智能變送器的硬件安全評(píng)估

崔 丹 翁思健

(華東理工大學(xué)信息科學(xué)與工程學(xué)院1，上海 200237;上海工業(yè)自動(dòng)化儀表研究院2，上海 200233)

0 引言

IEC 61508在航空航天、石油化工和軌道交通等領(lǐng)域得到了越來越廣泛的關(guān)注和應(yīng)用［1］。為了適應(yīng)功能安全的新發(fā)展，IEC 61508第二版共七個(gè)部分經(jīng)IEC標(biāo)準(zhǔn)委員會(huì)投票通過并于2010年4月正式發(fā)布。隨著現(xiàn)場總線控制系統(tǒng)的發(fā)展，提出了“控制在現(xiàn)場”的要求。同時(shí)，對(duì)應(yīng)用于安全領(lǐng)域的智能控制系統(tǒng)部件也提出了更高的安全要求。

智能變送器作為一種典型的智能控制系統(tǒng)部件，其安全性也受到了更多的關(guān)注。在國外，艾默生、E+H等公司已研發(fā)出通過安全認(rèn)證的智能儀表產(chǎn)品。然而，在國內(nèi)，對(duì)于功能安全的研究還處于起步階段。本文以上海工業(yè)自動(dòng)化儀表研究院自主研發(fā)的基于HART協(xié)議的智能壓力變送器為對(duì)象，探索適用于智能變送器安全研究的方法。

1 智能變送器簡介

1.1 系統(tǒng)組成

本文討論的智能變送器是主要用于流程工業(yè)檢測和控制的、輸出為4～20 mA的二線制智能設(shè)備，其功能模塊分為傳感器、信號(hào)調(diào)理模塊、數(shù)據(jù)處理模塊、4～20 mA輸出模塊、HART通信模塊以及一些其他輔助功能模塊。智能變送器原理框圖如圖1所示。

圖1 智能變送器原理框圖Fig.1 Principle of the smart transmitter

由圖1可知，智能變送器的功能模塊劃分遵從IEC 60770-3:2006《適用于流程工業(yè)控制系統(tǒng)的智能變送器——智能變送器性能評(píng)價(jià)方法》。滿足該標(biāo)準(zhǔn)要求的智能變送器模型能保證硬件電路上各個(gè)功能模塊之間的獨(dú)立性，使智能變送器在系統(tǒng)結(jié)構(gòu)方面更為清晰，也給電路分析、測試以及安全評(píng)估帶來了極大的便利［2］。

1.2 變送器的安全要求

在IEC 61508-4中，安全功能的定義是:針對(duì)特定的危險(xiǎn)事件，為達(dá)到或保持EUC的安全狀態(tài)，由E/E/PE安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)或外部風(fēng)險(xiǎn)降低設(shè)施實(shí)現(xiàn)的功能［3］。

對(duì)于智能變送器而言，傳感器及信號(hào)調(diào)理模塊、數(shù)據(jù)處理模塊和4～20 mA輸出模塊共同組成檢測通道，這是智能變送器的基本功能，也是需要研究的安全功能。4～20 mA既是控制系統(tǒng)模擬輸出的標(biāo)準(zhǔn)量，也是HART通信的載體，其在控制系統(tǒng)中有著重要的意義。可以說，4～20 mA的準(zhǔn)確輸出在一定程度上確保了控制系統(tǒng)的安全性。因此，4～20 mA是智能控制系統(tǒng)的安全變量之一，也是智能變送器的安全變量，智能變送器的核心任務(wù)就是保證4～20 mA的正確輸出。

2 硬件安全要求

2.1 硬件安全要求

在討論產(chǎn)品的安全完整性等級(jí)之前，需要確定產(chǎn)品的結(jié)構(gòu)或冗余方式。不同的安全完整性等級(jí)(SIL)對(duì)不同的硬件結(jié)構(gòu)有著不同的安全失效分?jǐn)?shù)(safety failure fraction，SFF)要求。

安全完整性的硬件結(jié)構(gòu)約束如表1所示。

表1 安全完整性的硬件結(jié)構(gòu)約束Tab.1 Structural constraints on hardware safety integrity

本文所討論的智能變送器為單通道結(jié)構(gòu)的B類系統(tǒng)，1個(gè)故障就可能導(dǎo)致全部功能的喪失，即硬件故障裕度(HFT)為0，目標(biāo)安全完整性等級(jí)為SIL2。由表1可知，該產(chǎn)品要達(dá)到SIL2的安全失效分?jǐn)?shù)不能低于90%。

2.2 B類系統(tǒng)安全要求

根據(jù)智能變送器原理劃分子系統(tǒng)，可以得到傳感器及信號(hào)調(diào)理模塊、4～20 mA輸出模塊為A類子系統(tǒng)，數(shù)據(jù)處理功能塊的主要硬件——微處理器為可編程電子器件，應(yīng)當(dāng)被視作B類子系統(tǒng)。由于微處理器的存在，智能變送器應(yīng)當(dāng)被視作B類系統(tǒng)［4］。對(duì)于HFT=0的智能變送器，系統(tǒng)需要具備全面、完善的診斷技術(shù)，才能保證滿足SFF不低于90%的要求。

根據(jù)IEC 61508第2部分要求，并結(jié)合智能變送器自身的相關(guān)特點(diǎn)，SIL2對(duì)應(yīng)的故障診斷要求如表2所示［5］。

表2 SIL2對(duì)應(yīng)的故障診斷內(nèi)容Tab.2 Diagnosis content requested by SIL2

表2中，軟錯(cuò)誤表示由于射線、電磁干擾、線路串?dāng)_和衰變等環(huán)境因素引起的線路或物理器件的變化，導(dǎo)致數(shù)據(jù)或地址的錯(cuò)誤;DC故障模型主要指固定故障、開路、高阻和信號(hào)線之間的短路，這些故障呈現(xiàn)出穩(wěn)定的故障狀態(tài)。

3 安全評(píng)估

在采用失效模式、影響和診斷分析(failure mode，effect and diagnostic analysis，F(xiàn)MEDA)和故障注入試驗(yàn)對(duì)智能變送器進(jìn)行安全評(píng)估時(shí)，需作如下假設(shè)。

①智能變送器內(nèi)部每次只有一個(gè)元器件發(fā)生失效。

②只考慮內(nèi)部電氣/電子/可編程電子器件組成的主板，不考慮智能變送器的外殼及其他相關(guān)的機(jī)械部件。

③每個(gè)元器件的失效率都是固定的，不會(huì)隨時(shí)間發(fā)生變化。

④非安全功能部分不會(huì)影響到安全功能。

⑤HART通信是非安全功能，它用于通信和診斷目的。

⑥在4～20 mA范圍內(nèi)出現(xiàn)超差被認(rèn)為是無可檢測的危險(xiǎn)失效。

⑦傳感器不作考慮。

⑧外部電源不作考慮。

3.1 FMEDA

傳感器及信號(hào)調(diào)理模塊和4～20 mA輸出模塊均由阻容器件(電阻、電容等)、半導(dǎo)體器件(二極管、三極管)和電子器件(A/D轉(zhuǎn)換器、D/A轉(zhuǎn)換器)組成。每個(gè)元器件的失效模式、失效影響及故障診斷均可被確定，且結(jié)合元器件失效手冊和一些器件制造商提供的元器件失效率數(shù)據(jù)，可以計(jì)算出安全失效分?jǐn)?shù)SFF、平均失效率等與安全完整性相關(guān)的參數(shù)。本文的A類器件失效率數(shù)據(jù)大部分由器件制造商處獲取。國際上一些公司和組織先后都以MIL-HDBK-217為藍(lán)本，制定了可靠性預(yù)計(jì)手冊或標(biāo)準(zhǔn)，如西門子的SN29500、英國的HRD-4。本研究中無法獲取的數(shù)據(jù)可參考GJB/Z 299C-2006《電子設(shè)備可靠性預(yù)計(jì)手冊》［6］。

失效模式、影響和診斷分析(FMEDA)也存在其局限性。當(dāng)系統(tǒng)同時(shí)存在多種失效時(shí)，多種失效產(chǎn)生的組合會(huì)造成非常嚴(yán)重的后果。由于將失效模式分開考慮，可能分析得到的失效后果很小，尤其是在軟硬件共同作用的可編程電子器件中，這種假設(shè)往往很難成立［7］。因此，采用FMEDA需要遵循各失效之間相互獨(dú)立的假設(shè)條件，即假定每次只發(fā)生一種失效。對(duì)于復(fù)雜的集成電路和可編程電子器件，失效的重點(diǎn)將從隨機(jī)失效轉(zhuǎn)變?yōu)橄到y(tǒng)失效，且故障和失效之間的原因和影響關(guān)系難以確定［8］。因此，對(duì)于復(fù)雜集成電路和可編程電子器件不適用FMEDA，需要進(jìn)行故障注入試驗(yàn)以確定失效影響及其是否可診斷。根據(jù)IEC 61508-6可知，對(duì)于復(fù)雜的元器件，通常接受50%的安全失效和50%的危險(xiǎn)失效［9］，即滿足如下三個(gè)關(guān)系式:

式中:λs為安全失效率;λd為危險(xiǎn)失效率;λdd為可檢測的危險(xiǎn)失效率;λdu為不可檢測的危險(xiǎn)失效率。

3.2 故障注入試驗(yàn)

由軟件安全性的研究可知，RAM區(qū)數(shù)據(jù)采用校驗(yàn)碼，能夠檢測到由于DC故障模型和軟錯(cuò)誤引起的數(shù)據(jù)錯(cuò)誤。一旦RAM區(qū)數(shù)據(jù)被沖掉，智能變送器會(huì)對(duì)外輸出報(bào)警電流;當(dāng)檢測到堆棧指針到棧頂位置時(shí)，程序認(rèn)為堆棧已經(jīng)發(fā)生溢出，采用復(fù)位的方式排除故障;EEPROM采用校驗(yàn)碼和備份的方式保證數(shù)據(jù)的正確性，當(dāng)校驗(yàn)碼和備份兩種技術(shù)均不能排除故障時(shí)，采用復(fù)位的方式排除故障。研究表明，當(dāng)故障診斷措施不能奏效時(shí)，智能變送器會(huì)采用電流報(bào)警或復(fù)位的方式排除故障，這兩種方式均不屬于不可檢測的危險(xiǎn)失效。

本文討論的注入故障分為兩類:A類元器件的故障模式和B類元器件的DC故障模型。為保證原電路的完整性，故障以靜態(tài)方式注入，即在智能變送器啟動(dòng)之前，按照元器件的故障模式改變元器件的運(yùn)行狀態(tài)，或改變集成電路管腳的電位以造成集成電路管腳級(jí)的故障，以達(dá)到修改電路結(jié)構(gòu)的目的，從而將故障注入到智能變送器［10］。靜態(tài)注入的方式具有一定的破壞性。同時(shí)，為了保證試驗(yàn)結(jié)果與系統(tǒng)其他部分無關(guān)，遵從前述安全評(píng)估的假設(shè)，每次只對(duì)一個(gè)元器件注入一種故障模式，在得到相應(yīng)的試驗(yàn)結(jié)果之后恢復(fù)故障現(xiàn)場。

3.3 安全評(píng)估結(jié)果

由于對(duì)B類子系統(tǒng)的注入故障無法被完全診斷，故障注入試驗(yàn)得到的診斷覆蓋率只能反映當(dāng)前數(shù)據(jù)處理模塊的診斷覆蓋率整體水平。由故障注入試驗(yàn)的結(jié)果得到B類器件的不可檢測的危險(xiǎn)失效率約為30%～40%，即診斷覆蓋率處于60% ～90%區(qū)間內(nèi)。因此，取診斷覆蓋率(DC)的值為60%，由此得到安全功能的計(jì)算結(jié)果如表3所示。

表3 安全功能的計(jì)算結(jié)果Tab.3 The calculation result of safety function

從表3可以看出，假設(shè)智能變送器的診斷時(shí)間間隔是1 a，不考慮診斷所需要的時(shí)間，則低要求時(shí)的危險(xiǎn)失效率(probability of dangerous failure on demand，PFD)近似計(jì)算結(jié)果為:

式中:PFD(t)為低要求操作模式下的平均危險(xiǎn)失效概率;PFH為高要求或連續(xù)工作模式下的每小時(shí)危險(xiǎn)失效概率，h－1。對(duì)于有診斷單通道系統(tǒng)，可近似認(rèn)為:

由式(4)和式(5)可知，當(dāng) t=8760 h時(shí)，PFD=1.275 ×10－3;當(dāng) t=0 時(shí)，PFD=0。因此，由(t，PFD)=(1，1.275 ×10－3)和(0，0)兩點(diǎn)確定直線。智能變送器的PFD曲線如圖2所示。

圖2 智能變送器的PFD曲線Fig.2 The PFD curve of smart transmitter

智能變送器的目標(biāo)安全完整性等級(jí)是SIL2，其失效率為10－3＜PFD＜10－2。從圖2可以看到，假定智能變送器已經(jīng)達(dá)到SIL2的水平，則大約7.8 a之后該智能變送器的PFD會(huì)低于SIL2的最低要求。

3.4 結(jié)果分析

從安全失效分?jǐn)?shù)SFF來看，智能變送器的安全性尚不滿足SIL2不低于90%的要求，但是差距不大，各模塊中生產(chǎn)工藝的失效率較大;同時(shí)，由于生產(chǎn)工藝引入的不可檢測的危險(xiǎn)失效率占總的不可檢測的危險(xiǎn)失效率的比重也較大。因此，改善生產(chǎn)制造工藝對(duì)提高產(chǎn)品質(zhì)量的意義重大。另外，診斷覆蓋率較低，導(dǎo)致危險(xiǎn)失效率偏高，整個(gè)控制系統(tǒng)的風(fēng)險(xiǎn)向上層轉(zhuǎn)移，給控制系統(tǒng)帶來了更大的安全壓力，因此，還需要進(jìn)一步研究該智能變送器的故障診斷功能。

4 結(jié)束語

智能變送器作為一種典型的智能控制系統(tǒng)部件，其安全功能集中體現(xiàn)在4～20 mA的模擬電流輸出上。本文分別對(duì)A類子系統(tǒng)和B類子系統(tǒng)的不同處理方式進(jìn)行了說明，并通過FMEDA與故障注入試驗(yàn)的方法計(jì)算得到了與安全完整性等級(jí)評(píng)定相關(guān)的參數(shù)。計(jì)算結(jié)果表明，制板工藝有待進(jìn)一步提高，智能變送器硬件系統(tǒng)總體接近SIL2的要求。本文對(duì)智能變送器的安全完整性等級(jí)評(píng)估方法進(jìn)行了探索性研究，同時(shí)也為嵌入式軟件的安全完整性研究提供了一定依據(jù)。

［1］李佳嘉.貫穿于全生命周期的功能安全［J］.自動(dòng)化儀表，2006，27(5):21－24.

［2］International Electrotechnical Commission.IEC 60770-3:2006 Trans-mitters for use in industrial-process control systems，part3:methods for evaluation of intelligent transmitters［S］.International Electrotechnical Commission:2006.

［3］International Electrotechnical Commission.IEC 61508-4:1998 Functional safety of electrical/electronic/programmable electronic safety related systems，part 4:definitions and abbreviations［S］.International Electrotechnical Commission:1998.

［4］International Electrotechnical Commission.IEC 61508-7:2000 Functional safety of electrical/electronic/programmable electronic safety related systems，part 7:overview of techniques and measures［S］.International Electrotechnical Commission，2000.

［5］國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局.GB/T 20438.2-2006電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全第2部分:電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求［S］.北京:中國標(biāo)準(zhǔn)出版社，2006.

［6］李永紅，徐明.MIL-HDBK-217可靠性預(yù)計(jì)方法存在的問題及其替代方法淺析［J］.航空標(biāo)準(zhǔn)化與質(zhì)量，2005(4):40－43.

［7］International Electrotechnical Commission.IEC 60812-2006 Analysis techniques for system reliability.Procedure for failure mode and effects analysis［S］.International Electrotechnical Commission:2006.

［8］International Electrotechnical Commission.IEC 61508-2:2000 Functional safety of electrical/electronic/programmable electronic safety related systems，part 2:requirements for electrical/electronic/programmable electronic safety related systems［S］.International Electrotechnical Commission:2000.

［9］International Electrotechnical Commission.IEC 61508-6:2000 Functional safety of electrical/electronic/programmable electronic safety related systems，part 6:guidelines on the application of IEC 61508-2 and IEC 61508-3［S］.International Electrotechnical Commission:2000.

［10］孫俊朝，王建瑩，楊孝宗.管腳級(jí)故障模型的分析與生成技術(shù)的研究［J］.計(jì)算機(jī)學(xué)報(bào)，1999，22(8):845－851.