隨著我國(guó)工業(yè)的不斷發(fā)展, 工業(yè)自動(dòng)化儀表作為過(guò)程工業(yè)自動(dòng)化中的一個(gè)重要組成部分, 其安全問(wèn)題越來(lái)越受到人們的重視。安全儀表系統(tǒng) (SIS) , 在危險(xiǎn)事件發(fā)生之前正確地執(zhí)行其安全功能, 可以有效的避免或減少事故的發(fā)生[1]。2000年, 國(guó)際電工委員會(huì) (IEC) 發(fā)布了IEC61508標(biāo)準(zhǔn), 明確的提出了安全相關(guān)系統(tǒng)的功能安全[2]。儀表及系統(tǒng)的功能安全標(biāo)準(zhǔn)、評(píng)估、產(chǎn)品研究和開(kāi)發(fā)、認(rèn)證等問(wèn)題逐漸成為國(guó)內(nèi)外研究的熱點(diǎn)。

在我國(guó), 功能安全儀表及系統(tǒng)的研究和開(kāi)發(fā)尚在起步階段[3-4]。功能安全浮筒液位計(jì)作為安全儀表系統(tǒng)的重要組成部分, 使用在重要的安全和控制領(lǐng)域, 為確保生產(chǎn)過(guò)程的安全可靠運(yùn)行發(fā)揮非常重要的作用[5]。對(duì)浮筒液位計(jì)實(shí)施功能安全認(rèn)證, 能夠?qū)σ何挥?jì)的安全功能進(jìn)行科學(xué)的分析, 對(duì)產(chǎn)品的失效進(jìn)行有效的控制, 從而減少事故發(fā)生的概率, 從而從根本上保證工業(yè)生產(chǎn)過(guò)程的本質(zhì)安全, 實(shí)現(xiàn)保障經(jīng)濟(jì)安全的目的[6]。

功能安全浮筒液位計(jì)主要包含功能安全液位變送器、浮筒室組件、浮筒組件、杠桿組件、扭力管。主要實(shí)現(xiàn)對(duì)液位的測(cè)量[7]。其主要工作原理如圖1所示, 浮筒浸沒(méi)在被測(cè)液體中, 與扭力管系統(tǒng)剛性連接。當(dāng)被測(cè)液體的液位l發(fā)生變化, 則懸掛在液體中的浮筒受到的浮力也隨之發(fā)生變化, 從而改變了扭力管的扭矩, 從而導(dǎo)致扭力管角度的變化。這種扭力管的旋轉(zhuǎn)運(yùn)動(dòng)傳遞到液位計(jì)的擺動(dòng)組件上, 從而導(dǎo)致擺動(dòng)組件上的磁鋼隨之發(fā)生移動(dòng), 從而導(dǎo)致了磁場(chǎng)的變化。液位變送器中的霍爾傳感器可以感應(yīng)到這種磁場(chǎng)的變化, 并將磁信號(hào)轉(zhuǎn)變?yōu)殡娦盘?hào), 通過(guò)A/D轉(zhuǎn)換電路對(duì)該電信號(hào)進(jìn)行采樣得到電壓值之后傳輸至CPU模塊進(jìn)行數(shù)據(jù)處理, 通過(guò)數(shù)據(jù)處理之后, 將物位信號(hào)變送成標(biāo)準(zhǔn)的4~20mA信號(hào)遠(yuǎn)程傳輸, 完成整個(gè)液位計(jì)的基本功能;HART通信的信號(hào)以4~20mA電路為物理層, 耦合符合FSK標(biāo)準(zhǔn)的HART總線信號(hào), 以達(dá)到電浮筒物位計(jì)與HART主機(jī)間的信息交互功能。通過(guò)對(duì)液位計(jì)的傳感器故障診斷、硬件故障診斷、FEMDA分析及計(jì)算、軟件V&V認(rèn)證及測(cè)試等, 并在產(chǎn)品的整個(gè)生命周期 (需求、設(shè)計(jì)、測(cè)試、生產(chǎn)、質(zhì)量) 中遵循IEC61508, 從而開(kāi)發(fā)出滿足SIL2要求的功能安全浮筒液位計(jì)。

根據(jù)IEC61508標(biāo)準(zhǔn), 一套完整的安全儀表系統(tǒng)由傳感變送器、邏輯運(yùn)算器和***終執(zhí)行元件構(gòu)成[8]。邏輯運(yùn)算器作為核心部件, 負(fù)責(zé)按照設(shè)定的邏輯進(jìn)行控制。功能安全浮筒液位計(jì)作為傳感變送器, 主要對(duì)液位信號(hào)進(jìn)行采集, 并輸出給邏輯運(yùn)算器。

功能安全浮筒液位計(jì)的安全構(gòu)架如圖2所示:主要包括霍爾傳感器、RTD傳感器、測(cè)量A/D、診斷A/D、MCU模塊、按鍵、LCD、HART模塊、電源模塊、D/A輸出模塊、時(shí)鐘診斷模塊、電源及輸出診斷模塊。

其中霍爾傳感器、RTD傳感器、測(cè)量A/D、MCU、電源及D/A輸出模塊為安全相關(guān)的部分, 其任何故障均需要進(jìn)行診斷和FMEDA分析;其中診斷A/D、時(shí)鐘診斷模塊、電源及輸出診斷模塊為診斷部分, 其功能是對(duì)安全相關(guān)部分電路進(jìn)行診斷;按鍵、LCD、HART模塊為非安全相關(guān)的部分, 其失效不會(huì)影響到儀表的安全功能。

測(cè)量A/D采樣模塊主要采集霍爾傳感器及RTD的溫度信號(hào)并實(shí)現(xiàn)與MCU模塊的通信, 診斷A/D則實(shí)現(xiàn)對(duì)測(cè)量A/D模塊的診斷。MCU模塊的主要對(duì)A/D模塊采樣的數(shù)字量進(jìn)行運(yùn)算處理并輸出數(shù)字量給D/A從而控制4~20mA的電流輸出。同時(shí), MCU還可實(shí)現(xiàn)對(duì)電源、環(huán)境溫度、激勵(lì)電流、及MCU內(nèi)部的診斷。電源提供系統(tǒng)所需要的+3.3V及+5V電源。D/A輸出模塊根據(jù)MCU提供的數(shù)字量輸出4~20mA電流。電源及輸出診斷模塊實(shí)現(xiàn)對(duì)系統(tǒng)電源、通訊故障和回路電流診斷。時(shí)鐘診斷模塊主要實(shí)現(xiàn)對(duì)MCU時(shí)序的故障診斷。按鍵可實(shí)現(xiàn)對(duì)儀表的功能配置, LCD具有顯示功能, HART模塊具有HART通信功能。

功能安全浮筒液位計(jì)軟件遵從V&V (verification and validation) 過(guò)程, 通過(guò)檢查、分析、評(píng)估評(píng)審、評(píng)價(jià)、測(cè)試的方法為軟件產(chǎn)品和過(guò)程提供置信度證明[9-10]。功能安全浮筒液位計(jì)的安全功能是通過(guò)傳感器采集液位信號(hào), 轉(zhuǎn)變成數(shù)字信號(hào)實(shí)現(xiàn)4~20mA模擬量輸出, 同時(shí)可通過(guò)LCD進(jìn)行顯示, 并通過(guò)按鍵進(jìn)行參數(shù)設(shè)置, 通過(guò)上位機(jī)Hart協(xié)議進(jìn)行通信, 實(shí)現(xiàn)監(jiān)視和出廠標(biāo)定。

MCU的軟件功能總體設(shè)計(jì)如圖3所示。

MSP430通過(guò)SPI接口實(shí)現(xiàn)對(duì)模擬信號(hào)的采樣;通過(guò)SPI接口實(shí)現(xiàn)D/A的模擬量輸出;通過(guò)UART接口以完成產(chǎn)品的標(biāo)定功能;另外, MCU通過(guò)I2C接口控制液晶顯示, 通過(guò)按鍵設(shè)置量程范圍。

功能安全浮筒液位計(jì)軟件從功能上分為運(yùn)行模塊及診斷模塊。運(yùn)行模塊負(fù)責(zé)信號(hào)的采集處理、LCD顯示、鍵盤設(shè)置及HART通信等儀表基本功能的實(shí)現(xiàn)。診斷模塊則是儀表安全的重要保障。其運(yùn)行模塊流程如圖4所示。

首先, 儀表完成上電初始化, 同時(shí)進(jìn)行上電診斷。如果診斷通過(guò), 則進(jìn)行變量初始化, 進(jìn)入運(yùn)行模式;若診斷出安全相關(guān)錯(cuò)誤, 則進(jìn)入安全狀態(tài)。儀表在運(yùn)行模式中也要進(jìn)行運(yùn)行自診斷, 如果自診斷出錯(cuò)則進(jìn)入安全狀態(tài) (輸出安全電流) 。

運(yùn)行模塊首先判斷儀表的所處模式。如在正常運(yùn)行模式, 儀表需完成A/D采樣, AD線性化處理, 計(jì)算出物位值, D/A輸出轉(zhuǎn)換, 顯示輸出, 診斷功能, 同時(shí)若有上位機(jī)通信, 完成上位機(jī)監(jiān)測(cè) (注:標(biāo)定對(duì)用戶是不開(kāi)放的功能, 是安全相關(guān)的) 功能。如果掃描按鍵輸入, LCD顯示輸入的密碼正確, 完成按鍵處理, 實(shí)現(xiàn)按鍵設(shè)置功能。如果儀表處于安全模式, 則輸出安全電流。

運(yùn)行模塊分為8個(gè)子模塊:按鍵處理模塊、顯示模塊、主采樣模塊、診斷采樣模塊、D/A轉(zhuǎn)換模塊、控制模塊、中斷處理模塊、配置模塊。

功能安全浮筒液位計(jì)在基本檢測(cè)儀表的基礎(chǔ)上增加診斷功能, 實(shí)現(xiàn)對(duì)儀表狀態(tài)的實(shí)時(shí)監(jiān)控。因此診斷功能模塊的設(shè)計(jì)決定著產(chǎn)品的安全功能, 是至關(guān)重要的。功能安全浮筒液位計(jì)的診斷包括上電診斷和運(yùn)行中診斷。上電診斷主要對(duì)CPU內(nèi)部性能進(jìn)行診斷, 包括中斷錯(cuò)誤診斷、RAM上電診斷、ROM上電診斷、EEPROM上電診斷、堆棧上電診斷、寄存器上電診斷、指令上電診斷。運(yùn)行中的診斷除了包括CPU診斷, 還包括外部器件的診斷, 如:采樣AD診斷、DA診斷、電源診斷等。

功能安全完整性評(píng)估方法[11-12]是綜合考慮系統(tǒng)或設(shè)備的每小時(shí)失效概率密度 (probability of failure per hour, PFH) , 危險(xiǎn)損害嚴(yán)重程度, 暴露在危險(xiǎn)中的時(shí)間, 避免危險(xiǎn)損害的可能性等因素進(jìn)行的評(píng)估。安全性是安全相關(guān)系統(tǒng)的一種固有屬性, 并且以安全完整性等級(jí) (SIL) 的形式來(lái)表征。安全完整性等級(jí)表示能成功完成安全功能的概率。根據(jù)IEC61508的規(guī)定, SIL分為4個(gè)等級(jí), SIL1為較低, SIL4為***高, 等級(jí)越高代表發(fā)生故障的概率越低, 安全性越高。SIL等級(jí)與發(fā)生故障概率的關(guān)系如表1所示。

為了確定功能安全液位變送器的SIL等級(jí), 必須對(duì)液位計(jì)進(jìn)行模塊劃分和模塊獨(dú)立診斷, 對(duì)診斷方案進(jìn)行分析, 從而確定功能安全液位變送器診斷技術(shù)的有效性及診斷覆蓋率。本文采用FMEDA的分析方法, 可以定性和定量的對(duì)功能安全液位計(jì)的各個(gè)安全相關(guān)的模塊進(jìn)行有效的分析、研究和改進(jìn), 從而實(shí)現(xiàn)安全儀表系統(tǒng)的高安全性、高可靠性以及高可用性[13]。

FMEDA方法是指通過(guò)分析元器件 (或部件) 所有可能的故障模式[14], 根據(jù)電路的原理進(jìn)行科學(xué)的分析, 確定所有元器件的所有失效模式對(duì)液位計(jì)安全功能的影響, 并確定和區(qū)分所有的安全失效和危險(xiǎn)失效。所有的危險(xiǎn)失效必須有對(duì)應(yīng)的診斷電路進(jìn)行診斷, 從而達(dá)到SIL2要求的90%以上的診斷覆蓋率和90%以上的安全失效分?jǐn)?shù) (SFF) 。針對(duì)功能安全浮筒液位計(jì)的硬件電路的各個(gè)模塊進(jìn)行FMEDA分析和計(jì)算可以得出表2的結(jié)論, 從而滿足了功能安全SIL2的等級(jí)要求。

要達(dá)到功能安全液位計(jì)SIL2的要求, 軟件則須滿足SIL3的等級(jí)要求, 在軟件的開(kāi)發(fā)過(guò)程中遵循V&V (verification and validation) 的要求, 從而減少軟件開(kāi)發(fā)過(guò)程中所帶來(lái)失效。同時(shí)需要對(duì)軟件設(shè)計(jì)中的設(shè)計(jì)方法、技術(shù)路線、測(cè)試方法等采取一系列的故障避免措施, 并對(duì)這些故障避免措施的有效性根據(jù)IEC61508進(jìn)行分析和確認(rèn)[15]。

軟件驗(yàn)證主要包括軟件靜態(tài)測(cè)試、動(dòng)態(tài)測(cè)試和集成測(cè)試。靜態(tài)測(cè)試采用了人工審查分析和軟件工具自動(dòng)分析兩種方法相結(jié)合的方式對(duì)軟件源代碼進(jìn)行了靜態(tài)測(cè)試分析。測(cè)試結(jié)果表明, 軟件源代碼符合MISRA—C:2004編程規(guī)范。浮筒液位計(jì)動(dòng)態(tài)測(cè)試同時(shí)采用了黑盒測(cè)試和白盒測(cè)試兩種方法。

集成測(cè)試則主要是產(chǎn)品的功能測(cè)試。不同于常規(guī)產(chǎn)品, 功能安全浮筒液位計(jì)還需要做故障插入測(cè)試, 以檢驗(yàn)FMEDA分析的有效性, 對(duì)液位計(jì)各部分的故障進(jìn)行人為的模擬注入測(cè)試, 并驗(yàn)證輸出結(jié)果是否導(dǎo)致安全的失效。

“功能安全浮筒液位計(jì)”是我國(guó)具有自主知識(shí)產(chǎn)權(quán)的安全級(jí)智能液位儀表, 本項(xiàng)目的實(shí)施打破了國(guó)外對(duì)功能安全儀表技術(shù)的壟斷, 實(shí)現(xiàn)了對(duì)其關(guān)鍵零部件的自主創(chuàng)新, 掌握了產(chǎn)品的關(guān)鍵工藝技術(shù), 提升了我國(guó)對(duì)安全級(jí)儀表工業(yè)的技術(shù)、工藝水平。

國(guó)內(nèi)對(duì)于功能安全浮筒液位計(jì)的研發(fā)和生產(chǎn)起步較晚, 這是我公司完全獨(dú)立自主研發(fā)、國(guó)內(nèi)通過(guò)功能安全完整性SIL2認(rèn)證的浮筒液位計(jì), 達(dá)到了國(guó)內(nèi)外先進(jìn)水平。