袁曉慧，尹震宇，黃祖廣，王帥華

（1.中國科學(xué)院大學(xué)，北京 100049；2.中國科學(xué)院沈陽計算技術(shù)研究所總線實驗室，沈陽 110168；3.沈陽高精數(shù)控技術(shù)有限公司，沈陽 110168；4.山東大學(xué)機(jī)械工程學(xué)院，濟(jì)南 250061；5.國家機(jī)床質(zhì)量監(jiān)督檢測中心，北京 100102）

基于故障樹分析的數(shù)控裝置硬件平臺功能安全設(shè)計與實現(xiàn)*

袁曉慧1，2，尹震宇2，3，黃祖廣4，5，王帥華1，2

（1.中國科學(xué)院大學(xué)，北京 100049；2.中國科學(xué)院沈陽計算技術(shù)研究所總線實驗室，沈陽 110168；3.沈陽高精數(shù)控技術(shù)有限公司，沈陽 110168；4.山東大學(xué)機(jī)械工程學(xué)院，濟(jì)南 250061；5.國家機(jī)床質(zhì)量監(jiān)督檢測中心，北京 100102）

針對國產(chǎn)數(shù)控裝置硬件平臺安全性能不足且缺乏有效定量評估方法的現(xiàn)狀，提出基于故障模式影響診斷分析和簡化故障樹法的數(shù)控裝置硬件失效評估模型。通過計算裝置硬件失效概率及失效原因重要度分析的結(jié)果，對影響裝置失效的薄弱模塊增加冗余、診斷設(shè)計。驗證改進(jìn)后的數(shù)控裝置硬件平臺可達(dá)到IEC62061標(biāo)準(zhǔn)中SIL2等級要求，在工程上具有很好的應(yīng)用價值。

數(shù)控裝置；功能安全；故障樹分析法；IEC62061；安全完整性等級

0 引言

機(jī)床安全是現(xiàn)代制造業(yè)賴以生存和發(fā)展的基礎(chǔ)，涉及到國民經(jīng)濟(jì)各個部門及人們的安全與健康。據(jù)有關(guān)部門統(tǒng)計，我國制造工業(yè)的大中型企業(yè)中，由于機(jī)床安全性不足而引起的不同程度人員傷亡事故每年都能達(dá)到數(shù)百起［1］。同時，機(jī)床的安全性能對國產(chǎn)數(shù)控機(jī)床能否走出國門，進(jìn)軍國際市場也起到了至關(guān)緊要的作用［2］。

眾所周知，數(shù)控裝置作為數(shù)控系統(tǒng)乃至機(jī)床的控制中樞，為保證數(shù)控機(jī)床正常工作，數(shù)控裝置必須具有安全功能以控制機(jī)床在出現(xiàn)隨機(jī)失效時能依舊降級運行，不造成停機(jī)損失。目前，國外先進(jìn)的安全數(shù)控系統(tǒng)開發(fā)廠商Siemens、FANUC、PILZ等公司都陸續(xù)推出了自己經(jīng)第三方認(rèn)證的安全數(shù)控產(chǎn)品［3］。如西門子達(dá)到SIL3等級認(rèn)證的840D數(shù)控系統(tǒng)中運用安全集成技術(shù)，通過改進(jìn)軟、硬件的設(shè)計在原有數(shù)控系統(tǒng)中集成了安全控制功能，從而保正機(jī)床的安全需求：如安全停車，即當(dāng)機(jī)床出現(xiàn)意外時能安全可靠的停車；或安全速度監(jiān)控，在設(shè)定方式下，監(jiān)控各軸的移動速度不超過安全速度等［4］。然而，我國由于功能安全標(biāo)準(zhǔn)引入時間較晚，相較于歐美國家已經(jīng)研制出成熟的SIL3等級高檔數(shù)控系統(tǒng)，及國內(nèi)目前技術(shù)、成本、需求等現(xiàn)實因素的綜合考量，開發(fā)滿足IEC62061標(biāo)準(zhǔn)SIL2等級的中檔安全數(shù)控裝置已經(jīng)能夠滿足現(xiàn)實生產(chǎn)需求，成為業(yè)內(nèi)要突破的首要任務(wù)。因此，本文以中科院沈陽計算所自主研發(fā)的LT-B10數(shù)控系統(tǒng)為平臺，研究適用于數(shù)控裝置硬件平臺的功能安全評估及實現(xiàn)方法，為進(jìn)一步研制國產(chǎn)安全數(shù)控系統(tǒng)提供探索方向。

1 功能安全概述

1.1 功能安全概念及標(biāo)準(zhǔn)

數(shù)控裝置的功能安全，是指數(shù)控裝置具備故障安全處理的行為。即當(dāng)出現(xiàn)故障時，能夠進(jìn)入安全狀態(tài)或進(jìn)行故障消除的數(shù)控裝置，又稱之安全數(shù)控裝置［5］。換句話說，當(dāng)安全數(shù)控系統(tǒng)滿足以下條件時就認(rèn)為是功能安全的：當(dāng)任一隨機(jī)故障、系統(tǒng)故障或共因失效發(fā)生時，都不會導(dǎo)致安全系統(tǒng)故障，從而避免引發(fā)人員的傷亡、設(shè)備財產(chǎn)的損失。

近年來，隨著安全相關(guān)控制系統(tǒng)功能安全這一課題的研究深入，有關(guān)國際組織陸續(xù)出臺了一系列有關(guān)控制系統(tǒng)功能安全的標(biāo)準(zhǔn)，例如IEC功能安全標(biāo)準(zhǔn)系列：功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC61508、針對過程工業(yè)的IEC61511、機(jī)械工業(yè)領(lǐng)域的IEC62061、IEC60204等［6］。我國相關(guān)部門也積極開展了國際標(biāo)準(zhǔn)的轉(zhuǎn)化工作，如國家標(biāo)準(zhǔn)化委員會于2012年發(fā)布的我國首部數(shù)控系統(tǒng)功能安全強(qiáng)制性標(biāo)準(zhǔn)GB 28526-2012《機(jī)械電氣安全-安全相關(guān)電氣、電子和可編程電子控制系統(tǒng)的功能安全》。此類標(biāo)準(zhǔn)的出臺，對數(shù)控裝置功能安全的研究起到了極大的推動及指導(dǎo)作用。

1.2 功能安全評估參數(shù)及指標(biāo)

在研制安全數(shù)控裝置的過程中，將安全完整性等級SIL作為總體設(shè)計的依據(jù)和衡量數(shù)控裝置安全性能的指標(biāo)，SIL等級越高，裝置發(fā)生失效的概率越低，安全性能越好。安全完整性等級是一定條件下安全功能得到正確執(zhí)行的概率，其數(shù)值代表著風(fēng)險降低的數(shù)量級［7］。IEC62061標(biāo)準(zhǔn)中將對安全相關(guān)控制功能的安全完整性等級SIL要求，等效為裝置每小時危險失效概率PFH，兩者對應(yīng)關(guān)系如下表1所示［8］。

表1 SIL等級對照表

同時，硬件的最高安全完整性等級還受限于硬件的故障裕度和安全失效分?jǐn)?shù)SFF。硬件結(jié)構(gòu)約束表示在安全失效分?jǐn)?shù)確定下，安全完整性等級與最低硬件故障裕度之間的關(guān)系，所以，硬件最高安全完整性等級與硬件的故障裕度和安全失效分?jǐn)?shù)密切相關(guān)。由于本文所討論的數(shù)控裝置屬于IEC62061標(biāo)準(zhǔn)中定義的B類子系統(tǒng)，其結(jié)構(gòu)約束如下表2所示。

表2 B類相關(guān)子系統(tǒng)結(jié)構(gòu)約束表

1.3 功能安全評估模型

功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC61508附錄C中對于如何計算裝置的失效概率給出了如下幾種可用方法：簡化公式法、馬爾可夫模型法、故障樹分析法FTA、可靠性框圖法RBD及蒙特卡勒仿真法等［9］，但具體的方法則要專業(yè)人員根據(jù)實際情況進(jìn)行選擇確定。對比上述幾種方法可知，對于運行時間較長的數(shù)控裝置而言，馬爾可夫模型雖然計算結(jié)果精度高，但在計算時存在狀態(tài)轉(zhuǎn)移矩陣指數(shù)爆炸的風(fēng)險，計算量大甚至無法計算，在工程計算上不適合應(yīng)用；簡化公式法相較馬爾可夫模型計算量小但結(jié)果精度較低，有時不能滿足工業(yè)現(xiàn)場需要。權(quán)衡計算復(fù)雜度與結(jié)果精度的雙重要求，本文選用簡化的FTA分析法對數(shù)控裝置硬件進(jìn)行失效概率的計算。

FTA分析法是在裝置設(shè)計過程中，通過對可能造成裝置失效的各種原因進(jìn)行分析，畫出邏輯框圖，自上而下建立從現(xiàn)象到原因的有向邏輯圖的方法［10］。通過確定引起失效的各基本事件發(fā)生概率，計算頂事件的發(fā)生概率即要求時的平均失效概率及各底事件的重要度。該方法在驗證裝置是否滿足相應(yīng)安全完整性等級的同時，亦能確定影響裝置失效貢獻(xiàn)度最大的基本原因，為后續(xù)裝置的改進(jìn)設(shè)計提供科學(xué)依據(jù)。傳統(tǒng)FTA分析法通過確定故障樹的全部最小割集，再利用不交布爾代數(shù)法計算求得頂事件的發(fā)生概率F（T）：

注：表示第i個底事件的發(fā)生概率。

考慮到數(shù)控裝置各模塊的失效概率一般都控制在10-6數(shù)量級以下，故本文在故障樹計算過程中采取適當(dāng)簡化的方法，計算精度完全能夠滿足現(xiàn)場設(shè)備要求。即設(shè)對于“或門”連接的頂事件發(fā)生概率近似為：

由于裝置發(fā)生危險失效主要有兩種模式：檢測到的危險失效和未檢測到的危險失效。因此，對于單通道1oo1結(jié)構(gòu)裝置，即裝置的各模塊均為串聯(lián)結(jié)構(gòu)，任一模塊發(fā)生失效均導(dǎo)致裝置失效，此結(jié)構(gòu)要求時失效概率PFD計算公式［11］：

平均要求時失效概率PFDavg計算公式：

公式中λSD、λSU、λDD、λDU分別表示檢測到的安全失效、未檢測到的安全失效、檢測到的危險失效和未檢測到的危險失效概率。TI表示裝置測試周期，MTTR表示故障平均維修時間。

2 數(shù)控裝置失效分析

2.1 數(shù)控裝置硬件結(jié)構(gòu)

根據(jù)LT-B10數(shù)控裝置的功能結(jié)構(gòu)特點可將其劃分為四個主要的功能模塊，如下圖1所示。

圖1 數(shù)控裝置功能結(jié)構(gòu)示意圖

四模塊在功能上構(gòu)成串聯(lián)結(jié)構(gòu)，即其中任一模塊發(fā)生危險失效，將導(dǎo)致裝置發(fā)生故障，停止工作。

2.2 硬件模塊失效模式影響及診斷分析

失效模式影響及診斷分析FMEDA是計算裝置失效概率的基礎(chǔ)，它通過對裝置中的元件逐一進(jìn)行詳細(xì)的失效分析，以表格的形式列出各元件的失效模式、失效影響、重要性及各類失效數(shù)據(jù)，從而得到各功能模塊的失效數(shù)據(jù)、診斷覆蓋率DC及安全失效分?jǐn)?shù)SFF，為后續(xù)的功能安全評估提供必要的信息。

分別對LT-B10數(shù)控裝置的底板、電源模塊、核心板模塊及顯示板進(jìn)行FMEDA分析。采用國軍標(biāo)GJB/ Z299C-2006《電子設(shè)備可靠性預(yù)計手冊》中的數(shù)據(jù)作為失效數(shù)據(jù)來源［12］，元器件失效模式按照機(jī)械安全標(biāo)準(zhǔn)IEC62061中的失效模式劃分。由于FMEDA分析過程過于復(fù)雜，篇幅有限，本文只列出各模塊最終分析結(jié)果如表3所示。

表3 裝置FMEDA匯總表

3 數(shù)控裝置功能安全評估建模

3.1 底板模塊故障樹構(gòu)建算例

由LT-B10數(shù)控裝置的硬件結(jié)構(gòu)可知，造成裝置危險失效的事件為：底板危險失效、電源模塊危險失效、核心板危險失效及顯示板危險失效。首先，對底板模塊進(jìn)行FTA分析，底板模塊失效是由電源單元、控制單元、NCSF總線單元、外圍接口單元及BOOT選擇單元的失效造成，因此構(gòu)建底板模塊故障樹模型如圖2所示。

結(jié)合圖2中基本失效事件及核心板FMEDA分析所得的失效數(shù)據(jù)，代入公式（3）、公式（4），計算可得：

圖2 底板故障樹分析圖

用要求時失效概率除以檢測周期TI得到底板每小時危險失效概率：

同理，分別再對電源模塊、核心板及顯示板進(jìn)行故障樹構(gòu)建，并計算相應(yīng)模塊的要求時平均失效概率PFD及每小時失效概率PFH值。由于篇幅限制，本文只給出最終計算結(jié)果，模型構(gòu)建及計算過程不再贅述。

3.2 評估結(jié)果

將上述各模塊FTA分析計算所得的結(jié)果匯總于表4中，并將各模塊失效數(shù)據(jù)相加得到LT-B10數(shù)控裝置各項失效概率指標(biāo)如下：

表4 數(shù)控裝置各模塊失效率核對表

對應(yīng)表1，LT-B10數(shù)控裝置在高要求操作模式下的每小時失效概率為各模塊PFH之和3.284×10-6，即可達(dá)到標(biāo)準(zhǔn)中定義的安全完整性SIL1等級。

4 改進(jìn)及驗證

4.1 改進(jìn)方案

通過表4各功能模塊FMEDA分析可知，影響數(shù)控裝置功能安全等級的模塊依次為：底板、顯示裝置、核心板及電源模塊。因此，分別對各模塊進(jìn)行改進(jìn)設(shè)計，通過提高各模塊危險自診斷能力或增加冗余裝置來提高裝置的安全完整性等級。具體改進(jìn)措施如下：

（1）由于底板的診斷覆蓋率DC（診斷覆蓋率指檢測出的危險失效率與總危險失效率的比值）僅為9.84%，結(jié)合底板的FMEDA分析，在對失效率貢獻(xiàn)較大的電源單元、控制單元及NCSF總線單元增加診斷電路。底板電源單元主要指3.3V部分，除了正常的故障排查外，增加了指示電路，可通過LED的狀態(tài)直觀的判斷出3.3V電源故障，如圖3所示。

控制單元中FPGA上電加載程序是通過主串模式由專用的配置芯片完成的，如圖4，增加了配置完成標(biāo)志狀態(tài)DONE指示電路，每次配置完成且配置成功時，該指示燈點亮。

NCSF總線單元中，如圖5，對總線接收到的差分信號對RD+/-增加差分放大及檢測電路，當(dāng)差分信號RD+/-進(jìn)入電路時，輸出信號在正、負(fù)兩狀態(tài)之間轉(zhuǎn)變，產(chǎn)生方波輸出Signal-A；若輸入端差分信號RD +/-有噪聲來回多次穿越臨界電壓時，輸出端即受到干擾，其正負(fù)狀態(tài)產(chǎn)生不正常轉(zhuǎn)換，即可視為故障狀態(tài)。

圖3 底板電源診斷電路圖

圖4 底板控制單元診斷電路圖

圖5 底板NCSF總線單元診斷電路圖

（2）顯示裝置的安全失效分?jǐn)?shù)SFF=26.66%，達(dá)不到標(biāo)準(zhǔn)中對硬件的結(jié)構(gòu)約束。應(yīng)提高危險自診斷能力，如圖6，對顯示板液晶屏接口的行同步信號、場同步信號、像素時鐘信號增加故障診斷電路，將其光藕隔離、反相驅(qū)動輸出的信號接入底板的控制單元，通過內(nèi)置計數(shù)器功能，監(jiān)控顯示板的故障。

（3）核心板在對失效率貢獻(xiàn)較大的控制單元和時鐘電路增加診斷電路，即對核心板CPU加WDG看門狗復(fù)位電路，由專門的芯片MAX813L實現(xiàn)，如圖7，MAX813L芯片和CPU的一個IO引腳相連，通過程序控制該引腳在小于1.6s的時間間隔內(nèi)發(fā)送一個脈沖信號，若程序超過1.6s發(fā)送脈沖信號，則內(nèi)部定時器溢出。

（4）電源模塊增加冗余配置，將原設(shè)計的1oo1結(jié)構(gòu)改為1oo2結(jié)構(gòu)。本文所涉及的電源模塊中，主要是指VCC5V低壓冗余電源，采用傳統(tǒng)的冗余電源設(shè)計方案即由2個5V電源分別連接二極管陽極，以“或門”的方式并聯(lián)輸出至電源總線上。如圖8所示，可以讓1個電源單獨工作，也可以讓多個電源同時工作。當(dāng)其中1個電源出現(xiàn)故障時，由于二極管的單向?qū)ㄌ匦?，不會影響電源總線的輸出。

圖6 顯示模塊診斷電路圖

圖7 核心板診斷電路圖

圖8 電源模塊示意圖

4.2 評估結(jié)果

再次構(gòu)建改進(jìn)后B10數(shù)控裝置故障樹，計算裝置PFD、PFDavg及PFH值，所得的結(jié)果匯總于表5中：

表5 數(shù)控裝置各模塊失效率核對表

對比表4，表5數(shù)據(jù)可知，改進(jìn)后的數(shù)控裝置在PFD、PFDavg及PFH值上都降低了一個數(shù)量級達(dá)到10-7，且安全失效分?jǐn)?shù)SFF滿足標(biāo)準(zhǔn)中對B類系統(tǒng)的結(jié)構(gòu)約束。對應(yīng)表1得改進(jìn)后的LT-B10數(shù)控裝置硬件平臺可達(dá)到SIL2等級，達(dá)到改進(jìn)目的。

5 結(jié)束語

改進(jìn)后的LT-B10數(shù)控裝置采用雙通道帶診斷1oo2D結(jié)構(gòu)，通過提高各模塊的危險自診斷能力或增加冗余配置使裝置的安全完整性等級從SIL1提升至SIL2，滿足國內(nèi)中檔市場設(shè)備安全要求。本文對數(shù)控裝置硬件平臺的安全完整性等級評估［參考文獻(xiàn)］

方法及改進(jìn)方案進(jìn)行了探索性研究，為下一步研制具有自主知識產(chǎn)權(quán)的國產(chǎn)功能安全數(shù)控產(chǎn)品提供了有效方法。

［1］陳磊.高速機(jī)床系統(tǒng)安全性能評價及優(yōu)化方法的研究［D］.青島：山東科技大學(xué)，2005.

［2］楊志波，林滸，陶耀東.數(shù)控裝置可靠性預(yù)計方法的研究［J］.組合機(jī)床與自動化加工技術(shù)，2011（1）：1-4.

［3］靳江紅，吳宗之，趙壽堂，等.安全儀表系統(tǒng)的功能安全國內(nèi)外發(fā)展綜述［J］.化工自動化及儀表，2010，37（5）：1-5.

［4］趙巍.840D數(shù)控系統(tǒng)中的安全控制在數(shù)控機(jī)床中的的應(yīng)用［J］.黑龍江科技信息，2011（27）：14.

［5］黃祖廣，張承瑞，趙欽志，等.數(shù)控系統(tǒng)功能安全標(biāo)準(zhǔn)綜述［J］.制造技術(shù)與機(jī)床，2013（8）：163-166.

［6］張建國.淺談機(jī)械安全-E/E/PE控制系統(tǒng)的功能安全標(biāo)準(zhǔn)IEC62061［J］.中國儀器儀表，2009（5）：49-55.

［7］周亞，徐皚冬，白占元，等.功能安全溫度變送器設(shè)計和可靠性分析［J］.自動化儀表，2012，34（6）：70-73.

［8］International Electrotechnical Commission.IEC 62061 Safety ofmachinery-Functional safety of safety related electrical，electronic and programmable electronic control systems［J］. 2005.

［9］International Electrotechnical Commission.IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems［J］.2010.

［10］許榮，車建國，楊作賓，等.故障樹分析法及其在系統(tǒng)可靠性分析中的應(yīng)用［J］.指揮控制與仿真，2010，32（1）：112-115.

［11］徐玉娟，陽憲惠.用故障樹法計算不同結(jié)構(gòu)變送器失效率［J］.石油化工自動化，2007（3）：1-5.

［12］GJB/Z299C-2006電子設(shè)備可靠性預(yù)計手冊［M］.北京：中國人民解放軍總裝備部，2006.

（編輯 趙蓉）

Design and Implementation of Functional Safety of the Hardware Platform of Domestic Numerical Control Device Based on FTA

YUAN Xiao-hui1，2，YIN Zhen-yu2，3，HUANG Zu-guang4，5，WANG Shuai-hua1，2
（1.University of Chinese Academy of Science，Beijing 100049，China；2.NC Bus Lab，Shenyang Institute of Computing Technology，Chinese Academy of Science，Shenyang 110168，China）

Considering the current situation of the hardware platform of domestic numerical control device has an insufficient safety performance and lack of effective quantitative evaluationmethod，Coming up w ith a numerical control device hardware platform failure assessmentmodelbased on failuremodel effectdiagnostic analysis and simplify fault treemethod.A fter the analysis of computing device hardware failure probability and the importance of failure cause，redundant and diagnosemeasures are taken for the weak part which causes the platform failure.Experiments verified that the improved numerical control device hardware platform achieved IEC62061 standard and it has a good application value in engineering.

numerical control device；functional safety；failure tree analysis；IEC62061；safe integrity level

TH122；TG506

A

1001-2265（2015）08-0070-04 DOI：10.13462/j.cnki.mmtamt.2015.08.018

2014-10-23；

2014-11-24

國家科技重大專項課題：高檔數(shù)控機(jī)床與基礎(chǔ)制造裝備"數(shù)控系統(tǒng)功能安全技術(shù)研究"（2014ZX04009031）

袁曉慧（1990-），女，山東東營人，中國科學(xué)院大學(xué)碩士研究生，研究方向為數(shù)控系統(tǒng)硬件功能安全，（E-mail）471716311@qq.com。