电动执行机构的功能安全评估和测试

彭仁坤 邵杰 杨亚东

摘 要：为了提高国产电动执行机构的功能安全技术水平，满足工业过程控制的安全需求，依据IEC 61508标准，从硬件、软件、验证测试三个方面对执行机构安全功能进行评估和分析，应用FMEDA分析失效模式及其影响，计算出了安全相关参数，结果表明该执行机构满足功能安全要求，可广泛应用于过程安全相关的系统中。

关键词：电动执行机构；功能安全；评估；验证测试；安全完整性等级（SIL）

中图分类号：TH707 文献标识码：A 文章编号：1671-2064（2018）22-0065-02

在现代生产过程自动化中，电动执行机构（简称：执行机构）起着十分重要的作用，如果出现故障（失效），将可能导致控制系统的故障和设备停车，发生诸如危险化学品泄漏，引起火灾、爆炸，核电站的辐射超剂量等危险事件，将会对相关人员、设备和环境带来灾难性后果。为了使灾难控制在可接受范围以内，这就需要依靠相关标准和法规来规范。而功能安全评估正是基于这些标准和规范，从执行机构的需求规范阶段开始，利用成熟方法对执行机构整个安全生命周期的各个阶段进行管控，从而将执行机构整体安全生命周期的各个阶段出现故障的可能性降低到最小，实现对风险的控制。在中国，石油化工行业对功能安全的需求最为强烈，很多安全仪表系统已经要求执行机构必须具有SIL2以上安全等级。

1 评估的依据和目标

功能安全评估是基于IEC 61508标准对执行机构进行安全完整性等级进行评估，该标准规定了两方面的基本安全要求：常规系统运行和故障预测能力[1]。其中安全完整性等级（SIL）是用于评价安全功能在需要的时候正确执行的能力，它被离散地分成4个等级，SIL4的等级最高，SIL1的等级最低[2]。

该执行机构的安全功能定义为：当接收到ESD（Emergency Stop Device）命令时，执行机构可根据预先设定的紧急动作方式，执行紧急关、紧急开或者紧急停车。安全完整性等级申明为在1oo1模式下满足SIL2要求，系统结构约束类型为B类，系统运行在低要求操作模式。执行机构的功能安全评估主要对硬件，软件，验证测试三个方面进行评估，目标是都要满足SIL2要求。

2 硬件模块功能安全分析

执行机构整机是由多个部分组成，与功能安全相关的主要有行程編码器、力矩传感器、电源模块和主控板等。对执行机构进行评估所釆用的是失效模式、影响及其诊断分析法（FMEDA），我们需要对器件逐个进行分析，电子元器件和机械零件的失效模式可分别参照MIL-HDBK-338B和NSWC-11。

失效影响分析就是根据器件各种失效模式，分析其对执行机构安全功能的影响。失效分为安全失效和危险失效，危险失效又分为可测和不可测，危险失效是否可测将直接影响诊断覆盖率，直接决定了产品从结构上是否能满足SIL等级的要求[3]。

例如：以SN 29500西门子可靠性预计标准为基础，分析相序检测模块上的铝电解电容（220uF/35V）的失效模式及其失效率。

铝电解电容失效率λ的公式为：

λ=λref*πU*πT*πQ

λref：参考条件下的失效率，πU：电压因数，πT：温度因数，πQ：品质因数，根据SN 29500-4标准中相应公式再结合查表，可计算出λref=5，πU=0.856，πT=1，πQ=2，最终该电容的失效率λ=8.56FIT。

根据失效分析得到的结果，再结合失效模式，可获得如表1所示中的信息。

其他元器件和零件的失效分析与上例类似，最终计算出的安全相关参数见表2所示。

根据上述计算可以得知，在检验测试时间设定为3年时，该执行机构的PFD为1.13×10-3达到了IEC61508-1的要求（10-3≤PFD<10-2），硬件设计达到在1oo1模式下SIL2的要求。

3 软件功能安全分析与评估

由于软件也需要满足SIL2要求，因此，在软件设计、诊断、工具选择及测试等方面，需要依据IEC 61508-3中的要求进行评估。

软件设计时采用流程图的方式来区分模块，表示软件处理的过程，并考虑到了功能安全的要求，满足了标准中结构化方法的要求。软件中多处使用了诊断措施，例如电源故障、过力矩故障等，诊断结果通过显示器、输出接点等方式输出，满足了标准中对诊断方面的要求。在选用软件编程工具时，考虑到软件稳定性、成熟度以及难易程度等，选用C语言作为开发语言，并严格按照C语言编码规则进行编程，满足了标准中对软件工具及编译规范的要求。在测试阶段，对软件进行全面测试和集成测试，包括代码规则测试、白盒测试、黑盒测试。测试结果达到了安全要求规范书的要求。

4 验证测试

验证测试分为三大部分来进行。首先，对执行机构的基本性能、功能、环境适应性等进行了严格测试，用于确认整机可正确执行安全功能。其次，对执行机构的静电放电抗扰度、浪涌抗扰度等9项进行了电磁兼容性测试，测试结果满足标准要求，并由第三方检测机构出具检测报告。最后是故障插入测试，经测试当发生故障时执行机构能够及时发现并报警。测试结果表明该执行机构达到设计要求的安全完整性等级的要求。

5 结语

通过一系列的评估分析，证明该执行机构的设计架构满足功能安全所要求的结构约束，整体失效率达到了期望的水平，验证测试表明该执行机构在多种测试环境下仍能正确执行安全功能。所以其整体设计满足在1oo1模式下的SIL2要求，可推广应用于石油、化工、核电等领域。

参考文献

[1]王耀，王新宁，王疆.基于IEC61508标准电站锅炉MFT的功能安全评估[J].自动化与仪表，2016，（12）：9-13.

[2]张艾森.智能压力变送器功能安全评估与测试[D].上海：华东理工大学.2013.

[3]田松.SIL3安全仪表系统的设计和应用[J].自动化与仪表，2013，（2）：44-45.