本发明专利技术公开了一种预防工程机械控制器失效的安全系统及工程机械,所述安全系统包括安全控制器和标准控制器;所述标准控制器接收外部输入信号,并对接收到的输入信号处理后输出;所述安全控制器与所述标准控制器相连,从所述标准控制器中读取所有输入信号,当检测到异常输入信号时,所述安全控制器复位所述标准控制器,并关断标准控制器的输出端,和/或所述安全控制器关断其自身的输出端,用于关闭所述安全系统。本发明专利技术能够保证当控制器自身失效或者由于编程经验不足或对被控对象不熟悉导致的输入失效发生时,避免程序跑飞或硬件端口损坏等异常问题,保障整车和人员的安全。保障整车和人员的安全。保障整车和人员的安全。
【技术实现步骤摘要】
预防工程机械控制器失效的安全系统及工程机械
[0001]本专利技术属于工程机械领域,具体涉及一种预防工程机械控制器失效的安全系统及工程机械。
技术介绍
[0002]工程机械控制器是工程机械的控制核心,负责实现整车控制功能。随着工程机械智能化和自动化控制的发展,对控制器的性能也提出了越来越高的要求,而控制器本身的安全性是实现其他所有特性的基础,如何预防工程机械控制器失效是控制器设计过程中需要解决的重要问题。
[0003]现有技术中为了预防工程机械控制器失效,主要提出了以下几种方法:
[0004]方法一:通过外部电器加入手动切换模式,当控制器失效时切换到手动控制,该方法将增加外部电器组件,且仅能实现简单控制功能。
[0005]方法二:“看门狗”控制,这是行业内普遍采用的方案,通常固化在MCU内直接实现,即在一段时间内,如果不对“看门狗”进行操作,则系统进入复位状态。该方案可以暂时释放系统资源,但不能解决根本问题,有时还会造成反复复位的异常现象。
[0006]方法三:控制器采用双MCU控制,每个MCU单独实现正常全部功能。该方案可预防单个MCU自身的失效,但是对于由编程者失误造成的输入失效,由于两个MCU都会响应该错误输入,错误的输入有可能导致底层的失效,所以对于这类失效,该方案无法解决。
[0007]方法四:在程序中嵌入最小控制系统,在专利CN201310310774.X中有详细描述,该方案可以将MCU从死机中恢复,但是输入失效有可能同时影响最小控制系统部分,从而导致整个控制器失效。
技术实现思路
[0008]针对上述问题,本专利技术提出一种预防工程机械控制器失效的安全系统,能够实现当控制器自身失效或者由于编程经验不足或对被控对象不熟悉导致的输入失效发生时,避免程序跑飞或硬件端口损坏等异常问题,保障整车和人员的安全。
[0009]为了实现上述技术目的,达到上述技术效果,本专利技术通过以下技术方案实现:
[0010]第一方面,本专利技术提供了一种预防工程机械控制器失效的安全系统,包括:安全控制器和标准控制器;
[0011]所述标准控制器接收外部输入信号,并对接收到的输入信号处理后输出;
[0012]所述安全控制器与所述标准控制器相连,从所述标准控制器中读取所有输入信号,当检测到异常输入信号时,所述安全控制器复位所述标准控制器,并关断标准控制器的输出端,和/或所述安全控制器关断其自身的输出端,用于关闭所述安全系统。
[0013]可选地,所述安全系统还包括扩展控制器,所述扩展控制器分别与所述安全控制器和标准控制器相连。
[0014]可选地,所述标准控制器、安全控制器和扩展控制器之间进行数据同步、数据校验
和数据诊断。
[0015]可选地,所述标准控制器、安全控制器和扩展控制器分别采集数据,并对各自采集到的数据与其他控制器采集到的数据进行对比测量。
[0016]可选地,所述标准控制器、安全控制器和扩展控制器采集的数据包括电压数据、电流数据和温度数据。
[0017]可选地,所述标准控制器、安全控制器和扩展控制器分别包括固件,所述固件包括硬件映射层和驱动层,所述硬件映射层定义软硬件之间的映射关系;所述驱动层实现硬件底层驱动。
[0018]可选地,所述标准控制器还包括与固件相连的标准Codesys运行模块,所述标准Codesys运行模块用于供编程者直接在Codesys环境中编程。
[0019]可选地,所述安全控制器还包括与固件相连的Codesys运行模块,所述Codesys运行模块采用IEC61508标准SIL 2等级认证的运行模块,用于供编程者直接在Codesys环境中编程。
[0020]可选地,所述安全控制器和标准控制器上均设有CAN接口。
[0021]第二方面,本专利技术提供了一种工程机械,包括第一方面中任一项所述的安全系统。
[0022]作为本专利技术的进一步改进,所述。
[0023]与现有技术相比,本专利技术的有益效果:
[0024]本专利技术的安全系统包括独立的安全部分(安全控制器)和标准部分(标准控制器),二者独立运行,可保证正常情况下的标准程序不会影响安全相关部分,应用层的正常操作也不会影响到安全相关的底层,从而保证当控制器MCU自身失效或者由于编程经验不足或对被控对象不熟悉导致的输入失效发生时,避免程序跑飞或硬件端口损坏等异常问题,保障整车和人员的安全。
附图说明
[0025]为了使本专利技术的内容更容易被清楚地理解,下面根据具体实施例并结合附图,对本专利技术作进一步详细的说明,其中:
[0026]图1为本专利技术一种实施例的预防工程机械控制器失效的安全系统的结构示意图。
具体实施方式
[0027]为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术的保护范围。
[0028]下面结合附图对本专利技术的应用原理作详细的描述。
[0029]实施例1
[0030]本专利技术实施例中提供了一种预防工程机械控制器失效的安全系统,包括:安全控制器(安全MCU)和标准控制器(标准MCU);
[0031]所述标准控制器接收外部输入信号,并对接收到的输入信号处理后输出;在具体实施过程中,所述标准控制器负责控制器的正常功能实现,具体包括数字量、模拟量和脉冲量等传感器信号的输入,输入信号的逻辑处理,数字量、模拟量和PWM信号输出和CAN通信功
能等;
[0032]所述安全控制器与所述标准控制器相连,从所述标准控制器中读取所有输入信号,当检测到异常输入信号时,所述安全控制器复位所述标准控制器,并关断标准控制器的输出端;在具体实施过程中,所述安全控制器用于负责所有安全相关控制;在本专利技术实施例的其他实施方式中,当检测到异常输入信号时,所述安全控制器关断其自身的输出端,或者所述安全控制器关断其自身的输出端以及标准控制器的输出端,实现整个安全系统的关闭;
[0033]可见,本专利技术实施例中的安全系统采用的是双控制器控制,以保证物理上的独立性。本专利技术实施例中提到的双控制器控制并非直接的冗余备份,而是利用标准控制器负责实现标准功能,安全控制器负责实现安全功能,安全控制器本身要满足功能安全标准要求。
[0034]在本专利技术实施例的一种具体实施方式中,所述安全系统还包括扩展控制器(扩展MCU),所述扩展控制器分别与所述安全控制器和标准控制器相连。所述扩展控制器作为标准控制器的延伸,可提供更多的IO端口,扩大控制器的应用范围,标准控制器、安全控制器和扩展控制器之间可进行数据交互,具体包括数据同步、数据校验和数据诊断。
[0035]在具体实施过程中,所述标准控制器、安全控制器和扩展控制器分别采集数据,并对各自采集到的数据与其他控制器采集到的数据进行对比测量。所述标准控制器、安全控制器和扩展控制器采集的数据包括电压数据和温度数据。
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种预防工程机械控制器失效的安全系统,其特征在于,包括:安全控制器和标准控制器;所述标准控制器接收外部输入信号,并对接收到的输入信号处理后输出;所述安全控制器与所述标准控制器相连,从所述标准控制器中读取所有输入信号,当检测到异常输入信号时,所述安全控制器复位所述标准控制器,并关断标准控制器的输出端,和/或所述安全控制器关断其自身的输出端,用于关闭所述安全系统。2.根据权利要求1所述的一种预防工程机械控制器失效的安全系统,其特征在于:所述安全系统还包括扩展控制器,所述扩展控制器分别与所述安全控制器和标准控制器相连。3.根据权利要求1所述的一种预防工程机械控制器失效的安全系统,其特征在于:所述标准控制器、安全控制器和扩展控制器之间进行数据同步、数据校验和数据诊断。4.根据权利要求3所述的一种预防工程机械控制器失效的安全系统,其特征在于:所述标准控制器、安全控制器和扩展控制器分别采集数据,并对各自采集到的数据与其他控制器采集到的数据进行对比测量。5.根据权利要求4所述的一种预防工程机械控制器失效的安全系统,其特征在于:所述标准控制器、安全控制器和扩展控制器...
【专利技术属性】
技术研发人员:安卡,李寒霜,
申请(专利权)人:江苏徐工工程机械研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。