屈省源

摘要：針對近幾年自動扶梯發(fā)生的嚴(yán)重安全事故，本文按照電氣/電子/可編程電子安全相關(guān)系統(tǒng)功能安全標(biāo)準(zhǔn)IEC6150，研究了雙機(jī)冗余系統(tǒng)的硬件冗余技術(shù)和方法，提出了基于雙機(jī)熱備份的高可靠性自動扶梯安全控制器的雙CPU的系統(tǒng)方案，重點(diǎn)介紹了硬件總體設(shè)計(jì)方案，同時(shí)提出了一種典型的仲裁電路和看門狗電路的設(shè)計(jì)方案。

關(guān)鍵詞：自動扶梯 安全控制器 冗余系統(tǒng)

中圖分類號：TU857 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2016）07-0007-01

近年來，自動扶梯系統(tǒng)在使用中，由于電子元器件的故障和誤動作，發(fā)生了一系列的安全事故，造成了極大的傷亡事故和財(cái)產(chǎn)損失。為了避免此類事故的再次發(fā)生，國家質(zhì)檢總局在GB 16899-2011《自動扶梯和自動人行道的制造與安裝安全規(guī)范》明確要求在自動扶梯和自動人行道系統(tǒng)中要安裝能直接監(jiān)控自動扶梯和自動人行道運(yùn)行的安全控制器?；诎踩刂破鳂?gòu)建的安全相關(guān)系統(tǒng)獨(dú)立于過程控制系統(tǒng)，能夠在危險(xiǎn)事件發(fā)生之前正確地執(zhí)行其安全功能，避免造成重大人員傷亡和財(cái)產(chǎn)損失，是保障生產(chǎn)安全的重要措施。

可靠性高是安全控制器的主要特點(diǎn)，一般采用冗余技術(shù)實(shí)現(xiàn)。安全控制器的冗余技術(shù)主要有軟件冗余和硬件冗余。目前硬件冗余所包含的種類主要有四種：電源的冗余、控制器冗余、通信網(wǎng)絡(luò)的冗余和I/O模塊的冗余。硬件冗余切換速度比較快，雖然在成本上有所增加，但是對于安全控制器而言還是可以接受的。

本文主要提出了一種基于STM32F106的具有容錯(cuò)技術(shù)的雙CPU安全控制器的硬件設(shè)計(jì)方案。

1 整體設(shè)計(jì)方案

本文所提出的安全控制器的總體方案如圖1所示。

該控制器主要包含的硬件冗余技術(shù)有：（1）控制器冗余；（2）最小系統(tǒng)及報(bào)警裝置冗余；（3）接口模塊冗余。每個(gè)控制器都連接一個(gè)接口模塊，接口模塊都連接到總線上，控制器之間會定時(shí)發(fā)送心跳信號以確保對方是否處于正常工作狀態(tài)，每個(gè)工作周期都會進(jìn)行數(shù)據(jù)傳輸，在數(shù)據(jù)的末端會添加CRC校驗(yàn)符，確保數(shù)據(jù)傳輸?shù)恼_性與完整性。

當(dāng)出現(xiàn)如下故障時(shí)控制器會切換或報(bào)警：（1）掉電；（2）控制器本身出現(xiàn)硬件故障；（3）接口模塊出現(xiàn)故障。

當(dāng)備控制器與主控制器的通訊出現(xiàn)問題時(shí)，備控制器將通過與主控制器之間的所有連接進(jìn)行最終的確認(rèn)，若所有通訊方式均無效，則可以認(rèn)定主控制器目前可能掉電，備控制器將報(bào)警并將相應(yīng)的故障指示燈點(diǎn)亮。若通過檢測發(fā)現(xiàn)接口模塊工作正常而控制器工作不正常，則說明可能出現(xiàn)故障（2），此時(shí)備控制器將報(bào)警并點(diǎn)亮相應(yīng)的故障指示燈。兩個(gè)接口模塊通訊或接口模塊檢測總線數(shù)據(jù)時(shí)，如若備用接口模塊發(fā)現(xiàn)主接口模塊出現(xiàn)問題，將通知備用控制器，備用控制器再請求主控制器做判斷。

2 仲裁電路設(shè)計(jì)

仲裁電路是冗余控制器的關(guān)鍵之一。主要確保主控制器和備用控制器的正確切換。本控制器采用的仲裁電路如圖2所示。

其中F_CPU_A和F_CPU_B分別是主、備用CPU的狀態(tài)信號。 EN_CPU_A和EN_CPU_B分別是主、備用CPU的使能信號。S是手動切換開關(guān)。由于主CPU和備用CPU是完全對稱的結(jié)構(gòu)和功能，所以可以用S切換開關(guān)確定工作的CPU。

如果S接到高電平VCC，則默認(rèn)是主CPU先工作。當(dāng)主CPU故障時(shí)，F(xiàn)_CPU_A為高電平，則EN_CPU_A信號無效，EN_CPU_B使能信號有效，備用CPU工作。當(dāng)2個(gè)CPU都故障時(shí)，則電路完全不工作。

3 看門狗電路設(shè)計(jì)

安全控制器中CPU是核心部件。為了能有效監(jiān)測CPU的工作狀態(tài)，本控制器在電路上也做了硬件看門狗設(shè)計(jì)。硬件看門狗的結(jié)構(gòu)圖如圖3所示。

本控制器采用SP706作為看門狗電路的主芯片。具有復(fù)位輸出、低電壓監(jiān)測和手動復(fù)位等功能。

在上電的過程中，當(dāng)Vcc達(dá)到1V，RESET將為一個(gè)穩(wěn)定的邏輯低電平，一般為0.4V或者更低。當(dāng)Vcc升高后，RESET將保持LOW。當(dāng)Vcc超過復(fù)位閥值時(shí)，一個(gè)內(nèi)部定時(shí)器將產(chǎn)生200ms 的RESET信號。當(dāng)Vcc跌至復(fù)位閥值以下時(shí)，RESET保持低電平。如果在初始化復(fù)位的過程中產(chǎn)生掉電，復(fù)位脈沖將至少持續(xù)140ms。在下電的過程中，當(dāng)Vcc跌至復(fù)位閥值以下，RESET將保持為LOW，并穩(wěn)定在0.4V或更低，直到Vcc低于1V。

在+5V穩(wěn)壓器產(chǎn)生壓差之前，選擇分壓比使PFI上的電壓降至1.25V以下。使用PPFO以中斷CPU，這樣可以監(jiān)測CPU的工作電壓。

4 結(jié)語

采用冗余技術(shù)是保證安全控制器可靠工作的技術(shù)之一。本文主要討論了安全控制器的硬件設(shè)計(jì)方案。采用硬件看門狗技術(shù)能進(jìn)一步提高控制器的工作可靠性。

參考文獻(xiàn)

[1]IEC61508，F(xiàn)unetionalSafetyofEleetrieaFElectrirogrammablee

leetrieSafety-RelatedSystelns [S].

[2]李哲毓，崔逸群，田園等.現(xiàn)場總線控制器冗余功能設(shè)計(jì)與實(shí)現(xiàn)[J].熱力發(fā)電，2014（2）：93-95.

[3]Ran L，Junfeng W，Haiying W. Design method of CAN BUS network communication structure for electric vehicle[C].Strategic Technology （IFOST）， 2010International Forum on. IEEE， 2010：326-329.