CN209911778U - 基于功能安全的工程机械车载控制器 - Google Patents
基于功能安全的工程机械车载控制器 Download PDFInfo
- Publication number
- CN209911778U CN209911778U CN201920558422.9U CN201920558422U CN209911778U CN 209911778 U CN209911778 U CN 209911778U CN 201920558422 U CN201920558422 U CN 201920558422U CN 209911778 U CN209911778 U CN 209911778U
- Authority
- CN
- China
- Prior art keywords
- module
- power supply
- communication
- watchdog
- clock
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Power Sources (AREA)
Abstract
一种基于功能安全的工程机械车载控制器,包括电源模块、主处理单元和从处理单元;所述主处理单元包括MCU1、输入模块1、输出模块1、通信模块1、时钟1、电源监控模块、看门狗模块1和存储模块1;MCU1分别与输入模块1、输出模块1、通信模块1、时钟1、电源监控模块1、看门狗模块1和存储模块1连接;所述从处理单元包括MCU2、输入模块2、输出模块2、通信模块2、时钟2、电源监控模块2、看门狗模块2和存储模块2;MCU2分别与输入模块2、输出模块2、通信模块2、时钟2、电源监控模块2、看门狗模块2和存储模块2连接。该控制器能分别满足起重机和高空车平台用于关键控制系统和高安全要求的领域,能提高系统的可靠性和安全性。
Description
技术领域
本实用新型涉及车载控制器,具体涉及一种基于功能安全的工程机械车载控制器。
背景技术
随着工程机械行业大吨位起重机驾驶室控制、上车主控,直臂/曲臂高空车平台、转台、底盘控制等车型对功能安全要求的不断提高,功能安全控制器的应用需求越来越大。根据EN280:2013+A1:2015 《移动提升工作平台设计计算稳定性标准建造安全性检验和试验》标准,用于高空车平台的功能安全控制器需要支持Cat.3架构。Cat.2架构的功能安全控制器用于起重机设备,可以提供更多的通道资源。功能安全控制器与普通车载控制器不同,不仅能提供普通控制器的功能,更能实现安全控制功能,符合IEC 61508和ISO 13849等控制系统安全相关部件标准的要求。
发明内容
针对上述现有技术存在的问题,本实用新型提供一种基于功能安全的工程机械车载控制器,该控制器能分别满足起重机和高空车平台用于关键控制系统和高安全要求的领域,能提高系统的可靠性和安全性。
为了实现上述目的,本实用新型提供一种基于功能安全的工程机械车载控制器,包括电源模块、主处理单元和从处理单元;
所述主处理单元包括MCU1、输入模块1、输出模块1、通信模块1、时钟1、电源监控模块、看门狗模块1和存储模块1;MCU1分别与输入模块1、输出模块1、通信模块1、时钟1、电源监控模块1、看门狗模块1和存储模块1连接;
所述从处理单元包括MCU2、输入模块2、输出模块2、通信模块2、时钟2、电源监控模块2、看门狗模块2和存储模块2;MCU2分别与输入模块2、输出模块2、通信模块2、时钟2、电源监控模块2、看门狗模块2和存储模块2连接;
MCU1作为主处理器,MCU2作为从处理器,MCU1和MCU2通过CAN Safety总线连接,并进行交互通信;MCU1和MCU2均用于完成数据采集、逻辑的执行、数据的计算及Can Safety和Ethernet的通信功能;
所述电源模块分别用于向主处理单元和从处理单元进行电源的供应;
所述输入模块1包括数字量输入模块和模拟量输入模块,用于将外部数据输入到MCU1中;所述输出模块1用于将MCU1发出的执行命令发送给外部设备;所述通信模块1用于建立MCU1与外部网络或设备的交互通信;所述时钟1用于提供外部时钟;所述电源监控模块1用于监控供电电源电压;所述看门狗模块1用于监控MCU1中程序的执行和晶振的漂移;所述存储模块1用于MCU2数据的存储和读出;
所述输入模块2包括数字量输入模块和模拟量输入模块,用于将外部数据输入到MCU2中;所述输出模块2用于将MCU2发出的执行命令发送给外部设备;所述通信模块2用于建立MCU2与外部网络或设备的交互通信;所述时钟2用于提供外部时钟;所述电源监控模块2用于监控供电电源电压;所述看门狗模块1用于监控MCU1中程序的执行和晶振的漂移;所述存储模块2用于MCU2数据的存储和读出。
所述电源模块主要由EMC保护电路和滤波电路组成。
作为一种优选,所述存储模块1和存储模块2均包括SDRAM、铁电FRAM和串行线性Flash存储器,其中SDRAM作为MCU的内存使用,用于暂存控制器逻辑执行过程中的过程数据;铁电FRAM电路用于存储功能安全控制器运行时系统配置参数;串行线性Flash存储器用于存储控制器的log信息。
作为一种优选,所述通信模块1和通信模块2均主要由基于网络冗余的Ethernet电路和CAN通信电路组成,所述基于网络冗余的Ethernet电路用于通过Ethernet安全通信协议完成功能安全控制器逻辑的下装和系统数据的监控。
作为一种优选,所述输出模块1和输出模块2均主要由高边功率开关、功率MOSFET、电流放大器和运算放大器组成;所述高边功率开关采用BTS5215L;所述功率MOSFET采用N沟道IPB015N08,作为功率电源总开关;所述电流放大器采用LMP8601,用于对PWM输出的电流采集和放大,并经运算放大器跟随电路进入MPU的ADC通道;所述运算放大器采用4通道轨至轨运算放大器MCP6024。
作为一种优选,所述看门狗模块1和2均为带独立时基和带时间窗的看门狗芯片。
该控制器总体上采用双功能安全MCU实现,双MCU经过SIL3安全完整性等级认证。Cat.2架构中,控制器采用单MCU作为主处理器,运行用户程序,另一个MCU作为从处理器用于实现控制器间安全通信、IO通道信号采集和控制,这样,在Cat.2架构中,控制器使用单MCU即能够达到SIL2等级,另外一片MCU用来实现控制器间的通信和通道扩展;在Cat.3架构中,IO通道、通信通道、MCU实现冗余表决,这样,在Cat.3架构中,当其中一片MCU出现故障时能够自动降级实现Cat.2表决,不影响控制器的功能安全完整性等级,当主从处理器对通过CAN总线交互数据进行CRC校验出现不一致时,MCU会对计算结果进行处理,使控制器不会因为数据的错误出现危险失效。本申请符合SIL2/PL d功能安全完整性等级要求的控制器,能够满足工程机械关键控制系统和高安全要求系统中对功能安全完整性等级的高要求。
附图说明
图1是本实用新型的结构框图。
具体实施方式
下面将对本实用新型作进一步说明。
如图1所示,一种基于功能安全的工程机械车载控制器,包括电源模块、主处理单元和从处理单元;
所述主处理单元包括MCU1、输入模块1、输出模块1、通信模块1、时钟1、电源监控模块、看门狗模块1和存储模块1;MCU1分别与输入模块1、输出模块1、通信模块1、时钟1、电源监控模块1、看门狗模块1和存储模块1连接;
所述从处理单元包括MCU2、输入模块2、输出模块2、通信模块2、时钟2、电源监控模块2、看门狗模块2和存储模块2;MCU2分别与输入模块2、输出模块2、通信模块2、时钟2、电源监控模块2、看门狗模块2和存储模块2连接;
MCU1作为主处理器,MCU2作为从处理器,作为一种优选,MCU1和MCU2的型号均为TMS570LS3137 ,MCU1和MCU2通过CAN Safety总线连接,并进行交互通信,能够实现Cat.2(控制系统有关安全部件的类别)和Cat.3(控制系统有关安全部件的类别)架构;作为一种优选,MCU1和MCU1均为SIL3等级的MCU,MUC作为功能安全控制器的核心部分,用于完成数据采集、逻辑的执行、数据的计算及Can Safety和Ethernet的通信功能;
所述电源模块分别用于向主处理单元和从处理单元进行电源的供应;
所述输入模块1包括数字量输入模块和模拟量输入模块,用于将外部数据输入到MCU1中;所述输出模块1用于将MCU1发出的执行命令发送给外部设备;所述通信模块1用于建立MCU1与外部网络或设备的交互通信;所述时钟1用于提供外部时钟;所述电源监控模块1用于监控供电电源电压;所述看门狗模块1用于监控MCU1中程序的执行和晶振的漂移;所述存储模块1用于MCU2数据的存储和读出;
所述输入模块2包括数字量输入模块和模拟量输入模块,用于将外部数据输入到MCU2中;所述输出模块2用于将MCU2发出的执行命令发送给外部设备;所述通信模块2用于建立MCU2与外部网络或设备的交互通信;所述时钟2用于提供外部时钟;所述电源监控模块2用于监控供电电源电压;所述看门狗模块2用于监控MCU2中程序的执行和晶振的漂移;所述存储模块2用于MCU2数据的存储和读出。
所述电源模块主要由EMC保护电路和滤波电路组成。8-36VDC电源输入经过第一级DC/DC降压到7V,7V电源输出一路经过第二级DC/DC降压至3.3V给两片MCU片上外围电路、以太网电路、输入模块、输出模块供电,另一路经过LDO降压至5V给电源监控芯片、看门狗芯片和CAN收发器供电。3.3V电源输出经过LDO降压至1.2V给两片CPU内核供电;
所述存储模块1和存储模块2均包括SDRAM、铁电FRAM和串行线性Flash存储器,其中SDRAM作为MCU的内存使用,用于暂存控制器逻辑执行过程中的过程数据;铁电FRAM电路用于存储功能安全控制器运行时系统配置参数;串行线性Flash存储器用于存储控制器的log信息。
所述通信模块1和通信模块2均主要由基于网络冗余的Ethernet电路和CAN通信电路组成,所述基于网络冗余的Ethernet电路用于通过Ethernet安全通信协议完成功能安全控制器逻辑的下装和系统数据的监控。CAN通信电路包括1路两片MCU之间的CAN电路,以及每一片MCU两路与扩展IO模块或传感器通信的CAN通信电路。Cat.2架构下,功能安全控制器可以最多提供4路CAN通信回路与外部传感器单元或IO单元进行数据交互,Cat.3架构下,功能安全控制器可以提供2路冗余CAN通信回路与外部传感器单元或IO单元进行数据交互,其中,CAN1和CAN3进行冗余,CAN2和CAN4进行冗余。所有的CAN 回路均支持CAN Safety协议;
所述输出模块1和输出模块2均主要由高边功率开关、功率MOSFET、电流放大器和运算放大器组成;所述高边功率开关采用BTS5215L;所述功率MOSFET采用N沟道IPB015N08,作为功率电源总开关;所述电流放大器采用LMP8601,用于对PWM输出的电流采集和放大,并经运算放大器跟随电路进入MPU的ADC通道;所述运算放大器采用4通道轨至轨运算放大器MCP6024。输出模块1和输出模块2均包括带端口状态反馈的功率开关信号接口(DO)、带电流反馈和端口状态反馈的高边PWM功率输出信号接口(DOCC)、功率电源切断电路,输出模块端口均支持对地短路、对电源短路和断线状态检测功能,功率电源切断电路用于切断功率开关接口和PWM功率输出接口的主电源。Cat.2架构下,功能安全控制器可以最多提供20路功率开关接口和24路PWM功率输出接口,Cat.3架构下,功能安全控制器可以提供10路冗余DO输出端口12路冗余PWM功率输出端口,由CPU1控制的DO1-DO10与CPU2控制的DO11-DO20进行冗余,由CPU1控制的DOCC1-12与由CPU2控制的DOCC13-24进行冗余;冗余通道采用串联方式连接;
所述输入模块1和输入模块2均主要由箝位电路、LDO芯片和运算放大器组成,输入模块1和输入模块2包括数字量输入接口(DI)、电压型/电阻型/电流型模拟量输入信号接口(AI)。模拟量输入接口信号类型可以通过软件进行选配。Cat.2架构下,功能安全控制器可以最多提供34路DI和24路AI接口,Cat.3架构下,功能安全控制器可以提供17路冗余DI输出端口和12路冗余AI端口,由CPU1控制的DI1-DI17与CPU2控制的DI18-DI34进行冗余,由CPU1控制的AI1-12与由CPU2控制的AI13-24进行冗余。Cat.3架构下,两片CPU通过CAN通信进行表决,如果读取到的输入通道数据比较一致,认为是正确的输入数据,继续执行后面的代码,如果比较不一致,则认为是错误的,两个CPU都会报错,不会执行后面的程序,从而采取故障安全原则,不会向外输出任何的数据和控制命令。
所述看门狗模块1和2均为带独立时基和带时间窗的看门狗芯片。2片MCU分别由单独的电源监控芯片和看门狗芯片进行监控。电源监控芯片用于监控7V、3.3V和1.2V电源电压,当电源电压出现异常时,电源监控芯片复位CPU,控制器进入安全状态,看门狗用来监控程序的执行和晶振的漂移,如果其中一片CPU芯片的程序执行发生错误或晶振发生漂移,另一片CPU芯片就会检查出这种故障,从而采取故障安全原则,不会向外输出任何的数据和控制命令。
控制器总体上采用双功能安全MCU实现,双MCU经过SIL3安全完整性等级认证。Cat.2架构中,控制器采用单MCU作为主处理器,运行用户程序,另一个MCU作为从处理器用于实现控制器间安全通信、IO通道信号采集和控制,这样,在Cat.2架构中,控制器使用单MCU即能够达到SIL2等级,另外一片MCU用来实现控制器间的通信和通道扩展;在Cat.3架构中,IO通道、通信通道、MCU实现冗余表决,这样,在Cat.3架构中,当其中一片MCU出现故障时能够自动降级实现Cat.2表决,不影响控制器的功能安全完整性等级,当主从处理器对通过CAN总线交互数据进行CRC校验出现不一致时,MCU会对计算结果进行处理,使控制器不会因为数据的错误出现危险失效。本申请符合SIL2/PL d功能安全完整性等级要求的控制器,能够满足工程机械关键控制系统和高安全要求系统中对功能安全完整性等级的高要求。
Claims (6)
1.一种基于功能安全的工程机械车载控制器,其特征在于,包括电源模块、主处理单元和从处理单元;
所述主处理单元包括MCU1、输入模块1、输出模块1、通信模块1、时钟1、电源监控模块1、看门狗模块1和存储模块1;MCU1分别与输入模块1、输出模块1、通信模块1、时钟1、电源监控模块1、看门狗模块1和存储模块1连接;
所述从处理单元包括MCU2、输入模块2、输出模块2、通信模块2、时钟2、电源监控模块2、看门狗模块2和存储模块2;MCU2分别与输入模块2、输出模块2、通信模块2、时钟2、电源监控模块2、看门狗模块2和存储模块2连接;
MCU1作为主处理器,MCU2作为从处理器,MCU1和MCU2通过CAN Safety总线连接,并进行交互通信;MCU1和MCU2均用于完成数据采集、逻辑的执行、数据的计算及Can Safety和Ethernet的通信功能;
所述电源模块分别用于向主处理单元和从处理单元进行电源的供应;
所述输入模块1包括数字量输入模块和模拟量输入模块,用于将外部数据输入到MCU1中;所述输出模块1用于将MCU1发出的执行命令发送给外部设备;所述通信模块1用于建立MCU1与外部网络或设备的交互通信;所述时钟1用于提供外部时钟;所述电源监控模块1用于监控供电电源电压;所述看门狗模块1用于监控MCU1中程序的执行和晶振的漂移;所述存储模块1用于MCU2数据的存储和读出;
所述输入模块2包括数字量输入模块和模拟量输入模块,用于将外部数据输入到MCU2中;所述输出模块2用于将MCU2发出的执行命令发送给外部设备;所述通信模块2用于建立MCU2与外部网络或设备的交互通信;所述时钟2用于提供外部时钟;所述电源监控模块2用于监控供电电源电压;所述看门狗模块2用于监控MCU2中程序的执行和晶振的漂移;所述存储模块2用于MCU2数据的存储和读出。
2.根据权利要求1 所述的一种基于功能安全的工程机械车载控制器,其特征在于,所述电源模块主要由EMC保护电路和滤波电路组成。
3.根据权利要求1 或2所述的一种基于功能安全的工程机械车载控制器,其特征在于,所述存储模块1和存储模块2均包括SDRAM、铁电FRAM和串行线性Flash存储器,其中SDRAM作为MCU的内存使用,用于暂存控制器逻辑执行过程中的过程数据;铁电FRAM电路用于存储功能安全控制器运行时系统配置参数;串行线性Flash存储器用于存储控制器的log信息。
4.根据权利要求3所述的一种基于功能安全的工程机械车载控制器,其特征在于,所述通信模块1和通信模块2均主要由基于网络冗余的Ethernet电路和CAN通信电路组成,所述基于网络冗余的Ethernet电路用于通过Ethernet安全通信协议完成功能安全控制器逻辑的下装和系统数据的监控。
5.根据权利要求4所述的一种基于功能安全的工程机械车载控制器,其特征在于,所述输出模块1和输出模块2均主要由高边功率开关、功率MOSFET、电流放大器和运算放大器组成;所述高边功率开关采用BTS5215L;所述功率MOSFET采用N沟道IPB015N08,作为功率电源总开关;所述电流放大器采用LMP8601,用于对PWM输出的电流采集和放大,并经运算放大器跟随电路进入MPU的ADC通道;所述运算放大器采用4通道轨至轨运算放大器MCP6024。
6.根据权利要求5所述的一种基于功能安全的工程机械车载控制器,其特征在于,所述看门狗模块1和2均为带独立时基和带时间窗的看门狗芯片。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201920558422.9U CN209911778U (zh) | 2019-04-23 | 2019-04-23 | 基于功能安全的工程机械车载控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201920558422.9U CN209911778U (zh) | 2019-04-23 | 2019-04-23 | 基于功能安全的工程机械车载控制器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN209911778U true CN209911778U (zh) | 2020-01-07 |
Family
ID=69045372
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201920558422.9U Active CN209911778U (zh) | 2019-04-23 | 2019-04-23 | 基于功能安全的工程机械车载控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN209911778U (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112099394A (zh) * | 2020-08-19 | 2020-12-18 | 江苏徐工工程机械研究院有限公司 | 一种工程机械控制器及其供电保护方法 |
| CN112241352A (zh) * | 2020-11-03 | 2021-01-19 | 中国航空工业集团公司西安航空计算技术研究所 | 一种网格化容错计算机平台的监控系统 |
| CN113641094A (zh) * | 2021-07-06 | 2021-11-12 | 江苏徐工工程机械研究院有限公司 | 预防工程机械控制器失效的安全系统及工程机械 |
| CN114488897A (zh) * | 2022-01-27 | 2022-05-13 | 中车青岛四方车辆研究所有限公司 | 一种功能安全芯片及其工作方法 |
-
2019
- 2019-04-23 CN CN201920558422.9U patent/CN209911778U/zh active Active
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112099394A (zh) * | 2020-08-19 | 2020-12-18 | 江苏徐工工程机械研究院有限公司 | 一种工程机械控制器及其供电保护方法 |
| CN112241352A (zh) * | 2020-11-03 | 2021-01-19 | 中国航空工业集团公司西安航空计算技术研究所 | 一种网格化容错计算机平台的监控系统 |
| CN112241352B (zh) * | 2020-11-03 | 2023-10-20 | 中国航空工业集团公司西安航空计算技术研究所 | 一种网格化容错计算机平台的监控系统 |
| CN113641094A (zh) * | 2021-07-06 | 2021-11-12 | 江苏徐工工程机械研究院有限公司 | 预防工程机械控制器失效的安全系统及工程机械 |
| CN113641094B (zh) * | 2021-07-06 | 2024-02-02 | 江苏徐工工程机械研究院有限公司 | 预防工程机械控制器失效的安全系统及工程机械 |
| CN114488897A (zh) * | 2022-01-27 | 2022-05-13 | 中车青岛四方车辆研究所有限公司 | 一种功能安全芯片及其工作方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN209911778U (zh) | 基于功能安全的工程机械车载控制器 | |
| CN111352338B (zh) | 一种双余度飞控计算机及余度管理方法 | |
| CN110351174B (zh) | 一种模块冗余的安全计算机平台 | |
| US20180111626A1 (en) | Method and device for handling safety critical errors | |
| CN111976623B (zh) | 面向智能汽车的底盘域控制器、车辆的控制方法及车辆 | |
| CN103822539B (zh) | 一种基于冗余架构的火箭地面测试控制系统 | |
| CN110794805B (zh) | 一种机器人安全电路及其控制方法 | |
| CN104423374B (zh) | 用于汽车的控制器及具有其的汽车、监测方法 | |
| CN106444723A (zh) | 电子制动控制单元的测试系统及其测试方法 | |
| CN103901772A (zh) | 双dsp冗余惯性平台控制器 | |
| CN102394117A (zh) | 一种多功能驱动模块 | |
| CN105760241A (zh) | 一种内存数据导出方法和系统 | |
| CN108255123A (zh) | 基于三取二软硬件表决的列车lcu控制设备 | |
| CN110134001A (zh) | 一种具有冗余安全的异构双核电机伺服控制器及其冗余安全控制方法 | |
| CN102981498A (zh) | 一种用于dcs现场控制站系统诊断的独立测试链路 | |
| KR20160037939A (ko) | 안전-관련 적용의 리던던트 신호 처리를 위한 방법 및 전자 회로 장치, 차량 브레이크 시스템 및 이러한 차량 브레이크 시스템을 갖는 차량, 그리고 이러한 전자 회로 장치의 사용 | |
| CN104361652A (zh) | 一种列车网络控制及监控系统的数据记录装置 | |
| US20040199824A1 (en) | Device for safety-critical applications and secure electronic architecture | |
| CN210181430U (zh) | 一种具有冗余安全的异构双核电机伺服控制器 | |
| CN115144016A (zh) | 一种设备报警系统、方法、终端及存储介质 | |
| CN203759492U (zh) | 一种三冗错控制系统的三加一冗错控制通讯总线结构 | |
| CN103144657A (zh) | 带校验板的通用轨旁安全平台主处理子系统 | |
| Grießnig et al. | A CPLD-based safety concept for industrial applications | |
| CN207420322U (zh) | 一种三重化架构的轨道交通站台屏蔽门控制系统 | |
| CN114545829B (zh) | 信号输出装置及信号输出控制方法、工程机械 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |