陆 妹 蔡福全 孙京诰
(上海自动化仪表股份有限公司1,上海 200072;华东理工大学化工过程先进控制和优化技术教育部重点实验室2,上海 200237)
FMEDA在功能安全温度变送器验证中的应用
陆 妹1蔡福全2孙京诰2
(上海自动化仪表股份有限公司1,上海 200072;华东理工大学化工过程先进控制和优化技术教育部重点实验室2,上海 200237)
失效模式、影响及其诊断分析(FMEDA)法在功能安全工作中起到很重要的作用,它对功能安全产品的失效风险、是否可诊断进行定性分析,同时也为平均失效概率和安全完整性等级的计算提供了有效的数据支撑。首先对FMEDA分析法进行了系统性归纳,确定了分析的依据,提出了完整的分析步骤。然后以功能安全温度变送器为例,从简单元器件和复杂元器件两个方面出发,阐述了FMEDA分析法的实际运用情况。最后根据相关的验证结果证明了功能安全温度变送器的硬件设计符合功能安全完整性等级的要求。
功能安全 温度变送器 FMEDA 安全失效分数 平均失效概率
功能安全问题在如今的工业生产或者产品生产中越来越受到重视。通过风险分析,将存在的风险转化成可以控制的风险,提高工业生产或者产品生产过程中的安全,促进社会生产的健康发展。
作为功能安全工作中故障、风险以及诊断分析的重要手段之一,失效模式、影响及其诊断分析(failure mode,effect and diagnosis analysis,FMEDA)可以找出产品的故障模式,分析其可能带来的后果;通过加大危险模式下的诊断措施的实施,可以降低发生风险的概率[1]。通过FMEDA的使用,能够有效地提高产品的可靠性和安全性。
1.1 FMEDA分析法的定义
FMEDA为故障模式、影响和诊断分析。它实际上是故障模式分析和故障影响分析(failure effect analysis,FEA)以及是否可诊断的组合[2]。这是一种重要的可靠性设计方法,可以对工程或者其他工作中的各种存在的风险进行评价与分析[3]。
1.2 FMEDA分析法的依据标准
FMEDA分析法依据的标准主要由失效率预计、元器件失效模式及其百分比和元器件失效模式排除依据三个部分组成。
通常情况下,元器件在生产后,在大量试验的基础上会得到相关失效率的值。这一过程的共同特点就是时间长、基数大。在无法直接测得元器件失效率的情况下,会根据实际情况建立失效率模型,对失效率进行预计。本文采用西门子的元器件失效率预计标准SN29500[4],式(1)和式(2)为SN29500中描述的常用的失效率预计模型。其中式(1)为电容的失效率预计模型,式(2)为电阻和电感的失效率预计模型。
λ=λref×πT×πU×πQ
(1)
λ=λref×πT
(2)
式中:λref为基础失效率数据,这个数据是在大量相关芯片试验的基础上得到的,通过SN29500可以查到相关参数;πT为温度影响参数;πU为电压影响参数;πQ为质量参数。
这些参数都需要根据实际工作中的温度值、电压值、质量程度等来查表获得,同时这些参数在不同的工作环境下也是不同的。
元器件失效模式及其百分比,随着元器件和工作环境的不同,其值也是不同的。根据总体预计的失效率和对应的失效分数占用比,就可以得到相应失效模式下的失效率。失效是一种事件,是区别于状态的故障[5]。通常情况下,对于简单的元器件,可以具体分析其失效模式。而对于比较复杂的元器件,不能具体分析其失效模式,可以将失效模式分为安全模式和危险模式,它们所占有的百分比各为50%。
失效模式的排除,是说明在某些特定的条件下,元器件的某些失效模式是可以排除的。这些特定条件通常是指外部对元器件的硬件设计做了特殊的处理,比如电感器的失效模式的排除情况。当电感器线圈为单层、镀瓷或陶、轴向连接和轴向安装时,其短路失效模式就会被排除。所以元器件的每种失效模式,要根据实际运用的元器件的具体情况去判定是否可以排除。
1.3 FMEDA分析法的步骤
FMEDA分析法的步骤如下。
① 将产品划分成各个安全功能模块,以便从每个模块入手,进行分析。
② 熟悉了解每个功能模块的硬件构成图,包括运用到的每个元器件、元器件的实际工作环境等。制作表格,记录每一个元器件的名称、型号参数值、功能等信息。
③ 从标准中查找每一个元器件的失效模式,确定失效模式以及百分比。
④ 根据元器件的工作环境情况和每一种元器件的失效率预计模型,计算出每一种元器件的失效率。然后分析元器件的失效模式,根据失效模式的百分比来计算出元器件在每一种失效模式下的失效率。
⑤ 分析每个元器件的每种失效模式对整个部件的影响,判定每种失效率为安全失效率还是危险失效率。若为危险失效,通过设计诊断方法,判定其为可诊断危险失效还是不可诊断危险失效率。
分析后得出危险失效的诊断覆盖率DC、危险失效率λD、可诊断危险失效率λDD和不可诊断的危险失效率λDU。相关公式如下:
λDD=λD×DC
(3)
(4)
⑥ 对每个模块中同类参数进行求和,然后以同样的方法去分析其他模块并且得到相应的参数。最后对所有模块的同类参数进行求和,得出安全失效分数。计算一个系统的诊断覆盖率DC、安全失效分数SFF[6]如下:
(5)
(6)
温度变送器中功能安全模块有信号输入模块、A/D转换模块、MCU模块、时钟模块和D/A转换输出模块。选择信号输入模块和MCU模块,从简单元器件和复杂元器件两个角度进行FMEDA分析。
在运用FMEDA分析电路元器件时,需要假设一个环境温度。由于本次课题所涉及的温度变送器适用的最大环境温度为70℃,因此我们将分析电路元器件所用到的环境温度假设为70 ℃。随着温度的不断增加,元器件不可检测的危险失效率也随之增加。如果在环境温度70 ℃的情况下,元器件的FMEDA分析结果满足平均失效概率的要求,那么低于70 ℃的情况也必然能够满足。
2.1 简单元器件的FMEDA分析
首先考虑图1所示电路,该电路为信号输入模块中的一部分,主要由电阻器、电感器、电容器和扼流线圈构成,在整个电路中主要起到滤波的作用。A、B两端为热电阻或者热电偶两端的电压信号,需要被采集。U1提供基准电压,接入点为a、b。由于R4很大,因此可以认为通过它的电流几乎为0,保证了A的电势不变。a、b两端点连接共模扼流圈,之后接入电感L1、L2。通过相关元器件的滤波作用,C、D两端的电压信号将进入A/D转换芯片。
图1 信息输入模块部分硬件图
当电路中的元器件出现故障时,就会影响到C、D两端的电压信号,即A/D转换芯片的采样。以电容器C1为例,当电容器C1发生短路时,C点的电势就会变成0,D点为U1提供的基准电压。由于U1提供的基准电压远大于A、B两端产生的电势差,那么在C1发生短路的情况下,C、D两端的电压就会变大。这个电压信号被A/D转换芯片采集后,转换后的温度值就会超过温度对应信号的上下限值,系统即进入安全状态,C1发生的故障可被诊断出来。A/D信号诊断流程如图2所示。
图2 A/D信号诊断流程
电路中使用的电容器C1是一种钽材质电容器,内部采用固体电解质,电路中实际工作电压为1.35 V,最大的承受电压为10 V。电感器C1存在三种失效模式,分别为开路失效、短路失效和数值随意改变失效[7]。三种失效模式不可排除,三种模式所占百分比均为33.3%。当电感器发生开路失效和数字随意改变失效时,由电路图可知,不会影响到A、B两端的电势差信号,因此判定这两种失效为安全失效。只有当其发生短路失效时,A、B两端会出现零电势,影响到A/D转换模块的数据采集,因此短路失效模式为危险失效;并且该失效模式能够通过A/D转换模块被诊断,是可诊断危险失效,诊断覆盖率为100%。
根据电容器的相关物理性质以及设定的温度环境温度70 ℃,由标准SN29500可知,该电容器的基础失效率为1×10-9,πU为0.053,πT为3.7,由电容器的本身材料性质和标准判定πQ为2。
根据式(1)、(3)、(4)可计算出电感器的相关失效参数,如表1所示。
表1 电容器的相关失效参数表
2.2 复杂元器件的FMEDA分析
对于以上简单电路元件,故障原因简单,失效模式划分比较清楚,诊断覆盖率往往可以直接认为是100%。然而对于比较复杂的元器件或者电路,不可能检测到所有的故障原因,诊断覆盖率就不会达到这个值,往往考虑最大的诊断覆盖率为99%。以单片机芯片MCU为例进行阐述。
MCU中由于造成故障的原因比较复杂,不能清晰地描述相关的失效模式,因此我们将失效模式分为安全失效和危险失效,各占50%。
MCU存在软错误。软错误即位错误,发生在RAM中,每一位的数据在读和写的时候发生错误。读写错误会影响到最终信号的正确输出,因此可判定该故障失效为危险时效。软错误可以通过比较的方法进行诊断。在写数据的时候,可以将数据同时写入两块RAM,一块用于调用,另一块用作诊断。当某位数据发生错误时,可以通过两块RAM之间的逐位比较来判定数据发生错误的位置。
RAM软错误故障诊断方法如图3所示。
图3 RAM软错误诊断流程图
根据标准IEC 61508-2,可认为其诊断覆盖率达99%。该情况下失效率跟RAM的内存有关。当RAM为2 kB即16 kbit,依据SN29500-2寄存器中每位的失效率为1 000 FIT/Mbit,那么整个RAM的失效率计算公式如下:
即整个RAM的失效率为15.625×10-9,安全失效率和危险失效率都为7.812 5×10-9。根据式(3)和式(4)以及诊断覆盖率可得,可检测危险失效率为7.734 375×10-9,不可检测危险失效率为0.078 125×10-9。
3.1 硬件安全完整性要求
安全完整性等级(SIL)指的是在规定的条件下、规定时间内安全相关系统能够成功完成系统安全功能的概率[8]。本文涉及的温度变送器采用1oo1D结构,硬件安全完整性等级要求为SIL2,硬件B类安全相关子系统的结构约束,在硬件故障裕度为0的要求下安全失效分数SFF≥90%。
本次硬件设计安全相关系统是在低要求操作模式,所以硬件安全等级由平均失效概率PFDavg来确定。低要求操作模式下,平均失效概率须满足3.5×10-4≤PFDavg<3.5×10-3。
3.2 FMEDA分析结果及验证结果
对功能安全温度变送器进行FMEDA分析,可得到表2所示的结果。
表2 温度变送器的FMEDA分析结果
结合1oo1D结构的PFDavg计算公式[9]即式(7)、(8),可计算出温度变送器的安全参数PFDavg。
(7)
(8)
式中:设定平均修理时间MRT为8 h;平均恢复时间MTTR为24 h。
当检验测试时间间隔T1为1年即8 760 h时,相关计算如下:
PFDavg=89.323 2×228.367 3×10-9=2.039 8×10-5
当检验测试时间间隔T1为20年时,PFDavg≈3.68×10-4。
由表2可以看出,每个安全模块的安全失效分数满足SFF≥90%。根据上述计算,在检验测试时间间隔假定为20年时[10],温度变送器功能安全相关部分的PFDavg为3.68×10-4,满足低要求操作模式下平均失效概率的要求,即3.5×10-4≤PFDavg<3.5×10-3。
故障注入试验中的故障设置实际是对FMEDA分析的检验,验证FMEDA理论分析中的故障在实际情况下是否能够被检测到。设置故障的方式有多种,但结果唯一,即当故障发生时,整个温度变送器将进入安全状态。当温度变送器正常工作时,输出信号为4~20 mA模拟信号;当温度变送器发生故障进入安全状态时,输出信号为3.8 mA或者22 mA。
从硬件和软件两个角度进行故障设置,以信号输入模块中的电容器和MCU中的RAM为例,进行相应的故障注入试验,并测出相应的故障实施结果,如表3所示。
表3 故障注入试验及结果
失效模式、影响及其诊断分析(FMEDA)法在功能安全验证的过程中实用性强,需要结合整体的设计要求,列举出所有存在的失效模式对产品功能安全模块的每一个元器件,进行分析和探讨,为硬件安全完整等级的验证提供了大量的数据。笔者认为在功能安全领域的从事者,应该不断完善FMEDA的分析过程和分析结果,使得设计出来的产品能够更好地符合功能安全的要求。
[1] 唐环,李明利,谢逸钦,等.第二十四讲 FMEA工作原则及基础工作的重要性[J].仪器仪表标准化与计量,2011(2):20-23.
[2] 谢春芳.FMEDA的认识及应用[J].中国高新技术企业(中旬刊),2011(2):40-41.
[3] Dillibabu R,Krishnaiah K.Application of failure mode and effects analysis to software code reviews——a case study[J].Software Quality Professional,2006(2):30-41.
[4] SN29500 Failure rate of components[S].2005.
[5] GB/T 16855-1 Safety of machinery—safety-related parts of control system[S].2008.
[6] IEC 61508-2 Functional safety of electrical/electronic/programmable electronic safety-related system[S].2012.
[7] GB/T 16855-2 Safety of machinery—safety-related parts of control system[S].2008.
[8] 李玉明,姜巍巍,李荣强,等.安全仪表系统安全完整性等级的评估技术[J].仪器仪表标准化与计量,2010(3):27-29.
[9] IEC 61508-5 Functional safety of electrical/electronic/programmable electronic safety-related system[S].2012.
[10]IEC 61508-6 Functional safety of electrical/electronic/programmable electronic safety-related system[S].2012.
Application of FMEDA in Verification of Functional Safety Temperature Transmitter
Failure modes effects and diagnostic analysis (FMEDA) plays a very important role in functional safety, it can qualitatively analyze if the failure risk of the functional safety products can be diagnosed or not, and it provides effective support to the calculation of average failure rate and safety integrity level. Firstly, the FMEDA is summarized systematically, the basis of analysis is determined, and the complete analysis step is proposed. Then, with the functional safety temperature transmitter as example, the practical use situation of FMEDA is described from two of the aspects, i.e., simple components and complex components. Finally, based on relevant verifying results, it is proved that the hardware design of functional safety temperature transmitter meets the requirements of safety integrity level.
Functional safety Temperature transmitter FMEDA Safe failure fraction (SFF) Average probability of failure
陆妹(1977-),女,2008年毕业于上海交通大学控制理论与控制工程专业,获博士学位,工程师;主要从事功能安全设计、可靠性分析等方面的研究。
TH811
A
10.16086/j.cnki.issn1000-0380.201504010
修改稿收到日期:2014-08-14。