随着现代化高科技的应用，工业事故对社会的影响越来越受到人们的重视；更多的人意识到安全的重要性并且做更多的工作以降低事故发生的概率和提高产品的安全性能，从而更好的为人们服务。SIL认证的过程就是帮助企业把最好的工程实践经验和安全技术（IEC61508和IEC61511）充分利用，避免工业事故的发生。IEC61508将SIL划分为4级，即SIL1，SIL2，SIL3和SIL4，级别越高要求其危险失效概率越低[1][2]。目前大部分工程机械控制器都没有通过SIL认证，但随着人们对安全的重视和中国企业进军国际的需要，各控制器厂家和主机厂开始向SIL认证制定的标准规范靠拢。

 

　　工程机械控制器主要由电源模块、通信模块、输出驱动模块、输入模块和MCU模块构成，如何对所有模块进行监视让控制器满足SIL认证的要求。本文提出一种基于CIC61508安全监测芯片的解决方案，能解决上述问题。

 

　　1.系统结构

 

　　图1中CIC61508是英飞凌（Infineon）公司2011年推出的一款安全监测芯片，它负责对MCU控制行为、供电电压进行监控，在出现错误时，可以触发MCU的复位，甚至可以对外围电路进行紧急保护[2]。下面就CIC61508的工作原理做详细介绍。

 

　　2.CIC61508及其构成

 

　　CIC61508包含如下几个模块单元：序列测试生成器、数据比较器，任务监控，4路电源电压监控模块、CIC61508与MCU之间通信监控。

 

　　CIC61508通过8个独立的Passcounters（监控计数器）对上述的8个模块进行独立的计数，计数范围001到080，当被监控信号正常时，计数加1，异常时计数减1。当计数小于040时，CIC61508的系统状态将发生改变。CIC61508将根据当前进入的系统状态执行动作相应的动作；当计数大于或者等于040时，系统将保持原状态。

 

　　2.1序列测试生成器

 

　　序列测试生成器是负责校验主控芯片应答数据，CIC61508每隔一段时间发送给主控芯片一个预定义的“问题”，主控芯片收到“问题”后，需要根据预定义的“答复”表选择正确的“答复”，序列测试生成器在接收到主控器的“答复”后，与CIC61508内置的静态表进行比较，判断主控芯片是否正确应答，从而决定Passcounters对应的寄存器计数是增加还是减少。

 

　　2.2电源电压监控

 

　　电源电压监控模块可以同时监控4路电源电压，每一路都有独立的Passcounters。使用这个模块首先需要对NVM模块得电压范围进行配置，电源电压监控模块在设定的每个节拍中对当前电压进行采样，采样精度为10位，当采样值落在设定范围时，对应的Passcounters计数加1，否则Passcounters计数减1。

 

　　2.3任务监控

 

　　CIC61508提供任务监控功能用于监控主控芯片实时多任务情况下，任务队列的正确性以及任务执行时间是否超时。它支持8个任务超时监控以及255个任务的队列监控。

 

　　通过SPI总线，由主控制芯片按照任务起始时间、任务中止时间、任务ID等信息逐个发给CIC61508，CIC61508通过计算任务执行时间和任务序列是否正确，来判断Passcounters是否加1或者减1。

 

　　2.4数据比较器

 

　　CIC61508提供8个32bit数据比较器，主控制芯片通过SPI发送2个不同进程的数据进行比较，可以有三种”>”、”=”、”<”判断标准，当比较的2个数据符合预定标准时，Passcounters加1，否则减1。

 

　　2.5安全通道控制

 

　　CIC61508除了提供监控以及复位信号外，还提供3个引脚作为安全控制引脚，分别是SYSDISA、SYSDISB和SYSDISC，这三个引脚可以独立的在CIC61508的任意State中被定义为High或者Low，即在每1个State他们对应的NVM中的控制内存地址都是独立的。

 

　　这三个引脚可以承担当主控制芯片失效时，系统的安全输出，对保证系统的安全起来关键作用。

 

　　3.工程机械应用

 

　　在工程机械中，面对故障情况，一般分为2种措施：

 

　　（1）保持原来控制状态不变，待故障消除。例如图3的负载2；

 

　　（2）强制机器进入某种制定安全状态，待故障消除，例如图3的负载1。

 

　　针对这两种应用，我们设计如下图方案：当CIC61508检测到SPI通信失效时，在Tripping阶段分别对SYSDISA引脚和SYSDISC引脚输出控制电瓶，保证负载1强制进入安全状态，保证负载2保持原状态不变，然后通过RESETpin复位MCU，待MCU复位完毕，重新验证Passcounter，如果Passcounter都大于040，则将SYSDISA和SYSDISC恢复到保护前状态。

 

　　4.小结

 

　　基于CIC61508的工程机械控制器解决方案，能有效的监控主控芯片硬件和软件失效情况，并及时对系统进行复位或者应急输出等一系列安全操作，为工程机械电控系统的安全性提供重要保障。

 

　　参考文献：

 

　　[1]百度百科.SIL认证[DB/OL].http：//baike.baidu.com/view/2436872.htm.

 

　　[2]王海凤，何之栋，黄文君.故障安全通信系统的研究与设计[J].电子技术应用，2014（1）：115—118.

 

　　[3]Infineon.CIC61508SafetyMonitorUser’sManual[DB/OL].http：//www.infineon.com/dgdl/CIC61508-User-Manual-v2.2.pdf？folderId=db3a304317a748360117f45a9c863e84&fileId=db3a30432dbf3762012dc80615ee3630