劉進東 李盼盼

(華東理工大學(xué)信息科學(xué)與工程學(xué)院1，上海 200237；上海工業(yè)自動化儀表研究院2，上海 200233)

功能安全溫度變送器的安全要求分析

劉進東1,2李盼盼1

(華東理工大學(xué)信息科學(xué)與工程學(xué)院1，上海 200237；上海工業(yè)自動化儀表研究院2，上海 200233)

為減少功能安全產(chǎn)品設(shè)計階段中可能出現(xiàn)的缺陷，提高產(chǎn)品的安全性，分析了溫度變送器的安全要求。首先采用危險及風(fēng)險分析確定安全功能、安全完整性、結(jié)構(gòu)約束以及安全失效分?jǐn)?shù)；然后通過擴展的FMEA得到關(guān)鍵失效模式以及失效數(shù)據(jù)；最后提出診斷功能的要求。實現(xiàn)要求的診斷功能后，安全失效分?jǐn)?shù)可滿足預(yù)期的要求，安全功能可達到SIL2的要求，保證了變送器后期設(shè)計的可行性，這也為其他功能安全產(chǎn)品的設(shè)計提供了理論依據(jù)。

功能安全 安全要求 安全失效分?jǐn)?shù)(SFF) 失效模式和影響分析(FMEA) 自診斷

0 引言

IEC 61508是針對電子、電氣和可編程安全相關(guān)系統(tǒng)的功能安全國際標(biāo)準(zhǔn)。它提出了整體安全生命周期的技術(shù)框架，并且將安全要求規(guī)范與安全生命周期中各個活動緊密結(jié)合。安全要求分析始于產(chǎn)品研發(fā)的初期，可用來確定安全系統(tǒng)的功能和結(jié)構(gòu)，其作用貫穿于整個生命周期[1]。實踐表明系統(tǒng)的故障主要源于需求分析不完整導(dǎo)致的系統(tǒng)設(shè)計缺陷[2-3]。在系統(tǒng)開發(fā)末期的缺陷中，由于需求不完整導(dǎo)致的直接和間接缺陷占44.1%以上[4]。Capers Jones經(jīng)過研究給出結(jié)論：在安全系統(tǒng)設(shè)計過程中為彌補需求缺陷而進行的修改和返工花費占整個系統(tǒng)成本的50%以上[5]。所以充分的安全要求分析對功能安全產(chǎn)品的設(shè)計起著十分重要的作用。

功能安全變送器普遍應(yīng)用于安全關(guān)鍵領(lǐng)域。國內(nèi)安全變送器的發(fā)展十分緩慢[6-7]，長期依賴于國外技術(shù)。本文依照IEC 61508的規(guī)程，對溫度變送器的安全要求進行了有效的分析，為安全產(chǎn)品的設(shè)計提供指導(dǎo)。

1 溫度變送器的介紹

溫度變送器廣泛應(yīng)用于流程工業(yè)現(xiàn)場環(huán)境中，輸出4～20 mA的標(biāo)準(zhǔn)電流信號，并且兼容多種總線通信方式。本文研究的對象是一款二線制的HART智能溫度變送器。從功能上主要包括溫度采集模塊、A/D轉(zhuǎn)換、處理器、D/A轉(zhuǎn)換、LCD顯示模塊以及HART通信模塊6個部分。其中LCD顯示模塊是溫度變送器的附加功能模塊。在真實的工業(yè)現(xiàn)場中LCD作用不僅不大，反而會降低溫度變送器的可靠性，所以在功能安全應(yīng)用場合不考慮LCD。智能溫度變送器的功能模塊如圖1所示，在虛線之間的(即溫度采集模塊、D/A轉(zhuǎn)換模塊和HART模塊)屬于溫度變送器的關(guān)鍵模塊。

圖1 溫度變送器的功能模塊圖

D/A轉(zhuǎn)換模塊內(nèi)含基準(zhǔn)電源，可為系統(tǒng)提供標(biāo)準(zhǔn)工作電壓。變送器可輸出4～20 mA標(biāo)準(zhǔn)電流，也具有可編程報警電流功能，允許輸出超量程電流來指示變送器的故障。同時，變送器在出廠前要進行校準(zhǔn)，以減少變送器的系統(tǒng)誤差。

2 危險及風(fēng)險分析

在功能安全中通常用風(fēng)險這個概念來評估潛在的危險事件。危險事件的風(fēng)險用每種危險事件發(fā)生的可能性和危險事件發(fā)生導(dǎo)致的后果這兩者的組合來表示。因為要消除全部風(fēng)險所需的技術(shù)要求和經(jīng)濟成本都是很高的，所以想要絕對地避免風(fēng)險是不切實際的。在功能安全的初期，首先定性分析風(fēng)險的大小，然后按照在合理可行的前提下盡可能低(as low as reasonably practicable, ALARP)的風(fēng)險接受原則來設(shè)定“允許風(fēng)險”。依據(jù)確定的“允許風(fēng)險”，得到“必要的風(fēng)險降低”要求；然后按照“必要的風(fēng)險降低”要求，確定E/E/PE(electrical/electronic/programmable electronic)安全相關(guān)系統(tǒng)的SIL。

風(fēng)險降低是采用E/E/PE安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)以及外部風(fēng)險降低措施來實現(xiàn)的。EUC(equipment under control)控制系統(tǒng)中溫度過高會造成爆炸、火災(zāi)以及資源的浪費；溫度過低會造成產(chǎn)品不合格以及生產(chǎn)的誤停車。E/E/PE安全相關(guān)系統(tǒng)可用于監(jiān)控溫度，降低溫度過高或過低的風(fēng)險。溫度變送器是E/E/PE安全相關(guān)系統(tǒng)的一個子系統(tǒng)，主要作用是測量現(xiàn)場溫度、輸出溫度電流及報警電流。

3 溫度變送器安全功能要求

安全功能的作用是將危險事件的風(fēng)險降低到可接受的程度，從而保證EUC處于安全狀態(tài)。安全功能是E/E/PE安全相關(guān)系統(tǒng)所具有的屬性。溫度變送器的基本功能是測量溫度，但作為傳感器部件的智能溫度變送器，其安全功能是準(zhǔn)確地測量溫度，并確保輸出的溫度電流在誤差范圍內(nèi)。溫度變送器的安全功能也是其基本功能，由于安全功能與其他所有的功能都有直接或間接的關(guān)聯(lián)，并且無法證明各功能之間的獨立性，所以溫度變送器的所有功能都是安全相關(guān)的[8]。溫度變送器的安全相關(guān)功能包括以下幾個方面。

① 初始化：首先在溫度變送器開機時進行初始化，對存儲器中組態(tài)數(shù)據(jù)進行查錯、糾錯，并且查檢硬件配置。

② 校準(zhǔn)：對溫度傳感器特性曲線進行校準(zhǔn)；對A/D、D/A校準(zhǔn)。

③ 溫度測量：從A/D讀取溫度電壓值，進行數(shù)字濾波和修正；然后進行溫度計算、電流計算、量程轉(zhuǎn)換；最后D/A轉(zhuǎn)換后輸出。

④ 通信：可通過HART通信進行遠程組態(tài)；組態(tài)信息的復(fù)查；過程變量的監(jiān)測以及在線診斷。

⑤ 診斷：對控制器的自診斷；對溫度傳感器、A/D轉(zhuǎn)換器、D/A轉(zhuǎn)換器的故障探測；對人機接口的故障探測；對電源、存儲器的故障探測。

⑥ 軟件自監(jiān)視：對軟件自身故障的探測、通告和管理，其中數(shù)據(jù)和程序都屬于軟件。

診斷功能是功能安全溫度變送器的重要屬性，診斷性能的高低直接決定著溫度變送器的安全完整性。而診斷功能分為外部診斷和自診斷。外部診斷的執(zhí)行者主要是上層邏輯處理器，而管理人員也可通過HART通信器進行外部診斷。自診斷通過硬件和軟件的有機結(jié)合，對檢測到的內(nèi)部異常狀態(tài)做出有效的處理，例如輸出報警電流。自診斷是針對特定的失效，包含隨機硬件失效、系統(tǒng)失效以及軟件設(shè)計缺陷導(dǎo)致的失效。通過失效模式和影響分析(failure mode and effect analysis,FMEA)技術(shù)可發(fā)現(xiàn)這些潛在失效[9]。上層邏輯處理器通過事先約定的故障模式對變送器的輸出電流進行診斷，當(dāng)診斷到故障時進行報警。定義低報警電流值L=3.50 mA, 高報警電流值H=21.0 mA，低飽和電流值LSV=3.90 mA，高飽和電流值USV=20.5 mA，則溫度變送器線性輸出范圍為[3.90，20.5]mA，允許的檢測誤差為0.3%。

外部診斷針對溫度變送器的整機故障，變送器的整機故障定義為7種，如表1所示。將這7種故障劃分為4類：不可檢測的安全失效率SU、可檢測的安全失效SD、不可檢測的危險失效率DU、可檢測的危險失效率DD。

表1 溫度變送器故障定義

4 溫度變送器的安全完整性要求

安全完整性是在規(guī)定的條件下和規(guī)定時間內(nèi)，安全相關(guān)系統(tǒng)成功完成安全功能的概率[10]。安全完整性等級是安全功能的重要屬性。通過功能安全生命周期活動中的危險及風(fēng)險分析，以及安全要求分配，得到溫度變送器要達到SIL2的要求，這也是安全功能所要達到的SIL。同時得到要求時的失效概率(probability of failure on demand, PFD)在[10E-3,10E-2)范圍內(nèi)，而目標(biāo)風(fēng)險降低量的值是PFD的倒數(shù)，范圍為(100，1 000]。

5 硬件結(jié)構(gòu)約束要求

功能安全設(shè)計時通常采用冗余通道來避免整個系統(tǒng)的功能失效。在設(shè)計時將多通道輸出組合連接成“表決”電路，使系統(tǒng)具有一定的硬件故障裕度(hardware fault tolerance, HFT)。如NooM(Nout ofM)的HFT=M-N。當(dāng)某一通道發(fā)生危險失效時，系統(tǒng)的結(jié)構(gòu)可降級到(N-1)oo(M-1)，而帶表決診斷的系統(tǒng)可降級到Noo(M-1)D。這種結(jié)構(gòu)的降低策略可使系統(tǒng)從危險失效狀態(tài)轉(zhuǎn)換為故障-安全狀態(tài)。溫度變送器最大HFT受限于所要求的SIL與SFF。硬件結(jié)構(gòu)約束如表2所示。

表2 硬件結(jié)構(gòu)約束

智能溫度變送器屬于典型的B型子系統(tǒng)[11]，在SIL2時可以選擇以下3種組合之一：①HFT=2，SFF<60%； ②HFT=1，60%

較高的HFT意味著較高的硬件成本，而較高的SFF意味著較高的設(shè)計難度。本文中的溫度變送器為SIL2，要求并不是很高，所以選擇HFT=0，0%

由式(1)和式(2)可得SFF與DC呈正相關(guān)關(guān)系，增加溫度變送器的自診斷能力可以提高SFF，從而達到90%

(1)

DC=λDD/(λDD+λDU)

(2)

6 自診斷功能要求分析

為了達到SFF的要求，需要降低表1中變送器的2和6兩種整機故障發(fā)生的概率，這兩種故障是無法被外部檢測到的危險失效。變送器的2和6兩種整機故障模式是由變送器自身硬件與軟件的失效引起。在設(shè)計初期可通過FMEA技術(shù)確定系統(tǒng)中每個部件可能出現(xiàn)的失效模式，辨識出導(dǎo)致危險失效的失效源。然后通過定性危害矩陣得到失效模式的風(fēng)險優(yōu)先順序，確定所需要的診斷功能。通過失效率數(shù)據(jù)可以驗證預(yù)期的診斷功能實現(xiàn)后是否可以達到SFF的要求。失效模式影響分析(FMEA)活動始于需求分析，貫穿于整個安全生命周期，在設(shè)計的不同階段都要對其進行補充和修改。

6.1 可靠性建模要求

可靠性模型是將電路物理模型轉(zhuǎn)換成可利用概率理論分析的模型，它將元器件連接起來組成一條“成功的路徑”?？煽啃阅Ｐ桶煽啃钥驁D與可靠性數(shù)學(xué)模型兩個部分。在進行建模之前要進行約定層次的定義，確定分析對象。溫度變送器為約定層，由5個硬件模塊組成。將每個模塊中的元器件作為最低約定層次，依次為它們進行編碼。變送器層次結(jié)構(gòu)如圖2所示。

圖2 溫度變送器的層次結(jié)構(gòu)

層次劃分決定了上、下層間的關(guān)系。文中的溫度變送器是1oo1D結(jié)構(gòu)，為單通道系統(tǒng)。模塊1、2、3為串聯(lián)；而D/A轉(zhuǎn)換輸出的4～20mA電流信號與HART的數(shù)字信號用于兩種工作模式，所以4、5為并聯(lián)；每組元器件以串聯(lián)結(jié)構(gòu)組成各個模塊。串聯(lián)結(jié)構(gòu)中各個電容、電阻等器件均無失效時模塊才能正常工作，整機才能實現(xiàn)安全功能?？煽啃阅Ｐ头譃閮蓪樱耗K層和元器件層。模塊層和溫度采集的元器件層的可靠性框圖示例如圖3所示。

建立相應(yīng)可靠性數(shù)學(xué)模型的方法有多種，如概率法、MonteCarlo法以及布爾真值表法等[12]，文中不作介紹。

圖3 可靠性框圖示例

6.2 FMEA

FMEA技術(shù)是安全要求規(guī)范中推薦的技術(shù)措施，通過識別失效模式，可以盡早發(fā)現(xiàn)潛在問題。在FMEA中引入危害度分析 (criticality analysis, CA) 可擴展為FMECA，引入診斷分析(diagnosis analysis, DA)可擴展為FMEDA。FMECA側(cè)重于失效模式的影響分析。同時它結(jié)合了失效模式的嚴(yán)酷度與發(fā)生概率，可用于確定消除特定失效模式措施的優(yōu)先順序。FMECA是一種高消費比的風(fēng)險度量方法，與基于ALARP原理的風(fēng)險分析方法相比具有更強的靈活性[9]。FMEDA側(cè)重于失效的診斷分析。它將失效分為SU、SD、DU和DD這4類， 這4類失效模式的失效數(shù)據(jù)用來計算SFF。

本文將結(jié)合FMECA和FMEDA各自特點，先確定變送器的失效模式、失效率，然后通過危害性矩陣得到關(guān)鍵失效模式，再由SFF的要求確定變送器的診斷功能要求。文中將FMECA和FMEDA統(tǒng)稱為FMEA。溫度變送器的失效模式采用自下向上的結(jié)構(gòu)，并分為

3個層次。低層為元器件，中間層為模塊層，頂層為整機，如圖4所示。

圖4 3層失效模式示例

A/D、D/A、處理器等集成芯片為B類器件，失效模式無法窮舉。電阻、電容等為A類器件，失效模式有標(biāo)準(zhǔn)化的形式。確定下層失效導(dǎo)致上層的失效模式，并為每種失效模式分配嚴(yán)酷度等級。在產(chǎn)品研制的初期，查閱GJB/Z 299C《電子設(shè)備可靠性預(yù)計手冊》中計數(shù)可靠性預(yù)計法獲取元器件失效率數(shù)據(jù)，并由失效頻數(shù)確定每種失效模式的失效率數(shù)據(jù)。將失效率數(shù)據(jù)劃分為離散的5個等級A、B、C、D、E。嚴(yán)酷度和概率等級定義如表3所示。由于篇幅限制FMEA表不作列舉。

表3 失效概率及嚴(yán)酷度定義

6.3 定性危害性矩陣分析

定性危害性矩陣圖是失效模式概率與嚴(yán)酷度的組合，對應(yīng)于功能安全的風(fēng)險級別。通過比較每個失效模式的危害程度，為確定變送器自診斷的先后順序提供依據(jù)。從失效模式分布區(qū)域向?qū)蔷€作垂線，以垂線與對角線的交點到原點O的距離作為失效模式危害性依據(jù)。距離越長，危害性越大，應(yīng)最先考慮進行診斷。溫度變送器危害性矩陣如圖5所示。

從圖5可知，01、02、03、04距離最長，對應(yīng)的4個區(qū)域內(nèi)的元器件失效模式危害性最大，將它們定義為關(guān)鍵失效模式。其中的不可檢測危險失效就是變送器自診斷的首要目標(biāo)，它們分別是識別號303.1應(yīng)用軟件的失效、101.3電阻溫度漂移、302.2，302.3存儲器數(shù)據(jù)失效、304.1CPU外圍電路失效、107.4，201.1，406.1集成芯片輸出不穩(wěn)。

針對電阻溫度漂移的失效模式，需要增加整機校準(zhǔn)以及溫度補償，使變送器的特性曲線更加接近真實，以提高變送器的穩(wěn)定性；對于存儲器數(shù)據(jù)失效，可以進行數(shù)據(jù)冗余備份和數(shù)據(jù)校驗，以增加存儲器的可用性。CPU中應(yīng)用軟件失效是權(quán)重最大的，需要按照功能安全標(biāo)準(zhǔn)去設(shè)計軟件，以減少軟件的潛在缺陷。變送器的診斷功能一方面要診斷隨機硬件失效和系統(tǒng)失效；另一方面要診斷軟件自身的故障。對于無法診斷到的硬件失效，一方面需要對元器件實施質(zhì)量管理，增加器件的可靠性；另一方面可增加硬件冗余，如電源濾波電容采用兩個串聯(lián)避免短路失效。

圖5 溫度變送器危害性矩陣

自診斷功能需要提高SFF的分子值(安全失效與檢測到的危險失效的和)，以達到SIL2和HFT=0條件下90%

表4 失效數(shù)據(jù)對比

表中失效率單位FIT代表每小時失效10-9次。由

式(1)可得SFF=90.04%>90%。預(yù)期結(jié)果表明變送器可以達到要求的SFF。

7 結(jié)束語

近年來安全生產(chǎn)成為工業(yè)領(lǐng)域的主題。具有安全要求是功能安全變送器與非功能安全變送器的根本區(qū)別。本文按照功能安全推薦的技術(shù)措施對溫度變送器的安全要求進行了分析。另外，結(jié)合FMECA與FMEDA各自特點確定了變送器診斷功能要求。為滿足SFF的要求，對關(guān)鍵失效模式的診斷功能是設(shè)計的重點。本文的工作為后期設(shè)計提出了針對性的建議。

[1] 謝亞蓮,莊凌昀.“功能安全產(chǎn)品實現(xiàn)技術(shù)”系列講座第7講安全相關(guān)產(chǎn)品的軟件實現(xiàn)(1)[J].自動化儀表,2013,34(12):91-93.

[2] 張居鳳,汪玉,高興華,等.武器裝備論證需求分析方法研究[J].哈爾濱工程大學(xué)學(xué)報,2011,32(1):119-123.

[3] 丁書華,楊燕華,朱學(xué)農(nóng),等.先進壓水堆核電廠保護系統(tǒng)需求分析的層次結(jié)構(gòu)[J].原子能科學(xué)技術(shù),2007,41(2):215-218.

[4] 張建國.安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用[M].北京:中國電力出版社,2010:6-7.

[5] Rodriguez R J, Gomez-Martinez E. Model-based safety assessment using OCL and petri nets[C] // 2014 40th Euromicro Conference on Software Engineering and Advanced Applications(SEAA). Verona, Italy: IEEE Press, 2014: 56 - 59.

[6] 崔丹,翁思健.智能變送器的硬件安全評估[J].自動化儀表,2011,32(9):79-82.

[7] 周亞,徐皚冬,白占元,等.功能安全溫度變送器設(shè)計和可靠性分析[J].自動化儀表,2013,34(6):70-73.

[8] IEC. IEC 61508-1 edition 2. 0 functional safety of electrical/electronic/programmable electronic safety-related systems - part 1: general requirements[S]. 2010.

[9] 國家質(zhì)量監(jiān)督檢驗檢疫總局.GB/T7826-2012 系統(tǒng)可靠性分析技術(shù)失效模式和影響分析(FMEA)程序[S].2012.

[10]IEC. IEC 61508-4 Edition 2.0 functional safety of electrical/electronic/programmable electronic safety-related systems-part 4: definitions and abbreviations[S]. 2010.

[11]IEC. IEC 61508-4 Edition 2.0 functional safety of electrical/electronic/programmable electronic safety related systems-part 2: requirements for electrical/electronic/programmable electronic safety-related systems[S]. 2010.

[12]國防科學(xué)技術(shù)工業(yè)委員會.GJB813-90 可靠性模型的建立和可靠性預(yù)計[S].1990.

Analysis of the Safety Requirement for Functional Safety Temperature Transmitter

In order to reduce the defects that may appear during design phase of functional safety products, and improve the safety of products; the safety requirement of temperature transmitter is analyzed. Firstly, the safety function, safety integrity, structural constraints and safety failure fraction (SFF) are determined by using hazard and risk analysis; then the critical failure modes and failure data are obtained through extended failure mode and effect analysis (FMEA); finally the requirement of diagnostic functions are proposed. After implementing the diagnostic functions requested, the SFF can meet the expected requirements, and the safety functions can reach safety integrity level (SIL) 2, this guarantees the feasibility of late design of transmitter, and provides theoretical basis for designing other functional safety products.

Functional safety Safety requirement Safety failure fraction(SFF) Failure mode and effect analysis(FMEA) Self diagnosis

劉進東(1990-)，男，現(xiàn)為華東理工大學(xué)控制科學(xué)與工程專業(yè)在讀碩士研究生；主要從事可靠性和功能安全方面的研究。

TP277；TH86

A

10.16086/j.cnki.issn1000-0380.201510019

修改稿收到日期：2015-03-08。