CN105607578A - 基于Markov判定方法的数控系统硬件安全保护方法及装置 - Google Patents

Abstract

本发明涉及现场总线技术领域，具体的说是一种基于Markov判定方法的数控系统硬件安全保护方法及装置。装置包括内含Microblaze处理器的FPGA，高精度实时时钟RTC，高速数字及模拟量I/O输入电路，I/O输出控制接口电路。步骤包括进行数控系统电源单元、控制单元、数控系统现场总线单元、I/O单元、脉冲输出单元、模拟量输入输出单元的采集计算，利用Markov估计方法计算系统的失效概率，并基于Markov方法实时计算并判定硬件运行状态，在预测到系统安全失效概率达到阈值时，通过启动I/O输出保护信号，实现对系统的保护操作功能，满足对系统的保护要求。本发明具有实现简单，占用资源少的优点。

Description

基于Markov判定方法的数控系统硬件安全保护方法及装置

技术领域

本发明涉及数控装置硬件技术领域，具体的说是一种基于基于Markov判定方法的数控系统硬件安全保护方法及装置。

背景技术

随着机床数控系统及相关技术的发展，高速、高精、复合、智能化加工等成为数控机床的发展趋势，数控机床的功率及加工速度的提高，对与之配套的数控系统及伺服驱动单元的安全性提出了新的需求。数控机床系统在给人们带来高效、快捷和方便的同时，其对设备及人员的潜在危险及其危害性也越来越大，因而机床数控系统等相关控制设备的安全性也变得日益重要。数控系统的安全保护系统是针对数控系统中的数控装置、伺服、主轴、I/O等机床数控设备可能出现的故障进行保护动作的系统，当出现故障时，能够进入安全状态或进行故障消除，最终避免事故的发生或者至少能减少事故给设备、环境和人员造成的危害，确保数控机床的高效、安全加工。由于机床数控系统所包含的数控装置、伺服、主轴、I/O、PLC等不同种类的功能单元模块，系统结构复杂，与系统安全控制相关的控制信号种类多，如急停信号、保护安全开关信号、数控系统现场总线信号、驱动器状态信号、电源状态等，并且这些信号之间的安全判断关联关系复杂，要求安全控制处理必须能够高效、高速、正确的对系统状态做出判断和响应，最终实现避免事故的发生或者减少事故给设备、环境和人员造成的危害。

因此，机床数控系统的安全保护技术是当前国内外数控领域的热门研究课题之一，国外主要数控厂商如西门子、发那科等公司将数控系统安全保护作为一项关键技术及数控系统性能的重要指标，在研制的下一代数控系统、伺服驱动单元、PLC等产品中将安全控制功能作为一个子系统集成到数控系统产品中，并对国内数控系统厂商实施技术封锁。我国目前在数控系统安全保护技术及产品领域尚属空白，针对数控机床安全控制系统等设计与研发，还主要处在借鉴采用国际相关技术的阶段，在国际市场的产品竞争中，无法取得话语权。在机床数控产品出口时，常因控制核心部件及电气控制设备不符合相关安全国际标准而发生禁售或强制更换部件等情况，另一方面，在面向航空航天、汽车制造等领域的高速、大型、重型机床领域，由于我国没有相应的具有安全功能的数控系统等安全控制系统产品，全部需要高价购买国外产品进行配套，经济代价高并经常受到国外技术产品的封锁限制，严重制约我国高档数控系统及数控机床技术及产品的发展。

发明内容

针对现有技术中存在的上述不足之处，本发明要解决的技术问题是提供一种方法简单、高效的针对数控系统硬件的安全保护方法及装置，以面向机床数控系统运行过程中，实现高效、高速、正确的对系统运行状态做出判断和响应，当判断系统将处于故障或危险状态时，在预测到系统安全失效概率达到阈值时，通过启动预编程处理的I/O输出保护信号，实现数控机床加工过程中对系统的保护操作功能，减少事故给设备、环境和人员造成的危害，实现对人身和机床的保护，避免人员的伤亡、设备财产的损失等保护要求。

本发明为实现上述目的所采用的技术方案是：一种基于Markov判定方法的数控系统硬件安全装置，包括：

Microblaze处理器，输入端接收来自总线的总线数据到达指示信号和来自执行同步延时计时器发出的同步信号；输出控制信号分别至高精度实时时钟RTC、高速数字及模拟量I/O输入电路、I/O输出控制接口电路；并与其进行数据传输；用于完成数字及模拟量信号的采集计算控制，基于Markov方法的系统失效概率计算，系统安全失效概率是否达到阈值的实时计算及判断处理，以及保护操作功能执行控制；

高精度实时时钟RTC，连接Microblaze处理器，用于为Microblaze处理器提供高精度的数字及模拟量信号作为实时采集的启动控制信号；

高速数字信号采集电路，连接Microblaze处理器，输入端接收来自Microblaze处理器的控制信号，用于监测来自数控系统的脉冲输出、运行状态等监测信号；与Microblaze处理器进行数据传输，将采集到的信号发送给Microblaze处理器；

高速模拟信号采集模块，连接Microblaze处理器，输入端接收来自Microblaze处理器的控制信号，用于监测来自数控系统的电源电压、工作电流的模拟量信号，将采集到的信号发送给Microblaze处理器；

I/O输出控制接口电路，连接Microblaze处理器，输入端接收来自Microblaze处理器的控制信号，输出安全控制信号，作为外部紧急停止控制信号，通过启动I/O输出保护信号，实现对系统的保护操作功能，实现错误处理机制，对系统进行保护操作。

所述Microblaze处理器输出的控制信号为启动、停止、锁存的控制信号。

一种基于Markov判定方法的数控系统硬件安全保护方法，其特征在于，包括以下步骤：

建立基于1oo1D一取一诊断结构模型的数控系统内部功能模块关系模型、数控系统故障状态转移图和数控系统的状态转移矩阵P；

计算并判断数控系统安全失效概率PFD及每小时失效概率PFH值；

通过启动I/O输出保护信号，实现对系统的保护操作功能，实现对系统现场保护、以及停机、复位等错误处理机制，对系统进行保护操作。

所述基于1oo1D一取一诊断结构模型的数控系统内部功能模块关系模型包括：电源单元、控制单元、数控系统现场总线单元、I/O单元、脉冲输出单元、模拟量输入输出单元。

所述数控系统故障状态转移图中，数控系统的工作状态分为正常工作状态OK、系统未检测到到危险失效状态FDU及系统检测到的危险失效状态FDD三种状态；当诊断电路诊断到某模块发生危险失效时，装置由状态0转换到状态1；可自动恢复的故障经系统恢复后，装置正常工作，由状态1恢复至状态0；当装置任一部分发生未检测到的危险失效时，由状态0转至状态2。

所述数控系统的状态转移矩阵P为：

$P=\left[\begin{array}{ccc}1-{\mathrm{\λ}}_{\mathrm{DD}}-{\mathrm{\λ}}_{\mathrm{DU}}& {\mathrm{\λ}}_{\mathrm{DD}}& {\mathrm{\λ}}_{\mathrm{DU}}\\ {\mathrm{\μ}}_0& 1-{\mathrm{\μ}}_0& 0\\ 0& 0& 1\end{array}\right]$

其中，μ₀表示装置平均维修时间MTTR的倒数，λ^D、λ^DD、λ^DU分别表示系统安全失效概率、系统检测到的危险失效概率和系统未检测到的危险失效概率。

所述数控系统每个功能单元的要求时的失效概率PFD_i为：

PFD_i＝S₀PⁱS_D,i＝1，2...TI

平均要求时的失效概率：

${\mathrm{PFD}}_{\mathrm{avg}}=\frac{1}{\mathrm{TI}}\underset{i=1}{\overset{\mathrm{TI}}{\mathrm{\Σ}}}{S}_0{P}^i{S}_D,i=\mathrm{1,2}...\mathrm{TI}$

其中，初始向量S₀＝[100]，系统的危险失效状态包括检测到的危险失效及未检测到的危险失效，因此危险失效状态向量S_D＝[011]^T，TI为系统测试周期。

本发明具有以下优点：

1.实现简单。本发明数控系统硬件安全控制及保护方法设计实现简单，该算法不需要存储大量的信息，通过实时采集数控装置中硬件运行的状态信息，并通过实时计算系统的危险失效概率，实现对系统运行状态的判断。

2.占用资源少。数控装置硬件安全控制及保护方法可以通过现场可编程逻辑列阵(FPGA)或IP核的方式设计实现，占用系统硬件资源小，并可以方便的集成到被监控的数控装置中。

3.具有良好的抗干扰性。本方法通过采用基于Markov估计的方法对系统故障及危险评估进行建模，通过计算失效概率的方式对系统的运行状态进行计算判断，可以避免由于数控系统状态信息采集过程中由于干扰等引起的系统误判。

附图说明

图1数控系统功能结构示意图；

图2数控系统1oo1D一取一诊断结构模型图；

图3数控系统安全控制状态转移图；

图4为本发明方法流程图；

图5为本发明装置结构框图。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

本发明一种基于Markov判定方法的数控系统硬件安全保护方法及装置，用于针对数控系统硬件的安全保护方法及装置，以实现高效、高速、正确的对系统运行状态做出判断和响应，当判断系统将处于故障或危险状态时，通过启动I/O输出保护信号，实现对系统的保护操作功能，满足对系统的保护要求。包括以下步骤:

分别对数控系统的电源单元、控制单元、数控系统现场总线单元、I/O单元、脉冲输出单元、模拟量输入输出单元，通过分析系统中各个单元不同工作状态间的转换来计算系统的失效概率，根据图1结构，可以将该系统建立为典型的1oo1D即一取一诊断结构。基于Markov方法，建立数控系统故障状态转移图，其中，数控系统的工作状态分为正常工作状态OK、系统未检测到到危险失效状态FDU及系统检测到的危险失效状态FDD三种状态。当诊断电路诊断到某模块发生危险失效时，装置由状态0转换到状态1；可自动恢复的故障经系统恢复后，装置正常工作，由状态1恢复至状态0；当装置任一部分发生未检测到的危险失效时，由状态0转至状态2。状态转移如图2所示。其中μ₀表示装置平均维修时间MTTR的倒数。

由上述状态转移过程可得装置的状态转移矩阵P为：

$P=\left[\begin{array}{ccc}1-{\mathrm{\λ}}_{\mathrm{DD}}-{\mathrm{\λ}}_{\mathrm{DU}}& {\mathrm{\λ}}_{\mathrm{DD}}& {\mathrm{\λ}}_{\mathrm{DU}}\\ {\mathrm{\μ}}_0& 1-{\mathrm{\μ}}_0& 0\\ 0& 0& 1\end{array}\right]---\left(3\right)$

根据中国国军标GJB/Z299C-2006《电子设备可靠性预计手册》中的数据作为失效数据来源，得到状态转移矩阵P具体求解为：

$P=\left[\begin{array}{ccc}0.999996257& 0.000000411& 0.000003332\\ 0.125& 0.875& 0\\ 0& 0& 1\end{array}\right]---\left(4\right)$

数控装置初始状态为正常工作工作状态，因此行向量第一位为1，剩余位为0，初始向量S₀＝[100]。系统的危险失效状态包括检测到的危险失效及未检测到的危险失效，因此危险失效状态向量S_D＝[011]^T。则数控系统每个功能单元的要求时的失效概率PFD_i如公式5所示:

PFD_i＝S₀PⁱS_D,i＝1，2...TI(5)

平均要求时的失效概率如式6所示

${\mathrm{PFD}}_{\mathrm{avg}}=\frac{1}{\mathrm{TI}}\underset{i=1}{\overset{\mathrm{TI}}{\mathrm{\Σ}}}{S}_0{P}^i{S}_D,i=\mathrm{1,2}...\mathrm{TI}---\left(6\right)$

将S₀，P，S_D分别代入公式1，公式2，用Matlab计算得到数控装置的要求时的失效概率阈值：

PFD＝2.877×10^-2(7)

数控装置的平均要求时的失效概率：

PFD_avg＝1.267×10^-2(8)

要求时的失效概率PFD除以检测周期TI得到数控装置每小时危险失效概率：

PFH＝3.284×10^-6(9)

本发明方法包括以下步骤：

1.建立基于1oo1D一取一诊断结构模型的数控系统内部功能模块关系模型

根据数控装置的功能结构特点，建立如图1所示的功能模块数控系统内部功能模块间基于1oo1D一取一诊断的功能模块关系模型；

2.建立数控系统故障状态转移图

建立数控系统故障状态转移图，如图2所示。其中，数控系统的工作状态分为正常工作状态OK、系统未检测到到危险失效状态FDU及系统检测到的危险失效状态FDD三种状态。当诊断电路诊断到某模块发生危险失效时，装置由状态0转换到状态1；可自动恢复的故障经系统恢复后，装置正常工作，由状态1恢复至状态0；当装置任一部分发生未检测到的危险失效时，由状态0转至状态2。

3.基于Markov方法，建立数控系统的状态转移矩阵P

基于Markov方法，建立数控系统的状态转移矩阵P如公式3所示。

4.基于公式(3)，计算数控系统中状态转移矩阵P具体求解

基于公式(3)，采用国军标GJB/Z299C-2006《电子设备可靠性预计手册》中的数据，计算数控系统中状态转移矩阵P具体求解，如公式4所示。

5.计算数控系统安全失效概率PFD判断阈值

根据图3采集数控装置中各个子模块的状态信息以及步骤4中状态转移矩阵求解结果，根据公式(5)和公式(6)，计算数控系统安全失效概率PFD判断阈值及每小时失效概率PFH值判断阈值。根据公式(1)、(2)，实时计算数控装置中相应模块的要求时平均失效概率PFD及每小时失效概率PFH值，并和公式(5)、(6)中计算出的相应模块的要求时平均失效概率PFD及每小时失效概率PFH值判断阈值相比较，如果达到阈值，则认为数控装置无法达到安全运行状态。

6.执行与保护

当计算并判断数控系统的要求时平均失效概率PFD及每小时失效概率PFH值达到阈值，则通过启动I/O输出保护信号，实现对系统的保护操作功能，实现对系统现场保护、以及停机、复位等错误处理机制，对系统进行保护操作。

本发明装置结构框图如图3所示，其Microblaze处理器执行程序流程图如图4所示。

本发明装置由Microblaze处理器、高精度实时时钟RTC，高速数字及模拟量I/O输入电路，I/O输出控制接口电路组成，其中Microblaze处理器与高精度实时时钟RTC由数据总线及启/停控制信号连接；Microblaze处理器与数字信号采集模块由数据总线及启/停控制信号连接；Microblaze处理器与模拟信号采集模块由数据总线及启/停控制信号连接；Microblaze处理器与数字信号输出控制模块由数据总线及启/停控制信号连接；

Microblaze处理器用于完成数控系统各个模块单元信号的采集计算控制，基于基于Markov方法的系统失效概率计算，系统安全失效概率是否达到阈值的实时计算及判断处理，以及保护操作功能执行控制；

当计算并判断数控装置的要求时平均失效概率PFD及每小时失效概率PFH值达到阈值，则通过控制I/O输出控制接口电路，对数控系统现场保护、以及停机、复位等错误处理机制，实现对机床及数控系统的保护操作。

Claims (7)

1.一种基于Markov判定方法的数控系统硬件安全装置，其特征在于，包括：

Microblaze处理器，输入端接收来自总线的总线数据到达指示信号和来自执行同步延时计时器发出的同步信号；输出控制信号分别至高精度实时时钟RTC、高速数字及模拟量I/O输入电路、I/O输出控制接口电路；并与其进行数据传输；用于完成数字及模拟量信号的采集计算控制，基于Markov方法的系统失效概率计算，系统安全失效概率是否达到阈值的实时计算及判断处理，以及保护操作功能执行控制；

高精度实时时钟RTC，连接Microblaze处理器，用于为Microblaze处理器提供高精度的数字及模拟量信号作为实时采集的启动控制信号；

高速数字信号采集电路，连接Microblaze处理器，输入端接收来自Microblaze处理器的控制信号，用于监测来自数控系统的脉冲输出、运行状态等监测信号；与Microblaze处理器进行数据传输，将采集到的信号发送给Microblaze处理器；

高速模拟信号采集模块，连接Microblaze处理器，输入端接收来自Microblaze处理器的控制信号，用于监测来自数控系统的电源电压、工作电流的模拟量信号，将采集到的信号发送给Microblaze处理器；

I/O输出控制接口电路，连接Microblaze处理器，输入端接收来自Microblaze处理器的控制信号，输出安全控制信号，作为外部紧急停止控制信号，通过启动I/O输出保护信号，实现对系统的保护操作功能，实现错误处理机制，对系统进行保护操作。

2.根据权利要求1所述的基于Markov判定方法的数控系统硬件安全装置，其特征在于，所述Microblaze处理器输出的控制信号为启动、停止、锁存的控制信号。

3.一种基于Markov判定方法的数控系统硬件安全保护方法，其特征在于，包括以下步骤：

建立基于1oo1D一取一诊断结构模型的数控系统内部功能模块关系模型、数控系统故障状态转移图和数控系统的状态转移矩阵P；

计算并判断数控系统安全失效概率PFD及每小时失效概率PFH值；

通过启动I/O输出保护信号，实现对系统的保护操作功能，实现对系统现场保护、以及停机、复位等错误处理机制，对系统进行保护操作。

4.根据权利要求3所述的基于Markov判定方法的数控系统硬件安全保护方法，其特征在于，所述基于1oo1D一取一诊断结构模型的数控系统内部功能模块关系模型包括：电源单元、控制单元、数控系统现场总线单元、I/O单元、脉冲输出单元、模拟量输入输出单元。

5.根据权利要求4所述的基于Markov判定方法的数控系统硬件安全保护方法，其特征在于，所述数控系统故障状态转移图中，数控系统的工作状态分为正常工作状态OK、系统未检测到到危险失效状态FDU及系统检测到的危险失效状态FDD三种状态；当诊断电路诊断到某模块发生危险失效时，装置由状态0转换到状态1；可自动恢复的故障经系统恢复后，装置正常工作，由状态1恢复至状态0；当装置任一部分发生未检测到的危险失效时，由状态0转至状态2。

6.根据权利要求4所述的基于Markov判定方法的数控系统硬件安全保护方法，其特征在于，所述数控系统的状态转移矩阵P为：

$P=\left[\begin{array}{ccc}1-{\mathrm{\λ}}_{\mathrm{DD}}-{\mathrm{\λ}}_{\mathrm{DU}}& {\mathrm{\λ}}_{\mathrm{DD}}& {\mathrm{\λ}}_{\mathrm{DU}}\\ {\mathrm{\μ}}_0& 1-{\mathrm{\μ}}_0& 0\\ 0& 0& 1\end{array}\right]$

其中，μ₀表示装置平均维修时间MTTR的倒数，λ^D、λ^DD、λ^DU分别表示系统安全失效概率、系统检测到的危险失效概率和系统未检测到的危险失效概率。

7.根据权利要求4所述的基于Markov判定方法的数控系统硬件安全保护方法，其特征在于，所述数控系统每个功能单元的要求时的失效概率PFD_i为：

PFD_i＝S₀PⁱS_D,i＝1，2...TI

平均要求时的失效概率：

${\mathrm{PFD}}_{\mathrm{avg}}=\frac{1}{\mathrm{TI}}\underset{i=1}{\overset{\mathrm{TI}}{\mathrm{\Σ}}}{S}_0{P}^i{S}_D,i=\mathrm{1,2}...\mathrm{TI}$

其中，初始向量S₀＝[100]，系统的危险失效状态包括检测到的危险失效及未检测到的危险失效，因此危险失效状态向量S_D＝[011]^T，TI为系统测试周期。