FMEDA在功能安全溫度變送器驗證中的應用

陸 妹 蔡福全 孫京誥

(上海自動化儀表股份有限公司1，上海 200072；華東理工大學化工過程先進控制和優化技術教育部重點實驗室2，上海 200237)

FMEDA在功能安全溫度變送器驗證中的應用

陸 妹1蔡福全2孫京誥2

(上海自動化儀表股份有限公司1，上海 200072；華東理工大學化工過程先進控制和優化技術教育部重點實驗室2，上海 200237)

失效模式、影響及其診斷分析(FMEDA)法在功能安全工作中起到很重要的作用，它對功能安全產品的失效風險、是否可診斷進行定性分析，同時也為平均失效概率和安全完整性等級的計算提供了有效的數據支撐。首先對FMEDA分析法進行了系統性歸納，確定了分析的依據，提出了完整的分析步驟。然后以功能安全溫度變送器為例，從簡單元器件和復雜元器件兩個方面出發，闡述了FMEDA分析法的實際運用情況。最后根據相關的驗證結果證明了功能安全溫度變送器的硬件設計符合功能安全完整性等級的要求。

功能安全 溫度變送器 FMEDA 安全失效分數 平均失效概率

0 引言

功能安全問題在如今的工業生產或者產品生產中越來越受到重視。通過風險分析，將存在的風險轉化成可以控制的風險，提高工業生產或者產品生產過程中的安全，促進社會生產的健康發展。

作為功能安全工作中故障、風險以及診斷分析的重要手段之一，失效模式、影響及其診斷分析(failure mode,effect and diagnosis analysis，FMEDA)可以找出產品的故障模式，分析其可能帶來的后果;通過加大危險模式下的診斷措施的實施，可以降低發生風險的概率[1]。通過FMEDA的使用，能夠有效地提高產品的可靠性和安全性。

1 FMEDA分析法

1.1 FMEDA分析法的定義

FMEDA為故障模式、影響和診斷分析。它實際上是故障模式分析和故障影響分析(failure effect analysis,FEA)以及是否可診斷的組合[2]。這是一種重要的可靠性設計方法，可以對工程或者其他工作中的各種存在的風險進行評價與分析[3]。

1.2 FMEDA分析法的依據標準

FMEDA分析法依據的標準主要由失效率預計、元器件失效模式及其百分比和元器件失效模式排除依據三個部分組成。

通常情況下，元器件在生產后，在大量試驗的基礎上會得到相關失效率的值。這一過程的共同特點就是時間長、基數大。在無法直接測得元器件失效率的情況下，會根據實際情況建立失效率模型，對失效率進行預計。本文采用西門子的元器件失效率預計標準SN29500[4]，式(1)和式(2)為SN29500中描述的常用的失效率預計模型。其中式(1)為電容的失效率預計模型，式(2)為電阻和電感的失效率預計模型。

λ=λref×πT×πU×πQ

(1)

λ=λref×πT

(2)

式中：λref為基礎失效率數據，這個數據是在大量相關芯片試驗的基礎上得到的，通過SN29500可以查到相關參數；πT為溫度影響參數；πU為電壓影響參數；πQ為質量參數。

這些參數都需要根據實際工作中的溫度值、電壓值、質量程度等來查表獲得，同時這些參數在不同的工作環境下也是不同的。

元器件失效模式及其百分比，隨著元器件和工作環境的不同，其值也是不同的。根據總體預計的失效率和對應的失效分數占用比，就可以得到相應失效模式下的失效率。失效是一種事件，是區別于狀態的故障[5]。通常情況下，對于簡單的元器件，可以具體分析其失效模式。而對于比較復雜的元器件，不能具體分析其失效模式，可以將失效模式分為安全模式和危險模式，它們所占有的百分比各為50%。

失效模式的排除，是說明在某些特定的條件下，元器件的某些失效模式是可以排除的。這些特定條件通常是指外部對元器件的硬件設計做了特殊的處理，比如電感器的失效模式的排除情況。當電感器線圈為單層、鍍瓷或陶、軸向連接和軸向安裝時，其短路失效模式就會被排除。所以元器件的每種失效模式，要根據實際運用的元器件的具體情況去判定是否可以排除。

1.3 FMEDA分析法的步驟

FMEDA分析法的步驟如下。

① 將產品劃分成各個安全功能模塊，以便從每個模塊入手，進行分析。

② 熟悉了解每個功能模塊的硬件構成圖，包括運用到的每個元器件、元器件的實際工作環境等。制作表格，記錄每一個元器件的名稱、型號參數值、功能等信息。

③ 從標準中查找每一個元器件的失效模式，確定失效模式以及百分比。

④ 根據元器件的工作環境情況和每一種元器件的失效率預計模型，計算出每一種元器件的失效率。然后分析元器件的失效模式，根據失效模式的百分比來計算出元器件在每一種失效模式下的失效率。

⑤ 分析每個元器件的每種失效模式對整個部件的影響，判定每種失效率為安全失效率還是危險失效率。若為危險失效，通過設計診斷方法，判定其為可診斷危險失效還是不可診斷危險失效率。

分析后得出危險失效的診斷覆蓋率DC、危險失效率λD、可診斷危險失效率λDD和不可診斷的危險失效率λDU。相關公式如下：

λDD=λD×DC

(3)

(4)

⑥ 對每個模塊中同類參數進行求和，然后以同樣的方法去分析其他模塊并且得到相應的參數。最后對所有模塊的同類參數進行求和，得出安全失效分數。計算一個系統的診斷覆蓋率DC、安全失效分數SFF[6]如下：

(5)

(6)

2 硬件元器件分析及結果

溫度變送器中功能安全模塊有信號輸入模塊、A/D轉換模塊、MCU模塊、時鐘模塊和D/A轉換輸出模塊。選擇信號輸入模塊和MCU模塊，從簡單元器件和復雜元器件兩個角度進行FMEDA分析。

在運用FMEDA分析電路元器件時，需要假設一個環境溫度。由于本次課題所涉及的溫度變送器適用的最大環境溫度為70℃，因此我們將分析電路元器件所用到的環境溫度假設為70 ℃。隨著溫度的不斷增加，元器件不可檢測的危險失效率也隨之增加。如果在環境溫度70 ℃的情況下，元器件的FMEDA分析結果滿足平均失效概率的要求，那么低于70 ℃的情況也必然能夠滿足。

2.1 簡單元器件的FMEDA分析

首先考慮圖1所示電路，該電路為信號輸入模塊中的一部分，主要由電阻器、電感器、電容器和扼流線圈構成，在整個電路中主要起到濾波的作用。A、B兩端為熱電阻或者熱電偶兩端的電壓信號，需要被采集。U1提供基準電壓,接入點為a、b。由于R4很大，因此可以認為通過它的電流幾乎為0，保證了A的電勢不變。a、b兩端點連接共模扼流圈，之后接入電感L1、L2。通過相關元器件的濾波作用，C、D兩端的電壓信號將進入A/D轉換芯片。

圖1 信息輸入模塊部分硬件圖

當電路中的元器件出現故障時，就會影響到C、D兩端的電壓信號，即A/D轉換芯片的采樣。以電容器C1為例，當電容器C1發生短路時，C點的電勢就會變成0，D點為U1提供的基準電壓。由于U1提供的基準電壓遠大于A、B兩端產生的電勢差，那么在C1發生短路的情況下，C、D兩端的電壓就會變大。這個電壓信號被A/D轉換芯片采集后，轉換后的溫度值就會超過溫度對應信號的上下限值，系統即進入安全狀態，C1發生的故障可被診斷出來。A/D信號診斷流程如圖2所示。

圖2 A/D信號診斷流程

電路中使用的電容器C1是一種鉭材質電容器，內部采用固體電解質，電路中實際工作電壓為1.35 V，最大的承受電壓為10 V。電感器C1存在三種失效模式，分別為開路失效、短路失效和數值隨意改變失效[7]。三種失效模式不可排除，三種模式所占百分比均為33.3%。當電感器發生開路失效和數字隨意改變失效時，由電路圖可知，不會影響到A、B兩端的電勢差信號，因此判定這兩種失效為安全失效。只有當其發生短路失效時，A、B兩端會出現零電勢，影響到A/D轉換模塊的數據采集，因此短路失效模式為危險失效；并且該失效模式能夠通過A/D轉換模塊被診斷，是可診斷危險失效，診斷覆蓋率為100%。

根據電容器的相關物理性質以及設定的溫度環境溫度70 ℃，由標準SN29500可知，該電容器的基礎失效率為1×10-9，πU為0.053，πT為3.7，由電容器的本身材料性質和標準判定πQ為2。

根據式(1)、(3)、(4)可計算出電感器的相關失效參數，如表1所示。

表1 電容器的相關失效參數表

2.2 復雜元器件的FMEDA分析

對于以上簡單電路元件，故障原因簡單，失效模式劃分比較清楚，診斷覆蓋率往往可以直接認為是100%。然而對于比較復雜的元器件或者電路，不可能檢測到所有的故障原因，診斷覆蓋率就不會達到這個值，往往考慮最大的診斷覆蓋率為99%。以單片機芯片MCU為例進行闡述。

MCU中由于造成故障的原因比較復雜，不能清晰地描述相關的失效模式，因此我們將失效模式分為安全失效和危險失效，各占50%。

MCU存在軟錯誤。軟錯誤即位錯誤，發生在RAM中，每一位的數據在讀和寫的時候發生錯誤。讀寫錯誤會影響到最終信號的正確輸出，因此可判定該故障失效為危險時效。軟錯誤可以通過比較的方法進行診斷。在寫數據的時候，可以將數據同時寫入兩塊RAM，一塊用于調用，另一塊用作診斷。當某位數據發生錯誤時，可以通過兩塊RAM之間的逐位比較來判定數據發生錯誤的位置。

RAM軟錯誤故障診斷方法如圖3所示。

圖3 RAM軟錯誤診斷流程圖

根據標準IEC 61508-2，可認為其診斷覆蓋率達99%。該情況下失效率跟RAM的內存有關。當RAM為2 kB即16 kbit，依據SN29500-2寄存器中每位的失效率為1 000 FIT/Mbit，那么整個RAM的失效率計算公式如下：

即整個RAM的失效率為15.625×10-9，安全失效率和危險失效率都為7.812 5×10-9。根據式(3)和式(4)以及診斷覆蓋率可得，可檢測危險失效率為7.734 375×10-9，不可檢測危險失效率為0.078 125×10-9。

3 硬件驗證結果

3.1 硬件安全完整性要求

安全完整性等級(SIL)指的是在規定的條件下、規定時間內安全相關系統能夠成功完成系統安全功能的概率[8]。本文涉及的溫度變送器采用1oo1D結構，硬件安全完整性等級要求為SIL2，硬件B類安全相關子系統的結構約束，在硬件故障裕度為0的要求下安全失效分數SFF≥90%。

本次硬件設計安全相關系統是在低要求操作模式，所以硬件安全等級由平均失效概率PFDavg來確定。低要求操作模式下，平均失效概率須滿足3.5×10-4≤PFDavg<3.5×10-3。

3.2 FMEDA分析結果及驗證結果

對功能安全溫度變送器進行FMEDA分析，可得到表2所示的結果。

表2 溫度變送器的FMEDA分析結果

結合1oo1D結構的PFDavg計算公式[9]即式(7)、(8)，可計算出溫度變送器的安全參數PFDavg。

(7)

(8)

式中：設定平均修理時間MRT為8 h；平均恢復時間MTTR為24 h。

當檢驗測試時間間隔T1為1年即8 760 h時，相關計算如下：

PFDavg=89.323 2×228.367 3×10-9=2.039 8×10-5

當檢驗測試時間間隔T1為20年時，PFDavg≈3.68×10-4。

由表2可以看出，每個安全模塊的安全失效分數滿足SFF≥90%。根據上述計算，在檢驗測試時間間隔假定為20年時[10]，溫度變送器功能安全相關部分的PFDavg為3.68×10-4，滿足低要求操作模式下平均失效概率的要求，即3.5×10-4≤PFDavg<3.5×10-3。

4 故障注入試驗及結果

故障注入試驗中的故障設置實際是對FMEDA分析的檢驗，驗證FMEDA理論分析中的故障在實際情況下是否能夠被檢測到。設置故障的方式有多種，但結果唯一，即當故障發生時，整個溫度變送器將進入安全狀態。當溫度變送器正常工作時，輸出信號為4～20 mA模擬信號;當溫度變送器發生故障進入安全狀態時，輸出信號為3.8 mA或者22 mA。

從硬件和軟件兩個角度進行故障設置，以信號輸入模塊中的電容器和MCU中的RAM為例，進行相應的故障注入試驗，并測出相應的故障實施結果，如表3所示。

表3 故障注入試驗及結果

5 結束語

失效模式、影響及其診斷分析(FMEDA)法在功能安全驗證的過程中實用性強，需要結合整體的設計要求，列舉出所有存在的失效模式對產品功能安全模塊的每一個元器件，進行分析和探討，為硬件安全完整等級的驗證提供了大量的數據。筆者認為在功能安全領域的從事者，應該不斷完善FMEDA的分析過程和分析結果，使得設計出來的產品能夠更好地符合功能安全的要求。

[1] 唐環，李明利，謝逸欽，等.第二十四講 FMEA工作原則及基礎工作的重要性[J].儀器儀表標準化與計量,2011(2):20-23.

[2] 謝春芳.FMEDA的認識及應用[J].中國高新技術企業(中旬刊),2011(2):40-41.

[3] Dillibabu R,Krishnaiah K.Application of failure mode and effects analysis to software code reviews——a case study[J].Software Quality Professional,2006(2):30-41.

[4] SN29500 Failure rate of components[S].2005.

[5] GB/T 16855-1 Safety of machinery—safety-related parts of control system[S].2008.

[6] IEC 61508-2 Functional safety of electrical/electronic/programmable electronic safety-related system[S].2012.

[7] GB/T 16855-2 Safety of machinery—safety-related parts of control system[S].2008.

[8] 李玉明,姜巍巍,李榮強,等.安全儀表系統安全完整性等級的評估技術[J].儀器儀表標準化與計量,2010(3):27-29.

[9] IEC 61508-5 Functional safety of electrical/electronic/programmable electronic safety-related system[S].2012.

[10]IEC 61508-6 Functional safety of electrical/electronic/programmable electronic safety-related system[S].2012.

Application of FMEDA in Verification of Functional Safety Temperature Transmitter

Failure modes effects and diagnostic analysis (FMEDA) plays a very important role in functional safety, it can qualitatively analyze if the failure risk of the functional safety products can be diagnosed or not, and it provides effective support to the calculation of average failure rate and safety integrity level. Firstly, the FMEDA is summarized systematically, the basis of analysis is determined, and the complete analysis step is proposed. Then, with the functional safety temperature transmitter as example, the practical use situation of FMEDA is described from two of the aspects, i.e., simple components and complex components. Finally, based on relevant verifying results, it is proved that the hardware design of functional safety temperature transmitter meets the requirements of safety integrity level.

Functional safety Temperature transmitter FMEDA Safe failure fraction (SFF) Average probability of failure

陸妹(1977-)，女，2008年畢業于上海交通大學控制理論與控制工程專業，獲博士學位，工程師；主要從事功能安全設計、可靠性分析等方面的研究。

TH811

A

10.16086/j.cnki.issn1000-0380.201504010

修改稿收到日期：2014-08-14。