城軌列車邏輯控制裝置控制軟件編碼防錯技術研究

李燦 李天一 楊楠

摘要：列車可編程邏輯控制單元產品應用現場采用分布式機箱架構，不同機箱使用不同編碼進行區分。但編碼易受應用現場環境干擾、編碼器失效等因素影響，使車輛出現邏輯誤動作。本文分析了編碼識別錯誤問題的產生原因，針對編碼采集值錯誤故障樹分析了硬件失效、結構失效、軟件采集過程失效等導致編碼采集值錯誤的可能原因，并針對這些可能失效點，提出一套針對現場LCU編碼的防錯采集方法。目前LCU編碼防錯技術已成功應用于全國各地城軌列車可編程邏輯控制單元裝車現場，應用情況良好。

關鍵詞：城軌列車；編碼防錯技術；可編程邏輯控制單元；設備安全性；編碼采集

中圖分類號：U284.48+2 文獻標志碼：A doi：10.3969/j.issn.1006-0316.2023.11.007

文章編號：1006－0316 （2023） 11－0046－07

Study on Error Proofing Technology of Urban Rail Train LCU Control Software Coding

LI Can1，LI Tianyi1，YANG Nan2

（ 1.Shenzhen Metro Group Co.， Ltd.， Shenzhen 518000， China;

2.Chengdu Yunda Technology Co.， Ltd.， Chengdu 610000， China）

Abstract：The distributed chassis architecture is adopted on the application site of train programmable logic control unit， and different chassis are distinguished by different codes. However， the coding is easy to be affected by factors such as environmental interference on the application site and encoder failure， which leads to the logical maloperation of the vehicle. This paper analyzes the causes of code recognition errors， analyzes the possible causes of code acquisition value errors caused by hardware failure， structure failure and software acquisition process failure， and proposes a set of error proof acquisition methods for on-site LCU coding according to these possible failure points. At present， LCU coding error proofing technology has been successfully applied to the loading sites of programmable logic control units of urban rail trains all over the country and achieved positive results.

Key words：urban rail train；coding error proofing；programmable logic control unit；device security；acquisition encoding

目前，城軌列車的可編程邏輯控制單元（Logical Control Unit，LCU）正被大量應用，其功能是使用網絡化、智能化、高可靠性、長壽命的無觸點電子控制裝置代替傳統的繼電器有觸點硬接線控制系統，能更好地保障實現城軌列車的安全運行、免維護、高效檢修的目標[1]。LCU通過編碼區分不同機箱，執行不同的輸出邏輯[2]。編碼識別的準確性直接關系到列車控制邏輯運行的正確性。因此，編碼讀取錯誤可能導致在裝車運用環境下產生誤輸出甚至損壞設備導致列車退出運營[3]。為了在設計階段和運營階段盡量降低出錯可能性，需研究建立一套LCU機箱編碼防錯技術。

1 ?LCU編碼電路特點及錯誤產生原因

城軌列車上的不同LCU機箱啟動后，需要自行識別機箱安裝位置，從而執行對應編寫的邏輯功能[4]。編碼器主要負責為LCU裝置提供機箱編碼，通過編碼可以為安裝在不同位置的LCU整機賦予對應的身份編號。編碼器電路一般由上拉電阻、下拉電阻、光耦、連接器及相應電路構成。如圖1所示，在CPU采集的IO口處已經有默認的上拉電阻，當編碼器某一路不焊0歐姆電阻時，MCU（Microcontroller Unit、微型控制器）板CPU該路IO值為1，否則為0，通過在多個ID地址位選焊0歐姆下拉電阻的方式實現共8位ID編碼，為LCU裝置提供機箱編碼地址，使裝置按設計運行[5]。

當編碼器未連接時，ID值由于CPU存在上拉電阻導致識別為全“1”值，如果設某機箱ID值全為“1”，則當其他機箱ID編碼器掉落或損壞也會出現ID值全為“1”的情況，導致不能執行原對應邏輯控制功能，造成列車不能正常運營。編碼器正常連接、CPU上電時，由于CPU上電軟件已清空寄存器初始值，可能導致CPU實際采集到的值為全“0”值，如果采用全“0”值為某個機箱ID值，則可能在使用中出現多個機箱ID值為“0”的情況，導致邏輯輸出混亂，嚴重影響列車功能。為規避這兩種顯然存在風險的值，編碼值設計避開“全0”、“全1”。

當ID編碼回路中的器件發生短路、開路故障時，可能導致CPU實際采集到的值由“0”變為“1”或由“1”變為“0”。若該值被CPU采集到，可能導致LCU被識別為其它機箱編碼，運行邏輯變化，執行其他機箱邏輯輸出，當LCU輸出控制受電弓、受流靴或其他車上設備時，可能導致設備工作異常甚至損壞[6]。

2 ?LCU編碼方式與軟件編碼安全采集流程設計

LCU機箱編碼采集用于主控板邏輯控制，由LCU主控板進行采集識別。

機箱編碼方案設計需滿足EN50129附錄B3.2節中對于獨立性的要求[7]，考慮到板卡面板空間限制，設計時采用DB（D-subminiature、超小型連接器）連接器外接編碼器的方式實現編碼。根據既有獨立編碼有一定概率出現單個編碼位硬件受干擾導致采集值錯誤、連接件抖動導致采集值錯誤、軟件導致采集值錯誤等情況，在原有編碼識別方式基礎上增加了多次采集防抖、多CPU采集結果比對等方式降低編碼采集值錯誤概率。同時，在原編碼值設計方案上開展優化研究，對應不同場景及需求，分別設計了采用“雙高電平”編碼防錯技術的采集方案，及采用“編碼加校驗”的編碼防錯技術，均能滿足系統安全性需求。

2.1 單個編碼位采集防錯

從提升LCU編碼采集技術可靠性、可用性、安全性出發，需要降低單個編碼位采集出錯概率。

單個編碼位采集出錯，可能原因有：外部EMC（Electro Magnetic Compatibility、電磁兼容性）干擾、編碼件到CPU間連接器因振動產生的干擾、軟件運行過程中位翻轉等。圖2為單點故障導致編碼單次采集錯誤故障樹。

為應對這些可能的偶發單點故障導致的采集值錯誤，通常采取間隔連續多次采集、多次采集值自行比對等方案，能夠極大降低單次采集錯誤導致的影響，即使產生偶發異常，也能通過重新采集，獲得正確編碼值。

根據現場可能的EMC干擾、連接器振動干擾，將單個編碼位采集設計為連續5次間隔1 ms的采集值為一組、橫向對比本組采集全部值是否一致，然后以5 ms為間隔進行多組采集、縱向對比多組采集結果，直至連續多組采集值橫向、縱向比對結果恒定一致，此時認為該位采集值恒定有效。

對于單個編碼位設計的軟件運行過程中，出現干擾時間超過采集時間時，位翻轉持續進行，多次采集的方式對降低該故障就不理想，因此設計雙高電平編碼方式，編碼值由原本的一位“1”確定位置變為兩位“1”確定位置，極大的減小因位翻轉帶來的安全隱患。

2.2 雙高電平編碼方式及其編碼安全采集流程設計

應用到LCU產品中的編碼器，需具備高安全性。雙高電平編碼方式設計的LCU編碼，能夠滿足硬件、軟件兩次校驗的需要。4位編碼的設計編碼值采取偶校驗設計，只有識別到兩位“1”、兩位“0”時，才認為有效，避免單點故障時誤啟動。

編碼采集電路需考慮到單點故障導致軟件采集到的值持續出現錯誤時，LCU不能錯誤識別為其它機箱編碼值。故編碼值設計為，任意兩個有效編碼間均存在兩個編碼位差異。使得任意單點失效產生時，均能夠識別錯誤并觸發對應安全措施。雙高電平方式編碼設計值如表1所示。

根據功能安全應用條件需要，對LCU采取雙高電平方式設計編碼值時，編碼安全采集機制設計如圖3所示：雙CPU同時采集，按“雙高電平”校驗成功后，對另一系板卡編碼值進行二取二運算，即雙CPU編碼值相同時按相同結果運行、雙CPU編碼值不同時CPU停止運行（安全導向）。

這種編碼方式的優勢是設計了編碼值校驗＋雙CPU二取二機制，實現了軟件濾波及硬件獨立采集，僅在兩CPU中相同兩位編碼在同一特定時間（設備啟動并讀取編碼時）發生兩起完全相同故障，才可能導致LCU識別為錯誤機箱，從而保證LCU產品正確識別機箱號，將誤動作概率降到最低。該編碼方式可支持LCU系統6機箱級聯設計。

2.3 編碼＋校驗方式及其編碼安全采集流程設計

隨著城軌列車編組數量的不斷增加，LCU所需級聯數量也在隨之增加。應用到LCU產品

時，帶校驗的編碼器能夠滿足硬件與軟件雙重濾波需要，能夠通過雙CPU采集值二取二運算比對，在保證安全前提下，增加接入系統的機箱編碼最大支持數量。其實現方式為，在8位編碼中設計與編碼值相同的校驗值。

考慮到編碼采集電路單點故障出現時，可能使1個編碼位采集到的值異常（由0變為1或由1變為0）。故為避免單點故障時LCU錯誤識別為其它機箱編碼，編碼值設計考慮“兩位差異”，設計值如表2所示。

根據功能安全應用條件需要，對LCU編碼＋校驗方式設計編碼值，編碼安全采集機制設計原理如圖4所示：兩組相同編碼，同系板卡雙CPU同時采集，采集后交換數據并對4份數據二取二。

校驗成功后，對另一系板卡編碼值進行二取二。期間二取二失敗，重新采集也失敗時，將機箱安全導向。全部成功，二取二一致，LCU正常成功啟動。成功啟動的板卡將鎖定不再重復識別編碼。工作流程如圖5所示。

該編碼規則的優點在于：通過單CPU獨立雙通道對采集的機箱編碼進行采集，從硬件規則上，兩組相同編碼實現了硬件濾波及軟件濾波。編碼＋校驗方式采集流程，僅在兩組中各兩位編碼（共4位編碼）同一特定時間（啟動時）發生相同故障，才可能導致識別為錯誤機箱啟動，從而保證了LCU產品正確識別機箱號不產生誤動作，并可支持LCU系統8機箱級聯設計。

3 ?LCU機箱安全編碼電路設計

作為高安全邏輯控制裝置，根據LCU編碼方式與軟件編碼安全采集流程設計，推薦安全編碼電路。

圖6為適配編碼＋校驗方式的安全編碼電路設計，編碼通過兩組4線的IO口機箱編碼進行雙CPU采集二取二。

圖7為適配雙高電平校驗方式的安全編碼電路設計，編碼通過4線的IO口機箱編碼進行雙CPU采集并做二取二。

根據LCU機箱安全編碼值、LCU軟件編碼安全采集流程、安全編碼電路設計保守計算，ID編碼在同一時間、同一點位發生多點故障，從而導致正在啟動的LCU機箱被識別為錯誤機箱，進而導致LCU主控單元執行危險輸出的概率[8]。如圖8所示，采用故障樹（Fault Tree Analysis，FTA）方法來分析LCU主控單元故障導向危險的概率，該方法運用符號結構原理，用“與”、“非”門及其它組合派生的各類“修正門”在圖上表示系統故障原因的因果關系并進行事故分析[9]。經計算，主控單元故障導向危險概率小于8×10-8。

由于系統安全相關功能需滿足安全設備的安全完整性等級二級或四級（Safety Integrity Level，SIL2或SIL4），SIL4級功能可容忍危險率（Tolerable Hazard Rate，THR）要求＜10-8，SIL2級安全功能THR要求＜10-6，通過該功能THR計算可知，計算結果滿足SIL4的THR要求。該功能項滿足安全需求。

4 ?LCU機箱安全編碼電路驗證

為驗證LCU機箱編碼電路安全性，對現場應用的LCU進行驗證[10]。分別通過正確、錯誤ID編碼器，對雙高電平編碼、編碼加校驗兩種方式編碼的LCU執行邏輯正確性、安全導向動作正確性進行驗證，驗證結果如表3、表4所示。

Q為兩個事件“與”“或”邏輯計算的結果；EV為底層事件編號；FR為底層事件故障率；β為故障共因系數；

GT52為主控板計算失效事件編號；GT58為主控板管腳失效事件編號；GT47為主控板失效事件編號。

經過實驗室及現場驗證，證實LCU編碼防錯技術在編碼設計、制造、軟件讀取錯誤引起單點故障時，均能引起LCU安全導向，避免引起列車誤動作。

5 結束語

本文針對城軌列車LCU提出一套軟件編碼防錯技術。通過分析編碼錯誤產生原因，設計了兩種LCU機箱安全編碼值、兩種軟件編碼安全采集流程、兩種安全編碼電路。最終通過故障樹分析，設計功能滿足SIL4安全需求。目前該編碼防錯技術已成功應用于包含深圳地鐵、廣州地鐵等在內的全國各地城軌列車可編程邏輯控制單元裝車現場，應用情況良好。

參考文獻：

[1]侯文軍. 深圳地鐵列車下一代LCU技術創新方案[J]. 電力機車

與城軌車輛，2019，42（3）：58-62.

[2]何曄，陳健，楊楠，等. 地鐵列車三取二邏輯控制單元CAN通信智能監測軟件設計[J]. 機電信息，2020（27）：108-109.

[3]李昌強. 地鐵車輛LCU邏輯控制技術的應用研究[J]. 技術與市場，2017，24（6）：105-106.

[4]王世權，呂正銀，李夫忠，等. 基于二乘二取二的列車LCU控制系統：CN111891184B[P]. 2021-04-13.

[5]樂建銳. 基于二乘二取二冗余—安全控制的地鐵LCU設計[J]. 鐵路通信信號工程技術，2020，17（5）：52-56.

[6]洪旭. 基于“二乘二取二”LCU的弓靴轉換控制方案設計[J]. 交通科技與管理，2021（10）：1-2.

[7]BS EN 50129 -2018.Railway applications - Communication，

signalling and processing systems - Safety related electronic systems for or signalling[S].UK：The British Standards Limited.2019.

[8]李天一. 地鐵列車LCU邏輯控制系統二乘二取二的兩系輸入輸出交叉冗余復用課題研究[J]. 中國標準化，2019（S02）：235-237.

[9]劉春永，徐宏偉，程建峰. 對EN 50126中關于系統安全性要求的分析[J]. 鐵道技術監督，2021，49（12）：9-12.

[10]王愛菲，劉雯，禹營. BS EN 50128在列車控制管理系統驗證和確認過程中的實踐[J]. 質量與認證，2021（12）：71-73.