彭仁坤 邵杰 楊亞東

摘 要：為了提高國(guó)產(chǎn)電動(dòng)執(zhí)行機(jī)構(gòu)的功能安全技術(shù)水平，滿足工業(yè)過程控制的安全需求，依據(jù)IEC 61508標(biāo)準(zhǔn)，從硬件、軟件、驗(yàn)證測(cè)試三個(gè)方面對(duì)執(zhí)行機(jī)構(gòu)安全功能進(jìn)行評(píng)估和分析，應(yīng)用FMEDA分析失效模式及其影響，計(jì)算出了安全相關(guān)參數(shù)，結(jié)果表明該執(zhí)行機(jī)構(gòu)滿足功能安全要求，可廣泛應(yīng)用于過程安全相關(guān)的系統(tǒng)中。

關(guān)鍵詞：電動(dòng)執(zhí)行機(jī)構(gòu)；功能安全；評(píng)估；驗(yàn)證測(cè)試；安全完整性等級(jí)（SIL）

中圖分類號(hào)：TH707 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2018）22-0065-02

在現(xiàn)代生產(chǎn)過程自動(dòng)化中，電動(dòng)執(zhí)行機(jī)構(gòu)（簡(jiǎn)稱：執(zhí)行機(jī)構(gòu)）起著十分重要的作用，如果出現(xiàn)故障（失效），將可能導(dǎo)致控制系統(tǒng)的故障和設(shè)備停車，發(fā)生諸如危險(xiǎn)化學(xué)品泄漏，引起火災(zāi)、爆炸，核電站的輻射超劑量等危險(xiǎn)事件，將會(huì)對(duì)相關(guān)人員、設(shè)備和環(huán)境帶來災(zāi)難性后果。為了使災(zāi)難控制在可接受范圍以內(nèi)，這就需要依靠相關(guān)標(biāo)準(zhǔn)和法規(guī)來規(guī)范。而功能安全評(píng)估正是基于這些標(biāo)準(zhǔn)和規(guī)范，從執(zhí)行機(jī)構(gòu)的需求規(guī)范階段開始，利用成熟方法對(duì)執(zhí)行機(jī)構(gòu)整個(gè)安全生命周期的各個(gè)階段進(jìn)行管控，從而將執(zhí)行機(jī)構(gòu)整體安全生命周期的各個(gè)階段出現(xiàn)故障的可能性降低到最小，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制。在中國(guó)，石油化工行業(yè)對(duì)功能安全的需求最為強(qiáng)烈，很多安全儀表系統(tǒng)已經(jīng)要求執(zhí)行機(jī)構(gòu)必須具有SIL2以上安全等級(jí)。

1 評(píng)估的依據(jù)和目標(biāo)

功能安全評(píng)估是基于IEC 61508標(biāo)準(zhǔn)對(duì)執(zhí)行機(jī)構(gòu)進(jìn)行安全完整性等級(jí)進(jìn)行評(píng)估，該標(biāo)準(zhǔn)規(guī)定了兩方面的基本安全要求：常規(guī)系統(tǒng)運(yùn)行和故障預(yù)測(cè)能力[1]。其中安全完整性等級(jí)（SIL）是用于評(píng)價(jià)安全功能在需要的時(shí)候正確執(zhí)行的能力，它被離散地分成4個(gè)等級(jí)，SIL4的等級(jí)最高，SIL1的等級(jí)最低[2]。

該執(zhí)行機(jī)構(gòu)的安全功能定義為：當(dāng)接收到ESD（Emergency Stop Device）命令時(shí)，執(zhí)行機(jī)構(gòu)可根據(jù)預(yù)先設(shè)定的緊急動(dòng)作方式，執(zhí)行緊急關(guān)、緊急開或者緊急停車。安全完整性等級(jí)申明為在1oo1模式下滿足SIL2要求，系統(tǒng)結(jié)構(gòu)約束類型為B類，系統(tǒng)運(yùn)行在低要求操作模式。執(zhí)行機(jī)構(gòu)的功能安全評(píng)估主要對(duì)硬件，軟件，驗(yàn)證測(cè)試三個(gè)方面進(jìn)行評(píng)估，目標(biāo)是都要滿足SIL2要求。

2 硬件模塊功能安全分析

執(zhí)行機(jī)構(gòu)整機(jī)是由多個(gè)部分組成，與功能安全相關(guān)的主要有行程編碼器、力矩傳感器、電源模塊和主控板等。對(duì)執(zhí)行機(jī)構(gòu)進(jìn)行評(píng)估所釆用的是失效模式、影響及其診斷分析法（FMEDA），我們需要對(duì)器件逐個(gè)進(jìn)行分析，電子元器件和機(jī)械零件的失效模式可分別參照MIL-HDBK-338B和NSWC-11。

失效影響分析就是根據(jù)器件各種失效模式，分析其對(duì)執(zhí)行機(jī)構(gòu)安全功能的影響。失效分為安全失效和危險(xiǎn)失效，危險(xiǎn)失效又分為可測(cè)和不可測(cè)，危險(xiǎn)失效是否可測(cè)將直接影響診斷覆蓋率，直接決定了產(chǎn)品從結(jié)構(gòu)上是否能滿足SIL等級(jí)的要求[3]。

例如：以SN 29500西門子可靠性預(yù)計(jì)標(biāo)準(zhǔn)為基礎(chǔ)，分析相序檢測(cè)模塊上的鋁電解電容（220uF/35V）的失效模式及其失效率。

鋁電解電容失效率λ的公式為：

λ=λref*πU*πT*πQ

λref：參考條件下的失效率，πU：電壓因數(shù)，πT：溫度因數(shù)，πQ：品質(zhì)因數(shù)，根據(jù)SN 29500-4標(biāo)準(zhǔn)中相應(yīng)公式再結(jié)合查表，可計(jì)算出λref=5，πU=0.856，πT=1，πQ=2，最終該電容的失效率λ=8.56FIT。

根據(jù)失效分析得到的結(jié)果，再結(jié)合失效模式，可獲得如表1所示中的信息。

其他元器件和零件的失效分析與上例類似，最終計(jì)算出的安全相關(guān)參數(shù)見表2所示。

根據(jù)上述計(jì)算可以得知，在檢驗(yàn)測(cè)試時(shí)間設(shè)定為3年時(shí)，該執(zhí)行機(jī)構(gòu)的PFD為1.13×10-3達(dá)到了IEC61508-1的要求（10-3≤PFD<10-2），硬件設(shè)計(jì)達(dá)到在1oo1模式下SIL2的要求。

3 軟件功能安全分析與評(píng)估

由于軟件也需要滿足SIL2要求，因此，在軟件設(shè)計(jì)、診斷、工具選擇及測(cè)試等方面，需要依據(jù)IEC 61508-3中的要求進(jìn)行評(píng)估。

軟件設(shè)計(jì)時(shí)采用流程圖的方式來區(qū)分模塊，表示軟件處理的過程，并考慮到了功能安全的要求，滿足了標(biāo)準(zhǔn)中結(jié)構(gòu)化方法的要求。軟件中多處使用了診斷措施，例如電源故障、過力矩故障等，診斷結(jié)果通過顯示器、輸出接點(diǎn)等方式輸出，滿足了標(biāo)準(zhǔn)中對(duì)診斷方面的要求。在選用軟件編程工具時(shí)，考慮到軟件穩(wěn)定性、成熟度以及難易程度等，選用C語言作為開發(fā)語言，并嚴(yán)格按照C語言編碼規(guī)則進(jìn)行編程，滿足了標(biāo)準(zhǔn)中對(duì)軟件工具及編譯規(guī)范的要求。在測(cè)試階段，對(duì)軟件進(jìn)行全面測(cè)試和集成測(cè)試，包括代碼規(guī)則測(cè)試、白盒測(cè)試、黑盒測(cè)試。測(cè)試結(jié)果達(dá)到了安全要求規(guī)范書的要求。

4 驗(yàn)證測(cè)試

驗(yàn)證測(cè)試分為三大部分來進(jìn)行。首先，對(duì)執(zhí)行機(jī)構(gòu)的基本性能、功能、環(huán)境適應(yīng)性等進(jìn)行了嚴(yán)格測(cè)試，用于確認(rèn)整機(jī)可正確執(zhí)行安全功能。其次，對(duì)執(zhí)行機(jī)構(gòu)的靜電放電抗擾度、浪涌抗擾度等9項(xiàng)進(jìn)行了電磁兼容性測(cè)試，測(cè)試結(jié)果滿足標(biāo)準(zhǔn)要求，并由第三方檢測(cè)機(jī)構(gòu)出具檢測(cè)報(bào)告。最后是故障插入測(cè)試，經(jīng)測(cè)試當(dāng)發(fā)生故障時(shí)執(zhí)行機(jī)構(gòu)能夠及時(shí)發(fā)現(xiàn)并報(bào)警。測(cè)試結(jié)果表明該執(zhí)行機(jī)構(gòu)達(dá)到設(shè)計(jì)要求的安全完整性等級(jí)的要求。

5 結(jié)語

通過一系列的評(píng)估分析，證明該執(zhí)行機(jī)構(gòu)的設(shè)計(jì)架構(gòu)滿足功能安全所要求的結(jié)構(gòu)約束，整體失效率達(dá)到了期望的水平，驗(yàn)證測(cè)試表明該執(zhí)行機(jī)構(gòu)在多種測(cè)試環(huán)境下仍能正確執(zhí)行安全功能。所以其整體設(shè)計(jì)滿足在1oo1模式下的SIL2要求，可推廣應(yīng)用于石油、化工、核電等領(lǐng)域。

參考文獻(xiàn)

[1]王耀，王新寧，王疆.基于IEC61508標(biāo)準(zhǔn)電站鍋爐MFT的功能安全評(píng)估[J].自動(dòng)化與儀表，2016，（12）：9-13.

[2]張艾森.智能壓力變送器功能安全評(píng)估與測(cè)試[D].上海：華東理工大學(xué).2013.

[3]田松.SIL3安全儀表系統(tǒng)的設(shè)計(jì)和應(yīng)用[J].自動(dòng)化與儀表，2013，（2）：44-45.