导致电梯突然反向的控制软件问题分析与解决

马殷元，廖 理，柴 获

（兰州交通大学 机电技术研究所，甘肃 兰州730070）

0 引 言

近来，电梯发生故障造成伤亡的事件多次发生，其中一种情况是某些机电部件在使用中突然失效，且没有被及时发现，电梯带病运行，控制系统误动作导致。以某小型6层6站曳引式货运电梯系统为例，其具有类似一般客运电梯的基本功能。系统采用S7－200系列PLC为控制器，用变频器驱动曳引电机，厅外配置了上下召唤按钮和目的层按钮（与普通客梯轿厢内目的层按钮不同），每层均配置了一个行程开关作为层定位检测输入传感器。系统投入初期功能完好，但运行一段时间后发生了轿厢运行至目标楼层的上一层时突然反向下降运行，而后下降到目标楼层的下一层时突然反向上升运行，无法自动停止的情况。人工强行急停断电才使电梯停止运行。检查发现目标楼层的层定位行程开关失效，修复该开关后系统恢复正常运行。电梯轿厢突然反向运行将对曳引机构的电机、齿轮变速机构、曳引轮、钢索、轿厢悬挂等零部件有很大冲击载荷。该电梯控制系统存在层定位传感器失效导致系统误动作的隐患，消除该隐患可提高系统的安全性。

除了采用高品质零部件、加强对电梯的检修维护工作等措施，还应该在控制软件设计实现中考虑到零部件失效等情况，避免零部件失效导致控制系统误动作而引发安全事故。即通过改进电梯控制软件的故障安全性来提高电梯的安全性。一些文献提出通过增加新的系统与原有系统并行运行来提高系统安全性，如远程监控技术、故障诊断技术、专家系统等［1－5］。文献［6，7］设计了电梯控制软件流程图，但没有涉及对某些关键零部件失效状态的自动监测以及相应的故障安全设计。

针对软件的安全性，目前还没有一套准确的定量评估方法，必须在整个软件生命周期中实施安全性保障工作［8］，文献［8］在结合具体案例分析并提出具体软件解决思路方面尚未涉及。

1 控制软件问题分析

该电梯系统控制软件使用梯形图编写，其原有主程序如图1所示。为了找到突然反向问题的控制程序隐患，采用了反向回溯的思路，即从电梯轿厢曳引电机正反转控制开始逐步分析。

图1 电梯系统控制主程序

电梯（曳引电机）正反转控制输出为Q3.1，在子程序“升降”的网络6中Q3.1输出控制曳引电机变频器的正反转，控制程序梯形图如图2所示。

“升降”子程序的网络2 如图3 所示，其实现了 “正转”和 “反转”控制逻辑的综合。

从图3可见，“正转”和 “反转”控制逻辑综合中 “上行使能”和 “下降使能”变量是系统正常运行状态下影响电梯正反转的两个关键变量。控制软件子程序 “上升逻辑”和 “下降逻辑”中对上述两个变量进行了赋值操作。“上行使能”变量复位和 “下降使能”置位在子程序 “上升逻辑”中的语句如图4所示。图4程序相对应的 “上行使能”变量复位和 “下降使能”变量置位程序段在子程序 “下降逻辑”中。

图2 电梯正反转控制输出梯形图程序

图3 电机正反转控制逻辑综合梯形图程序

图4 对 “上行使能”变量赋值梯形

根据图4所示的程序逻辑和主程序网络2的第三行控制逻辑可见，在子程序 “上升逻辑”中复位了变量 “上行使能”导致子程序 “上升逻辑”在下一个扫描周期不再运行。同时，由于变量 “上行使能”的复位和 “下降使能”的置位导致子程序 “升降”中网络1的控制逻辑复位了变量 “正转”并置位了变量 “反转”。

图4中网络9的控制逻辑在电梯控制中一般被称为定向操作或定向算法，因为该操作决定了电梯轿厢的运行方向趋势。根据图4网络9，电梯结束上行趋势、变为下行趋势运行的条件是变量 “最终目标楼层”小于变量 “当前楼层”并且标志位 “门已关标志位”为1。在电梯运行中，最终目标楼层是电梯趋势方向上最远的召唤楼层或目标楼层，处于上行趋势时为召唤和运行目标楼层中的最高楼层，下降趋势时为其中的最低楼层，最终目标楼层通过实时搜索得到。变量 “当前楼层”在子程序 “当前层更新”中被赋值，其中一段程序如图5所示。控制系统通过检测各层布置的楼层限位传感器而得到电梯运行的当前楼层。在楼层限位传感器有效时，系统可以正常工作。当传感器当 “最终目标楼层”的传感器失效时，电梯会越过最终目标楼层而到达更高一层时（假设目标楼层不是电梯最顶层），将使得 “最终目标楼层”小于 “当前楼层”，这导致图4所示的控制逻辑被执行，并导致电梯表现出瞬间反向运行状态。

图5 对 “当前楼层”变量赋值梯形

2 控制软件问题的修正方法

容错控制的理论和方法可为解决该控制系统所存问题提供一定思路。常见的容错控制系统大致可分为两类：主动容错系统和被动容错系统，它们的控制策略实施一般依赖于被控系统的定量、半定量或定性模型等参数。在被动容错控制系统设计之初，将系统有可能发生的故障情况以故障树等方法列举，并作为先验知识而考虑到控制策略中，故其不需要控制策略在线实时获知故障信息，在其具体实现时大多采用鲁棒控制技术等方案。一个系统具有容错能力的条件是系统中相应部件存在一定冗余，如需要冗余执行器来实现执行器的容错、需要传感器测量的冗余来实现传感器的容错。硬件上的冗余必将增加系统成本且对既有硬件设备（设备升级改造等情况）的改动不便于工程实施。对于本系统，可以通过在软件中增加冗余控制逻辑来改进其安全性，避免电梯运行中突然反向等问题再次发生。一种对控制软件直观的改正是在子程序 “当前层更新”中增加监视当前层超越下一（目标）停层程序，详见图6。另外，如采用更加合理的软件架构模式亦可减少软件缺陷和隐患［9］。

图6 监视当前层超越下一停层梯形

人们在长期的软件开发实践中，总结提炼了一些行之有效的 “设计模式”［10，11］。可借助在Bruce Powel Douglass等人的极力推崇下的有关实时设计模式［12］来设计有安全紧要（safety－critical）和高可靠性（high－reliability）等重要需求的控制软件，如安全执行模式、心智检查模式、同质冗余模式和异质冗余模式等。结合本案例，总结提出了3种可改善系统安全性的模式方法。

2.1 保护式单通道模式方法

该方法是一种非重量级冗余安全模式，适合于一些类似于本系统的瞬态故障，花费少量的系统扫描时间（只需要增加一个通道来处理传感和执行）而不会大幅度减少原有系统的实时等性能（非常适合规避控制器瓶颈问题）。它从数据传输的角度，在 “数据传输”模块中增加数据确认，从而发现数据的错误，避免错误数据导致系统误动。

就本文所述的存在安全隐患问题的系统的数据传输的保护可从两方面实施保护。一方面是传感器失效导致检测（输入）数据跳变（目标楼层传感器失效时图5 程序中变量“当前楼层”将跳过传感器失效的目标楼层）的检测和保护；另一方面是控制算法运算（输出）数据（如图2所示的程序中的电梯方向输出控制变量“电梯正反转”）跳变（曳引电机从正转状态不经由停止状态而直接跳变到反转状态，反之亦然）的检测和保护。

2.2 监视器－执行器模式方法

该方法提供系统故障和随机故障保护的同时可使控制逻辑进入安全失败状态。其在原生数据和输出执行之间增加监视执行通道对象来监护实际输出，当发现实际输出超出预期则发出停机信号或者进入其它形式的安全失败状态。

在实例化该模式方法时需要已知一个或多个安全失败状态，这一点与被动容错控制系统设计时需要考虑系统可能发生的故障情况的思路相似。监视通道的输入信息一般来自对系统输出的检测，这使得系统构成一个信息流的闭环反馈结构。由于该闭环检测的是最终的输出环节，从而错误检测系统的响应速度稍有些滞后，也就是有了结果才会动作。当监视通道的输入退化到来自控制器内部的输出变量时，该模式与保护式单通道模式中对输出数据错误的检测和保护相似。但此时控制系统响应速度将有所提高，但不能发现闭环外部真实系统输出故障情况。

2.3 看门狗模式方法

该方法通过增加一个看门狗构件来注视另一个构件的运行状态，在实例化时一般通过计算时间基或计算步骤按预定义的方式运行。就本案例所述问题而言，电梯运行中每个步骤的运行时间是有限的并且是可以预测的。如，电梯从某一层运动到另外一层的时间必然在一个固定的可预见的时间范围内。若发现超出这个时间范围则说明系统某个方面发生了故障。

经过多次实测统计，本系统正常运行时电梯从某一层运动到相邻层的最长时间（包括启停的加、减速时间）为4600ms，最短时间为3900ms，电梯从某一层运行到间隔的另一层所花费的最短时间（不包括启停的加、减速时间）为5800ms。为此可在控制程序中增加一个看门狗定时器构件来监视传感器失效故障。看门狗定时器报警时限设为4900ms。看门狗在电梯启动上升或下降时启动，在 “当前层更新”中某层楼层限位开关闭合时复位。另外，已知了相邻层之间运行的最短时间为3900ms，因而可以采用有时间范围的看门狗模式，检测电梯的超速和过慢等失速状态。

保护式单通道模式方法从数据保护的角度侦测系统输入数据、输出数据或中间数据的异常，从而及时发现系统部件的问题。该方法是一种通过内部检验来避免错误的方法，但其检验闭环结构的检测对象中不包含真实的输出，因而无法检测到执行器的异常或故障。而监视器－执行器模式方法包含了对实际输出的检测，是一种存在于控制逻辑外部检验而避免错误的方法，故其可以检测到执行器的异常或故障状态。

上述方法都需要事先知道系统所能发生的故障情况的条件，然后根据这些条件判断故障，属于被动容错控制的范畴。不依赖于先验条件的看门狗模式方法是基于时间的检验方法，可以检测到传感器和执行器的运行异常或故障。

3 结束语

本文结合某货运电梯的故障现象，分析了该电梯控制软件在位置传感器失效时存在的安全隐患问题。在比较了以软件容错方法和增加硬件冗余两种方案的基础上，运用了软件方法避免发生安全问题的思路。结合相关实时设计模式，总结出3种可以改善系统安全性的模式方法。先后在电梯模型和所述货运电梯上对提出的3种软件改进方法进行了验证，提高了所述货运电梯的安全性。所述方法可为提高类似控制软件质量提供参考和指导。

进一步研究可以着重以下两个方面：①借鉴传感器网络部署及其数据融合技术［13］，研究其它的定位方法［14］，在电梯应用中布置异类节点避免单一传感器失效引起的安全事故；②对电梯所用传感器的失效评价及其寿命预估研究，预测传感器失效时间节点并以此主动提醒需要维护电梯，打破目前电梯定期维护模式，以此提高维护效率和质量。

［1］ZONG Qun，LI Guangyu，GUO Meng.Design of diagnostic expert system for elevator system based on FTA ［J］.Control Engineering of China，2013，20 （2）：305－308 （in Chinese）.［宗群，李光宇，郭萌.基于故障树的电梯故障诊断专家系统设计 ［J］.控制工程，2013，20 （2）：305－308.］

［2］LIU Runli，BAI Jinping，TANG Ping.Design of remote elevator monitoring system ［J］.Control Engineering of China，2011，18 （S1）：118－120 （in Chinese）. ［刘润莉，白金平，唐平.电梯远程监控系统的设计 ［J］.控制工程，2011，18（S1）：118－120.］

［3］Yao Zehua，Wan Jianru，Li Xiangwei，et al.The design of elevator failure monitoring system ［J］.Lecture Notes in Electrical Engineering，2011，122：437－442.

［4］Hiller Benjamin，Klug Torsten，Tuchscherer Andreas.An exact reoptimization algorithm for the scheduling of elevator groups ［J］.Flexible Services and Manufacturing Journal，2013：1－24.

［5］Abbasi Hamza Ijaz，Siddiqui Abdul Jabbar.Implementation of smart elevator system based on wireless multi－hop AdHoc sensor networks ［C］／／IEEE 2nd International Conference on Networked Embedded Systems for Enterprise Applications，2011：1－7.

［6］XU Jinna.Four elevator system development and design ［J］.Measurement ＆ Control Technology，2010，39 （6）：49－116（in Chinese）.［许瑾娜.四层电梯系统的开发与设计 ［J］.测控技术，2010，39 （6）：49－116.］

［7］MA Yan，XU Shuhua，LIU Huabo.The mult－ilevel design of elevator control system expermient based on S7－200and HMI［J］.Research and Exploration in Laboratory，2008，27 （8）：210－213 （in Chinese）.［马艳，徐淑华，刘华波.基于S7－200和触摸屏的电梯控制实验项目的分层设计 ［J］.实验室研究与探索，2008，27 （8）：210－213.

［8］WANG Jinbo，ZHAO Guangheng，CHEN Weiwei.Research on software safety assurance of safety－critical software ［J］.Computer Engineering and Design，2008，29 （5）：1072－1075（in Chinese）.［王金波，赵光恒，陈蔚薇.安全关键软件的安全性保障工作研究 ［J］.计算机工程与设计，2008，29 （5）：1072－1075.］

［9］MA Yinyuan，YAO Chuang.Elevator control modeling based on statecharts and its plc implementation ［J］.Computer Engineering，2009，35 （16）：221－223 （in Chinese）. ［马殷元，姚闯.基于状态图的电梯控制建模及其PLC 实现 ［J］.计算机工程，2009，35 （16）：221－223.］

［10］LIU Gang，SHAO Zhiqing，XIAO Lizhong，et al.Design pattern for embedded communication software development［J］.Computer Engineering and Deaign，2007，28 （6）：1368－1371 （in Chinese）. ［刘刚，邵志清，肖立中，等.嵌入式通信软件开发中的设计模式 ［J］.计算机工程与设计，2007，28 （6）：1368－1371.］

［11］XIAO Lei，XU Hong.Research on selection of design patterns based on process ［J］.Computer Engineering and Deaign，2008，29 （21）：5479－5497 （in Chinese）. ［肖磊，徐红.基于过程的设计模式选择研究 ［J］.计算机工程与设计，2008，29 （21）：5479－5497.］

［12］Bruce Powel Douglass.Design patterns for embedded systems in C ［M］.LIU Xudong，transl.Peaking：China Machine Press，2012 （in Chinese）. ［Bruce Powel Douglass.C 嵌入式编程设计模式 ［M］.刘旭东，译.北京：机械工业出版社，2012.］

［13］BING Zhigang，LIU Jingtai，WENG Songyi，et al.Survey of deployment issue of sensor networks ［J］.Control Engineering of China，2009，16 （5）：513－516 （in Chinese）.［邴志刚，刘景泰，翁松怡，等.传感器网络部署问题研究现状［J］.控制工程，2009，16 （5）：513－516.］

［14］Onat Ahmet，Gurbuz Cagri，Markon Sandor.A new active position sensing method for ropeless elevator［J］.Mechatronics，2013，23 （2）：182－189.