智能变送器的硬件安全评估

2011-07-26 11:03翁思健
自动化仪表 2011年9期
关键词:故障注入失效率变送器

崔 丹 翁思健

(华东理工大学信息科学与工程学院1,上海 200237;上海工业自动化仪表研究院2,上海 200233)

0 引言

IEC 61508在航空航天、石油化工和轨道交通等领域得到了越来越广泛的关注和应用[1]。为了适应功能安全的新发展,IEC 61508第二版共七个部分经IEC标准委员会投票通过并于2010年4月正式发布。随着现场总线控制系统的发展,提出了“控制在现场”的要求。同时,对应用于安全领域的智能控制系统部件也提出了更高的安全要求。

智能变送器作为一种典型的智能控制系统部件,其安全性也受到了更多的关注。在国外,艾默生、E+H等公司已研发出通过安全认证的智能仪表产品。然而,在国内,对于功能安全的研究还处于起步阶段。本文以上海工业自动化仪表研究院自主研发的基于HART协议的智能压力变送器为对象,探索适用于智能变送器安全研究的方法。

1 智能变送器简介

1.1 系统组成

本文讨论的智能变送器是主要用于流程工业检测和控制的、输出为4~20 mA的二线制智能设备,其功能模块分为传感器、信号调理模块、数据处理模块、4~20 mA输出模块、HART通信模块以及一些其他辅助功能模块。智能变送器原理框图如图1所示。

图1 智能变送器原理框图Fig.1 Principle of the smart transmitter

由图1可知,智能变送器的功能模块划分遵从IEC 60770-3:2006《适用于流程工业控制系统的智能变送器——智能变送器性能评价方法》。满足该标准要求的智能变送器模型能保证硬件电路上各个功能模块之间的独立性,使智能变送器在系统结构方面更为清晰,也给电路分析、测试以及安全评估带来了极大的便利[2]。

1.2 变送器的安全要求

在IEC 61508-4中,安全功能的定义是:针对特定的危险事件,为达到或保持EUC的安全状态,由E/E/PE安全相关系统、其他技术安全相关系统或外部风险降低设施实现的功能[3]。

对于智能变送器而言,传感器及信号调理模块、数据处理模块和4~20 mA输出模块共同组成检测通道,这是智能变送器的基本功能,也是需要研究的安全功能。4~20 mA既是控制系统模拟输出的标准量,也是HART通信的载体,其在控制系统中有着重要的意义。可以说,4~20 mA的准确输出在一定程度上确保了控制系统的安全性。因此,4~20 mA是智能控制系统的安全变量之一,也是智能变送器的安全变量,智能变送器的核心任务就是保证4~20 mA的正确输出。

2 硬件安全要求

2.1 硬件安全要求

在讨论产品的安全完整性等级之前,需要确定产品的结构或冗余方式。不同的安全完整性等级(SIL)对不同的硬件结构有着不同的安全失效分数(safety failure fraction,SFF)要求。

安全完整性的硬件结构约束如表1所示。

表1 安全完整性的硬件结构约束Tab.1 Structural constraints on hardware safety integrity

本文所讨论的智能变送器为单通道结构的B类系统,1个故障就可能导致全部功能的丧失,即硬件故障裕度(HFT)为0,目标安全完整性等级为SIL2。由表1可知,该产品要达到SIL2的安全失效分数不能低于90%。

2.2 B类系统安全要求

根据智能变送器原理划分子系统,可以得到传感器及信号调理模块、4~20 mA输出模块为A类子系统,数据处理功能块的主要硬件——微处理器为可编程电子器件,应当被视作B类子系统。由于微处理器的存在,智能变送器应当被视作B类系统[4]。对于HFT=0的智能变送器,系统需要具备全面、完善的诊断技术,才能保证满足SFF不低于90%的要求。

根据IEC 61508第2部分要求,并结合智能变送器自身的相关特点,SIL2对应的故障诊断要求如表2所示[5]。

表2 SIL2对应的故障诊断内容Tab.2 Diagnosis content requested by SIL2

表2中,软错误表示由于射线、电磁干扰、线路串扰和衰变等环境因素引起的线路或物理器件的变化,导致数据或地址的错误;DC故障模型主要指固定故障、开路、高阻和信号线之间的短路,这些故障呈现出稳定的故障状态。

3 安全评估

在采用失效模式、影响和诊断分析(failure mode,effect and diagnostic analysis,FMEDA)和故障注入试验对智能变送器进行安全评估时,需作如下假设。

①智能变送器内部每次只有一个元器件发生失效。

②只考虑内部电气/电子/可编程电子器件组成的主板,不考虑智能变送器的外壳及其他相关的机械部件。

③每个元器件的失效率都是固定的,不会随时间发生变化。

④非安全功能部分不会影响到安全功能。

⑤HART通信是非安全功能,它用于通信和诊断目的。

⑥在4~20 mA范围内出现超差被认为是无可检测的危险失效。

⑦传感器不作考虑。

⑧外部电源不作考虑。

3.1 FMEDA

传感器及信号调理模块和4~20 mA输出模块均由阻容器件(电阻、电容等)、半导体器件(二极管、三极管)和电子器件(A/D转换器、D/A转换器)组成。每个元器件的失效模式、失效影响及故障诊断均可被确定,且结合元器件失效手册和一些器件制造商提供的元器件失效率数据,可以计算出安全失效分数SFF、平均失效率等与安全完整性相关的参数。本文的A类器件失效率数据大部分由器件制造商处获取。国际上一些公司和组织先后都以MIL-HDBK-217为蓝本,制定了可靠性预计手册或标准,如西门子的SN29500、英国的HRD-4。本研究中无法获取的数据可参考GJB/Z 299C-2006《电子设备可靠性预计手册》[6]。

失效模式、影响和诊断分析(FMEDA)也存在其局限性。当系统同时存在多种失效时,多种失效产生的组合会造成非常严重的后果。由于将失效模式分开考虑,可能分析得到的失效后果很小,尤其是在软硬件共同作用的可编程电子器件中,这种假设往往很难成立[7]。因此,采用FMEDA需要遵循各失效之间相互独立的假设条件,即假定每次只发生一种失效。对于复杂的集成电路和可编程电子器件,失效的重点将从随机失效转变为系统失效,且故障和失效之间的原因和影响关系难以确定[8]。因此,对于复杂集成电路和可编程电子器件不适用FMEDA,需要进行故障注入试验以确定失效影响及其是否可诊断。根据IEC 61508-6可知,对于复杂的元器件,通常接受50%的安全失效和50%的危险失效[9],即满足如下三个关系式:

式中:λs为安全失效率;λd为危险失效率;λdd为可检测的危险失效率;λdu为不可检测的危险失效率。

3.2 故障注入试验

由软件安全性的研究可知,RAM区数据采用校验码,能够检测到由于DC故障模型和软错误引起的数据错误。一旦RAM区数据被冲掉,智能变送器会对外输出报警电流;当检测到堆栈指针到栈顶位置时,程序认为堆栈已经发生溢出,采用复位的方式排除故障;EEPROM采用校验码和备份的方式保证数据的正确性,当校验码和备份两种技术均不能排除故障时,采用复位的方式排除故障。研究表明,当故障诊断措施不能奏效时,智能变送器会采用电流报警或复位的方式排除故障,这两种方式均不属于不可检测的危险失效。

本文讨论的注入故障分为两类:A类元器件的故障模式和B类元器件的DC故障模型。为保证原电路的完整性,故障以静态方式注入,即在智能变送器启动之前,按照元器件的故障模式改变元器件的运行状态,或改变集成电路管脚的电位以造成集成电路管脚级的故障,以达到修改电路结构的目的,从而将故障注入到智能变送器[10]。静态注入的方式具有一定的破坏性。同时,为了保证试验结果与系统其他部分无关,遵从前述安全评估的假设,每次只对一个元器件注入一种故障模式,在得到相应的试验结果之后恢复故障现场。

3.3 安全评估结果

由于对B类子系统的注入故障无法被完全诊断,故障注入试验得到的诊断覆盖率只能反映当前数据处理模块的诊断覆盖率整体水平。由故障注入试验的结果得到B类器件的不可检测的危险失效率约为30%~40%,即诊断覆盖率处于60% ~90%区间内。因此,取诊断覆盖率(DC)的值为60%,由此得到安全功能的计算结果如表3所示。

表3 安全功能的计算结果Tab.3 The calculation result of safety function

从表3可以看出,假设智能变送器的诊断时间间隔是1 a,不考虑诊断所需要的时间,则低要求时的危险失效率(probability of dangerous failure on demand,PFD)近似计算结果为:

式中:PFD(t)为低要求操作模式下的平均危险失效概率;PFH为高要求或连续工作模式下的每小时危险失效概率,h-1。对于有诊断单通道系统,可近似认为:

由式(4)和式(5)可知,当 t=8760 h时,PFD=1.275 ×10-3;当 t=0 时,PFD=0。因此,由(t,PFD)=(1,1.275 ×10-3)和(0,0)两点确定直线。智能变送器的PFD曲线如图2所示。

图2 智能变送器的PFD曲线Fig.2 The PFD curve of smart transmitter

智能变送器的目标安全完整性等级是SIL2,其失效率为10-3<PFD<10-2。从图2可以看到,假定智能变送器已经达到SIL2的水平,则大约7.8 a之后该智能变送器的PFD会低于SIL2的最低要求。

3.4 结果分析

从安全失效分数SFF来看,智能变送器的安全性尚不满足SIL2不低于90%的要求,但是差距不大,各模块中生产工艺的失效率较大;同时,由于生产工艺引入的不可检测的危险失效率占总的不可检测的危险失效率的比重也较大。因此,改善生产制造工艺对提高产品质量的意义重大。另外,诊断覆盖率较低,导致危险失效率偏高,整个控制系统的风险向上层转移,给控制系统带来了更大的安全压力,因此,还需要进一步研究该智能变送器的故障诊断功能。

4 结束语

智能变送器作为一种典型的智能控制系统部件,其安全功能集中体现在4~20 mA的模拟电流输出上。本文分别对A类子系统和B类子系统的不同处理方式进行了说明,并通过FMEDA与故障注入试验的方法计算得到了与安全完整性等级评定相关的参数。计算结果表明,制板工艺有待进一步提高,智能变送器硬件系统总体接近SIL2的要求。本文对智能变送器的安全完整性等级评估方法进行了探索性研究,同时也为嵌入式软件的安全完整性研究提供了一定依据。

[1]李佳嘉.贯穿于全生命周期的功能安全[J].自动化仪表,2006,27(5):21-24.

[2]International Electrotechnical Commission.IEC 60770-3:2006 Trans-mitters for use in industrial-process control systems,part3:methods for evaluation of intelligent transmitters[S].International Electrotechnical Commission:2006.

[3]International Electrotechnical Commission.IEC 61508-4:1998 Functional safety of electrical/electronic/programmable electronic safety related systems,part 4:definitions and abbreviations[S].International Electrotechnical Commission:1998.

[4]International Electrotechnical Commission.IEC 61508-7:2000 Functional safety of electrical/electronic/programmable electronic safety related systems,part 7:overview of techniques and measures[S].International Electrotechnical Commission,2000.

[5]国家质量监督检验检疫总局.GB/T 20438.2-2006电气/电子/可编程电子安全相关系统的功能安全第2部分:电气/电子/可编程电子安全相关系统的要求[S].北京:中国标准出版社,2006.

[6]李永红,徐明.MIL-HDBK-217可靠性预计方法存在的问题及其替代方法浅析[J].航空标准化与质量,2005(4):40-43.

[7]International Electrotechnical Commission.IEC 60812-2006 Analysis techniques for system reliability.Procedure for failure mode and effects analysis[S].International Electrotechnical Commission:2006.

[8]International Electrotechnical Commission.IEC 61508-2:2000 Functional safety of electrical/electronic/programmable electronic safety related systems,part 2:requirements for electrical/electronic/programmable electronic safety related systems[S].International Electrotechnical Commission:2000.

[9]International Electrotechnical Commission.IEC 61508-6:2000 Functional safety of electrical/electronic/programmable electronic safety related systems,part 6:guidelines on the application of IEC 61508-2 and IEC 61508-3[S].International Electrotechnical Commission:2000.

[10]孙俊朝,王建莹,杨孝宗.管脚级故障模型的分析与生成技术的研究[J].计算机学报,1999,22(8):845-851.

猜你喜欢
故障注入失效率变送器
模拟训练装备故障注入系统研究
Archimedean copula刻画的尺度比例失效率模型的极小次序统计量的随机序
浅谈差压变送器的校验在应用中的几个问题
深入理解失效率和返修率∗
基于改进龙格-库塔法反舰导弹贮存寿命研究
一种多类型总线故障注入系统设计*
XTR105电流变送器在温度传感器中的应用
某型自动装弹机故障注入系统研究
列车MVB总线故障注入研究
固体电解质钽电容器失效率鉴定