基于TMS570的高可靠性隨鉆壓力計

胡永建，胡寰臻，黃衍福

(1. 中國石油集團鉆井工程技術研究院 北京石油機械廠，北京 100083； 2.中國石油大學(北京) 地球科學學院，北京 102249)

基于TMS570的高可靠性隨鉆壓力計

胡永建1，胡寰臻2，黃衍福1

(1. 中國石油集團鉆井工程技術研究院 北京石油機械廠，北京 100083； 2.中國石油大學(北京) 地球科學學院，北京 102249)

為了實現井下隨鉆壓力測量，設計出一種高可靠性壓力計。選擇了適合井下高溫、高壓環境的微控制器與壓力傳感器，同時分析了可能的器件失效風險并給出了解決方法。借助安全微控制器的“安全島”理念及設計架構，該壓力計能夠自動處理微控制器及壓力傳感器的軟硬件錯誤以保證工作可靠性。該壓力計在石油鉆井領域中可以有效減少起鉆次數來降低鉆井成本。

TMS570；安全微控制器；可靠性；壓力計

0 引言

在石油鉆井中，通過隨鉆井下壓力測量可以實時得到井筒內壓力數據，有助于實施控壓鉆井，同時可以預防井涌和井漏，是井控安全的有效手段。石油鉆井是高風險的資本密集型行業，在深井及超深井中，因故障起鉆一次往往需要數百小時，成本高昂。這要求隨鉆井下壓力計必須具備高可靠性。

本文設計的隨鉆井下壓力計使用了安全微控制器，充分利用其安全架構來實現高可靠性井下壓力測量。

1 系統結構

隨鉆井下壓力計電氣單元的核心器件是微控制器，微控制器從壓力傳感器讀取所需原始數據，將其轉換為壓力等測量數據經通信端口發送到地面。為保證系統的可靠性，需要從器件選型、架構設計、軟硬件實現等方面完成綜合設計。微控制器及壓力傳感器是其中的關鍵器件。

微控制器選用了美國德州儀器的Hercules安全微控制器。該系列安全微控制器能夠通過硬件方式實現安全特性，符合業界安全性能標準，可使系統設計更易滿足ISO 26262 ASIL-D 和 IEC 61508 SIL-3的安全標準要求。采用支持浮點計算的ARM Cortex-R4F內核，雙CPU同步結構提供了系統冗余并簡化開發過程；CPU和內存內置硬件自檢功能，無需軟件編程就能檢測硬件錯誤；在CPU內部集成了ECC邏輯以校驗內存和閃存；具有外設內存的奇偶校驗和外設IO的回讀功能[1]。德州儀器新推出的TMS570LS1114新增I2C數據接口，適合與所選壓力傳感器連接，其片上資源及功能滿足本設計需求。

圖1 數字壓力計原理框圖

壓力傳感器選用了美國Quartzdyne公司生產的DMB301-10-150數字壓力傳感器[2]。該壓力傳感器包含3個石英晶體探頭部件，其中壓力和溫度晶體分別對壓力與溫度敏感，而參考晶體對溫度與壓力均不敏感。如圖1所示，其數字電路包含石英晶體振蕩器(壓力、溫度及參考)、混頻器、頻率計及串口EEPROM。通過分別將壓力、溫度信號與參考信號混頻來提高頻率測量分辨率。頻率計輸出壓力、溫度兩組原始數據。用戶可調用存儲在EEPROM中的校準系數，從原始數據計算出修正的壓力與溫度測量數據。該數字壓力傳感器供電電源為直流2.7～5.5 V，使用與NXP的I2C總線兼容的串行接口通信。

安全微控制器通過I2C接口與數字壓力傳感器相連，不僅可以讀取溫度與壓力的原始數據，也可以讀取存儲在串口EEPROM中的校準系數。TMS570LS1114安全微控制器的I2C多主機通信模塊兼容I2C總線規范V2.1。數字壓力傳感器為7位尋址方式，通信速率為100 kb/s。

2 高可靠性設計

2.1 微控制器安全策略

TMS570系列安全微控制器采用了被稱為“安全島”的通用安全架構理念，以此分配硬件與軟件診斷，實現安全管理與應用成本之間的平衡[3]。“安全島”方法將微控制器組件分為內核組件與其他組件：內核組件是所有微控制器操作所必須的邏輯電路，運行硬件診斷安全機制；其他組件包含外設等部件，運行軟件診斷安全機制。一旦微控制器診斷檢測到某個錯誤時，微控制器的外設錯誤信號模塊(Error Signaling Module, ESM)將該錯誤傳遞給其他組件或軟件，開發人員確定如何響應錯誤。

“安全島”方法將微控制器的各種錯誤狀況按嚴重性分為3組。如圖2所示，錯誤組1(如外設隨機存儲器奇偶校驗錯誤)的嚴重程度最低，對來自硬件診斷錯誤組1的錯誤通道信號，用戶可以選擇是否使能中斷并確定中斷優先級，也可以選擇是否使能微控制器的ERROR引腳信號輸出(低電平有效)；錯誤組2(如地址總線奇偶校驗錯誤)的錯誤會產生不可屏蔽的高優先級中斷，同時產生ERROR引腳信號輸出；因為錯誤組3(如互聯總線錯誤)的大多數錯誤會導致CPU直接退出，所以僅產生ERROR引腳信號輸出而不產生中斷。為了方便外設響應，需要ERROR引腳在輸出有效信號時能夠保持一段時間，該低電平保持時間可以自行設定。

圖2 ESM錯誤響應

2.2 出錯風險分析

井下壓力計出錯風險來自電源、微控制器及傳感器等部件。安全微控制器的硬件錯誤可以通過上述“安全島”方法來處理，這里分析傳感器及其通信接口的出錯風險。

所選數字壓力傳感器的傳感器件為石英晶體。晶體表面的污染物或晶格不完美會使其阻抗上升，從而需要更高的驅動電平才能起振，即石英晶體振蕩器在加電時不一定起振。Quartzdyne的數字壓力傳感器使用了一種啟動輔助電路來改善這種失效情況，即在上電的短時間內使用較高的驅動電壓，之后再恢復正常電壓。即便在這種情況下，依然不能保證完全有效，解決的唯一辦法是對其斷電后重新加電。

安全微控制器I2C多主機通信模塊的控制及狀態寄存器數值可能因為干擾或錯誤操作而改變，需要在每次操作前或定期回讀，如發現出錯則重新寫入。

2.3 系統設計

圖3是高可靠性設計相關部分的硬件連接示意圖。

圖3 高可靠性硬件連接示意圖

如圖3所示，安全微控制器的一個通用IO引腳配置為輸出，與同步降壓控制器的EN使能引腳相連，控制數字壓力傳感器的供電。ERROR引腳與冷啟動復位PORRST引腳相連，使用上拉電阻與IO供電電源相連，電容即用于濾波，也用于延遲上電復位。一旦發生硬件診斷錯誤或其他錯誤，ERROR引腳輸出低電平，使PORRST引腳拉低，微控制器進入冷啟動，嘗試修復錯誤。

表1列出了錯誤原因及相應初始化動作。

表1 錯誤原因及初始化動作

由于實時性要求不高，在初始化過程中，這些動作逐一進行。壓力數據讀取錯誤時可使用冗余讀取的三選二策略判定結果，無需初始化。僅當多次讀取出錯才需冷啟動，只需向安全微控制器的ESM錯誤鍵值寄存器(ESM Error Key Register, ESMEKR)寫入0x05即可使ERROR引腳輸出低電平。其他錯誤一般不需要冷啟動來處理。

3 初始化及驅動代碼生成

為了縮短產品研發時間，德州儀器提供了基于圖形用戶界面的硬件抽象層代碼生成器HALCoGen開發工具，可生成初始化、配置及驅動代碼[4]。

新建項目并選擇TMS570LS1114及開發工具，即可開始配置。以I2C多主機通信模塊為例，在“Driver Enable”標簽頁中勾選“Enable I2C driver”使能該模塊。在“I2C”標簽頁可以配置模塊，如圖4所示。

圖4 使用HalCoGen配置I2C模塊

生成代碼包含頭文件i2c.h及代碼文件i2c.c。包含初始化函數i2cInit、速率設定函數i2cSetBaudrate、發送字節函數i2cSendByte等。具體實現可參考相關文檔[5]。

4 結論

本文設計的基于TMS570的高可靠性隨鉆井下壓力計能夠自動嘗試消除數字壓力傳感器的石英晶體起振故障，也可以自動處理其他硬件及軟件錯誤，具有較高可靠性。通過降低數據采集故障率可以減少起鉆次數，能夠節省時間和人力物力，具有較高的經濟效益。

[1] TEXAS INSTRUMENTS. TMS570LS1114 16- and 32-bit RISC Flash microcontroller (SPNS188B) [Z]. 2015.

[2] QUARTZDYNE, Inc. Operating manual for digital pressure transducer (DigitalTransProg201206) [Z]. 2012.

[3] TEXAS INSTRUMENTS. Safety Manual for TMS570LS12x and 11x HerculesTMARM?-based safety critical microcontrollers user’s guide (SPNU550A) [Z]. 2014.

[4] TEXAS INSTRUMENTS. HALCoGen TMS570LS31x help 04.05.00 [N]. 2015.

[5] 楊帆.基于I2C接口EEPROM讀寫控制器設計[J].微型機與應用,2015,34(10):22-24.

Apressure gauge while drilling with high reliability based on TMS570

Hu Yongjian1, Hu Huanzhen2, Huang Yanfu1

(1. Beijing Petroleum Machinery Co., CNPC Drilling Research Institute, Beijing 100083, China;2.College of Geosciences, China University of Petroleum-Beijing, Beijing 102249, China)

A type of pressure gauge with high reliability is designed in order to measure downhole pressure while drilling. Suitable microcontroller and pressure sensor are chosen to meet high temperature and high pressure environments. Possible failure risks of components are analyzed to achieve valid solutions. This pressure gauge can automatically deal with hardware and software errors of microcontroller and digital pressure transducer with assistant of safe island philosophy and architecture partition within safety critical microcontroller to ensure work reliability. It is a feasible design which can apparently reduce pulling out times to cut the cost in oil drilling field.

TMS570; safety critical microcontroller; reliability; pressure gauge

TH812

A

1674-7720(2016)02-0023-02

胡永建，胡寰臻，黃衍福. 基于TMS570的高可靠性隨鉆壓力計[J] .微型機與應用，2016,35(2)：23-24,27.

2015-10-23)

胡永建(1970-)，通信作者，男，碩士，高級工程師，主要研究方向：石油鉆井井下儀器。E-mail:huyongjian32788@163.com。

胡寰臻(1995-)，男，本科生，主要研究方向：地下油氣藏勘探開發。

黃衍福(1961-)，男，教授級高級工程師，主要研究方向：石油鉆井裝備與設備。