刘进东 李盼盼

(华东理工大学信息科学与工程学院1，上海 200237；上海工业自动化仪表研究院2，上海 200233)

功能安全温度变送器的安全要求分析

刘进东1,2李盼盼1

(华东理工大学信息科学与工程学院1，上海 200237；上海工业自动化仪表研究院2，上海 200233)

为减少功能安全产品设计阶段中可能出现的缺陷，提高产品的安全性，分析了温度变送器的安全要求。首先采用危险及风险分析确定安全功能、安全完整性、结构约束以及安全失效分数；然后通过扩展的FMEA得到关键失效模式以及失效数据；最后提出诊断功能的要求。实现要求的诊断功能后，安全失效分数可满足预期的要求，安全功能可达到SIL2的要求，保证了变送器后期设计的可行性，这也为其他功能安全产品的设计提供了理论依据。

功能安全 安全要求 安全失效分数(SFF) 失效模式和影响分析(FMEA) 自诊断

0 引言

IEC 61508是针对电子、电气和可编程安全相关系统的功能安全国际标准。它提出了整体安全生命周期的技术框架，并且将安全要求规范与安全生命周期中各个活动紧密结合。安全要求分析始于产品研发的初期，可用来确定安全系统的功能和结构，其作用贯穿于整个生命周期[1]。实践表明系统的故障主要源于需求分析不完整导致的系统设计缺陷[2-3]。在系统开发末期的缺陷中，由于需求不完整导致的直接和间接缺陷占44.1%以上[4]。Capers Jones经过研究给出结论：在安全系统设计过程中为弥补需求缺陷而进行的修改和返工花费占整个系统成本的50%以上[5]。所以充分的安全要求分析对功能安全产品的设计起着十分重要的作用。

功能安全变送器普遍应用于安全关键领域。国内安全变送器的发展十分缓慢[6-7]，长期依赖于国外技术。本文依照IEC 61508的规程，对温度变送器的安全要求进行了有效的分析，为安全产品的设计提供指导。

1 温度变送器的介绍

温度变送器广泛应用于流程工业现场环境中，输出4～20 mA的标准电流信号，并且兼容多种总线通信方式。本文研究的对象是一款二线制的HART智能温度变送器。从功能上主要包括温度采集模块、A/D转换、处理器、D/A转换、LCD显示模块以及HART通信模块6个部分。其中LCD显示模块是温度变送器的附加功能模块。在真实的工业现场中LCD作用不仅不大，反而会降低温度变送器的可靠性，所以在功能安全应用场合不考虑LCD。智能温度变送器的功能模块如图1所示，在虚线之间的(即温度采集模块、D/A转换模块和HART模块)属于温度变送器的关键模块。

图1 温度变送器的功能模块图

D/A转换模块内含基准电源，可为系统提供标准工作电压。变送器可输出4～20 mA标准电流，也具有可编程报警电流功能，允许输出超量程电流来指示变送器的故障。同时，变送器在出厂前要进行校准，以减少变送器的系统误差。

2 危险及风险分析

在功能安全中通常用风险这个概念来评估潜在的危险事件。危险事件的风险用每种危险事件发生的可能性和危险事件发生导致的后果这两者的组合来表示。因为要消除全部风险所需的技术要求和经济成本都是很高的，所以想要绝对地避免风险是不切实际的。在功能安全的初期，首先定性分析风险的大小，然后按照在合理可行的前提下尽可能低(as low as reasonably practicable, ALARP)的风险接受原则来设定“允许风险”。依据确定的“允许风险”，得到“必要的风险降低”要求；然后按照“必要的风险降低”要求，确定E/E/PE(electrical/electronic/programmable electronic)安全相关系统的SIL。

风险降低是采用E/E/PE安全相关系统、其他技术安全相关系统以及外部风险降低措施来实现的。EUC(equipment under control)控制系统中温度过高会造成爆炸、火灾以及资源的浪费；温度过低会造成产品不合格以及生产的误停车。E/E/PE安全相关系统可用于监控温度，降低温度过高或过低的风险。温度变送器是E/E/PE安全相关系统的一个子系统，主要作用是测量现场温度、输出温度电流及报警电流。

3 温度变送器安全功能要求

安全功能的作用是将危险事件的风险降低到可接受的程度，从而保证EUC处于安全状态。安全功能是E/E/PE安全相关系统所具有的属性。温度变送器的基本功能是测量温度，但作为传感器部件的智能温度变送器，其安全功能是准确地测量温度，并确保输出的温度电流在误差范围内。温度变送器的安全功能也是其基本功能，由于安全功能与其他所有的功能都有直接或间接的关联，并且无法证明各功能之间的独立性，所以温度变送器的所有功能都是安全相关的[8]。温度变送器的安全相关功能包括以下几个方面。

① 初始化：首先在温度变送器开机时进行初始化，对存储器中组态数据进行查错、纠错，并且查检硬件配置。

② 校准：对温度传感器特性曲线进行校准；对A/D、D/A校准。

③ 温度测量：从A/D读取温度电压值，进行数字滤波和修正；然后进行温度计算、电流计算、量程转换；最后D/A转换后输出。

④ 通信：可通过HART通信进行远程组态；组态信息的复查；过程变量的监测以及在线诊断。

⑤ 诊断：对控制器的自诊断；对温度传感器、A/D转换器、D/A转换器的故障探测；对人机接口的故障探测；对电源、存储器的故障探测。

⑥ 软件自监视：对软件自身故障的探测、通告和管理，其中数据和程序都属于软件。

诊断功能是功能安全温度变送器的重要属性，诊断性能的高低直接决定着温度变送器的安全完整性。而诊断功能分为外部诊断和自诊断。外部诊断的执行者主要是上层逻辑处理器，而管理人员也可通过HART通信器进行外部诊断。自诊断通过硬件和软件的有机结合，对检测到的内部异常状态做出有效的处理，例如输出报警电流。自诊断是针对特定的失效，包含随机硬件失效、系统失效以及软件设计缺陷导致的失效。通过失效模式和影响分析(failure mode and effect analysis,FMEA)技术可发现这些潜在失效[9]。上层逻辑处理器通过事先约定的故障模式对变送器的输出电流进行诊断，当诊断到故障时进行报警。定义低报警电流值L=3.50 mA, 高报警电流值H=21.0 mA，低饱和电流值LSV=3.90 mA，高饱和电流值USV=20.5 mA，则温度变送器线性输出范围为[3.90，20.5]mA，允许的检测误差为0.3%。

外部诊断针对温度变送器的整机故障，变送器的整机故障定义为7种，如表1所示。将这7种故障划分为4类：不可检测的安全失效率SU、可检测的安全失效SD、不可检测的危险失效率DU、可检测的危险失效率DD。

表1 温度变送器故障定义

4 温度变送器的安全完整性要求

安全完整性是在规定的条件下和规定时间内，安全相关系统成功完成安全功能的概率[10]。安全完整性等级是安全功能的重要属性。通过功能安全生命周期活动中的危险及风险分析，以及安全要求分配，得到温度变送器要达到SIL2的要求，这也是安全功能所要达到的SIL。同时得到要求时的失效概率(probability of failure on demand, PFD)在[10E-3,10E-2)范围内，而目标风险降低量的值是PFD的倒数，范围为(100，1 000]。

5 硬件结构约束要求

功能安全设计时通常采用冗余通道来避免整个系统的功能失效。在设计时将多通道输出组合连接成“表决”电路，使系统具有一定的硬件故障裕度(hardware fault tolerance, HFT)。如NooM(Nout ofM)的HFT=M-N。当某一通道发生危险失效时，系统的结构可降级到(N-1)oo(M-1)，而带表决诊断的系统可降级到Noo(M-1)D。这种结构的降低策略可使系统从危险失效状态转换为故障-安全状态。温度变送器最大HFT受限于所要求的SIL与SFF。硬件结构约束如表2所示。

表2 硬件结构约束

智能温度变送器属于典型的B型子系统[11]，在SIL2时可以选择以下3种组合之一：①HFT=2，SFF<60%； ②HFT=1，60%

较高的HFT意味着较高的硬件成本，而较高的SFF意味着较高的设计难度。本文中的温度变送器为SIL2，要求并不是很高，所以选择HFT=0，0%

由式(1)和式(2)可得SFF与DC呈正相关关系，增加温度变送器的自诊断能力可以提高SFF，从而达到90%

(1)

DC=λDD/(λDD+λDU)

(2)

6 自诊断功能要求分析

为了达到SFF的要求，需要降低表1中变送器的2和6两种整机故障发生的概率，这两种故障是无法被外部检测到的危险失效。变送器的2和6两种整机故障模式是由变送器自身硬件与软件的失效引起。在设计初期可通过FMEA技术确定系统中每个部件可能出现的失效模式，辨识出导致危险失效的失效源。然后通过定性危害矩阵得到失效模式的风险优先顺序，确定所需要的诊断功能。通过失效率数据可以验证预期的诊断功能实现后是否可以达到SFF的要求。失效模式影响分析(FMEA)活动始于需求分析，贯穿于整个安全生命周期，在设计的不同阶段都要对其进行补充和修改。

6.1 可靠性建模要求

可靠性模型是将电路物理模型转换成可利用概率理论分析的模型，它将元器件连接起来组成一条“成功的路径”。可靠性模型包含可靠性框图与可靠性数学模型两个部分。在进行建模之前要进行约定层次的定义，确定分析对象。温度变送器为约定层，由5个硬件模块组成。将每个模块中的元器件作为最低约定层次，依次为它们进行编码。变送器层次结构如图2所示。

图2 温度变送器的层次结构

层次划分决定了上、下层间的关系。文中的温度变送器是1oo1D结构，为单通道系统。模块1、2、3为串联；而D/A转换输出的4～20mA电流信号与HART的数字信号用于两种工作模式，所以4、5为并联；每组元器件以串联结构组成各个模块。串联结构中各个电容、电阻等器件均无失效时模块才能正常工作，整机才能实现安全功能。可靠性模型分为两层：模块层和元器件层。模块层和温度采集的元器件层的可靠性框图示例如图3所示。

建立相应可靠性数学模型的方法有多种，如概率法、MonteCarlo法以及布尔真值表法等[12]，文中不作介绍。

图3 可靠性框图示例

6.2 FMEA

FMEA技术是安全要求规范中推荐的技术措施，通过识别失效模式，可以尽早发现潜在问题。在FMEA中引入危害度分析 (criticality analysis, CA) 可扩展为FMECA，引入诊断分析(diagnosis analysis, DA)可扩展为FMEDA。FMECA侧重于失效模式的影响分析。同时它结合了失效模式的严酷度与发生概率，可用于确定消除特定失效模式措施的优先顺序。FMECA是一种高消费比的风险度量方法，与基于ALARP原理的风险分析方法相比具有更强的灵活性[9]。FMEDA侧重于失效的诊断分析。它将失效分为SU、SD、DU和DD这4类， 这4类失效模式的失效数据用来计算SFF。

本文将结合FMECA和FMEDA各自特点，先确定变送器的失效模式、失效率，然后通过危害性矩阵得到关键失效模式，再由SFF的要求确定变送器的诊断功能要求。文中将FMECA和FMEDA统称为FMEA。温度变送器的失效模式采用自下向上的结构，并分为

3个层次。低层为元器件，中间层为模块层，顶层为整机，如图4所示。

图4 3层失效模式示例

A/D、D/A、处理器等集成芯片为B类器件，失效模式无法穷举。电阻、电容等为A类器件，失效模式有标准化的形式。确定下层失效导致上层的失效模式，并为每种失效模式分配严酷度等级。在产品研制的初期，查阅GJB/Z 299C《电子设备可靠性预计手册》中计数可靠性预计法获取元器件失效率数据，并由失效频数确定每种失效模式的失效率数据。将失效率数据划分为离散的5个等级A、B、C、D、E。严酷度和概率等级定义如表3所示。由于篇幅限制FMEA表不作列举。

表3 失效概率及严酷度定义

6.3 定性危害性矩阵分析

定性危害性矩阵图是失效模式概率与严酷度的组合，对应于功能安全的风险级别。通过比较每个失效模式的危害程度，为确定变送器自诊断的先后顺序提供依据。从失效模式分布区域向对角线作垂线，以垂线与对角线的交点到原点O的距离作为失效模式危害性依据。距离越长，危害性越大，应最先考虑进行诊断。温度变送器危害性矩阵如图5所示。

从图5可知，01、02、03、04距离最长，对应的4个区域内的元器件失效模式危害性最大，将它们定义为关键失效模式。其中的不可检测危险失效就是变送器自诊断的首要目标，它们分别是识别号303.1应用软件的失效、101.3电阻温度漂移、302.2，302.3存储器数据失效、304.1CPU外围电路失效、107.4，201.1，406.1集成芯片输出不稳。

针对电阻温度漂移的失效模式，需要增加整机校准以及温度补偿，使变送器的特性曲线更加接近真实，以提高变送器的稳定性；对于存储器数据失效，可以进行数据冗余备份和数据校验，以增加存储器的可用性。CPU中应用软件失效是权重最大的，需要按照功能安全标准去设计软件，以减少软件的潜在缺陷。变送器的诊断功能一方面要诊断随机硬件失效和系统失效；另一方面要诊断软件自身的故障。对于无法诊断到的硬件失效，一方面需要对元器件实施质量管理，增加器件的可靠性；另一方面可增加硬件冗余，如电源滤波电容采用两个串联避免短路失效。

图5 温度变送器危害性矩阵

自诊断功能需要提高SFF的分子值(安全失效与检测到的危险失效的和)，以达到SIL2和HFT=0条件下90%

表4 失效数据对比

表中失效率单位FIT代表每小时失效10-9次。由

式(1)可得SFF=90.04%>90%。预期结果表明变送器可以达到要求的SFF。

7 结束语

近年来安全生产成为工业领域的主题。具有安全要求是功能安全变送器与非功能安全变送器的根本区别。本文按照功能安全推荐的技术措施对温度变送器的安全要求进行了分析。另外，结合FMECA与FMEDA各自特点确定了变送器诊断功能要求。为满足SFF的要求，对关键失效模式的诊断功能是设计的重点。本文的工作为后期设计提出了针对性的建议。

[1] 谢亚莲,庄凌昀.“功能安全产品实现技术”系列讲座第7讲安全相关产品的软件实现(1)[J].自动化仪表,2013,34(12):91-93.

[2] 张居凤,汪玉,高兴华,等.武器装备论证需求分析方法研究[J].哈尔滨工程大学学报,2011,32(1):119-123.

[3] 丁书华,杨燕华,朱学农,等.先进压水堆核电厂保护系统需求分析的层次结构[J].原子能科学技术,2007,41(2):215-218.

[4] 张建国.安全仪表系统在过程工业中的应用[M].北京:中国电力出版社,2010:6-7.

[5] Rodriguez R J, Gomez-Martinez E. Model-based safety assessment using OCL and petri nets[C] // 2014 40th Euromicro Conference on Software Engineering and Advanced Applications(SEAA). Verona, Italy: IEEE Press, 2014: 56 - 59.

[6] 崔丹,翁思健.智能变送器的硬件安全评估[J].自动化仪表,2011,32(9):79-82.

[7] 周亚,徐皑冬,白占元,等.功能安全温度变送器设计和可靠性分析[J].自动化仪表,2013,34(6):70-73.

[8] IEC. IEC 61508-1 edition 2. 0 functional safety of electrical/electronic/programmable electronic safety-related systems - part 1: general requirements[S]. 2010.

[9] 国家质量监督检验检疫总局.GB/T7826-2012 系统可靠性分析技术失效模式和影响分析(FMEA)程序[S].2012.

[10]IEC. IEC 61508-4 Edition 2.0 functional safety of electrical/electronic/programmable electronic safety-related systems-part 4: definitions and abbreviations[S]. 2010.

[11]IEC. IEC 61508-4 Edition 2.0 functional safety of electrical/electronic/programmable electronic safety related systems-part 2: requirements for electrical/electronic/programmable electronic safety-related systems[S]. 2010.

[12]国防科学技术工业委员会.GJB813-90 可靠性模型的建立和可靠性预计[S].1990.

Analysis of the Safety Requirement for Functional Safety Temperature Transmitter

In order to reduce the defects that may appear during design phase of functional safety products, and improve the safety of products; the safety requirement of temperature transmitter is analyzed. Firstly, the safety function, safety integrity, structural constraints and safety failure fraction (SFF) are determined by using hazard and risk analysis; then the critical failure modes and failure data are obtained through extended failure mode and effect analysis (FMEA); finally the requirement of diagnostic functions are proposed. After implementing the diagnostic functions requested, the SFF can meet the expected requirements, and the safety functions can reach safety integrity level (SIL) 2, this guarantees the feasibility of late design of transmitter, and provides theoretical basis for designing other functional safety products.

Functional safety Safety requirement Safety failure fraction(SFF) Failure mode and effect analysis(FMEA) Self diagnosis

刘进东(1990-)，男，现为华东理工大学控制科学与工程专业在读硕士研究生；主要从事可靠性和功能安全方面的研究。

TP277；TH86

A

10.16086/j.cnki.issn1000-0380.201510019

修改稿收到日期：2015-03-08。