjából származik.
Tekintettel arra, hogy a jelenleg telepítésre kerülő ETCS I. STM-HU fedélzeti modulja a 75 Hz-es jelet infill információként dolgozza fel, célszerű az ütemadó funkciókra az EÉVB-től elvárható SIL2 biztonságintegritásnál magasabb követelményeket támasztani. Az állomási ütemadóra vonatkozó Feltétfüzet szerint: „A készüléknek garantálnia kell, hogy a forgalombiztonságot veszélyeztető állapot (a kiadandónál kevésbé aggályos kód) még saját belső meghibásodás esetén sem léphessen fel. Ezt vagy fail-safe konstrukcióval kell elérni, vagy olyan figyelő/ellenőrző áramkört kell beépíteni, amely képes az ütemek dekódolására.” E mondat alapján legalább SIL3 biztonságintegritás követelhető meg egy ütemadótól.
3. Ütemadó megvalósítások
Természetesen az adott rendszer vagy berendezés gyártója dönthet úgy, hogy az előírt biztonságintegritási szintnél magasabb szintet kíván megvalósítani – akár azért, mert eljárásai ilyen szintre kerültek kidolgozásra, akár a későbbi, magasabb biztonsági szintű alkalmazásokra felkészülve.
A következőekben bemutatandó ütemadók gyártója, a PowerQuattro ZRt. is ilyen megfontolásokkal élt, és ezért a berendezések fejlesztésénél a SIL4-es biztonságintegritási szint követelményeit vette figyelembe. Ebből adódóan szükségessé vált a következetes kétcsatornás megvalósítás, a diverz programozás és széleskörű ellenőrzési funkciók integrálása.
Az ütemadók egyszerűsített blokkdiagramját a 2. ábra mutatja.
2. ábra.PQ ütemadók blokkdiagramja
Az ütemadók két önálló és független vezérlőegységet (burkológörbe-generátor) tartalmaznak, ezek a belső kommunikációs vonalon megvalósuló szinkronizmus segítségével azonos ütemezéssel generálják a szükséges burkológörbéket (vonali megvalósításnál csak a bemenetek által kijelöltet, állomási megvalósításnál a rajztól eltérően az összes ütemjelet külön kimeneteken). Az így generált burkolójel a modulátorra jut, ennek funkciója megegyezik a korábbi megvalósításokban külön egységként alkalmazott ütemkövetővel. A modulátor kimenetén az ütemezett 75Hz-es jel jelenik meg.
A magas biztonság elérése érdekében két független ellenőrző egység is helyet kapott a berendezésben, ezek részben a generált burkolójelet, részben az ütemezett 75Hz-s jelből visszaalakított burkolót ellenőrzik. A vezérlőegységek és az ellenőrző egységek között a belső kommunikációs vonal segítségével állandó életjel-ellenőrzés is megvalósul.
Az ellenőrző egységek által felfedett ütemezési (vagy saját) hibák eredményeképpen a belső kommunikációs vonalon biztonsági állapotba vezérlik a generátor egységeket. A modulátor kialakítása olyan, hogy egyetlen csatorna téves jelének kijutását a másik csatorna képes meggátolni, így a biztonsági állapot felvétele egyszeres hiba esetében mindig biztosított. Természetesen a generátoregységek is rendelkeznek öndiagnosztikával (pl. tár ellenőrző- összeg számítás, életjel-figyelés stb.), ezek az öndiagnosztikák is képesek a biztonsági állapotot kiváltani. Az öndiagnosztikai funkciók minden alegységben automatikusan és ciklikusan futnak, külső beavatkozásra, vonatmentes időszak kivárására nincs szükség.
A biztonsági állapot felvételét az egység kétcsatornásan, két másodosztályú, C típusú jelfogóval jelzi a külvilág felé – ez a kapcsolat azonban csak információközlési célokra szükséges, mivel a berendezés képes garantálni a biztonsági állapot elérését és megtartását is, így további beavatkozás a biztosítóberendezésbe nem szükséges. A biztonsági állapot megtartása a biztonságintegritás fontos része, ezért a berendezésnél automatikus újraindítási lehetőség nem került kialakításra, biztonsági leállás esetén képzett karbantartónak kell a hibakiértékelést és újraindítást elvégeznie azért, hogy amennyiben belső hiba miatt történt a leállás, egy újabb, második belső hiba az automatikus újraindítás utáni hibadetektálást ne tegye lehetetlenné.
A leállás oka ugyanakkor lehet külső is: mivel az ellenőrző egységek az ütemezett 75Hz-es jelet is ellenőrzik, külső zavarok vagy biztosítóberendezési eredetű zárlatok is biztonsági reakcióhoz vezethetnek. Az ütemezett jel ellenőrzési algoritmusa hasonló a fedélzeti berendezésekben alkalmazott elvekhez: minden három ütemből legalább kettőnek hibátlannak kell lennie, és hibátlan az ütem, ha nincs benne 70ms-nál nagyobb eltérés (vagy zavar) az elméleti burkológörbével összehasonlítva. Ennek megfelelően biztonsági leállás következik be minden esetben, amikor az ütemadó kimenetén (akár külső, akár az ütemadó szempontjából belső okok miatt) a fedélzeti jelkiértékelésre alkalmatlan jel jelenne meg.
Ezen biztonsági megfontolás miatt a biztonsági ütemadó gyakrabban állhat le, mint a jelenleg széles körben alkalmazott ütemadók, különösen, ha a nem megfelelő földelésből vagy biztosítóberendezési kapcsolástechnikai hibákból a kimenetére zavarok, esetleg időleges zárlatok kerülnek.
A berendezés programozható eszközökre épül, az ipari alkalmazásokban már nagyon régen alkalmazott, kellően kiforrott és egyszerű 8 bites 8051 család tagjaira. A processzorok programozása diverz módon történt, az „A” csatornában magas szintű, C programnyelven, a „B” csatornában alacsony szintű, MCS-51 assembly nyelven. Mivel a szoftverek írását külön csapatok végezték, ezért a mindkét csatornában azonos módon jelentkező, programozási hibából származó egyidejű szoftverhiba valószínűsége kellően alacsony. A processzoros technika lehetővé teszi a MÁV igényeinek kellő flexibilitással történő kielégítését, valamint az esetleges speciális igények a már biztonságigazolt és engedélyezett megoldások jól kézbentartható módosításával és relatíve csekély többletinformáción alapuló újraengedélyezés utáni kielégítését. (Meg kell jegyeznünk, hogy a fenti architektúra más biztonsági feladatok megoldásának alapját is tudja képezni.)
3.1. Vonali ütemadó
A fenti elveknek legkisebb kiegészítés nélkül megfelelő ütemadó a vonali ütemadó (VBUPQ, lásd 3. ábra). Egy kimenetén a kijelölő bemeneteire adott vezérlésnek megfelelő ütemezésű jel jelenik meg, az alapidő (csak az induláskor) kiválasztható módon 130ms vagy 150ms.
3. ábra.VBUPQ ütemadó
Specialitásai: Feltétfüzet szerinti Megállj! ütem kiadása (1-es ütemsorozat, majd jelmentes szakasz. Ezt az előírást fejleszti tovább az ütemadó a gyorsabb reakció érdekében: amennyiben a M! kivezérlés előtt is egyes ütemű táplálás volt érvényben, csak további három 1-es ütemet ad ki és rögtön ezután jelmentessé teszi a szakaszt a gyorsabb reakció érdekében. Másik érdekessége, hogy a kijelölő bemenetek kombinációi teljes egészében feldolgozásra kerülnek, és bizonyos hibás kijelölési esetekben – a MÁV ZRT-vel egyeztetett módon – a biztonság elérése céljából szintén M! ütem kerül kivezérlésre.
3.2. Állomási ütemadó
Az állomási ütemadó (ABUPQ-8, lásd 4. ábra) 7 kimeneten az 1-es, (áramellátási megfontolásokból alkalmazott) eltolt 1-es, referencia 1-es (130ms-os vonali), 2-es, 3-as, 4-es és 4* ütemeket szolgáltatja, az állomási alapidőknek megfelelően.
3. ábra.ABUPQ-8 ütemadó
A hét kimeneti jelet 2 összekapcsolt vezérlőrendszer állítja elő (külön az 1-es ütemeket és külön a magasabb ütemeket), mindkettő belső felépítési elve megfelel a 2. ábrán bemutatott vázlatnak. A két vezérlő alkalmazásának oka a visszaesési szint biztosítása: amennyiben az 1-es ütemek nem érintettek egy fellépő hibában, csak a magasabb ütemek biztonsági leállása történik meg, és az 1-es ütemek továbbra is életképesek maradnak, fenntartva ezzel az állomási foglaltság-érzékeléseket és a biztonsági jelfeladást (természetesen egyes vágányutak beállítása a magasabb ütemek hiánya miatt nem lehetséges).
Ez a megvalósítás egy érdekes kérdést vetett fel: amennyiben a hiba oka egy olyan tápsinzárlat, amelyben 1-es és magasabb ütem érintett, a két hibás ütem után következő lekapcsolás az 1-es ütemnél következne be hamarabb, annak rövidebb hossza miatt. Ez a jelenség a visszaesési szint megvalósítását lehetetlenné tenné, ezért az 1-es ütemeknél ilyen szituációban (megjegyzett módon) újraindul a hibafigyelés, ezáltal biztosítva, hogy a hivatkozott szituációban mindig a magasabb ütemek álljanak le először. Ha ezzel a zárlat miatti jelkeveredés megszűnik, az 1-es ütemek fennmaradnak.
3.3. Speciális alkalmazások
A speciális alkalmazások között az X ütemek generálását kell első helyen említeni. Ezt a funkciót – a Feltétfüzetnek megfelelően – a vonali ütemadó egy speciális kiválasztó kombináció esetén szolgáltatja. Az állomási ütemadónál – vezérlő bemenetek hiányában – ilyen lehetőség nincs, ott X ütemek generálására programozott vezérlőkártyákra kell kicserélni a normál vezérléseket. Mindkét esetben az X ütemek generálásának biztonsági feltételei azonosak a többi ütemnél alkalmazott biztonsági feltételekkel.
Az ütemezett kimenetek mérési célból történő folyamatossá tételét minden alkalmazásban az egyedi kimenetekhez rendelt kapcsolók teszik lehetővé.
Speciális alkalmazási eset állhat elő az olyan állomásokon, ahol egymás mellett 75Hz-es szakaszok találhatóak. Ilyenkor az egyik szakasz nem táplálható állomási ütemezéssel, mert a két szakasz közötti hevederzárlatot a vevők nem lennének képesek érzékelni. Az ilyen esetekben a táplálásnak vonali időzítésűnek kell lennie, ezt vagy vonali ütemadóval, vagy speciálisan megvalósított állomási ütemadóval lehet generálni. A PQ ABUPQ-4 néven kifejlesztett egy olyan állomási ütemadót, amely az 1-es, 2-es, 3-as és 4-es ütemeket generálja az állomási elveknek megfelelően (ilyen szituációban az erről az ütemadóról táplált szakaszok alacsony száma miatt eltolt 1-es ütemre nincs szükség; a referenciajel ilyen szakaszoknál állomási ütem, így az ABUPQ-4-nél referenciaütem sem kell; a 4* ütem pedig vonali alapidő mellett nem értelmezhető).
4. Próbaüzemi tapasztalatok
Az ütemadók próbaüzeme Albertirsa állomáson, illetve Miskolc mellett egy térközben történt meg. A próbaüzem hatósági engedélyezését előzetes alkalmassági tanúsítás, a használatbavételi engedély megadását pedig végleges alkalmassági tanúsítás előzte meg. A Tanúsító a BME Közlekedésautomatikai Tanszéke volt. Cikkünk írásának időpontjában folyik mindegyik berendezés végső engedélyezése, így reményeink szerint a megjelenés időpontjában már végleges engedélyekkel fognak rendelkezni.
Az ütemadókhoz – az MSZ-EN 50126 és 50129 szabványok szerinti dokumentáció részeként – elkészültek és a MÁV TEBI által jóváhagyásra kerülnek az alapáramköri módosítások is, így az alkalmazás bármely berendezés esetén zökkenőmentes.
5. Következtetések
A cikkben bemutattuk a korszerű ütemadókkal szemben támasztható biztonsági követelményeket. A PowerQuattro ZRt. új fejlesztésű, SIL4-es biztonsági ütemadóinak kapcsán bemutattuk a biztonsági ütemadók lehetséges megvalósítási módját és a megvalósítás problémáit és az alkalmazás kapcsán felvetődő kérdéseit.
A biztonsági ütemadók elterjedése emelni fogja a vasúti közlekedés biztonsági szintjét és egyszerűvé teszi a biztosítóberendezésben történő alkalmazásokat.
Irodalom
- [1] Feltétfüzet: Állomási ütemadó - 1771/1998 számon jóváhagyta Gál István szakigazgató
- [2] Feltétfüzet: Vonali ütemadó készülékek - 100128/1996 számon jóváhagyta Gál István szakigazgató
- [3] VBUPQ és ABUPQ anyagok: PowerQuattro web site - www.powerquattro.hu