淺談一種滿足功能安全標(biāo)準(zhǔn)的工程機(jī)械安全控制器研發(fā)過程

摘? 要：本文介紹一種工程機(jī)械安全控制器的研發(fā)過程，其研發(fā)過程及安全控制器滿足IEC 61508 SIL2 標(biāo)準(zhǔn)以及ISO13849 PL d，Cat.3類架構(gòu)要求。該控制器支持雙核控制：控制核心和診斷核心，控制核心負(fù)責(zé)基本控制功能，診斷核心負(fù)責(zé)診斷功能，二者可通過SPI總線進(jìn)行數(shù)據(jù)交互。硬件設(shè)計(jì)中電源部分實(shí)現(xiàn)過壓和欠壓等異常狀態(tài)的自動(dòng)檢測(cè)，模擬量和數(shù)字量輸入通道滿足1oo2架構(gòu)（ISO 13849）要求，功率輸出通道具備兩條關(guān)閉路徑，固件部分的安全與非安全相關(guān)功能底層軟件完全隔離，提高控制器的可靠性。

關(guān)鍵詞：功能安全;工程機(jī)械控制器;安全完整性

中圖分類號(hào)：TP391? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? 文章編號(hào)：2096-6903（2020）02-0000-00

1 研究背景

近年來，市場(chǎng)對(duì)機(jī)械的功能安全要求逐漸提高，機(jī)械數(shù)字化和自動(dòng)化發(fā)展趨勢(shì)為機(jī)械的功能安全技術(shù)帶來新的機(jī)遇與挑戰(zhàn)，因此機(jī)械設(shè)備必須針對(duì)相關(guān)技術(shù)風(fēng)險(xiǎn)進(jìn)行保護(hù)，確保機(jī)械設(shè)備或其控制系統(tǒng)的安全功能在任何情況下都能夠保證其功能的正常實(shí)現(xiàn)[1]。

功能安全的國際標(biāo)準(zhǔn)包括IEC 61508和ISO13849，前者是功能安全領(lǐng)域的母標(biāo)準(zhǔn)，按照安全完整性等級(jí)分為SIL1-SIL4四個(gè)等級(jí)[2]，后者是控制系統(tǒng)安全標(biāo)準(zhǔn)，按照性能等級(jí)分為PL a-PL e五個(gè)等級(jí)，按照架構(gòu)分為Cat.b，Cat.1-Cat.4五種架構(gòu)，本文描述的安全控制器滿足IEC 61508 SIL2和ISO13849 PL d，Cat.3功能安全標(biāo)準(zhǔn)要求。

2 控制器硬件設(shè)計(jì)

控制器硬件設(shè)計(jì)框圖如圖1所示。主MCU是控制核心，選擇德州儀器的TMS570，該芯片滿足PL e和SIL3的安全要求。為了滿足ISO13849-1中Cat.3架構(gòu)需求，需要增加一個(gè)額外的MCU完成診斷功能，此處選擇TI的STM32作為輔助芯片。所有安全功能都在TMS570中實(shí)現(xiàn)，STM32則進(jìn)行額外的必要診斷，但不運(yùn)行安全功能本身，根據(jù)RFU CNB/M/11.059要求，STM32只需根據(jù)SIL1要求開發(fā)即可。TMS570和STM32之間通過SPI總線進(jìn)行數(shù)據(jù)交互。

電源部分分別給主MCU和診斷MCU供電，同時(shí)兩個(gè)MCU分別監(jiān)控電源。模擬輸入和數(shù)字輸入信號(hào)分別傳輸?shù)街鱉CU和診斷MCU，然后通過兩個(gè)MCU之間的通信比較該類信號(hào)，關(guān)于控制輸出，所有的輸出通道都有兩個(gè)關(guān)閉路徑。

外部電源正常情況下為+24V，通過DC轉(zhuǎn)DC降壓轉(zhuǎn)換器在電路板上會(huì)分別實(shí)現(xiàn)+12V，+5V，+3.3V，+1.2V供電，每種電源分別對(duì)應(yīng)不同供電域。所有的電源分別由主MCU，診斷MCU和離散電路進(jìn)行監(jiān)控，當(dāng)三者中任一部分檢測(cè)異常時(shí)，關(guān)閉系統(tǒng)電源。電源示意圖如圖2所示。

信號(hào)輸入部分，數(shù)字量輸入和模擬量輸入均采用雙通道設(shè)計(jì)，但對(duì)外只有一個(gè)用戶終端，如圖3所示。該設(shè)計(jì)采用冗余而不是動(dòng)態(tài)測(cè)試的思路實(shí)現(xiàn)異常狀態(tài)的檢測(cè)，符合1oo2架構(gòu)，硬件故障裕度HFT=1，以保證開路、與地短路或與電源短路等任意單點(diǎn)故障的發(fā)生不會(huì)造成功能失效，上拉電路同樣設(shè)計(jì)為冗余檢測(cè)，各分支電路都有解耦控制，輸入端有保護(hù)電路，以上措施可有效提高控制器的硬件可靠性。

MOSFET用于產(chǎn)生數(shù)字量輸出或PWM輸出功率信號(hào)，最大輸出電流可達(dá)到2.5A。每個(gè)通道有2個(gè)MOSFET，一個(gè)由主MCU控制，另一個(gè)由診斷MCU控制。一般情況下，主MCU實(shí)現(xiàn)正常功能，診斷MCU在檢測(cè)到故障時(shí)具有關(guān)閉通道的能力。輸出設(shè)計(jì)示意圖如圖4所示。

3 控制器軟件設(shè)計(jì)

圖5所示顯示了控制器的軟件架構(gòu)，主MCU軟件包括兩部分：一部分是CODESYS SIL2 Runtime，實(shí)現(xiàn)Codesys集成;另一部分是包含所有外設(shè)驅(qū)動(dòng)程序以及所有診斷和自檢功能的固件程序，兩部分可進(jìn)行數(shù)據(jù)交互。此外，主MCU和診斷MCU之間也可進(jìn)行數(shù)據(jù)交互，數(shù)據(jù)包括同步數(shù)據(jù)、錯(cuò)誤信號(hào)、復(fù)位信號(hào)、看門狗信號(hào)和CRC校驗(yàn)信息。

固件部分包含兩套獨(dú)立的運(yùn)行系統(tǒng)：安全相關(guān)部分和非安全相關(guān)部分，二者獨(dú)立運(yùn)行，可保證非安全相關(guān)部分的程序不會(huì)影響安全相關(guān)部分，應(yīng)用層的操作也不會(huì)影響到安全相關(guān)的底層，可有效避免因編程經(jīng)驗(yàn)不足或者對(duì)被控對(duì)象不熟悉造成的程序跑飛或者硬件端口損壞等異常問題，保障整車和人員安全。

軟件部分包括若干個(gè)不同的工作模式，如圖6所示，這些模式可用于兩個(gè)MCU，但由于任務(wù)不同，各模式在每個(gè)MCU中有不同的實(shí)現(xiàn)方式。該模式包括Bootloader模式、自檢模式、初始化模式、同步模式、操作模式和調(diào)試模式。

軟件啟動(dòng)后，首先檢測(cè)是否更新底層固件，如果需要更新，則進(jìn)入Bootloader模式，否則進(jìn)入自檢模式，進(jìn)行全面自檢，自檢成果后進(jìn)入初始化模式。在初始化模式，首先初始化MCU的所有外圍設(shè)備，然后加載初始數(shù)據(jù)并檢查其有效性，之后檢查主MCU和診斷MCU的軟件版本是否兼容，如果無異常，則進(jìn)入同步模式，同步模式用來檢測(cè)主MCU和診斷MCU是否同步，無異常則進(jìn)入操作模式，操作模式是控制器正常工作模式。整個(gè)過程中如果發(fā)生異常則進(jìn)入安全模式。

4 結(jié)語

本文介紹了一種滿足功能安全標(biāo)準(zhǔn)要求的工程機(jī)械安全控制器的開發(fā)過程，主要包括硬件設(shè)計(jì)和軟件設(shè)計(jì)。該設(shè)計(jì)的重點(diǎn)不僅在于功能的實(shí)現(xiàn)，更在于將功能安全作為設(shè)計(jì)的首要目標(biāo)，此外與標(biāo)準(zhǔn)控制器相比，該控制器在惡劣環(huán)境下具有更好的性能和更高的可靠性。

參考文獻(xiàn)

[1] 靳江紅，吳宗之，胡玢.對(duì)功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC61508的研究[J].中國安全生產(chǎn)科學(xué)技術(shù)，2009，5（2）：71-75.

[2] 史學(xué)玲，馮曉升.功能安全與安全完整性等級(jí)綜述[J].自動(dòng)化博覽，2013（3）：24-27.

收稿日期：2020-01-06

作者簡介：安卡（1988—），男，山東菏澤人，碩士，工程師，研究方向：工程機(jī)械智能控制、嵌入式開發(fā)。