一种工程机械控制器SIL解决的方案.docVIP

一种工程机械控制器SIL解决的方案 　　【摘 要】本文通过对引入汽车电子安全SIL认证等级，阐述了工程机械电子产品满足SIL认证的迫切性，进而介绍基于CIC61508芯片的工程机械控制器的安全控制解决方案，通过对CIC61508各个功能模块的介绍，提出了在工程机械领域应用的例子，对实现工程机械电子设备安全提供一个重要的设计参考依据。 　　【关键词】SIL；CIC61508；安全 　　随着现代化高科技的应用，工业事故对社会的影响越来越受到人们的重视；更多的人意识到安全的重要性并且做更多的工作以降低事故发生的概率和提高产品的安全性能，从而更好的为人们服务。SIL认证的过程就是帮助企业把最好的工程实践经验和安全技术（IEC61508和IEC61511）充分利用，避免工业事故的发生。IEC61508将SIL划分为4级，即SIL1，SIL2，SIL3和SIL4，级别越高要求其危险失效概率越低[1][2]。目前大部分工程机械控制器都没有通过SIL认证，但随着人们对安全的重视和中国企业进军国际的需要，各控制器厂家和主机厂开始向SIL认证制定的标准规范靠拢。 　　工程机械控制器主要由电源模块、通信模块、输出驱动模块、输入模块和MCU模块构成，如何对所有模块进行监视让控制器满足SIL认证的要求。本文提出一种基于CIC61508安全监测芯片的解决方案，能解决上述问题。 　　1.系统结构 　　图1中CIC61508是英飞凌（Infineon）公司2011年推出的一款安全监测芯片，它负责对MCU控制行为、供电电压进行监控，在出现错误时，可以触发MCU的复位，甚至可以对外围电路进行紧急保护[2]。下面就CIC61508的工作原理做详细介绍。 　　2.CIC61508及其构成 　　CIC61508包含如下几个模块单元：序列测试生成器、数据比较器，任务监控，4路电源电压监控模块、CIC61508与MCU之间通信监控。 　　CIC61508通过8个独立的Pass counters（监控计数器）对上述的8个模块进行独立的计数，计数范围0x01到0x80，当被监控信号正常时，计数加1，异常时计数减1。当计数小于0x40时，CIC61508的系统状态将发生改变。CIC61508将根据当前进入的系统状态执行动作相应的动作；当计数大于或者等于0x40时，系统将保持原状态。 　　2.1序列测试生成器 　　序列测试生成器是负责校验主控芯片应答数据，CIC61508每隔一段时间发送给主控芯片一个预定义的“问题”，主控芯片收到“问题”后，需要根据预定义的“答复”表选择正确的“答复”，序列测试生成器在接收到主控器的“答复”后，与CIC61508内置的静态表进行比较，判断主控芯片是否正确应答，从而决定Pass counters对应的寄存器计数是增加还是减少。 　　2.2电源电压监控 　　电源电压监控模块可以同时监控4路电源电压，每一路都有独立的Pass counters。使用这个模块首先需要对NVM模块得电压范围进行配置，电源电压监控模块在设定的每个节拍中对当前电压进行采样，采样精度为10位，当采样值落在设定范围时，对应的Pass counters计数加1，否则Pass counters计数减1。 　　2.3任务监控 　　CIC61508提供任务监控功能用于监控主控芯片实时多任务情况下，任务队列的正确性以及任务执行时间是否超时。它支持8个任务超时监控以及255个任务的队列监控。 　　通过SPI总线，由主控制芯片按照任务起始时间、任务中止时间、任务ID等信息逐个发给CIC61508，CIC61508通过计算任务执行时间和任务序列是否正确，来判断Pass counters是否加1或者减1。 　　2.4数据比较器 　　CIC61508提供8个32bit数据比较器，主控制芯片通过SPI发送2个不同进程的数据进行比较，可以有三种””、”=”、””判断标准，当比较的2个数据符合预定标准时，Pass counters加1，否则减1。 　　2.5安全通道控制 　　CIC61508除了提供监控以及复位信号外，还提供3个引脚作为安全控制引脚，分别是SYSDISA、SYSDISB和SYSDISC，这三个引脚可以独立的在CIC61508的任意State中被定义为High或者Low，即在每1个State他们对应的NVM中的控制内存地址都是独立的。 　　这三个引脚可以承担当主控制芯片失效时，系统的安全输出，对保证系统的安全起来关键作用。 　　3.工程机械应用 　　在工程机械中，面对故障情况，一般分为2种措施： 　　（1）保持原来控制状态不变，待故障消除。例如图3的负载2； 　　（2）强制机器进入某种制定安全状态，待故障消除，例如图3的负载1。 　　针对这