一種符合城軌車輛門系統(tǒng)功能安全需求的可重構(gòu)門控制器的制造方法
【專利摘要】本發(fā)明公開了一種符合城軌車輛門系統(tǒng)功能安全需求的可重構(gòu)門控制器�,包括第一處理芯片CPU1、第二處理芯片CPU2和硬件安全電路�,第一處理芯片CPU1為無安全等級(jí)的可編程子系統(tǒng),接收外界信號(hào)�����,分析處理后發(fā)送門扇動(dòng)作邏輯至第二處理芯片CPU2�����;第二處理芯片CPU2為滿足SIL2級(jí)安全需求的可編程子系統(tǒng),接收第一處理芯片CPU1的門扇動(dòng)作邏輯指令��,安全確認(rèn)后驅(qū)動(dòng)電機(jī)帶動(dòng)城軌車輛門系統(tǒng)的門扇閉合�����;硬件安全電路對(duì)電機(jī)驅(qū)動(dòng)電路的供電電源進(jìn)行控制�,保障電機(jī)在安全允許條件下動(dòng)作。本發(fā)明分別由不同功能安全完整性等級(jí)的子系統(tǒng)滿足城軌車輛門系統(tǒng)的安全要求�����,便于重構(gòu)擴(kuò)展����,具有良好的應(yīng)用前景。
【專利說明】
一種符合城軌車輛門系統(tǒng)功能安全需求的可重構(gòu)門控制器
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及城軌車輛門系統(tǒng)技術(shù)領(lǐng)域���,具體涉及一種符合城軌車輛門系統(tǒng)功能安全需求的可重構(gòu)門控制器���。
【背景技術(shù)】
[0002]城軌車輛車門控制器用于在地鐵和輕軌等軌道列車車門控制上,接收列車控制系統(tǒng)發(fā)送的開門、關(guān)門等信號(hào)����,結(jié)合門系統(tǒng)中的傳感器信號(hào),如限位開關(guān)�����、位置傳感器等�,實(shí)現(xiàn)列車車門的開啟、關(guān)閉���。
[0003]我們知道�,城軌列車通常運(yùn)營線路較短����,列車車門需要頻繁的開啟和關(guān)閉��,一旦門系統(tǒng)發(fā)生故障��,輕則使該車門被隔離無法使用���,嚴(yán)重時(shí)則會(huì)導(dǎo)致列車清客���、停運(yùn)���。因此,門系統(tǒng)的安全穩(wěn)定工作對(duì)城軌系統(tǒng)運(yùn)營有非常重要的意義�,車門控制器作為門系統(tǒng)的控制、驅(qū)動(dòng)設(shè)備����,對(duì)門系統(tǒng)的可靠工作更是有著重要作用。
[0004]為了提高車門控制器產(chǎn)品的可靠性和質(zhì)量標(biāo)準(zhǔn)����,城軌車輛整機(jī)廠家逐步對(duì)車門控制器產(chǎn)品提出了功能安全性等級(jí)認(rèn)證的要求。只有產(chǎn)品的設(shè)計(jì)方案��、研發(fā)流程獲得了第三方安全認(rèn)證機(jī)構(gòu)的評(píng)估認(rèn)可���,才能夠裝車使用�。目前����,市面上存在的車門控制器產(chǎn)品,多采用一顆獨(dú)立的微控制器���,實(shí)現(xiàn)外部傳感器信號(hào)檢測(cè)�、車輛網(wǎng)絡(luò)信號(hào)分析處理、門系統(tǒng)動(dòng)作邏輯判斷處理��、電機(jī)運(yùn)動(dòng)控制�����、故障判斷檢測(cè)等功能�,在車門控制器產(chǎn)品應(yīng)用到具體客戶項(xiàng)目時(shí),需要根據(jù)客戶需求配置部分硬件功能模塊�����,修改相應(yīng)的軟件代碼�����。每個(gè)客戶訂單項(xiàng)目都需要執(zhí)行一次完整的產(chǎn)品研發(fā)��、測(cè)試�、試制��、認(rèn)證流程����,具體存在的問題和缺點(diǎn)�,具體如下�����,
(1)采用單一控制芯片���,軟件和硬件的擴(kuò)展性差��,現(xiàn)有的車門控制器只適用于某個(gè)型號(hào)的列車���,不具備很好的可重構(gòu)性和普適性;
(2)單一控制芯片需要處理的工作較多����,處理器的性能有限,無法添加處理更多的功會(huì)K;
(3)車門控制器產(chǎn)品應(yīng)用到不同客戶項(xiàng)目時(shí)需要對(duì)其內(nèi)的軟件或硬件進(jìn)行部分設(shè)計(jì)更改�,這就導(dǎo)致需要重新對(duì)車門控制器產(chǎn)品進(jìn)行一輪研發(fā)、測(cè)試��、檢驗(yàn)流程��,加大了產(chǎn)品的人力投入����、研發(fā)工作量和研發(fā)周期���;
(4)車門控制器產(chǎn)品的功能安全性認(rèn)證要求產(chǎn)品是設(shè)計(jì)定型的,需求�����、功能固化��,車門控制器產(chǎn)品結(jié)合客戶需求引入的設(shè)計(jì)更改會(huì)導(dǎo)致需要對(duì)產(chǎn)品重新進(jìn)行安全認(rèn)證評(píng)估��,提高了重復(fù)認(rèn)證的費(fèi)用�����,客戶項(xiàng)目的差異化也不利于車門控制器產(chǎn)品產(chǎn)品的系列化�����。
【發(fā)明內(nèi)容】
[0005]
本發(fā)明所解決的技術(shù)問題是現(xiàn)有的市面上存在的車門控制器產(chǎn)品����,多采用一顆獨(dú)立的處理芯片�,不具備很好的可重構(gòu)性和擴(kuò)展能力���,應(yīng)用到不同客戶項(xiàng)目定制工作量大,而且無法以較低的成本�����、較靈活的方式獲得產(chǎn)品的功能安全認(rèn)證的問題���。
[0006]為了解決上述問題�����,本發(fā)明所采用的技術(shù)方案是: 一種符合城軌車輛門系統(tǒng)功能安全需求的可重構(gòu)門控制器�����,其特征在于:采用不同功能安全等級(jí)的雙處理芯片配合硬件安全電路的架構(gòu)組成����,包括第一處理芯片CPU1�、第二處理芯片CPU2和硬件安全電路,
所述第一處理芯片CPUl為無安全等級(jí)的可編程子系統(tǒng)�����,用于接收外界信號(hào),分析處理后發(fā)送門扇動(dòng)作邏輯至第二處理芯片CPU2;
所述第二處理芯片CPU2為滿足城軌車輛門系統(tǒng)SIL2級(jí)安全需求的可編程子系統(tǒng)��,用于接收第一處理芯片CPUl的門扇動(dòng)作邏輯指令���,并進(jìn)行安全確認(rèn)后��,直接驅(qū)動(dòng)電機(jī)帶動(dòng)城軌車輛門系統(tǒng)的門扇閉合�����;
所述硬件安全電路為滿足城軌車輛門系統(tǒng)SIL4級(jí)安全需求的固有式故障安全電路��,所述硬件安全電路對(duì)與第二處理芯片CPU2連接的電機(jī)驅(qū)動(dòng)電路供電電源進(jìn)行控制�����,保障電機(jī)在安全允許條件下動(dòng)作����,實(shí)現(xiàn)城軌車輛門系統(tǒng)的門扇動(dòng)作���;
所述第二處理芯片CPU2��、硬件安全電路組合�����,實(shí)現(xiàn)城軌車輛門系統(tǒng)滿足SIL2級(jí)和SIL4級(jí)安全需求�����,所述第一處理芯片CPUl在車門控制器滿足安全需求時(shí)��,還具備二次編程的功會(huì)K��。
[0007]前述的用于城軌車輛門系統(tǒng)安全需求的可重構(gòu)車門控制器�,其特征在于:所述第一處理芯片CPUl和第二處理芯片CPU2之間通過通訊總線相連接�。
[0008]前述的用于城軌車輛門系統(tǒng)安全需求的可重構(gòu)車門控制器,其特征在于:所述第一處理芯片CPUl為通用微處理器���,所述第二處理芯片CPU2為電機(jī)控制專用微處理器���。
[0009]前述的用于城軌車輛門系統(tǒng)安全需求的可重構(gòu)車門控制器,其特征在于:所述第二處理芯片CPU2還具備在線參數(shù)配置變更的功能���。
[0010]本發(fā)明的有益效果是:本發(fā)明的用于城軌車輛門系統(tǒng)的可重構(gòu)車門控制器�����,采用雙處理芯片和硬件安全電路的架構(gòu)組成�����,將門扇的電機(jī)驅(qū)動(dòng)控制由功能安全等級(jí)為SIL2級(jí)的CPU2處理芯片完成��,使用固有式故障安全電路滿足SIL4級(jí)功能安全需求�����,使用另一個(gè)安全無關(guān)的通用處理器CPUl滿足項(xiàng)目定制需求��。從而實(shí)現(xiàn)車門控制器在滿足功能安全性等級(jí)需求時(shí)��,仍具有靈活的項(xiàng)目定制功能�。對(duì)門系統(tǒng)功能進(jìn)行安全性分解,分別由不同功能安全完整性等級(jí)的子系統(tǒng)滿足城軌車輛門系統(tǒng)的安全要求�,具有良好的應(yīng)用前景。
【附圖說明】
[0011]圖1是本發(fā)明的用于城軌車輛門系統(tǒng)安全需求的可重構(gòu)車門控制器的系統(tǒng)框圖���。
[0012]圖2是本發(fā)明的第一實(shí)施例的系統(tǒng)框圖����。
[0013]圖3是本發(fā)明的第二實(shí)施例的系統(tǒng)框圖。
【具體實(shí)施方式】
[0014]下面將結(jié)合說明書附圖���,對(duì)本發(fā)明作進(jìn)一步的說明��。
[0015]如圖1所示���,本發(fā)明的用于城軌車輛門系統(tǒng)安全需求的可重構(gòu)車門控制器���,采用不同功能安全等級(jí)的雙處理芯片配合硬件安全電路的架構(gòu)組成��,包括第一處理芯片CPU1��、第二處理芯片CPU2和硬件安全電路�,
所述第一處理芯片CPUl為無安全等級(jí)的可編程子系統(tǒng)��,用于接收外界信號(hào)���,外界控制信號(hào)包括網(wǎng)絡(luò)通信信號(hào)�����、1信號(hào)��,分析處理后發(fā)送門扇動(dòng)作邏輯至第二處理芯片CPU2�����,由于第一處理芯片CPUl構(gòu)成的子系統(tǒng)安全無關(guān)����,因此對(duì)該子系統(tǒng)硬件或軟件的修改就不影響門控器整體的功能安全認(rèn)證;
所述第二處理芯片CPU2為滿足城軌車輛門系統(tǒng)SIL2級(jí)安全需求的可編程子系統(tǒng)���,用于接收第一處理芯片CPUl的門扇動(dòng)作邏輯指令��,并進(jìn)行安全確認(rèn)后��,直接驅(qū)動(dòng)電機(jī)帶動(dòng)城軌車輛門系統(tǒng)的門扇閉合����,第二處理芯片CPU2還具備在線參數(shù)配置變更的功能���,由于第二處理芯片CPU2構(gòu)成的可編程子系統(tǒng)屬于安全相關(guān)子系統(tǒng)�,該子系統(tǒng)需要承擔(dān)的功能較為單一�����,屬于不同客戶項(xiàng)目都有的共性需求,因此該子系統(tǒng)需求明確�,軟件和硬件均可以定型,便于獲取安全認(rèn)證���,在應(yīng)用到不同的客戶定制項(xiàng)目時(shí)也無需更改���,也就無需重復(fù)認(rèn)證。針對(duì)少數(shù)安全相關(guān)的軟件功能差異�,也可以通過軟件運(yùn)行時(shí)選擇條件分支,在線配置分支參數(shù)的方式滿足不同項(xiàng)目的需求���,而無需重新編譯下載軟件;
所述硬件安全電路為滿足城軌車輛門系統(tǒng)SIL4級(jí)安全需求的固有式故障安全電路�����,所述硬件安全電路對(duì)與第二處理芯片CPU2連接的電機(jī)驅(qū)動(dòng)電路供電電源進(jìn)行控制���,保障電機(jī)在安全允許條件下動(dòng)作�����,實(shí)現(xiàn)城軌車輛門系統(tǒng)的門扇動(dòng)作���,即硬件安全電路對(duì)所述第二處理芯片CPU2子系統(tǒng)的門扇驅(qū)動(dòng)電機(jī)的功率驅(qū)動(dòng)電路的電源進(jìn)行控制����,僅當(dāng)滿足安全允許條件時(shí)�,電機(jī)才能夠運(yùn)動(dòng),才能實(shí)現(xiàn)城軌車輛門系統(tǒng)的門扇動(dòng)作���。
[0016]所述第二處理芯片CPU2��、硬件安全電路組合�����,實(shí)現(xiàn)城軌車輛門系統(tǒng)滿足SIL2級(jí)和SIL4級(jí)安全需求����,所述第一處理芯片CPUl在車門控制器滿足安全需求時(shí)���,還具備二次編程的功能����。
[0017]所述第一處理芯片CPUl和第二處理芯片CPU2之間通過通訊總線相連接�,或其他可靠方式進(jìn)行信息交互�����。
[0018]所述第一處理芯片CPUl為通用微處理器�����,所述第二處理芯片CPU2為電機(jī)控制專用微處理器�。
[0019]如圖2及圖3所示�,本發(fā)明的兩個(gè)不同的實(shí)施例:安全無關(guān)子系統(tǒng)第一處理芯片CPUl選用高性能通用處理器實(shí)現(xiàn),安全相關(guān)子系統(tǒng)第二處理芯片CPU2選用符合功能安全性認(rèn)證要求的電機(jī)控制處理器實(shí)現(xiàn)��,CPUl和CPU2之間采用通訊總線實(shí)時(shí)通訊��。兩個(gè)實(shí)施例的區(qū)別點(diǎn)在于���,第一實(shí)施例中第一處理芯片CPUl直接從列車線和門系統(tǒng)傳感器獲取控制邏輯輸入信號(hào),第二處理芯片CPU2從列車線和門系統(tǒng)傳感器中獲取安全冗余信號(hào)�,第二實(shí)施例中列車線和門系統(tǒng)傳感器統(tǒng)一由第二處理芯片CPU2檢測(cè)獲取,第一處理芯片CPUl經(jīng)通訊總線和第二處理芯片CPU2實(shí)時(shí)通訊�����,獲取外界控制信號(hào)�����,經(jīng)過邏輯處理后,再經(jīng)通訊總線發(fā)送門扇運(yùn)動(dòng)指令至第二處理芯片CPU2���。兩個(gè)實(shí)施例對(duì)CPU2安全相關(guān)子系統(tǒng)無需任何改動(dòng)����,只需要修改CPUl安全無關(guān)子系統(tǒng)即可滿足不同城軌車輛門系統(tǒng)項(xiàng)目的具體應(yīng)用需求�����。
[0020]綜上所述����,本發(fā)明的用于城軌車輛門系統(tǒng)安全需求的可重構(gòu)車門控制器,采用雙處理芯片和硬件安全電路的架構(gòu)組成���,將門扇的電機(jī)驅(qū)動(dòng)控制由功能安全等級(jí)為SIL2級(jí)的處理芯片完成�,使用固有式故障安全電路滿足SIL4級(jí)功能安全需求�,使用另一個(gè)安全無關(guān)的通用處理器滿足項(xiàng)目定制需求,從而實(shí)現(xiàn)車門控制器在滿足功能安全性等級(jí)需求時(shí)�����,仍具有靈活的項(xiàng)目定制功能,對(duì)門系統(tǒng)功能進(jìn)行安全性分解����,分別由不同功能安全完整性等級(jí)的子系統(tǒng)滿足城軌車輛門系統(tǒng)的安全要求,具有良好的應(yīng)用前景���。
[0021]以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點(diǎn)���。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制�,上述實(shí)施例和說明書中描述的只是說明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下�����,本發(fā)明還會(huì)有各種變化和改進(jìn)�����,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)�����。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定�。
【主權(quán)項(xiàng)】
1.一種符合城軌車輛門系統(tǒng)功能安全需求的可重構(gòu)門控制器,其特征在于:采用不同功能安全等級(jí)的雙處理芯片配合硬件安全電路的架構(gòu)組成�,包括第一處理芯片CPU1、第二處理芯片CPU2和硬件安全電路����, 所述第一處理芯片CPUl為無安全等級(jí)的可編程子系統(tǒng),用于接收外界信號(hào)�����,分析處理后發(fā)送門扇動(dòng)作邏輯至第二處理芯片CPU2; 所述第二處理芯片CPU2為滿足城軌車輛門系統(tǒng)SIL2級(jí)安全需求的可編程子系統(tǒng)��,用于接收第一處理芯片CPUl的門扇動(dòng)作邏輯指令����,并進(jìn)行安全確認(rèn)后,直接驅(qū)動(dòng)電機(jī)帶動(dòng)城軌車輛門系統(tǒng)的門扇閉合��; 所述硬件安全電路為滿足城軌車輛門系統(tǒng)SIL4級(jí)安全需求的固有式故障安全電路�,所述硬件安全電路對(duì)與第二處理芯片CPU2連接的電機(jī)驅(qū)動(dòng)電路供電電源進(jìn)行控制,保障電機(jī)在安全允許條件下動(dòng)作���,實(shí)現(xiàn)城軌車輛門系統(tǒng)的門扇動(dòng)作�; 所述第二處理芯片CPU2、硬件安全電路組合���,實(shí)現(xiàn)城軌車輛門系統(tǒng)滿足SIL2級(jí)和SIL4級(jí)安全需求��,所述第一處理芯片CPUl在車門控制器滿足安全需求時(shí)����,還具備二次編程的功會(huì)K���。2.根據(jù)權(quán)利要求1所述的用于城軌車輛門系統(tǒng)安全需求的可重構(gòu)門控制器�����,其特征在于:所述第一處理芯片CPUl和第二處理芯片CPU2之間通過通訊總線相連接����。3.根據(jù)權(quán)利要求1所述的用于城軌車輛門系統(tǒng)安全需求的可重構(gòu)門控制器��,其特征在于:所述第一處理芯片CPUl為通用微處理器�,所述第二處理芯片CPU2為電機(jī)控制專用微處理器。4.根據(jù)權(quán)利要求1所述的用于城軌車輛門系統(tǒng)安全需求的可重構(gòu)門控制器��,其特征在于:所述第二處理芯片CPU2還具備在線參數(shù)配置變更的功能���。
【文檔編號(hào)】E05F15/659GK105888432SQ201610254843
【公開日】2016年8月24日
【申請(qǐng)日】2016年4月22日
【發(fā)明人】張偉, 茅飛, 宗凱, 陸馳宇, 黃莉莉, 朱志勇, 黃天太, 張超
【申請(qǐng)人】南京康尼機(jī)電股份有限公司