1.本发明属于工程机械领域,具体涉及一种预防工程机械控制器失效的安全系统及工程机械。
背景技术:2.工程机械控制器是工程机械的控制核心,负责实现整车控制功能。随着工程机械智能化和自动化控制的发展,对控制器的性能也提出了越来越高的要求,而控制器本身的安全性是实现其他所有特性的基础,如何预防工程机械控制器失效是控制器设计过程中需要解决的重要问题。
3.现有技术中为了预防工程机械控制器失效,主要提出了以下几种方法:
4.方法一:通过外部电器加入手动切换模式,当控制器失效时切换到手动控制,该方法将增加外部电器组件,且仅能实现简单控制功能。
5.方法二:“看门狗”控制,这是行业内普遍采用的方案,通常固化在mcu内直接实现,即在一段时间内,如果不对“看门狗”进行操作,则系统进入复位状态。该方案可以暂时释放系统资源,但不能解决根本问题,有时还会造成反复复位的异常现象。
6.方法三:控制器采用双mcu控制,每个mcu单独实现正常全部功能。该方案可预防单个mcu自身的失效,但是对于由编程者失误造成的输入失效,由于两个mcu都会响应该错误输入,错误的输入有可能导致底层的失效,所以对于这类失效,该方案无法解决。
7.方法四:在程序中嵌入最小控制系统,在专利cn201310310774.x中有详细描述,该方案可以将mcu从死机中恢复,但是输入失效有可能同时影响最小控制系统部分,从而导致整个控制器失效。
技术实现要素:8.针对上述问题,本发明提出一种预防工程机械控制器失效的安全系统,能够实现当控制器自身失效或者由于编程经验不足或对被控对象不熟悉导致的输入失效发生时,避免程序跑飞或硬件端口损坏等异常问题,保障整车和人员的安全。
9.为了实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
10.第一方面,本发明提供了一种预防工程机械控制器失效的安全系统,包括:安全控制器和标准控制器;
11.所述标准控制器接收外部输入信号,并对接收到的输入信号处理后输出;
12.所述安全控制器与所述标准控制器相连,从所述标准控制器中读取所有输入信号,当检测到异常输入信号时,所述安全控制器复位所述标准控制器,并关断标准控制器的输出端,和/或所述安全控制器关断其自身的输出端,用于关闭所述安全系统。
13.可选地,所述安全系统还包括扩展控制器,所述扩展控制器分别与所述安全控制器和标准控制器相连。
14.可选地,所述标准控制器、安全控制器和扩展控制器之间进行数据同步、数据校验
和数据诊断。
15.可选地,所述标准控制器、安全控制器和扩展控制器分别采集数据,并对各自采集到的数据与其他控制器采集到的数据进行对比测量。
16.可选地,所述标准控制器、安全控制器和扩展控制器采集的数据包括电压数据、电流数据和温度数据。
17.可选地,所述标准控制器、安全控制器和扩展控制器分别包括固件,所述固件包括硬件映射层和驱动层,所述硬件映射层定义软硬件之间的映射关系;所述驱动层实现硬件底层驱动。
18.可选地,所述标准控制器还包括与固件相连的标准codesys运行模块,所述标准codesys运行模块用于供编程者直接在codesys环境中编程。
19.可选地,所述安全控制器还包括与固件相连的codesys运行模块,所述codesys运行模块采用iec61508标准sil 2等级认证的运行模块,用于供编程者直接在codesys环境中编程。
20.可选地,所述安全控制器和标准控制器上均设有can接口。
21.第二方面,本发明提供了一种工程机械,包括第一方面中任一项所述的安全系统。
22.作为本发明的进一步改进,所述。
23.与现有技术相比,本发明的有益效果:
24.本发明的安全系统包括独立的安全部分(安全控制器)和标准部分(标准控制器),二者独立运行,可保证正常情况下的标准程序不会影响安全相关部分,应用层的正常操作也不会影响到安全相关的底层,从而保证当控制器mcu自身失效或者由于编程经验不足或对被控对象不熟悉导致的输入失效发生时,避免程序跑飞或硬件端口损坏等异常问题,保障整车和人员的安全。
附图说明
25.为了使本发明的内容更容易被清楚地理解,下面根据具体实施例并结合附图,对本发明作进一步详细的说明,其中:
26.图1为本发明一种实施例的预防工程机械控制器失效的安全系统的结构示意图。
具体实施方式
27.为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明的保护范围。
28.下面结合附图对本发明的应用原理作详细的描述。
29.实施例1
30.本发明实施例中提供了一种预防工程机械控制器失效的安全系统,包括:安全控制器(安全mcu)和标准控制器(标准mcu);
31.所述标准控制器接收外部输入信号,并对接收到的输入信号处理后输出;在具体实施过程中,所述标准控制器负责控制器的正常功能实现,具体包括数字量、模拟量和脉冲量等传感器信号的输入,输入信号的逻辑处理,数字量、模拟量和pwm信号输出和can通信功
能等;
32.所述安全控制器与所述标准控制器相连,从所述标准控制器中读取所有输入信号,当检测到异常输入信号时,所述安全控制器复位所述标准控制器,并关断标准控制器的输出端;在具体实施过程中,所述安全控制器用于负责所有安全相关控制;在本发明实施例的其他实施方式中,当检测到异常输入信号时,所述安全控制器关断其自身的输出端,或者所述安全控制器关断其自身的输出端以及标准控制器的输出端,实现整个安全系统的关闭;
33.可见,本发明实施例中的安全系统采用的是双控制器控制,以保证物理上的独立性。本发明实施例中提到的双控制器控制并非直接的冗余备份,而是利用标准控制器负责实现标准功能,安全控制器负责实现安全功能,安全控制器本身要满足功能安全标准要求。
34.在本发明实施例的一种具体实施方式中,所述安全系统还包括扩展控制器(扩展mcu),所述扩展控制器分别与所述安全控制器和标准控制器相连。所述扩展控制器作为标准控制器的延伸,可提供更多的io端口,扩大控制器的应用范围,标准控制器、安全控制器和扩展控制器之间可进行数据交互,具体包括数据同步、数据校验和数据诊断。
35.在具体实施过程中,所述标准控制器、安全控制器和扩展控制器分别采集数据,并对各自采集到的数据与其他控制器采集到的数据进行对比测量。所述标准控制器、安全控制器和扩展控制器采集的数据包括电压数据和温度数据。
36.在本发明实施例的一种具体实施方式中,所述标准控制器、安全控制器和扩展控制器分别包括固件(图1中的固件uc1、固件uc2和固件uc3),所述固件包括硬件映射层和驱动层,所述硬件映射层定义软硬件之间的映射关系;所述驱动层实现硬件底层驱动。
37.所述标准控制器还包括与固件相连的标准codesys运行模块,所述标准codesys运行模块用于供编程者直接在codesys环境中编程,而不必关心底层实现。
38.所述安全控制器还包括与固件相连的codesys运行模块,所述codesys运行模块采用iec61508标准sil 2等级认证的运行模块,以保证整体的功能安全,用于供编程者直接在codesys环境中编程,而不必关心底层实现;当检测到异常输入信号时,所述安全控制器发送复位信号至所述标准控制器中的固件,由标准控制器中的固件关断标准控制器的输出端;或者所述安全控制器直接关断其自身的输出端;在具体实施过程中,所述安全控制器用于负责所有安全相关控制。
39.在本发明实施例的一种具体实施方式中,所述安全控制器和标准控制器上均设有can接口,用于实现can通信功能。
40.综上可见,从编程者的角度出发,正常情况下仅需要在codesys里进行标准编程即可,对应与标准控制器中的固件,控制器本身的安全功能由安全控制器中的固件自动实现,从而保证输入失效不会影响到底层的安全功能。
41.实施例2
42.本发明实施例中提供了一种工程机械,包括实施例1中任一项所述的安全系统。
43.以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其
等效物界定。