淺談一種滿足功能安全標準的工程機械安全控制器研發(fā)過程

摘? 要：本文介紹一種工程機械安全控制器的研發(fā)過程，其研發(fā)過程及安全控制器滿足IEC 61508 SIL2 標準以及ISO13849 PL d，Cat.3類架構(gòu)要求。該控制器支持雙核控制：控制核心和診斷核心，控制核心負責基本控制功能，診斷核心負責診斷功能，二者可通過SPI總線進行數(shù)據(jù)交互。硬件設計中電源部分實現(xiàn)過壓和欠壓等異常狀態(tài)的自動檢測，模擬量和數(shù)字量輸入通道滿足1oo2架構(gòu)（ISO 13849）要求，功率輸出通道具備兩條關閉路徑，固件部分的安全與非安全相關功能底層軟件完全隔離，提高控制器的可靠性。

關鍵詞：功能安全;工程機械控制器;安全完整性

中圖分類號：TP391? ? 文獻標識碼：A? ? 文章編號：2096-6903（2020）02-0000-00

1 研究背景

近年來，市場對機械的功能安全要求逐漸提高，機械數(shù)字化和自動化發(fā)展趨勢為機械的功能安全技術帶來新的機遇與挑戰(zhàn)，因此機械設備必須針對相關技術風險進行保護，確保機械設備或其控制系統(tǒng)的安全功能在任何情況下都能夠保證其功能的正常實現(xiàn)[1]。

功能安全的國際標準包括IEC 61508和ISO13849，前者是功能安全領域的母標準，按照安全完整性等級分為SIL1-SIL4四個等級[2]，后者是控制系統(tǒng)安全標準，按照性能等級分為PL a-PL e五個等級，按照架構(gòu)分為Cat.b，Cat.1-Cat.4五種架構(gòu)，本文描述的安全控制器滿足IEC 61508 SIL2和ISO13849 PL d，Cat.3功能安全標準要求。

2 控制器硬件設計

控制器硬件設計框圖如圖1所示。主MCU是控制核心，選擇德州儀器的TMS570，該芯片滿足PL e和SIL3的安全要求。為了滿足ISO13849-1中Cat.3架構(gòu)需求，需要增加一個額外的MCU完成診斷功能，此處選擇TI的STM32作為輔助芯片。所有安全功能都在TMS570中實現(xiàn)，STM32則進行額外的必要診斷，但不運行安全功能本身，根據(jù)RFU CNB/M/11.059要求，STM32只需根據(jù)SIL1要求開發(fā)即可。TMS570和STM32之間通過SPI總線進行數(shù)據(jù)交互。

電源部分分別給主MCU和診斷MCU供電，同時兩個MCU分別監(jiān)控電源。模擬輸入和數(shù)字輸入信號分別傳輸?shù)街鱉CU和診斷MCU，然后通過兩個MCU之間的通信比較該類信號，關于控制輸出，所有的輸出通道都有兩個關閉路徑。

外部電源正常情況下為+24V，通過DC轉(zhuǎn)DC降壓轉(zhuǎn)換器在電路板上會分別實現(xiàn)+12V，+5V，+3.3V，+1.2V供電，每種電源分別對應不同供電域。所有的電源分別由主MCU，診斷MCU和離散電路進行監(jiān)控，當三者中任一部分檢測異常時，關閉系統(tǒng)電源。電源示意圖如圖2所示。

信號輸入部分，數(shù)字量輸入和模擬量輸入均采用雙通道設計，但對外只有一個用戶終端，如圖3所示。該設計采用冗余而不是動態(tài)測試的思路實現(xiàn)異常狀態(tài)的檢測，符合1oo2架構(gòu)，硬件故障裕度HFT=1，以保證開路、與地短路或與電源短路等任意單點故障的發(fā)生不會造成功能失效，上拉電路同樣設計為冗余檢測，各分支電路都有解耦控制，輸入端有保護電路，以上措施可有效提高控制器的硬件可靠性。

MOSFET用于產(chǎn)生數(shù)字量輸出或PWM輸出功率信號，最大輸出電流可達到2.5A。每個通道有2個MOSFET，一個由主MCU控制，另一個由診斷MCU控制。一般情況下，主MCU實現(xiàn)正常功能，診斷MCU在檢測到故障時具有關閉通道的能力。輸出設計示意圖如圖4所示。

3 控制器軟件設計

圖5所示顯示了控制器的軟件架構(gòu)，主MCU軟件包括兩部分：一部分是CODESYS SIL2 Runtime，實現(xiàn)Codesys集成;另一部分是包含所有外設驅(qū)動程序以及所有診斷和自檢功能的固件程序，兩部分可進行數(shù)據(jù)交互。此外，主MCU和診斷MCU之間也可進行數(shù)據(jù)交互，數(shù)據(jù)包括同步數(shù)據(jù)、錯誤信號、復位信號、看門狗信號和CRC校驗信息。

固件部分包含兩套獨立的運行系統(tǒng)：安全相關部分和非安全相關部分，二者獨立運行，可保證非安全相關部分的程序不會影響安全相關部分，應用層的操作也不會影響到安全相關的底層，可有效避免因編程經(jīng)驗不足或者對被控對象不熟悉造成的程序跑飛或者硬件端口損壞等異常問題，保障整車和人員安全。

軟件部分包括若干個不同的工作模式，如圖6所示，這些模式可用于兩個MCU，但由于任務不同，各模式在每個MCU中有不同的實現(xiàn)方式。該模式包括Bootloader模式、自檢模式、初始化模式、同步模式、操作模式和調(diào)試模式。

軟件啟動后，首先檢測是否更新底層固件，如果需要更新，則進入Bootloader模式，否則進入自檢模式，進行全面自檢，自檢成果后進入初始化模式。在初始化模式，首先初始化MCU的所有外圍設備，然后加載初始數(shù)據(jù)并檢查其有效性，之后檢查主MCU和診斷MCU的軟件版本是否兼容，如果無異常，則進入同步模式，同步模式用來檢測主MCU和診斷MCU是否同步，無異常則進入操作模式，操作模式是控制器正常工作模式。整個過程中如果發(fā)生異常則進入安全模式。

4 結(jié)語

本文介紹了一種滿足功能安全標準要求的工程機械安全控制器的開發(fā)過程，主要包括硬件設計和軟件設計。該設計的重點不僅在于功能的實現(xiàn)，更在于將功能安全作為設計的首要目標，此外與標準控制器相比，該控制器在惡劣環(huán)境下具有更好的性能和更高的可靠性。

參考文獻

[1] 靳江紅，吳宗之，胡玢.對功能安全基礎標準IEC61508的研究[J].中國安全生產(chǎn)科學技術，2009，5（2）：71-75.

[2] 史學玲，馮曉升.功能安全與安全完整性等級綜述[J].自動化博覽，2013（3）：24-27.

收稿日期：2020-01-06

作者簡介：安卡（1988—），男，山東菏澤人，碩士，工程師，研究方向：工程機械智能控制、嵌入式開發(fā)。