一种满足功能安全标准的工程机械安全控制器研发过程毕业论文

1、毕业设计（论文）报告题 目 学 院 学 院 专 业 学生姓名 学 号 年级 级 指导教师 毕业教务处制表毕业学生姓名： xx填写 学号： xx填写 专业： xx填写 毕业设计（论文）题目： 指导教师意见：（请对论文的学术水平做出简要评述。包括选题意义；文献资料的掌握；所用资料、实验结果和计算数据的可靠性；写作规范和逻辑性；文献引用的规范性等。还须明确指出论文中存在的问题和不足之处。） 指导教师结论： （合格、不合格）指导教师姓名所在单位指导时间毕业设计（论文）评阅教师评阅意见表 学生姓名： xx填写 学号： xx填写 专业： xx填写 毕业设计（论文）题目： 农村宅基地测量技术研究 评阅意见：

2、（请对论文的学术水平做出简要评述。包括选题意义；文献资料的掌握；所用资料、实验结果和计算数据的可靠性；写作规范和逻辑性；文献引用的规范性等。还须明确指出论文中存在的问题和不足之处。）修改意见：（针对上面提出的问题和不足之处提出具体修改意见。评阅成绩合格，并可不用修改直接参加答辩的不必填此意见。）毕业设计（论文）评阅成绩 （百分制）： 评阅结论： （同意答辩、不同意答辩、修改后答辩）评阅人姓名所在单位评阅时间论文原创性声明本人郑重声明：本人所呈交的本科毕业论文农村宅基地测量技术研究，是本人在导师的指导下独立进行研究工作所取得的成果。论文中引用他人的文献、资料均已明确注出，论文中的结论和结果为本人

3、独立完成，不包含他人成果及使用过的材料。对论文的完成提供过帮助的有关人员已在文中说明并致以谢意。本人所呈交的本科毕业论文没有违反学术道德和学术规范，没有侵权行为，并愿意承担由此而产生的法律责任和法律后果。 论文作者（签字）： xx填写日期：xx填写年月日题目：一种满足功能安全标准的工程机械安全控制器研发过程摘? 要：本文介绍一种工程机械安全控制器的研发过程，其研发过程及安全控制器满足IEC 61508 SIL2 标准以及ISO13849 PL d，Cat.3类架构要求。该控制器支持双核控制：控制核心和诊断核心，控制核心负责基本控制功能，诊断核心负责诊断功能，二者可通过SPI总线进行数据交互。硬

4、件设计中电源部分实现过压和欠压等异常状态的自动检测，模拟量和数字量输入通道满足1oo2架构（ISO 13849）要求，功率输出通道具备两条关闭路径，固件部分的安全与非安全相关功能底层软件完全隔离，提高控制器的可靠性。关键词：功能安全;工程机械控制器;安全完整性1 研究背景近年来，市场对机械的功能安全要求逐渐提高，机械数字化和自动化发展趋势为机械的功能安全技术带来新的机遇与挑战，因此机械设备必须针对相关技术风险进行保护，确保机械设备或其控制系统的安全功能在任何情况下都能够保证其功能的正常实现1。功能安全的国际标准包括IEC 61508和ISO13849，前者是功能安全领域的母标准，按照安全完整性

5、等级分为SIL1-SIL4四个等级2，后者是控制系统安全标准，按照性能等级分为PL a-PL e五个等级，按照架构分为Cat.b，Cat.1-Cat.4五种架构，本文描述的安全控制器满足IEC 61508 SIL2和ISO13849 PL d，Cat.3功能安全标准要求。2 控制器硬件设计控制器硬件设计框图如图1所示。主MCU是控制核心，选择德州仪器的TMS570，该芯片满足PL e和SIL3的安全要求。为了满足ISO13849-1中Cat.3架构需求，需要增加一个额外的MCU完成诊断功能，此处选择TI的STM32作为辅助芯片。所有安全功能都在TMS570中实现，STM32则进行额外的必要诊断

6、，但不运行安全功能本身，根据RFU CNB/M/11.059要求，STM32只需根据SIL1要求开发即可。TMS570和STM32之间通过SPI总线进行数据交互。电源部分分别给主MCU和诊断MCU供电，同时两个MCU分别监控电源。模拟输入和数字输入信号分别传输到主MCU和诊断MCU，然后通过两个MCU之间的通信比较该类信号，关于控制输出，所有的输出通道都有两个关闭路径。外部电源正常情况下为+24V，通过DC转DC降压转换器在电路板上会分别实现+12V，+5V，+3.3V，+1.2V供电，每种电源分别对应不同供电域。所有的电源分别由主MCU，诊断MCU和离散电路进行监控，当三者中任一部分检测异常

7、时，关闭系统电源。电源示意图如图2所示。信号输入部分，数字量输入和模拟量输入均采用双通道设计，但对外只有一个用户终端，如图3所示。该设计采用冗余而不是动态测试的思路实现异常状态的检测，符合1oo2架构，硬件故障裕度HFT=1，以保证开路、与地短路或与电源短路等任意单点故障的发生不会造成功能失效，上拉电路同样设计为冗余检测，各分支电路都有解耦控制，输入端有保护电路，以上措施可有效提高控制器的硬件可靠性。MOSFET用于产生数字量输出或PWM输出功率信号，最大输出电流可达到2.5A。每个通道有2个MOSFET，一个由主MCU控制，另一个由诊断MCU控制。一般情况下，主MCU实现正常功能，诊断MCU

8、在检测到故障时具有关闭通道的能力。输出设计示意图如图4所示。3 控制器软件设计图5所示显示了控制器的软件架构，主MCU软件包括两部分：一部分是CODESYS SIL2 Runtime，实现Codesys集成;另一部分是包含所有外设驱动程序以及所有诊断和自检功能的固件程序，两部分可进行数据交互。此外，主MCU和诊断MCU之间也可进行数据交互，数据包括同步数据、错误信号、复位信号、看门狗信号和CRC校验信息。固件部分包含两套独立的运行系统：安全相关部分和非安全相关部分，二者独立运行，可保证非安全相关部分的程序不会影响安全相关部分，应用层的操作也不会影响到安全相关的底层，可有效避免因编程经验不足或者

9、对被控对象不熟悉造成的程序跑飞或者硬件端口损坏等异常问题，保障整车和人员安全。软件部分包括若干个不同的工作模式，如图6所示，这些模式可用于两个MCU，但由于任务不同，各模式在每个MCU中有不同的实现方式。该模式包括Bootloader模式、自检模式、初始化模式、同步模式、操作模式和调试模式。软件启动后，首先检测是否更新底层固件，如果需要更新，则进入Bootloader模式，否则进入自检模式，进行全面自检，自检成果后进入初始化模式。在初始化模式，首先初始化MCU的所有外围设备，然后加载初始数据并检查其有效性，之后检查主MCU和诊断MCU的软件版本是否兼容，如果无异常，则进入同步模式，同步模式用来检测主MCU和诊断MCU是否同步，无异常则进入操作模式，操作模式是控制器正常工作模式。整个过程中如果发生异常则进入安全模式。4 结语本文介绍了一种满足功能安全标准要求的工程机械安全控制器的开发过程，主要包括硬件设计和软件设计。该设计的重点不仅在于功能的实现，更在于将功能安全作为设计的首要目标，此外与标准控制器相比，该控制器在恶劣环境下具有更好的性能和更高的可靠性。参考文献1 靳江红，吴宗之，胡玢.对功能安全基础