基于國際標(biāo)準(zhǔn)IEC61496-1/2（Type 4）安全光幕的軟核設(shè)計(jì)

王學(xué)軍，邵光存，李英杰，韓長偉，王 輝，邵學(xué)濤

（濟(jì)寧科力光電產(chǎn)業(yè)有限責(zé)任公司，山東 濟(jì)寧 272000）

安全光幕又稱為電敏防護(hù)裝置（ESPE），由發(fā)射、接收檢測光信號的敏感元件、控制單元和輸出電路組成，是為達(dá)到保護(hù)脫扣或敏感功能而協(xié)同工作的一組元器件組合[1]。安全光幕具有安全性高、響應(yīng)時(shí)間短、非接觸性檢測、自動化程度高等特性，被廣泛應(yīng)用于工業(yè)現(xiàn)場需要人身防護(hù)的高危場所。

為防止安全光幕故障導(dǎo)致危險(xiǎn)失效，國際電工委員會（IEC）在1997年頒布產(chǎn)品標(biāo)準(zhǔn)IEC 61496-1/2，定義電敏防護(hù)裝置是用于人身防護(hù)的安全相關(guān)系統(tǒng)的一部分，規(guī)定了設(shè)計(jì)開發(fā)、制造和試驗(yàn)的總體要求。隨著工業(yè)發(fā)展和功能安全的需求，標(biāo)準(zhǔn)多次更新，現(xiàn)已執(zhí)行V3.0版，與其他功能安全標(biāo)準(zhǔn)IEC 61508、IEC 62061和ISO 13849共同規(guī)定，用于人身防護(hù)的Type4型安全光幕需要達(dá)到以下特性：類別Cat4，系統(tǒng)診斷覆蓋率DC≥99%，性能等級PLe，每小時(shí)失效概率PFHD=10-8～10-7，系統(tǒng)安全完整性等級SIL3[2]，并通過一系列數(shù)據(jù)化指標(biāo)規(guī)定產(chǎn)品的安全特性。國外產(chǎn)品采用高性能專用CPU和高集成度專用光敏元件實(shí)現(xiàn)產(chǎn)品的標(biāo)準(zhǔn)要求，長期壟斷安全光幕的高端市場，國內(nèi)產(chǎn)品因?yàn)樵阅苁芟?，一直無法打破國外品牌的壟斷地位。本文提出基于FPGA設(shè)計(jì)一種專用于安全光幕控制系統(tǒng)的IP軟核，配合簡單的外圍電路，實(shí)現(xiàn)Type4型安全光幕的標(biāo)準(zhǔn)要求。

1 IP核

IP(Intellectual Property)核是具有知識產(chǎn)權(quán)核的集成電路芯核總稱，作為一種已經(jīng)設(shè)計(jì)好的、用代碼形式表現(xiàn)的、經(jīng)驗(yàn)證可以重復(fù)使用的集成電路模塊，被廣泛應(yīng)用于SoC設(shè)計(jì)[3]。根據(jù)硬件描述級不同，IP核分為軟核、固核和硬核3類[4]。軟核通常采用硬件描述語言進(jìn)行功能描述，是可綜合的RTL（Register Transfer Level）級代碼形式，具有靈活性大、移植性好等特點(diǎn)，可以提高系統(tǒng)設(shè)計(jì)性能，縮短短設(shè)計(jì)周期，降低開發(fā)成本[5]。

2 安全光幕軟核設(shè)計(jì)

滿足Type4型安全光幕需求的軟核系統(tǒng)包括接收器主核、從核和發(fā)射器軟核，接收器主核和從核采用相同的功能架構(gòu)組成雙核系統(tǒng)。每個(gè)軟核包括控制模塊、系統(tǒng)通信模塊、掃描模塊、輸出模塊和內(nèi)核通信模塊5部分，如圖1所示。發(fā)射器軟核包括控制模塊、系統(tǒng)通信模塊、掃描模塊和輸入模塊4部分，如圖2所示。接收器軟核產(chǎn)生系統(tǒng)的工作指令，經(jīng)過通信電路發(fā)送到發(fā)射器軟核，協(xié)調(diào)外圍光敏電路工作，形成一一對應(yīng)的檢測光束。接收器的雙核形成主從式結(jié)構(gòu)，獨(dú)立判斷光束的通遮光狀態(tài)，根據(jù)防區(qū)的檢測結(jié)果，兩軟核的輸出模塊分別控制外圍開關(guān)電路工作，組成獨(dú)立的雙通道控制系統(tǒng)。接收器主核和從核的狀態(tài)信息通過內(nèi)核通信模塊實(shí)時(shí)比較，保證接收器雙核工作狀態(tài)的一致性。

圖1 接收器雙核系統(tǒng)結(jié)構(gòu)圖

2.1 接收器主核設(shè)計(jì)

接收器主核產(chǎn)生系統(tǒng)工作指令，通過外部硬件電路協(xié)調(diào)發(fā)射器和接收器工作。主核的控制模塊產(chǎn)生系統(tǒng)的工作指令，包括光束掃描指令、輸出控制指令、系統(tǒng)狀態(tài)檢測指令和雙核狀態(tài)檢測指令，控制內(nèi)部各功能模塊按照特定的時(shí)序工作。系統(tǒng)通信模塊將掃描指令和系統(tǒng)檢測指令發(fā)送到發(fā)射器軟核，并接收發(fā)射器軟核應(yīng)答的狀態(tài)信息，判斷發(fā)射器的工作狀態(tài)和功能請求。掃描模塊根據(jù)掃描指令輸出分頻信號，控制光敏接收電路形成分時(shí)工作的掃描信號鏈，與發(fā)光電路形成一一對應(yīng)的掃描光幕，采用失效斷言技術(shù)接收和判斷受光信號的正確性。為防止外界光干擾引入非法受光信號，或硬件電路故障導(dǎo)致一發(fā)多收或同時(shí)接收等危險(xiǎn)失效，掃描模塊根據(jù)系統(tǒng)檢測指令，周期性輸出檢測信號，動態(tài)檢測移位信號鏈的完整性和接收電路的正確性。輸出模塊根據(jù)輸出控制指令和防區(qū)掃描結(jié)果輸出控制狀態(tài)，控制外圍開關(guān)裝置的工作狀態(tài)，為防止輸出危險(xiǎn)失效或開關(guān)裝置與其他信號短路，輸出的控制信號中調(diào)制動態(tài)檢測信號，周期性檢測輸出狀態(tài)的正確性。內(nèi)核通信模塊將主核的指令信息、掃描狀態(tài)、輸出狀態(tài)和故障檢測狀態(tài)等信息實(shí)時(shí)發(fā)送到從核，并接收從核發(fā)送的相關(guān)信息，采用動態(tài)檢測方法和失效斷言技術(shù)檢測兩核工作狀態(tài)的一致性。軟核內(nèi)部故障或檢測到外圍電路故障時(shí)，輸出模塊進(jìn)入安全狀態(tài)，控制外部電路輸出OFF。

圖2 發(fā)射器軟核系統(tǒng)結(jié)構(gòu)圖

為保證軟核的安全性和可靠性，使系統(tǒng)安全完整性等級達(dá)到SIL3要求，采用IEC 61496中推薦的V模式進(jìn)行開發(fā)，使用IEC 61508中強(qiáng)烈推薦的結(jié)構(gòu)化、模塊化和半形式化等方法實(shí)現(xiàn)軟核功能?？刂颇K的指令信息采用有限狀態(tài)機(jī)（FSM）實(shí)現(xiàn)，F(xiàn)SM可清晰體現(xiàn)事件的執(zhí)行過程和狀態(tài)，準(zhǔn)確描述模型，降低建模難度，有利于掌握系統(tǒng)的動態(tài)特性和結(jié)構(gòu)，方便代碼設(shè)計(jì)和優(yōu)化[6,7]。為提高發(fā)射器、接收器之間通信的安全性和可靠性，通信模塊遵循CAN通信協(xié)議進(jìn)行設(shè)計(jì)。CAN通信具有安全可靠性高、傳輸速率快、抗電磁干擾能力強(qiáng)等特點(diǎn)，傳輸距離10km時(shí)傳輸速率達(dá)到5kbps[8]，更適合用于人身防護(hù)的工業(yè)現(xiàn)場。

2.2 接收器從核設(shè)計(jì)

接收器從核產(chǎn)生與主核相同的工作指令，不參與外圍掃描電路的控制，用于檢測系統(tǒng)的工作狀態(tài)?？刂颇K產(chǎn)生與主核相同的系統(tǒng)工作指令，控制從核內(nèi)部各功能模塊工作。通信模塊采用失效斷言技術(shù)檢測主核發(fā)送的通信信息的正確性，接收發(fā)射器應(yīng)答的狀態(tài)信息，判斷發(fā)射器的工作狀態(tài)和功能請求。掃描模塊根據(jù)掃描指令，產(chǎn)生分頻信號，動態(tài)監(jiān)控主核掃描模塊輸出信號的正確性，接收和處理受光信號，根據(jù)系統(tǒng)檢測指令，動態(tài)檢測掃描信號鏈的完整性和接收電路的正確性。輸出模塊與主核輸出模塊功能相同，根據(jù)輸出控制指令和防區(qū)掃描結(jié)果輸出控制狀態(tài)，控制外圍開關(guān)裝置的工作狀態(tài)，為防止輸出危險(xiǎn)失效或開關(guān)裝置與其他信號短路，輸出與主核時(shí)序不同的調(diào)制信號，動態(tài)檢測輸出狀態(tài)的正確性。內(nèi)核通信模塊將從核的指令信息、掃描狀態(tài)、輸出狀態(tài)和故障檢測狀態(tài)等實(shí)時(shí)發(fā)送到主核，并接收主核發(fā)送的相關(guān)信息，動態(tài)檢測兩核工作狀態(tài)的一致性。接收器主核與從核配合工作，形成1oo2D高診斷覆蓋率的雙通道控制系統(tǒng)。

2.3 發(fā)射器軟核設(shè)計(jì)

發(fā)射器軟核作為接收器軟核的子核，根據(jù)接收器發(fā)送的系統(tǒng)工作指令，協(xié)調(diào)發(fā)射器硬件電路工作。通信模塊接收接收器發(fā)送的系統(tǒng)工作指令，將指令信息發(fā)送到控制模塊，并將控制模塊的應(yīng)答信息發(fā)送到接收器。控制模塊根據(jù)接收的系統(tǒng)工作指令，控制掃描模塊工作，讀取抑制、重啟動等輸入模塊狀態(tài)，將發(fā)射器的工作狀態(tài)通過通信模塊發(fā)送到接收器。掃描模塊根據(jù)掃描指令輸出分頻信號，控制光敏發(fā)射電路形成分時(shí)工作的掃描信號鏈，與受光電路形成一一對應(yīng)的掃描光幕。為防止外界光干擾導(dǎo)致非法光信號，或硬件電路故障導(dǎo)致多發(fā)一收、同時(shí)發(fā)光或恒發(fā)光等危險(xiǎn)失效，掃描模塊根據(jù)系統(tǒng)檢測指令，周期性輸出檢測信號，動態(tài)檢測移位信號鏈的完整性和發(fā)光電路的正確性。輸入模塊采用冗余雙通道技術(shù)采集外部輸入信號，采用失效斷言技術(shù)判斷兩輸入信號的正確性。

3 結(jié)語

采用本文設(shè)計(jì)的IP軟核配合簡單的外圍電路實(shí)現(xiàn)的安全光幕，安全等級達(dá)到Type4，性能等級為PLe，安全完整性等級為SIL3，檢測精度達(dá)到14mm，光束數(shù)量可以無限擴(kuò)展，系統(tǒng)的診斷覆蓋率DC=99.99%，危險(xiǎn)失效概率PFHD=1.21×10-8，單通道危險(xiǎn)失效時(shí)間MTTFd=81.5年，其功能特性和安全特性都達(dá)到世界先進(jìn)水平。本文設(shè)計(jì)的安全光幕軟核獲得2項(xiàng)國家發(fā)明專利，采用本軟核的產(chǎn)品獲得國際權(quán)威認(rèn)證機(jī)構(gòu)TUV的功能安全證書，實(shí)現(xiàn)了Type4型安全光幕的國產(chǎn)化和量產(chǎn)化，打破了國外品牌的安全光幕在高端市場的壟斷地位，極大提高了民族品牌的競爭力，促進(jìn)了我國的工業(yè)安全和功能安全事業(yè)的發(fā)展。

[1] IEC 61496-2012Safety of machinery-Electro-sensitive protective equipment[S].IEC,Geneva,Switzerland,2012.

[2] IEC 61508-2010 Functional safety of electrical/electronic/programmable electronicsafety-related systems [S].IEC,Geneva,Switzerland,2010.

[3] 周 銀，周 潯，陳圣儉，等.基于IEEE Std 1500標(biāo)準(zhǔn)的soc可測性設(shè)計(jì)研究[J].計(jì)算機(jī)測量與控制，2012，20（ 5）：1190-1193.

[4] 馬 娟，陳 嵐，馮 燕，等.用于SoC集成的IP核質(zhì)量評測方法研究[J].微電子學(xué)，2014，44（ 8）：555-558.

[5] 莫太平，王 丹，張明志.基于FPGA的PROFIBUS-DP從站IP軟核的設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用與軟件，2014，31（ 10）：231-233.

[6] 王 欣.基于狀態(tài)機(jī)的移動終端應(yīng)用軟件設(shè)計(jì)[D].上海：上海交通大學(xué)，2007.

[7] 夏宇聞.Verilog數(shù)字系統(tǒng)設(shè)計(jì)教程[M].北京：北京航空航天大學(xué)出版社，2008.

[8] 許文斌，桂武明.基于CAN總線的多參數(shù)測控系統(tǒng)設(shè)計(jì)[J].微計(jì)算機(jī)信息，2010，26（ 14）：61-62.