CN115833701A - 伺服控制器及其冗余管理方法 - Google Patents

Abstract

本发明提供了一种伺服控制器及其冗余管理方法，包括电源板、控制板和驱动板；所述电源板、控制板和驱动板通过内部的连接器完成电气联接；该伺服控制器对外通过外部连接器与控制电源、功率电源、位置传感器、旋转编码器以及伺服电机相连接；该伺服控制器在硬件层面上为全电气冗余，在任务阶段对系统级故障进行故障识别和故障剥离。本发明伺服控制器实现了全电气冗余，有效提升了产品的任务可靠性，使产品可以在高可靠的工况下进行工作。

Description

伺服控制器及其冗余管理方法

技术领域

本发明涉及机电伺服系统的技术领域，具体地，涉及一种伺服控制器及其冗余管理方法，尤其是，优选的涉及一种高可靠伺服控制器及其冗余设计方法。

背景技术

机电伺服系统广泛应用于陆地武器、舰载武器、航天等军用及民用领域。随着数字机电伺服控制系统的功能逐渐丰富，应用领域也在不断拓广，在某些对可靠性有着较高要求的工作场合，产品的可靠性成为了技术的关键点。传统的单余度技术已经难以达到苛刻的可靠性指标要求，因此多余度控制技术为解决产品可靠度提供了有效途径。

伺服控制驱动器(以下简称伺服控制器)是机电伺服系统的核心控制单元，主要用于机电伺服机构的位置控制。控制器主要由电源板、控制板、功率驱动板、控制器壳体及接插件组成，具有与电源转换(DC/DC)、上位机通讯、信号采样、伺服控制算法实现、功率驱动等功能。DC/DC表示直流转直流。

公开号为CN217608134U的中国实用新型专利文献公开了一种伺服控制器。该伺服控制器包括：功率板、控制板以及接口板，控制板安装于功率板的一侧并与功率板平行设置，控制板与功率板电连接，控制板用于连接电源线；接口板安装于控制板背离功率板的一侧并与控制板平行设置，接口板与控制板电连接，接口板用于连接信号线。

针对上述中的相关技术，发明人认为由于伺服控制器涉及的电路部分较多，信号之间的胶联情况严重，因此目前具备冗余性能的伺服控制器的多数在部分关键位置采用冗余设计，例如通信冗余、供电冗余等。在此种情况下，伺服控制器本身仍存在较多的单点，且依赖上级系统的故障判断和吸收，不仅使自身的可靠度较差，此外也给上级系统造成了较大的工作压力。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种伺服控制器及其冗余管理方法。

根据本发明提供的一种伺服控制器，包括电源板、控制板和驱动板；

所述电源板、控制板和驱动板通过内部的连接器完成电气联接；

该伺服控制器对外通过外部连接器与控制电源、功率电源、位置传感器、旋转编码器以及伺服电机相连接；

该伺服控制器在硬件层面上为全电气冗余，在任务阶段对系统级故障进行故障识别和故障剥离。

优选的，所述电源板采用独立多冗余的硬件方式，扩大电源板的输出裕量；

所述控制板采用多冗余热备份加监控的冗余方式，由伺服控制器在闭环周期中进行故障诊断与故障剥离，且二度故障后进行故障剥离；

所述驱动板采用双冗余加三相四桥臂的驱动方式，关闭故障驱动的输出使能并剥离故障驱动回路。

优选的，所述电源板采用多冗余热备份的方式，所述电源板包括多路独立的电源模块，每路电源模块包括熔断器、EMI滤波器和电源转换模块，多路电源模块的输出通过分别串接二极管后并接输出；

每个所述熔断器的一端分别串接控制母线；

所述熔断器的另一端连接EMI滤波器的一端；

所述EMI滤波器的一端连接电源转换模块；

所述电源转换模块对控制母线进行电压转换；

所述电源转换模块分别连接二极管后并联输出。

优选的，所述控制板采用多冗余热备份和监控的冗余方式，其中，多冗余热备份部分为多路控制回路，完成伺服电机的闭环控制；监控作为监控机，在系统故障降级时为系统提供表决策略的硬件基础；

所述控制板包括多路FPGA芯片、多路DSP芯片、多路模数转换芯片以及多路接口芯片，构成硬件冗余构型；

所述硬件冗余构型包含多路控制功能通道和FPGA监控通道；在控制周期内同一时间由当班机进行输出，其他控制通路进行运算和故障诊断。

优选的，所述接口芯片包括通信解析模块，所述模数转换芯片包括AD采集模块；

所述控制板还包含多路旋转变压器解析模块；

所述通信解析模块、AD采集模块、旋转变压器解析模块、DSP芯片和FPGA芯片构成单通道控制电路；

所述通信解析模块解析上位机发送的控制指令；

所述AD采集模块将伺服机构位置、电压和三相电流转换为数字量；

所述旋转变压器解析模块将旋转变压器输出值转换为数字量；

当前所述FPGA芯片获取接口芯片解析的控制指令、获取AD采集模块的数字量、获取旋转变压器解析模块的数字量、与其余FPGA芯片之间的故障诊断信号、与其余FPGA芯片之间的心跳信号、当前DSP芯片的心跳信号；

所述DSP芯片根据FPGA芯片获取的控制指令、伺服机构位置信息和伺服机构角速度信息进行解算得到SVPWM信号和遥测数据；

所述FPGA芯片内写入SVPWM信号和遥测数据；

所述FPGA芯片根据故障诊断结果确定当班FPGA芯片，并由当班FPGA芯片输出处理后的SVPWM信号。

优选的，所述驱动板包括驱动模块；所述驱动模块的驱动芯片采用双冗余方式，默认状态为主备份驱动的母线继电器处于开启状态，驱动芯片使能打开，接收PWM信号驱动第一路绕组和第二路绕组；在其中一路绕组或驱动模块发生故障时停止故障路PWM输入、关闭故障路驱动模块使能端、关闭故障路母线继电器。

优选的，所述FPGA芯片作为MCU负责每一独立控制回路的信息收集与转移，以及每一独立控制回路的外围电路的时序控制，同时通过硬线心跳检测其余路FPGA芯片的工作状况并通过CCDL板间通信获取其余回路的关键控制信息；监控机为FPGA芯片电路，获取多冗余机的心跳和关键参数；

所述控制板的硬件电路支持三机模式、双机加监控机模式以及单机模式。

根据本发明提供的一种伺服控制器冗余管理方法，应用伺服控制器，包括如下步骤：

初始化步骤：伺服控制器上电首先进行初始化工作，对多路FPGA进行身份写入和状态自检，初始化正常后程序会输出初始化正常标志位，伺服控制器转入运行步骤；

运行步骤：伺服控制器进入正常的运行步骤时，由多机进行数据交换和逻辑判定，由默认机作为当班机进行输出；出现故障时，伺服控制器自身进行检测、判断和软硬件重构，并输出故障标志位，伺服控制器转入重构步骤；

重构步骤：伺服控制器根据故障的发生位置和发生次数进行冗余逻辑重构，控制组件的故障通过多机和监控机的表决来切断故障通道进行重构，驱动组件的故障由当班机切除故障并进行重构，并记录故障次数。

优选的，所述运行步骤包括如下步骤：

通道内自检步骤：利用通道内FPGA结合硬件保护电路自行判定状态；当数据异常时，如果该通道内FPGA的状态位正常，则认为FPGA判定结果可信；如果FPGA心跳功能不正常或CCDL功能持续不正常，则进行通道间互检步骤；

通道间互检步骤：利用多路FPGA表决后输出，当结果出现异常时，将异常通道记录，连续预定拍数则认为通道故障，更新状态字，将故障通道数据隔离；

安全性数据检测步骤：通过监控伺服电机的温度和母线电流，判断是否存在过热应力影响寿命的情况；采用阈值法保护原则，通过关闭故障通道的功率模块输出完成。

优选的，所述重构步骤包括如下步骤：

通道内控制组件故障重构步骤：由通道内FPGA自检测完成：当FPGA检测到故障时，保持上一拍数据继续运行，连续预定拍数数据异常，则认为本通道自检测故障；通过关闭本机心跳信号并向其余机输出故障字，告知本机处于故障状态；

通道间CCDL故障步骤：通过表决和监控心跳信号记录故障通道，连续预定拍数则认定故障通道；采取切除故障通道，接入监控通道，更新状态字，根据FPGA的优先级顺序选择下一顺位FPGA作为当班机进行输出；

驱动回路一度故障步骤：若通过冗余表决检测到驱动部分故障，则由当班机停止对故障驱动模块的输出，并关闭故障驱动模块的母线继电器和驱动芯片使能信号，若正常驱动模块出现伺服输出功率不足，通过重构控制率参数，由负反馈机制自动增加输出至所需要的功率；

驱动回路二度故障步骤：驱动电路采用三相四桥臂的驱动方式，默认状态下不启用第四桥臂，在功率驱动电路再次发生故障时，通过硬件检测定位出故障位置并关闭故障桥臂，切换到该驱动电路的第四桥臂。

与现有技术相比，本发明具有如下的有益效果：

1、本发明伺服控制器实现了全电气冗余，有效提升了产品的任务可靠性，使产品可以在高可靠的工况下进行工作；

2、本发明电源模块采用了独立三冗余的硬件设计方式，通过提高电源模块的输出裕量，在2路电源模块故障的情况下，电源板仍能正常工作；

3、本发明控制板采用“3冗余热备份+1监控”的冗余方式，可完全由伺服控制器在小闭环周期里完成故障诊断与故障剥离，不再需要依靠上一级系统在大闭环周期进行故障判断和处理，既可以减少对上级系统的工作依赖也可在短时间内实现冗余判决减少系统发散时间；

4、本发明控制板采用“3冗余热备份+1监控”的冗余方式，在尽量减少产品硬件资源的情况下，实现了二度故障后的故障剥离。该系统同一时段有3路FPGA同时在工作，从而实现冗余三取二表决的工作基础，在一次故障的情况下，仍然存在3路FPGA进行三取二的冗余表决的硬件基础，可应对二次故障状况；

5、本发明作为控制回路的主控芯片，FPGA接收其他3路FPGA的心跳信号、其他控制回路的关键数据信息、本回路的DSP芯片的心跳信号、驱动模块的工作状况，同时对控制指令以及反馈数据进行三取二表决，已覆盖所有故障模式，在综合各种故障模式后判定当班FPGA并使能该控制回路的前向通道，由当班FPGA进行SVPWM输出，同时非当班FPGA输出高阻状态并禁止该控制回路的前向通道，以确保非当班控制回路无法对当班回路造成影响；

6、本发明驱动板采用“双冗余+三相四桥臂”的驱动方式。在驱动芯片或者绕组发生故障时，可由FPGA关闭该故障驱动的输出使能并剥离该故障驱动回路，最多可支持2次故障。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为伺服控制器电路原理框图；

图2为伺服控制器故障切换示意图；

图3为伺服控制器故障逻辑重构及输出仲裁示意图；

图4为三相四桥臂驱动解决方案图；

图5为伺服控制器冗余管理逻辑图；

图6为伺服控制器各电路板的电气连接以及和外部的电气连接形式图；

图7为伺服控制器结构图；

图8为故障重构模块的示意图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

本发明实施例公开了一种高可靠伺服控制器，是一种驱动对象为双绕组伺服电机的高可靠的冗余伺服控制器，是一种具备冗余性能的伺服控制驱动器。该伺服控制器在硬件层面上为全电气冗余，在任务阶段能够应对系统级的二次故障，具备自主的故障识别和故障剥离能力。

伺服控制器由电源板、控制板、驱动板组成，伺服控制器电路原理框图见图1。

如图6和图7所示，伺服控制器由电源板、控制板和两块驱动板组成，四块印制板通过内部的连接器完成电气联接，伺服控制器对外通过外部连接器与控制电源、功率电源、位置传感器、旋转编码器以及伺服电机相连接。伺服控制器使用是层叠形式，从上至下分别是第一驱动板1、控制板、电源板、第二驱动板，印制板结构上装在壳体框架上，电气依靠印制板上的内部连接器进行连接。伺服控制器对外有连接器，与供电、通信和伺服电机连接。

如图1所示芯片型号举例如下：DSP的型号为TMS320F28335；FPGA的型号为XC5VSX95T；通信模块的型号为BU-61580；缓冲芯片的型号为SN74ALVC164245、故障重构模块的型号为或非门SN54LS08和SN54LS27逻辑组合组成；与门模数转换芯片的型号为AD7656；旋变解码芯片的型号为AD2S1210；LDO的型号为TPS74401；DC/DC的型号为HSTR28系列；功率模块的型号为FNA27560。

电源模块采用独立多冗余的硬件方式，扩大电源模块的输出裕量；控制板采用多冗余热备份加监控的冗余方式，由伺服控制器在闭环周期中进行故障诊断与故障剥离，且二度故障后进行故障剥离；驱动板采用双冗余加三相四桥臂的驱动方式，关闭故障驱动的输出使能并剥离故障驱动回路。

电源板采用三冗余热备份的方式，包括了3路独立的电源模块，每一路电源模块均具有熔断器、独立的EMI滤波器和2种类型的DC/DC输出模块，3路电源模块的输出通过分别串接二极管后并接输出。EMI的英文全称为Electromagnetic Interference，中文译文为电磁干扰。EMI滤波器是对供电回路进行滤波，降低外部电磁干扰。

每个熔断器的一端分别串接控制母线；熔断器的另一端连接EMI滤波器的一端；EMI滤波器的一端连接电源转换模块；电源转换模块对控制母线进行电压转换；电源转换模块分别连接二极管后并联输出。

控制板采用“3冗余热备份+1监控”的冗余方式，硬件上包括4路FPGA芯片、3路DSP芯片、3路模数转换芯片以及3路接口芯片，通过以上硬件资源实现3+1的硬件冗余构型，即3路完整的控制功能通道加1路FPGA监控通道，在控制周期内同一时间仅能由当班机进行输出，其他控制通路仅进行运算和故障诊断。以单通道为例，单通道控制电路包括通信解析模块、AD采集模块(模数转换芯片)、旋转变压器解析模块(旋变信号处理模块)、DSP模块和FPGA模块。通信解析模块解析上位机发送的控制指令，AD采集模块将伺服机构位置、电压和三相电流转换为数字量，旋转变压器解析模块将旋转变压器输出值转换为数字量，FPGA芯片获取接口芯片解析的控制指令、获取AD采集模块的数字量、获取旋转变压器解析模块的数字量、与其他FPGA之间的故障诊断信号、与其他FPGA之间的心跳信号、本通道DSP的心跳信号，DSP芯片根据FPGA芯片获取的控制指令、伺服机构位置信息和伺服机构角速度信息进行解算得到SVPWM信号和遥测数据写入FPGA芯片，FPGA根据故障诊断结果确定当班FPGA，并由当班FPGA芯片输出处理后的SVPWM信号。FPGA的英文全称为Field Programmable GateArray，中文译文为现场可编程逻辑门阵列；DSP的英文全称为Digital SignalProcessing，中文译文为数字信号处理。SVPWM的英文全称为Space Vector Pulse WidthModulation，中文译文为空间矢量脉宽调制。

接口芯片包括通信解析模块，模数转换芯片包括AD采集模块；控制板还包含多路旋转变压器解析模块。通信解析模块、AD采集模块、旋转变压器解析模块、DSP芯片和FPGA芯片构成单通道控制电路。

通信解析模块解析上位机发送的控制指令。

AD采集模块将伺服机构位置、电压和三相电流转换为数字量。

旋转变压器解析模块将旋转变压器输出值转换为数字量。

当前FPGA芯片获取接口芯片解析的控制指令、获取AD采集模块的数字量、获取旋转变压器解析模块的数字量、与其余FPGA芯片之间的故障诊断数据、与其余FPGA芯片之间的心跳信号、当前DSP芯片的心跳信号。

控制指令、反馈数据(AD采集的角度、电流等数据、旋转变压器采集的角速度数据)共同形成了伺服机构的闭环控制基础，通过以上数据的闭环解算输出SVPWM信号，该信号再由驱动芯片转换为伺服电机的三相输出，驱动电机的旋转。如下文故障重构步骤，DSP芯片的心跳信号属于通道内控制组件检查的参考之一，该通道DSP心跳由该通道的FPGA进行判断，若判定DSP心跳不正常，则该通道FPGA通过关闭自身的心跳信号和输出故障字来告知其他路FPGA当前故障状况。如下文故障重构步骤中，FPGA芯片的心跳信号是通道间检测的重要参考之一，每1路FPGA均通过这些心跳信号和反馈数据来综合判断各路FPGA的工作状态，并通过输出故障状态数据来向其他路表达自身的判断。

DSP芯片根据FPGA芯片获取的控制指令、伺服机构位置信息和伺服机构角速度信息进行解算得到SVPWM信号和遥测数据。控制指令是上位机通过各类通信手段(如1553B，RS422等)发送，本机通过协议芯片进行解析获得上位机的控制指令；伺服机构的位置信息由伺服机构上的角位移、直线位移传感器获得，得到了伺服机构的旋转角度或位移长度，该位置信息为电信号，通过模数转换芯片转换后获取；伺服机构的角速度由旋转变压器获得，角速度为差分电信号，通过专用的解码芯片进行解析，再由FPGA获得。

FPGA芯片内写入SVPWM信号

FPGA芯片根据故障诊断结果确定当班FPGA芯片，并由当班FPGA芯片输出处理后的SVPWM信号。每一路FPGA会根据心跳信号和反馈数据，综合判断自身和其他路FPGA的工作状况，输出故障状态字(即表征自身和它机的故障状态)，并通过CCDL互相传输，3机通过故障状态字的比较，即可判断故障情况并根据3机的优先级确定当班机。

驱动板包括驱动模块；驱动模块的驱动芯片采用双冗余方式。默认状态为主备份驱动的母线继电器均处于开启状态，驱动芯片使能打开，接收PWM信号可正常驱动第1路和第2路绕组；在某1路绕组或驱动模块发生故障时停止故障路PWM输入、关闭故障路驱动模块使能端、关闭故障路母线继电器。为适应驱动部分的2次故障，将常规的三相三桥臂升级为三相四桥臂。

FPGA芯片作为MCU负责每一独立控制回路的信息收集与转移，以及每一独立控制回路的外围电路的时序控制，同时通过硬线心跳检测其余路FPGA芯片的工作状况并通过CCDL板间通信获取其余回路的关键控制信息；监控机为FPGA芯片电路，获取多冗余机的心跳和关键参数。控制板的硬件电路支持三机模式、双机加监控机模式以及单机模式。CCDL的英文全称为Cross-Channel Data Link，中文译文为交叉通道数据链路，主要用于余度控制的数据交换。

电路部分：

电源部分：3路独立的控制母线进入控制器后，每1路控制母线先串接熔断器，再接EMI滤波器，最后接DC/DC电源转换模块，DC/DC电源转换模块将控制母线转换为±15V和5V三档二次电压。3路+15V、3路-15V和3路5V分别接二极管后并联输出，得到1路并联电压+15V、-15V和5V。通过对熔断器参数的合理配置可以确保电源模块故障时可以迅速熔断剥离故障，二极管可以防止故障路电源对正常路电源的电流倒灌损坏正常路电源，通过将电压并联输出并合理设置元器件的参数可以实现2路电源路故障的情况下电源板仍可正常供电输出。并联的5V输出电压经过4路独立的LDO转换模块，形成3.3V、2.5V、1.9V和1.1V输出电压，分别为3路控制电路和1路监控电路供电。LDO的英文全称为low dropout regulator，中文译文为低压差线性稳压器。

控制部分：控制部分采用“3冗余热备份+1监控”的冗余方式，其中3冗余部分为3路独立的控制回路，均可以独立完成伺服电机的闭环控制；1监控作为监控机仅在系统故障降级时为系统提供表决策略的硬件基础，不具有独立的闭环控制能力。完整的硬件独立控制回路包括通信模块、数模转换模块、旋变信号处理模块、故障重构及缓冲输出模块、FPGA模块和DSP模块。如图8所示，故障重构模块根据故障处理逻辑的真值表做成了硬件与非门的逻辑电路，如在三机工作模式下，A\B\C通道前向使能的重构逻辑为^((A*B)+(B*C)+(A*C))。

FPGA作为MCU负责每一独立控制回路的信息收集与转移以及该回路外围电路的时序控制，同时通过硬线心跳检测其他路FPGA的工作状况并通过CCDL板间通信获取其他回路的关键控制信息；监控机为FPGA的最小电路，仅获取3冗余机的心跳和关键参数，不参与闭环控制。MCU的英文全称为Micro Control Unit，中文译文为微控制单元。控制部分的硬件电路支持3种模式，见图2，具体如下：

A1三机模式：

通过硬件ID配置，上电后4路FPGA读取各自IO口的硬件状态以确认各自ID，分别为FPGA_A、FPGA_B、FPGA_C、FPGA_D，通过设定的程序确定各机的优先级，默认A为初始当班机。对控制部分而言，默认状态下，控制部分采用3机工作模式，此时监控机仅上电静默不参加工作。3路FPGA分别各自采集电机工作电流、3路电位器数据和RDC数据。每一控制周期3路FPGA通过CCDL内部通信交换控制指令、电流转角位置反馈、故障判别字。其中控制指令、各反馈均进行3取2表决后发送给各路DSP进行结算，结算的结果由FPGA_A机进行输出，其他非当班机仅完成闭环运算不进行输。

在三机模式下，默认A机为初始当班机。故障诊断判据有2条：

1)3路FPGA相互发送心跳信号，每1路FPGA诊断另外2机以及自诊断心跳是否正常；

2)对比指令和反馈3取2后的数据，检测是否多拍超阈值；

如图3，每个通道FPGA通过CCDL接受来自其他三个通道FPGA的关键数据，也接受其他三个通道的FPGA心跳信号。各通道FPGA通过综合其他三机的故障诊断状态字并结合当班机状态输出三个通道的仲裁信号，仲裁信号经过后一级逻辑重构电路形成通路使能信号，该信号用于控制每一通路的前向缓冲芯片的输出。只有在缓冲芯片使能的情况下，该通道FPGA的输出PWM信号才能经过缓冲芯片输出至驱动板。通过将仲裁信号的重构，可以确保当班机的正常输出并屏蔽非当班机的输出。

A2双机+监控机模式

在A、B、C机中任一发生故障后，伺服控制器降级为双机+监控机模式。在此模式下，2路控制部分依然为热备份独立工作，启动D机参与监控工作。2路FPGA分别各自采集电机工作电流、3路电位器数据和RDC数据。每一控制周期2路FPGA+1路监控FPGA通过CCDL内部通信交换控制指令、电流转角位置反馈、故障判别字。交换的控制数据不再进行3取2表决，仅作为故障判断的判据，输出结果由当班机进行输出。

在双机+监控机模式下，剔除发生的故障的1路，由正常的双机+监控机构成降级的三机模式。故障诊断判据有2条：

1)2路FPGA+1路监控机相互发送心跳信号，每1路FPGA诊断另外2机以及自诊断心跳是否正常；

2)对比指令和反馈3取2后的数据，检测是否多拍超阈值；

2路FPGA+1路监控机根据是否当班以及故障诊断判据输出仲裁结果信号；通过逻辑电路将3路仲裁结果信号的重构，最终转换为缓冲芯片使能信号，来有效保证当班FPGA的输出并隔离故障路的输出。

A3单机模式

A机、B机、C机和D机中有2路发生故障时，控制器进入单机模式。控制器中仅有2路CPU可正常工作，已退出3取2的表决策略，故在单机模式下，不再进行数据交换和冗余判决，仅由正常工作的当班机进行输出。

驱动部分：驱动模块采用双冗余的模式，FPGA_A、FPGA_B和FPGA_C均能独立控制两路冗余的驱动模块。每1路驱动模块采用独立的驱动母线，驱动母线经过熔断器、继电器和电压传感器后进入到驱动芯片的母线引脚，当班机的PWM信号经过隔离后进入到驱动芯片的控制引脚，经过驱动芯片的逆变将直流母线电压转换为控制电机旋转的三相电，其中每一相电都通过电流传感器进行电流检测。默认状态下，上电后控制电路打开2路母线的继电器，使能2路驱动芯片的使能端，向2路驱动芯片发送PWM指令，经过驱动芯片的功率转换形成三相电压分别控制2套冗余的电机绕组。

在1路绕组或驱动发生故障时，由控制部分识别故障模式并对故障进行处理，若故障不可恢复则关闭母线继电器、关闭驱动芯片使能信号、停止对故障路的PWM输入。此外母线增加了熔断器以确保绕组短路后迅速剥离故障绕组防止故障蔓延。

为实现驱动部分在发生二次故障后仍可工作，将常规的三相三桥臂驱动升级为三相四桥臂驱动，如图4。在二次故障时，由控制部分诊断并定位出故障开关的位置，烧断相应的快速熔丝以剥离故障开关；同时启动第4桥臂，将输入信号转移至第4桥臂，确保驱动模块的正常工作。

本发明实施例还公开了一种伺服控制器冗余设计方法，应用伺服控制器，包括如下步骤：

初始化步骤：伺服控制器上电首先进行初始化工作，对4路FPGA进行身份写入和状态自检，初始化正常后程序会输出初始化正常标志位，伺服控制器转入运行步骤。

运行步骤：伺服控制器进入正常的运行步骤时，由A、B、C三机进行数据交换和逻辑判定，默认的由A机作为当班机进行输出。出现故障时，伺服控制器自身进行检测、判断和软硬件重构，并输出故障标志位，伺服控制器转入重构步骤。

重构步骤：伺服控制器根据故障的发生位置和发生次数进行冗余逻辑重构，控制组件的故障通过三机和监控机的表决来切断故障通道进行重构，驱动组件的故障由当班机切除故障并进行重构，并记录故障次数。

冗余管理逻辑：图5表示了伺服控制器工作全过程的冗余管理逻辑，全过程包括初始化，运行，重构三个组成部分。

在初始化步骤中，正常工作模式下，三路FPGA和第四路监控FPGA均上电独立工作,热备份模式。根据硬件设计，FPGA在启动后可由上下拉电阻确定自身所属ID，分别为FPGA_A、FPGA_B、FPGA_C、FPGA_D，并确定当班FPGA和优先级顺序，在上电后，第一路FPGA_A复位完成后开始进行计时，5ms后向其他三个FPGA发送状态确认信息，若三个FPGA在收到确认信息后回复状态确认字，则开始由第一路FPGA进行同步操作，使B/C/D三个FPGA开始初始化自检。若在第一路FPGA_A发送状态确认字后，有其中一路FPGA没有回复确认信息，则第一路FPGA_A继续等待计时，在5ms后重新发送状态确认信息，重复上述过程。当连续10拍仍有FPGA还未回复状态确认信息，则判断该路FPGA故障，初始化失败。初始化故障时应将故障信息反馈给上级系统，由上级系统决定是否进行下一步工作。

在运行步骤中，由当班机输出给驱动模块的占空比数值。第四路监控FPGA仅监控不参与表决。运行步骤包括如下步骤：即伺服控制器运行过程中的故障检测内容有：

(a)通道内自检步骤：通道内自检是利用通道内FPGA结合硬件保护电路自行判定状态。当数据异常时，如果该通道内FPGA的状态位正常，则认为FPGA判定结果可信。如果因二次电源等原因，导致FPGA心跳功能不正常或CCDL功能持续不正常，则由通道间互检处理。

(b)通道间互检步骤：通道间互检是利用三路FPGA表决后输出，当结果出现异常时，将异常通道记录，连续5拍则认为通道故障，更新状态字，将故障通道数据隔离。

(c)安全性数据检测步骤：伺服机构的安全性判定通过监控电机的温度和母线电流，判断是否存在过热应力影响寿命的情况。采用阈值法保护原则，通过直接关闭故障通道的功率模块输出完成。

所述重构步骤包括如下步骤：

(a)一度故障重构步骤包括如下步骤：

通道内的控制组件一度故障步骤：由通道内FPGA自检测完成：当FPGA检测到故障时，保持上一拍数据继续运行，连续5拍数据异常，则认为本通道自检测故障。此时，通过关闭本机心跳信号并向其他两机输出故障字，告知本机处于故障状态。

通道间CCDL一度故障步骤：通过三取二表决和监控心跳信号记录故障通道，连续5拍则认定故障通道。此时，采取切除故障通道，接入第四通道监控通道，更新状态字，根据FPGA的优先级顺序选择下一顺位FPGA作为当班机进行输出。在下一周期中进入一度故障工作模式，由于监控通道的加入，在冗余策略上仍保持三取二表决。

驱动回路一度故障步骤：若三机通过冗余表决检测到驱动部分故障，则由当班机停止对故障驱动模块的输出，并关闭故障驱动模块的母线继电器和驱动芯片使能信号，此时另一正常驱动模块会出现伺服输出功率不足。通过重构控制率参数，由负反馈机制自动增加输出至所需要的功率。

(b)二度故障重构步骤包括如下步骤：

通道内控制组件二度故障步骤：仍由通道内自检完成，策略与一度故障相同。

通道间二度故障步骤：策略与一度故障相同，也是通过三取二表决和监控心跳信号，区别在于当第2路控制通道发生故障时，由剩余两通道通过逻辑表决剔除故障通道，此时由于仅剩2机正常已无法继续支撑三取二表决机制，因此停止三取二表决方式，不再进行数据交换仅由当班机进行输出。

驱动回路二度故障步骤：驱动电路采用三相四桥臂的驱动方式，默认状态下不启用第4桥臂。在功率驱动电路再次发生故障时，此时通过硬件检测定位出故障位置并关闭故障桥臂，切换到该驱动电路的第4桥臂。

在本申请的描述中，需要理解的是，术语“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本申请的实施例和实施例中的特征可以任意相互组合。

Claims (10)

1.一种伺服控制器，其特征在于，包括电源板、控制板和驱动板；

所述电源板、控制板和驱动板通过内部的连接器完成电气联接；

该伺服控制器对外通过外部连接器与控制电源、功率电源、位置传感器、旋转编码器以及伺服电机相连接；

该伺服控制器在硬件层面上为全电气冗余，在任务阶段对系统级故障进行故障识别和故障剥离。

2.根据权利要求1所述的伺服控制器，其特征在于，所述电源板采用独立多冗余的硬件方式，扩大电源板的输出裕量；

所述控制板采用多冗余热备份加监控的冗余方式，由伺服控制器在闭环周期中进行故障诊断与故障剥离，且二度故障后进行故障剥离；

所述驱动板采用双冗余加三相四桥臂的驱动方式，关闭故障驱动的输出使能并剥离故障驱动回路。

3.根据权利要求2所述的伺服控制器，其特征在于，所述电源板采用多冗余热备份的方式，所述电源板包括多路独立的电源模块，每路电源模块包括熔断器、EMI滤波器和电源转换模块，多路电源模块的输出通过分别串接二极管后并接输出；

每个所述熔断器的一端分别串接控制母线；

所述熔断器的另一端连接EMI滤波器的一端；

所述EMI滤波器的一端连接电源转换模块；

所述电源转换模块对控制母线进行电压转换；

所述电源转换模块分别连接二极管后并联输出。

4.根据权利要求2所述的伺服控制器，其特征在于，所述控制板采用多冗余热备份和监控的冗余方式，其中，多冗余热备份部分为多路控制回路，完成伺服电机的闭环控制；监控作为监控机，在系统故障降级时为系统提供表决策略的硬件基础；

所述控制板包括多路FPGA芯片、多路DSP芯片、多路模数转换芯片以及多路接口芯片，构成硬件冗余构型；

所述硬件冗余构型包含多路控制功能通道和FPGA监控通道；在控制周期内同一时间由当班机进行输出，其他控制通路进行运算和故障诊断。

5.根据权利要求4所述的伺服控制器，其特征在于，所述接口芯片包括通信解析模块，所述模数转换芯片包括AD采集模块；

所述控制板还包含多路旋转变压器解析模块；

所述通信解析模块、AD采集模块、旋转变压器解析模块、DSP芯片和FPGA芯片构成单通道控制电路；

所述通信解析模块解析上位机发送的控制指令；

所述AD采集模块将伺服机构位置、电压和三相电流转换为数字量；

所述旋转变压器解析模块将旋转变压器输出值转换为数字量；

当前所述FPGA芯片获取接口芯片解析的控制指令、获取AD采集模块的数字量、获取旋转变压器解析模块的数字量、与其余FPGA芯片之间的故障诊断信号、与其余FPGA芯片之间的心跳信号、当前DSP芯片的心跳信号；

所述DSP芯片根据FPGA芯片获取的控制指令、伺服机构位置信息和伺服机构角速度信息进行解算得到SVPWM信号和遥测数据；

所述FPGA芯片内写入SVPWM信号和遥测数据；

所述FPGA芯片根据故障诊断结果确定当班FPGA芯片，并由当班FPGA芯片输出处理后的SVPWM信号。

6.根据权利要求2所述的伺服控制器，其特征在于，所述驱动板包括驱动模块；所述驱动模块的驱动芯片采用双冗余方式，默认状态为主备份驱动的母线继电器处于开启状态，驱动芯片使能打开，接收PWM信号驱动第一路绕组和第二路绕组；在其中一路绕组或驱动模块发生故障时停止故障路PWM输入、关闭故障路驱动模块使能端、关闭故障路母线继电器。

7.根据权利要求4所述的伺服控制器，其特征在于，所述FPGA芯片作为MCU负责每一独立控制回路的信息收集与转移，以及每一独立控制回路的外围电路的时序控制，同时通过硬线心跳检测其余路FPGA芯片的工作状况并通过CCDL板间通信获取其余回路的关键控制信息；监控机为FPGA芯片电路，获取多冗余机的心跳和关键参数；

所述控制板的硬件电路支持三机模式、双机加监控机模式以及单机模式。

8.一种伺服控制器冗余管理方法，其特征在于，应用权利要求1-7任一所述的伺服控制器，包括如下步骤：

初始化步骤：伺服控制器上电首先进行初始化工作，对多路FPGA进行身份写入和状态自检，初始化正常后程序会输出初始化正常标志位，伺服控制器转入运行步骤；

运行步骤：伺服控制器进入正常的运行步骤时，由多机进行数据交换和逻辑判定，由默认机作为当班机进行输出；出现故障时，伺服控制器自身进行检测、判断和软硬件重构，并输出故障标志位，伺服控制器转入重构步骤；

重构步骤：伺服控制器根据故障的发生位置和发生次数进行冗余逻辑重构，控制组件的故障通过多机和监控机的表决来切断故障通道进行重构，驱动组件的故障由当班机切除故障并进行重构，并记录故障次数。

9.根据权利要求8所述的伺服控制器冗余管理方法，其特征在于，所述运行步骤包括如下步骤：

通道内自检步骤：利用通道内FPGA结合硬件保护电路自行判定状态；当数据异常时，如果该通道内FPGA的状态位正常，则认为FPGA判定结果可信；如果FPGA心跳功能不正常或CCDL功能持续不正常，则进行通道间互检步骤；

通道间互检步骤：利用多路FPGA表决后输出，当结果出现异常时，将异常通道记录，连续预定拍数则认为通道故障，更新状态字，将故障通道数据隔离；

安全性数据检测步骤：通过监控伺服电机的温度和母线电流，判断是否存在过热应力影响寿命的情况；采用阈值法保护原则，通过关闭故障通道的功率模块输出完成。

10.根据权利要求8所述的伺服控制器冗余管理方法，其特征在于，所述重构步骤包括如下步骤：

通道内控制组件故障重构步骤：由通道内FPGA自检测完成：当FPGA检测到故障时，保持上一拍数据继续运行，连续预定拍数数据异常，则认为本通道自检测故障；通过关闭本机心跳信号并向其余机输出故障字，告知本机处于故障状态；

通道间CCDL故障步骤：通过表决和监控心跳信号记录故障通道，连续预定拍数则认定故障通道；采取切除故障通道，接入监控通道，更新状态字，根据FPGA的优先级顺序选择下一顺位FPGA作为当班机进行输出；

驱动回路一度故障步骤：若通过冗余表决检测到驱动部分故障，则由当班机停止对故障驱动模块的输出，并关闭故障驱动模块的母线继电器和驱动芯片使能信号，若正常驱动模块出现伺服输出功率不足，通过重构控制率参数，由负反馈机制自动增加输出至所需要的功率；

驱动回路二度故障步骤：驱动电路采用三相四桥臂的驱动方式，默认状态下不启用第四桥臂，在功率驱动电路再次发生故障时，通过硬件检测定位出故障位置并关闭故障桥臂，切换到该驱动电路的第四桥臂。

Images