针对传统液位变送器在其硬件设计上难以达到现代工业生产中安全要求的问题,介绍了一种安全完整性等级达到 SIL2 的的设计方法。在硬件故障裕度为定值 0 的情况下,采用增加诊断模块的方法,通过对电源模块进行双通道采样对比诊断,对时钟模块进行看门狗诊断等,使得系统诊断覆盖率增加,从而有效增大安全失效分数。经过失效模式、影响及其诊断分析( FMEDA) ,结果表明,安全失效分数达 98. 3% ,满足目标安全完整性等级的要求。
随着危险事故的频繁发生,人们开始重视工业生产过程中的安全问题。如何才能减少危险的发生频率,以及让系统在危险发生之前及时做出反应,进入一种安全状态,这些因素已经成为了衡量现代工业技术的一项重要指标。安全相关系统监视工业生产过程中的状态,在危险出现时及时采取措施,避免潜在危险造成的伤害或减轻其带来的损失[1]。功能安全型变送器作为安全相关系统中的一个重要组成部分,通过对其进行一系列的诊断,达到实时监控系统的目的,提高诊断覆盖率,从而达到目标安全完整性等级,保证了工业生产过程安全可靠的进行。
液位变送器测量系统当前液位值,对传感器测得信号进行处理,得到标准电流输出,传送给下一个模块,在整个系统中是关键的一环。因此,设计功能安全型液位变送器是工业领域迫切需要的。文中在硬件方面,针对系统可能存在失效的部分增加诊断模块,提高系统可被诊断的失效率,保证变送器在发生失效时,可以通过自诊断电路或程序发现问题,使变送器进入安全状态[2 - 3];***后经过一系列可靠性分析,验证该设计满足工业生产对安全方面的要求。
特点
采用*电路处理技术,性能稳定、高灵敏度;多种量程,***大可测200m(水柱压力);采用316L不锈钢隔离膜片,适用于多种测量介质;配置灵活,根据需要可选择不同配置;一体式、分体式可选;反极性和过电压保护;抗冲击、防雷击设计;激光调阻温度补偿,零点、量程可现场调节;范围宽抗腐蚀,适于多种介质;过载及抗*力强,性能稳定。
静压式(投入式)液位变送器采用高性能的扩散硅压阻式压力传感器作为测量元件,经过高可靠性的放大处理电路及精密温度补偿,将被测介质的表压或绝压转换为标准的电压或电流信号。本产品体积小巧,使用安装方便,直接投入水中即可测量出变送器末端到液面的液位高度。
应用
工业现场液位测量与控制、城市供水及污水处理、石油、化工、电厂、水文监测、水库、大坝、水电建设等领域的液位的测量与控制。
1、安全相关产品:
随着 2006 年 GB /T 20438 电气/电子/可编程电子安全相关系统的功能安全的颁布,功能安全的概念正式进入我国。目前,在石油、化工、冶金、核电等领域,安全相关产品的需求也越来越大。所谓的安全相关产品,是指可构成安全相关系统的、满足功能安全设计实现要求的、具有安全相关参数的产品[4]。通俗来讲,要称一个产品为安全相关产品,其必须具有一定的安全功能,保证系统在发生危险前进入安全状态。一个安全相关产品必有其对应的安全完整性等级,为了达到目标安全完整性等级,硬件设计和软件编程中都必须满足标准中规定的要求。硬件上存在随机硬件失效和系统失效这两个因素影响安全完整性等级,而软件上只存在系统失效。针对不同的失效,必须在设计开发过程中采取一定的措施和手段,实现其安全功能,从而降低失效发生的概率。
2、安全液位变送器的结构和安全功能:
安全功能的要求来源于对危险的分析,即必须做什么以避开危险事件;而安全完整性等级的要求来源于对风险的评估,即安全功能必须执行到什么程度以使残余风险能够被接受 。由安全相关产品的构成可以看出,需要在产品的硬件和软件的设计上采取一系列措施,增加安全功能。硬件安全完整性等级受限于硬件故障裕度以及安全失效分数 。硬件故障裕度是指超过该参数的失效则会造成系统安全功能丧失,工业上往往根据设备的硬件需求已经确定其硬件故障裕度;而安全失效分数 SFF 如式(1) ,其中∑λS 指安全失效总概率,∑λD 指危险失效总概率,∑λDD 指诊断测试
[7],检测到的危险失效概率 可以看出安全失效分数与可诊断的危险失效概率有关,也就是说可以通过增加诊断回路来提高安全失效分数。硬件上为了确保液位变送器安全可靠地运行,需要对其每个模块进行诊断
SFF = | ∑λS | + ∑λDD | (1) |
∑λS | + ∑λD | ||
液位变送器的安全功能就是准确测量液位值,并将测得的数据传输给后续处理模块。其基本功能模块主要包括信号输入、A/D 转换、微处理器数据处理、D/A 转换输出、电源模块以及时钟模块 。在时钟系统的控制下,首先是传感器测得的数据通过信号输入模块传递给 A/D 转换模块,经过 A/D 转换后传输给单片机,单片机对数据进行滤波计算出当前传感器测得的液位值以及对应的码值写入 D/A 转换模块,***后 D/A 芯片根据得到的码值输出对应大小的标准电流信号,电源模块在这个过程中对其他的模块提供稳定电压。
3、安全液位变送器的设计:
液位变送器在硬件上要达到目标安全完整性等级,通常从两方面着手:通过冗余结构来提高硬件故障裕度,避免由于其中一条通道故障而导致系统进入危险状态;通过设计诊断电路增加安全失效分数,在危险发生之前能及时发现并采取措施,把危险失效转化为 ,安全失效 。在硬件故障裕度为定值的情况下 通常针对每个功能模块设计诊断结构。安全液位变送器的模块设计如图 1 所示。
图 1 安全液位变送器模块设计图
3. 1、基本功能模块设计:
液位变送器的基本功能主要包括信号输入,A /D转换,微处理器数据处理,D /A 转换输出,以及电源模块和系统时钟模块。本文以 STM32F103xx 增强型系列芯片作为主芯片为例,具体讲述安全型液位变送器在硬件上的设计。系统上电后,时钟模块启动,在系统时钟提供的时钟下,由传感器测得的信号发送给单片机内嵌模数转换器,对输入信号进行模数转换,微处理器对转换后的信号进行运算处理,把得到的码值传送到外部 D /A 模块,***后得到标准电流信号输出。
(1) 电源模块。二线制功能安全型变送器不仅要为微处理器、数模转换器 D /A、通信电路供电,同时出于安全保护考虑,输入输出电路需要相互隔离,因此,仅使用单片机内部电源远达不到要求。本设计使用 Linear 公司生产的 LT1934 芯片,其输入电压范围***大可达 34 V,***小也可为 3. 2 V,能对各种电源进行调节。在输入 24 V 直流电时,与输入隔离的一组输出 5 V,4 mA 电流,不隔离的一组输出 5 V,9 mA 电流,满足其他各模块的供电需求;
(2) 时钟系统。微处理器的各个模块都需要在时钟的驱动下工作。STM32 存在五个时钟源,通常选择锁相环倍频输出( PLL) 、8 MHz 的 RC 振荡器( HSI) 或高速外部时钟( HSE) 三者之一作为系统时钟,再通过AHB 分频器分频后提供给各个模块使用。大部分提供给外设的时钟输出都是带有使能控制的,使用模块之前,必须发送信号开启其对应的时钟。这种设计的好处在于,当不使用某个外设时,关闭其对应的时钟,降低了系统的功耗。值得注意的是,看门狗电路使用内部低速时钟( LSI) ,但窗口看门狗使用系统时钟是通
过 AHB1 分频得到。设置 A /D 模块以及片外 D /A 模
块在相同频率下工作;
(3) MCU 数据处理模块。STM32F103xx 增强型系列芯片使用专门为要求高性能、低成本、低功耗的嵌入式应用而设计的高性能 ARM Cortex - M3 的 RISC 内
[10] | 。同时,芯片内置高速存储器,包括高达 128 kB |
核 |
[11],的闪存和 20 kB 的 SRAM 硬件上充分满足液位变送器的设计需求。此外,它具有丰富的功能模块,包括2 个 12 位 ADC、电源电压监控、电压调压器、DMA 控制器、独立的看门狗以及窗口看门狗、7 个定时器、9 个通信接口( I2C,USART,SPI,CAN,USB) 等,优势不言而喻;
(4) A /D 模块。STM32F103 增强型产品内嵌两个12 位的 ADC,每个 ADC 有多达 16 个外部通道,转换电压范围在 0 ~ 3. 6 V 之间,从传感器输出的信号通常要经过电平移动或者放大传感器信号再送到 ADC 中。使用 ADC 模块前,必须开启 PA 口的时钟,并把 PA0设置成模拟输入。两个 ADC 使用同一个时钟频率,***后采样转换得到的数据存放在 ADC1_DR 寄存器中;
(5) D /A 模块。由于 STM32F103xx 增强型系列芯片不含内嵌 D /A,因此必须选择一款 D /A 芯片作为外设得到标准输出。本文选用 TI 公司的 DAC7750 芯片。该系列芯片是 12 位的数模转换器,与单片机可以通过 SPI 接口进行数据通信,输出电流范围有 3 组可供选择,4 ~ 20 mA,0 ~ 20 mA,0 ~ 24 mA ,符合产品的需求。与此同时,DAC7750 还具有部分自检功能,包括循环冗余校验,开路警报以及看门狗电路电流输出。
3. 2、诊断模块设计:
本文主要针对 A /D,D /A 模块以及时钟模块进行硬件设计上的诊断。
(1) 看门狗时钟诊断。看门狗实际上是一个定时器电路,输入端与单片机上的 I /O 相连,由程序控制定时向这个引脚传送高电平或低电平,就是俗称的“喂狗”;另一端连接单片机的复位引脚。一旦系统由于干扰出现程序跑飞或进入死循环,导致“喂狗”的动作没有如期进行,看门狗便会通过连接的复位引脚向单片机 发 送 一 个 复 位 电 平,使 得 单 片 机 复 位。
STM32F103 增强型系列的芯片带有两个看门狗定时器,一个是独立看门狗,一个是窗口看门狗。由于要对晶振的偏移做出诊断,这里选择窗口看门狗,过早或太晚“喂狗”都会造成系统复位;
(2) A /D 模块诊断。由于 STM32F103xx 增强型产品内嵌两个 12 位的模数转换器 ADC,这里采用双ADC 模式,对输入信号进行同步采样,转换后的数据存储在 A /D 接口的 ADC _ JDR1 存储器中,其中由ADC1 转换得来的数据存储在寄存器的低 16 位,由
ADC2 得到数据存储在高 16 位。ADC2 得到的数据作为一个参考数据,与 ADC1 得到的数据进行比较,若两个数据之间的误差在可接受范围内,则认为系统安全,把寄存器的低 16 位数据传送给 MCU 进行处理;否则的话,认为 ADC 出现故障有可能导致系统发生危险失效,此时软件上必须保证系统进入一种安全状态;
(3) D /A 模块诊断。系统中增加一块 A /D 芯片作为 D /A 模块的诊断。给定一个设定值,经过 D /A 转
换后,把转换得到的数据作为 A /D 模块的输入,并对经 A /D 转换后的输出信号进行回采。对比***后得到的数据与设定值,若两者相同,则认为 D /A 转换通道; , [12] ,没问题 若不同 则判定会发生失效 。此外 在系统运行过程中,可通过访问 DAC7750 内部高精度电阻器来实时监控电流输出,一旦超出正常输出范围,系统发出警报。
4、硬件安全完整性等级分析:
根据 IEC 61508 的定义,液位变送器属于 B 类安全相关子系统,即失效模式不能*被定义的子系统,同时根据 1001D 的系统结构得出其硬件故障裕度为0。由表 1 可知,系统要达到目标安全完整性等级SIL2,其安全失效分数必须达到 90% 以上。
表 1 B 类安全相关子系统的结构约束
安全失效分数 | 硬件故障裕度 | ||
0 | 1 | 2 | |
< 60% | 不允许 | SIL1 | SIL2 |
60% ~ < 90% | SIL1 | SIL2 | SIL3 |
90% ~ 99% | SIL2 | SIL3 | SIL4 |
≥99% | SIL3 | SIL4 | SIL4 |
文中采用的 FMEDA 分析法依据的标准主要由失效率预计、元器件失效模式及其百分比和元器件失效
模式排除依据 3 | [13] | 。对于复杂器件,不能对 |
部分组成 |
失效模式进行详细分析时,通常将失效分为安全失效, 50% 危险失效 50% 。根据各模块采取的诊断措施,可从 IEC 61508 - 2 中查出诊断方法及其对应的诊[5,10]断覆盖率 。本文参考军用标准 GJB /Z 299C- 2006 电子设备可靠性预计手册,对每种元器件进行失效模式、失效概率以及失效影响分析,可以得到相对,准确的失效模式以及诊断覆盖的评估信息 具体数据如表 2 中 FMEDA 的分析结果。
表 2 | FMEDA 分析结果 | |||
λs /h | λD /h | λDD /h | λDU /h | |
1. 52 × 10 - 7 | 6. 83 × 10 - 8 | 6. 47 × 10 - 8 | 3. 6 × 10 - 9 |
因此,系统安全失效分数
∑λS | + ∑λDD | |||||||||
SFF = | = | |||||||||
∑λS | + ∑λD | |||||||||
1. 52 × 10 -7 | + 6. 47 × 10 -8 | = 98. 3% | ||||||||
1. 52 × 10 -7 | + 6. 83 × 10 -8 | |||||||||
满足 SFF > 90% ,因此,上述液位变送器设计方案 | ||||||||||
满足硬件上功能安全完整性的要求。 |
5、结束语:
本文系统介绍了功能安全型液位变送器在硬件上的设计,在硬件故障裕度为定值 0 的情况下,采取1oo1D 的系统硬件结构,分别对电源模块,时钟模块,微处理器数据处理模块,输出模块设计诊断回路,有效增大安全失效分数。经过可靠性分析,验证安全失效分数达到 98. 3% ,从而在硬件上满足其目标安全完整性等级 SIL2 的要求。