城轨列车逻辑控制装置控制软件编码防错技术研究

李灿 李天一 杨楠

摘要：列车可编程逻辑控制单元产品应用现场采用分布式机箱架构，不同机箱使用不同编码进行区分。但编码易受应用现场环境干扰、编码器失效等因素影响，使车辆出现逻辑误动作。本文分析了编码识别错误问题的产生原因，针对编码采集值错误故障树分析了硬件失效、结构失效、软件采集过程失效等导致编码采集值错误的可能原因，并针对这些可能失效点，提出一套针对现场LCU编码的防错采集方法。目前LCU编码防错技术已成功应用于全国各地城轨列车可编程逻辑控制单元装车现场，应用情况良好。

关键词：城轨列车；编码防错技术；可编程逻辑控制单元；设备安全性；编码采集

中图分类号：U284.48+2 文献标志码：A doi：10.3969/j.issn.1006-0316.2023.11.007

文章编号：1006－0316 （2023） 11－0046－07

Study on Error Proofing Technology of Urban Rail Train LCU Control Software Coding

LI Can1，LI Tianyi1，YANG Nan2

（ 1.Shenzhen Metro Group Co.， Ltd.， Shenzhen 518000， China;

2.Chengdu Yunda Technology Co.， Ltd.， Chengdu 610000， China）

Abstract：The distributed chassis architecture is adopted on the application site of train programmable logic control unit， and different chassis are distinguished by different codes. However， the coding is easy to be affected by factors such as environmental interference on the application site and encoder failure， which leads to the logical maloperation of the vehicle. This paper analyzes the causes of code recognition errors， analyzes the possible causes of code acquisition value errors caused by hardware failure， structure failure and software acquisition process failure， and proposes a set of error proof acquisition methods for on-site LCU coding according to these possible failure points. At present， LCU coding error proofing technology has been successfully applied to the loading sites of programmable logic control units of urban rail trains all over the country and achieved positive results.

Key words：urban rail train；coding error proofing；programmable logic control unit；device security；acquisition encoding

目前，城軌列车的可编程逻辑控制单元（Logical Control Unit，LCU）正被大量应用，其功能是使用网络化、智能化、高可靠性、长寿命的无触点电子控制装置代替传统的继电器有触点硬接线控制系统，能更好地保障实现城轨列车的安全运行、免维护、高效检修的目标[1]。LCU通过编码区分不同机箱，执行不同的输出逻辑[2]。编码识别的准确性直接关系到列车控制逻辑运行的正确性。因此，编码读取错误可能导致在装车运用环境下产生误输出甚至损坏设备导致列车退出运营[3]。为了在设计阶段和运营阶段尽量降低出错可能性，需研究建立一套LCU机箱编码防错技术。

1  LCU编码电路特点及错误产生原因

城轨列车上的不同LCU机箱启动后，需要自行识别机箱安装位置，从而执行对应编写的逻辑功能[4]。编码器主要负责为LCU装置提供机箱编码，通过编码可以为安装在不同位置的LCU整机赋予对应的身份编号。编码器电路一般由上拉电阻、下拉电阻、光耦、连接器及相应电路构成。如图1所示，在CPU采集的IO口处已经有默认的上拉电阻，当编码器某一路不焊0欧姆电阻时，MCU（Microcontroller Unit、微型控制器）板CPU该路IO值为1，否则为0，通过在多个ID地址位选焊0欧姆下拉电阻的方式实现共8位ID编码，为LCU装置提供机箱编码地址，使装置按设计运行[5]。

当编码器未连接时，ID值由于CPU存在上拉电阻导致识别为全“1”值，如果设某机箱ID值全为“1”，则当其他机箱ID编码器掉落或损坏也会出现ID值全为“1”的情况，导致不能执行原对应逻辑控制功能，造成列车不能正常运营。编码器正常连接、CPU上电时，由于CPU上电软件已清空寄存器初始值，可能导致CPU实际采集到的值为全“0”值，如果采用全“0”值为某个机箱ID值，则可能在使用中出现多个机箱ID值为“0”的情况，导致逻辑输出混乱，严重影响列车功能。为规避这两种显然存在风险的值，编码值设计避开“全0”、“全1”。

当ID编码回路中的器件发生短路、开路故障时，可能导致CPU实际采集到的值由“0”变为“1”或由“1”变为“0”。若该值被CPU采集到，可能导致LCU被识别为其它机箱编码，运行逻辑变化，执行其他机箱逻辑输出，当LCU输出控制受电弓、受流靴或其他车上设备时，可能导致设备工作异常甚至损坏[6]。

2  LCU编码方式与软件编码安全采集流程设计

LCU机箱编码采集用于主控板逻辑控制，由LCU主控板进行采集识别。

机箱编码方案设计需满足EN50129附录B3.2节中对于独立性的要求[7]，考虑到板卡面板空间限制，设计时采用DB（D-subminiature、超小型连接器）连接器外接编码器的方式实现编码。根据既有独立编码有一定概率出现单个编码位硬件受干扰导致采集值错误、连接件抖动导致采集值错误、软件导致采集值错误等情况，在原有编码识别方式基础上增加了多次采集防抖、多CPU采集结果比对等方式降低编码采集值错误概率。同时，在原编码值设计方案上开展优化研究，对应不同场景及需求，分别设计了采用“双高电平”编码防错技术的采集方案，及采用“编码加校验”的编码防错技术，均能满足系统安全性需求。

2.1 单个编码位采集防错

从提升LCU编码采集技术可靠性、可用性、安全性出发，需要降低单个编码位采集出错概率。

单个编码位采集出错，可能原因有：外部EMC（Electro Magnetic Compatibility、电磁兼容性）干扰、编码件到CPU间连接器因振动产生的干扰、软件运行过程中位翻转等。图2为单点故障导致编码单次采集错误故障树。

为应对这些可能的偶发单点故障导致的采集值错误，通常采取间隔连续多次采集、多次采集值自行比对等方案，能够极大降低单次采集错误导致的影响，即使产生偶发异常，也能通过重新采集，获得正确编码值。

根据现场可能的EMC干扰、连接器振动干扰，将单个编码位采集设计为连续5次间隔1 ms的采集值为一组、横向对比本组采集全部值是否一致，然后以5 ms为间隔进行多组采集、纵向对比多组采集结果，直至连续多组采集值横向、纵向比对结果恒定一致，此时认为该位采集值恒定有效。

对于单个编码位设计的软件运行过程中，出现干扰时间超过采集时间时，位翻转持续进行，多次采集的方式对降低该故障就不理想，因此设计双高电平编码方式，编码值由原本的一位“1”确定位置变为两位“1”确定位置，极大的减小因位翻转带来的安全隐患。

2.2 双高电平编码方式及其编码安全采集流程设计

应用到LCU产品中的编码器，需具备高安全性。双高电平编码方式设计的LCU编码，能够满足硬件、软件两次校验的需要。4位编码的设计编码值采取偶校验设计，只有识别到两位“1”、两位“0”时，才认为有效，避免单点故障时误启动。

编码采集电路需考虑到单点故障导致软件采集到的值持续出现错误时，LCU不能错误识别为其它机箱编码值。故编码值设计为，任意两个有效编码间均存在两个编码位差异。使得任意單点失效产生时，均能够识别错误并触发对应安全措施。双高电平方式编码设计值如表1所示。

根据功能安全应用条件需要，对LCU采取双高电平方式设计编码值时，编码安全采集机制设计如图3所示：双CPU同时采集，按“双高电平”校验成功后，对另一系板卡编码值进行二取二运算，即双CPU编码值相同时按相同结果运行、双CPU编码值不同时CPU停止运行（安全导向）。

这种编码方式的优势是设计了编码值校验＋双CPU二取二机制，实现了软件滤波及硬件独立采集，仅在两CPU中相同两位编码在同一特定时间（设备启动并读取编码时）发生两起完全相同故障，才可能导致LCU识别为错误机箱，从而保证LCU产品正确识别机箱号，将误动作概率降到最低。该编码方式可支持LCU系统6机箱级联设计。

2.3 编码＋校验方式及其编码安全采集流程设计

随着城轨列车编组数量的不断增加，LCU所需级联数量也在随之增加。应用到LCU产品

时，带校验的编码器能够满足硬件与软件双重滤波需要，能够通过双CPU采集值二取二运算比对，在保证安全前提下，增加接入系统的机箱编码最大支持数量。其实现方式为，在8位编码中设计与编码值相同的校验值。

考虑到编码采集电路单点故障出现时，可能使1个编码位采集到的值异常（由0变为1或由1变为0）。故为避免单点故障时LCU错误识别为其它机箱编码，编码值设计考虑“两位差异”，设计值如表2所示。

根据功能安全应用条件需要，对LCU编码＋校验方式设计编码值，编码安全采集机制设计原理如图4所示：两组相同编码，同系板卡双CPU同时采集，采集后交换数据并对4份数据二取二。

校验成功后，对另一系板卡编码值进行二取二。期间二取二失败，重新采集也失败时，将机箱安全导向。全部成功，二取二一致，LCU正常成功启动。成功启动的板卡将锁定不再重复识别编码。工作流程如图5所示。

该编码规则的优点在于：通过单CPU独立双通道对采集的机箱编码进行采集，从硬件规则上，两组相同编码实现了硬件滤波及软件滤波。编码＋校验方式采集流程，仅在两组中各两位编码（共4位编码）同一特定时间（启动时）发生相同故障，才可能导致识别为错误机箱启动，从而保证了LCU产品正确识别机箱号不产生误动作，并可支持LCU系统8机箱级联设计。

3  LCU机箱安全编码电路设计

作为高安全逻辑控制装置，根据LCU编码方式与软件编码安全采集流程设计，推荐安全编码电路。

图6为适配编码＋校验方式的安全编码电路设计，编码通过两组4线的IO口机箱编码进行双CPU采集二取二。

图7为适配双高电平校验方式的安全编码电路设计，编码通过4线的IO口机箱编码进行双CPU采集并做二取二。

根据LCU机箱安全编码值、LCU软件编码安全采集流程、安全编码电路设计保守计算，ID编码在同一时间、同一点位发生多点故障，从而导致正在启动的LCU机箱被识别为错误机箱，进而导致LCU主控单元执行危险输出的概率[8]。如图8所示，采用故障树（Fault Tree Analysis，FTA）方法来分析LCU主控单元故障导向危险的概率，该方法运用符号结构原理，用“与”、“非”门及其它组合派生的各类“修正门”在图上表示系统故障原因的因果关系并进行事故分析[9]。经计算，主控单元故障导向危险概率小于8×10-8。

由于系统安全相关功能需满足安全设备的安全完整性等级二级或四级（Safety Integrity Level，SIL2或SIL4），SIL4级功能可容忍危险率（Tolerable Hazard Rate，THR）要求＜10-8，SIL2级安全功能THR要求＜10-6，通过该功能THR计算可知，计算结果满足SIL4的THR要求。该功能项满足安全需求。

4  LCU机箱安全编码电路验证

为验证LCU机箱编码电路安全性，对现场应用的LCU进行验证[10]。分别通过正确、错误ID编码器，对双高电平编码、编码加校验两种方式编码的LCU执行逻辑正确性、安全导向动作正确性进行验证，验证结果如表3、表4所示。

Q为两个事件“与”“或”逻辑计算的结果；EV为底层事件编号；FR为底层事件故障率；β为故障共因系数；

GT52为主控板计算失效事件编号；GT58为主控板管脚失效事件编号；GT47为主控板失效事件编号。

经过实验室及现场验证，证实LCU编码防错技术在编码设计、制造、软件读取错误引起单点故障时，均能引起LCU安全导向，避免引起列车误动作。

5 结束语

本文针对城轨列车LCU提出一套软件编码防错技术。通过分析编码错误产生原因，设计了两种LCU机箱安全编码值、两种软件编码安全采集流程、两种安全编码电路。最终通过故障树分析，设计功能满足SIL4安全需求。目前该编码防错技术已成功应用于包含深圳地铁、广州地铁等在内的全国各地城轨列车可编程逻辑控制单元装车现场，应用情况良好。

参考文献：

[1]侯文军. 深圳地铁列车下一代LCU技术创新方案[J]. 电力机车

与城轨车辆，2019，42（3）：58-62.

[2]何晔，陈健，杨楠，等. 地铁列车三取二逻辑控制单元CAN通信智能监测软件设计[J]. 机电信息，2020（27）：108-109.

[3]李昌强. 地铁车辆LCU逻辑控制技术的应用研究[J]. 技术与市场，2017，24（6）：105-106.

[4]王世权，吕正银，李夫忠，等. 基于二乘二取二的列车LCU控制系统：CN111891184B[P]. 2021-04-13.

[5]樂建锐. 基于二乘二取二冗余—安全控制的地铁LCU设计[J]. 铁路通信信号工程技术，2020，17（5）：52-56.

[6]洪旭. 基于“二乘二取二”LCU的弓靴转换控制方案设计[J]. 交通科技与管理，2021（10）：1-2.

[7]BS EN 50129 -2018.Railway applications - Communication，

signalling and processing systems - Safety related electronic systems for or signalling[S].UK：The British Standards Limited.2019.

[8]李天一. 地铁列车LCU逻辑控制系统二乘二取二的两系输入输出交叉冗余复用课题研究[J]. 中国标准化，2019（S02）：235-237.

[9]刘春永，徐宏伟，程建峰. 对EN 50126中关于系统安全性要求的分析[J]. 铁道技术监督，2021，49（12）：9-12.

[10]王爱菲，刘雯，禹营. BS EN 50128在列车控制管理系统验证和确认过程中的实践[J]. 质量与认证，2021（12）：71-73.