隨著我國工業的不斷發展, 工業自動化儀表作為過程工業自動化中的一個重要組成部分, 其安全問題越來越受到人們的重視。安全儀表系統 (SIS) , 在危險事件發生之前正確地執行其安全功能, 可以有效的避免或減少事故的發生[1]。2000年, 國際電工委員會 (IEC) 發布了IEC61508標準, 明確的提出了安全相關系統的功能安全[2]。儀表及系統的功能安全標準、評估、產品研究和開發、認證等問題逐漸成為國內外研究的熱點。

在我國, 功能安全儀表及系統的研究和開發尚在起步階段[3-4]。功能安全浮筒液位計作為安全儀表系統的重要組成部分, 使用在重要的安全和控制領域, 為確保生產過程的安全可靠運行發揮非常重要的作用[5]。對浮筒液位計實施功能安全認證, 能夠對液位計的安全功能進行科學的分析, 對產品的失效進行有效的控制, 從而減少事故發生的概率, 從而從根本上保證工業生產過程的本質安全, 實現保障經濟安全的目的[6]。

功能安全浮筒液位計主要包含功能安全液位變送器、浮筒室組件、浮筒組件、杠桿組件、扭力管。主要實現對液位的測量[7]。其主要工作原理如圖1所示, 浮筒浸沒在被測液體中, 與扭力管系統剛性連接。當被測液體的液位l發生變化, 則懸掛在液體中的浮筒受到的浮力也隨之發生變化, 從而改變了扭力管的扭矩, 從而導致扭力管角度的變化。這種扭力管的旋轉運動傳遞到液位計的擺動組件上, 從而導致擺動組件上的磁鋼隨之發生移動, 從而導致了磁場的變化。液位變送器中的霍爾傳感器可以感應到這種磁場的變化, 并將磁信號轉變為電信號, 通過A/D轉換電路對該電信號進行采樣得到電壓值之后傳輸至CPU模塊進行數據處理, 通過數據處理之后, 將物位信號變送成標準的4~20mA信號遠程傳輸, 完成整個液位計的基本功能;HART通信的信號以4~20mA電路為物理層, 耦合符合FSK標準的HART總線信號, 以達到電浮筒物位計與HART主機間的信息交互功能。通過對液位計的傳感器故障診斷、硬件故障診斷、FEMDA分析及計算、軟件V&V認證及測試等, 并在產品的整個生命周期 (需求、設計、測試、生產、質量) 中遵循IEC61508, 從而開發出滿足SIL2要求的功能安全浮筒液位計。

根據IEC61508標準, 一套完整的安全儀表系統由傳感變送器、邏輯運算器和***終執行元件構成[8]。邏輯運算器作為核心部件, 負責按照設定的邏輯進行控制。功能安全浮筒液位計作為傳感變送器, 主要對液位信號進行采集, 并輸出給邏輯運算器。

功能安全浮筒液位計的安全構架如圖2所示:主要包括霍爾傳感器、RTD傳感器、測量A/D、診斷A/D、MCU模塊、按鍵、LCD、HART模塊、電源模塊、D/A輸出模塊、時鐘診斷模塊、電源及輸出診斷模塊。

其中霍爾傳感器、RTD傳感器、測量A/D、MCU、電源及D/A輸出模塊為安全相關的部分, 其任何故障均需要進行診斷和FMEDA分析;其中診斷A/D、時鐘診斷模塊、電源及輸出診斷模塊為診斷部分, 其功能是對安全相關部分電路進行診斷;按鍵、LCD、HART模塊為非安全相關的部分, 其失效不會影響到儀表的安全功能。

測量A/D采樣模塊主要采集霍爾傳感器及RTD的溫度信號并實現與MCU模塊的通信, 診斷A/D則實現對測量A/D模塊的診斷。MCU模塊的主要對A/D模塊采樣的數字量進行運算處理并輸出數字量給D/A從而控制4~20mA的電流輸出。同時, MCU還可實現對電源、環境溫度、激勵電流、及MCU內部的診斷。電源提供系統所需要的+3.3V及+5V電源。D/A輸出模塊根據MCU提供的數字量輸出4~20mA電流。電源及輸出診斷模塊實現對系統電源、通訊故障和回路電流診斷。時鐘診斷模塊主要實現對MCU時序的故障診斷。按鍵可實現對儀表的功能配置, LCD具有顯示功能, HART模塊具有HART通信功能。

功能安全浮筒液位計軟件遵從V&V (verification and validation) 過程, 通過檢查、分析、評估評審、評價、測試的方法為軟件產品和過程提供置信度證明[9-10]。功能安全浮筒液位計的安全功能是通過傳感器采集液位信號, 轉變成數字信號實現4~20mA模擬量輸出, 同時可通過LCD進行顯示, 并通過按鍵進行參數設置, 通過上位機Hart協議進行通信, 實現監視和出廠標定。

MCU的軟件功能總體設計如圖3所示。

MSP430通過SPI接口實現對模擬信號的采樣;通過SPI接口實現D/A的模擬量輸出;通過UART接口以完成產品的標定功能;另外, MCU通過I2C接口控制液晶顯示, 通過按鍵設置量程范圍。

功能安全浮筒液位計軟件從功能上分為運行模塊及診斷模塊。運行模塊負責信號的采集處理、LCD顯示、鍵盤設置及HART通信等儀表基本功能的實現。診斷模塊則是儀表安全的重要保障。其運行模塊流程如圖4所示。

首先, 儀表完成上電初始化, 同時進行上電診斷。如果診斷通過, 則進行變量初始化, 進入運行模式;若診斷出安全相關錯誤, 則進入安全狀態。儀表在運行模式中也要進行運行自診斷, 如果自診斷出錯則進入安全狀態 (輸出安全電流) 。

運行模塊首先判斷儀表的所處模式。如在正常運行模式, 儀表需完成A/D采樣, AD線性化處理, 計算出物位值, D/A輸出轉換, 顯示輸出, 診斷功能, 同時若有上位機通信, 完成上位機監測 (注:標定對用戶是不開放的功能, 是安全相關的) 功能。如果掃描按鍵輸入, LCD顯示輸入的密碼正確, 完成按鍵處理, 實現按鍵設置功能。如果儀表處于安全模式, 則輸出安全電流。

運行模塊分為8個子模塊:按鍵處理模塊、顯示模塊、主采樣模塊、診斷采樣模塊、D/A轉換模塊、控制模塊、中斷處理模塊、配置模塊。

功能安全浮筒液位計在基本檢測儀表的基礎上增加診斷功能, 實現對儀表狀態的實時監控。因此診斷功能模塊的設計決定著產品的安全功能, 是至關重要的。功能安全浮筒液位計的診斷包括上電診斷和運行中診斷。上電診斷主要對CPU內部性能進行診斷, 包括中斷錯誤診斷、RAM上電診斷、ROM上電診斷、EEPROM上電診斷、堆棧上電診斷、寄存器上電診斷、指令上電診斷。運行中的診斷除了包括CPU診斷, 還包括外部器件的診斷, 如:采樣AD診斷、DA診斷、電源診斷等。

功能安全完整性評估方法[11-12]是綜合考慮系統或設備的每小時失效概率密度 (probability of failure per hour, PFH) , 危險損害嚴重程度, 暴露在危險中的時間, 避免危險損害的可能性等因素進行的評估。安全性是安全相關系統的一種固有屬性, 并且以安全完整性等級 (SIL) 的形式來表征。安全完整性等級表示能成功完成安全功能的概率。根據IEC61508的規定, SIL分為4個等級, SIL1為較低, SIL4為***高, 等級越高代表發生故障的概率越低, 安全性越高。SIL等級與發生故障概率的關系如表1所示。

為了確定功能安全液位變送器的SIL等級, 必須對液位計進行模塊劃分和模塊獨立診斷, 對診斷方案進行分析, 從而確定功能安全液位變送器診斷技術的有效性及診斷覆蓋率。本文采用FMEDA的分析方法, 可以定性和定量的對功能安全液位計的各個安全相關的模塊進行有效的分析、研究和改進, 從而實現安全儀表系統的高安全性、高可靠性以及高可用性[13]。

FMEDA方法是指通過分析元器件 (或部件) 所有可能的故障模式[14], 根據電路的原理進行科學的分析, 確定所有元器件的所有失效模式對液位計安全功能的影響, 并確定和區分所有的安全失效和危險失效。所有的危險失效必須有對應的診斷電路進行診斷, 從而達到SIL2要求的90%以上的診斷覆蓋率和90%以上的安全失效分數 (SFF) 。針對功能安全浮筒液位計的硬件電路的各個模塊進行FMEDA分析和計算可以得出表2的結論, 從而滿足了功能安全SIL2的等級要求。

要達到功能安全液位計SIL2的要求, 軟件則須滿足SIL3的等級要求, 在軟件的開發過程中遵循V&V (verification and validation) 的要求, 從而減少軟件開發過程中所帶來失效。同時需要對軟件設計中的設計方法、技術路線、測試方法等采取一系列的故障避免措施, 并對這些故障避免措施的有效性根據IEC61508進行分析和確認[15]。

軟件驗證主要包括軟件靜態測試、動態測試和集成測試。靜態測試采用了人工審查分析和軟件工具自動分析兩種方法相結合的方式對軟件源代碼進行了靜態測試分析。測試結果表明, 軟件源代碼符合MISRA—C:2004編程規范。浮筒液位計動態測試同時采用了黑盒測試和白盒測試兩種方法。

集成測試則主要是產品的功能測試。不同于常規產品, 功能安全浮筒液位計還需要做故障插入測試, 以檢驗FMEDA分析的有效性, 對液位計各部分的故障進行人為的模擬注入測試, 并驗證輸出結果是否導致安全的失效。

“功能安全浮筒液位計”是我國具有自主知識產權的安全級智能液位儀表, 本項目的實施打破了國外對功能安全儀表技術的壟斷, 實現了對其關鍵零部件的自主創新, 掌握了產品的關鍵工藝技術, 提升了我國對安全級儀表工業的技術、工藝水平。

國內對于功能安全浮筒液位計的研發和生產起步較晚, 這是我公司完全獨立自主研發、國內通過功能安全完整性SIL2認證的浮筒液位計, 達到了國內外先進水平。