基于Cortex—M3的自動扶梯安全控制器的設計

屈省源

摘要：針對近幾年自動扶梯發(fā)生的嚴重安全事故，本文按照電氣/電子/可編程電子安全相關系統(tǒng)功能安全標準IEC6150，研究了雙機冗余系統(tǒng)的硬件冗余技術和方法，提出了基于雙機熱備份的高可靠性自動扶梯安全控制器的雙CPU的系統(tǒng)方案，重點介紹了硬件總體設計方案，同時提出了一種典型的仲裁電路和看門狗電路的設計方案。

關鍵詞：自動扶梯 安全控制器 冗余系統(tǒng)

中圖分類號：TU857 文獻標識碼：A 文章編號：1007-9416（2016）07-0007-01

近年來，自動扶梯系統(tǒng)在使用中，由于電子元器件的故障和誤動作，發(fā)生了一系列的安全事故，造成了極大的傷亡事故和財產(chǎn)損失。為了避免此類事故的再次發(fā)生，國家質(zhì)檢總局在GB 16899-2011《自動扶梯和自動人行道的制造與安裝安全規(guī)范》明確要求在自動扶梯和自動人行道系統(tǒng)中要安裝能直接監(jiān)控自動扶梯和自動人行道運行的安全控制器?；诎踩刂破鳂嫿ǖ陌踩嚓P系統(tǒng)獨立于過程控制系統(tǒng)，能夠在危險事件發(fā)生之前正確地執(zhí)行其安全功能，避免造成重大人員傷亡和財產(chǎn)損失，是保障生產(chǎn)安全的重要措施。

可靠性高是安全控制器的主要特點，一般采用冗余技術實現(xiàn)。安全控制器的冗余技術主要有軟件冗余和硬件冗余。目前硬件冗余所包含的種類主要有四種：電源的冗余、控制器冗余、通信網(wǎng)絡的冗余和I/O模塊的冗余。硬件冗余切換速度比較快，雖然在成本上有所增加，但是對于安全控制器而言還是可以接受的。

本文主要提出了一種基于STM32F106的具有容錯技術的雙CPU安全控制器的硬件設計方案。

1 整體設計方案

本文所提出的安全控制器的總體方案如圖1所示。

該控制器主要包含的硬件冗余技術有：（1）控制器冗余；（2）最小系統(tǒng)及報警裝置冗余；（3）接口模塊冗余。每個控制器都連接一個接口模塊，接口模塊都連接到總線上，控制器之間會定時發(fā)送心跳信號以確保對方是否處于正常工作狀態(tài)，每個工作周期都會進行數(shù)據(jù)傳輸，在數(shù)據(jù)的末端會添加CRC校驗符，確保數(shù)據(jù)傳輸?shù)恼_性與完整性。

當出現(xiàn)如下故障時控制器會切換或報警：（1）掉電；（2）控制器本身出現(xiàn)硬件故障；（3）接口模塊出現(xiàn)故障。

當備控制器與主控制器的通訊出現(xiàn)問題時，備控制器將通過與主控制器之間的所有連接進行最終的確認，若所有通訊方式均無效，則可以認定主控制器目前可能掉電，備控制器將報警并將相應的故障指示燈點亮。若通過檢測發(fā)現(xiàn)接口模塊工作正常而控制器工作不正常，則說明可能出現(xiàn)故障（2），此時備控制器將報警并點亮相應的故障指示燈。兩個接口模塊通訊或接口模塊檢測總線數(shù)據(jù)時，如若備用接口模塊發(fā)現(xiàn)主接口模塊出現(xiàn)問題，將通知備用控制器，備用控制器再請求主控制器做判斷。

2 仲裁電路設計

仲裁電路是冗余控制器的關鍵之一。主要確保主控制器和備用控制器的正確切換。本控制器采用的仲裁電路如圖2所示。

其中F_CPU_A和F_CPU_B分別是主、備用CPU的狀態(tài)信號。 EN_CPU_A和EN_CPU_B分別是主、備用CPU的使能信號。S是手動切換開關。由于主CPU和備用CPU是完全對稱的結構和功能，所以可以用S切換開關確定工作的CPU。

如果S接到高電平VCC，則默認是主CPU先工作。當主CPU故障時，F(xiàn)_CPU_A為高電平，則EN_CPU_A信號無效，EN_CPU_B使能信號有效，備用CPU工作。當2個CPU都故障時，則電路完全不工作。

3 看門狗電路設計

安全控制器中CPU是核心部件。為了能有效監(jiān)測CPU的工作狀態(tài)，本控制器在電路上也做了硬件看門狗設計。硬件看門狗的結構圖如圖3所示。

本控制器采用SP706作為看門狗電路的主芯片。具有復位輸出、低電壓監(jiān)測和手動復位等功能。

在上電的過程中，當Vcc達到1V，RESET將為一個穩(wěn)定的邏輯低電平，一般為0.4V或者更低。當Vcc升高后，RESET將保持LOW。當Vcc超過復位閥值時，一個內(nèi)部定時器將產(chǎn)生200ms 的RESET信號。當Vcc跌至復位閥值以下時，RESET保持低電平。如果在初始化復位的過程中產(chǎn)生掉電，復位脈沖將至少持續(xù)140ms。在下電的過程中，當Vcc跌至復位閥值以下，RESET將保持為LOW，并穩(wěn)定在0.4V或更低，直到Vcc低于1V。

在+5V穩(wěn)壓器產(chǎn)生壓差之前，選擇分壓比使PFI上的電壓降至1.25V以下。使用PPFO以中斷CPU，這樣可以監(jiān)測CPU的工作電壓。

4 結語

采用冗余技術是保證安全控制器可靠工作的技術之一。本文主要討論了安全控制器的硬件設計方案。采用硬件看門狗技術能進一步提高控制器的工作可靠性。

參考文獻

[1]IEC61508，F(xiàn)unetionalSafetyofEleetrieaFElectrirogrammablee

leetrieSafety-RelatedSystelns [S].

[2]李哲毓，崔逸群，田園等.現(xiàn)場總線控制器冗余功能設計與實現(xiàn)[J].熱力發(fā)電，2014（2）：93-95.

[3]Ran L，Junfeng W，Haiying W. Design method of CAN BUS network communication structure for electric vehicle[C].Strategic Technology （IFOST）， 2010International Forum on. IEEE， 2010：326-329.