功能安全型轉速報警裝置設計與可靠性分析

史哲烽,牛其磊

(上海自動化儀表有限公司，上海 200072)

0 引言

現代工業規模不斷擴大，工況日益嚴峻，轉速在工業測量中是一種極其重要的信號類型。可靠地測量轉速并在異常工況下輸出報警信息是工業現場安全、可靠運行的保障[1]。IEC 61508標準對電子電氣及可編程電子設備的功能安全進行了規范[2]，并提出了一整套功能安全評價方法。Cortex-M3具有低功耗、高性能、中斷速度快等特點，廣泛應用在工業測量、儀器儀表領域[3]。基于Cortex-M3進行轉速采集及故障輸出報警在實踐中具有一定的可行性。工業現場轉速信號眾多，諸如汽輪機、膨脹機、壓縮機、電動機都是大型旋轉機械，在發生超速飛車及惡性故障事件時往往會造成巨大的人員及財產損失。因此，轉速信號測量的可靠性及故障情況下的緊急遮斷報警功能顯得極其重要。針對大型工業現場，當前大部分轉速報警裝置都存在響應不及時、可靠性差等特點，無法保證設備及人身安全。

本文在充分研究了目前工業現場使用的轉速報警裝置的基礎上，基于IEC 61508標準設計了一套功能安全型的轉速報警裝置。本文采用了三取二邏輯結構，分析了裝置的失效率及診斷覆蓋率等可靠性指標，驗證了裝置在復雜工況下的安全性與可靠性。

1 轉速報警裝置的系統框架及信號采集設計

1.1 轉速報警裝置系統框架

常規轉速報警裝置不具備功能安全功能，在可靠性、安全性等要求較高的工業場合難以適用。而基于SIL3等級[4]功能安全標準設計的轉速報警裝置，在可靠性、安全性等方面相較傳統轉速儀表具有較大優勢。基于IEC 61508標準，設計了具有軟硬件診斷機制及三取二邏輯保護機制[5]的轉速報警裝置。裝置主要由三個相同的轉速模塊與通信背板組成，轉速模塊基于Cortex-M3芯片實現轉速采集、跳機開關量輸入、故障診斷、輸出調節、緊急遮斷、報警輸出等功能。通信背板主要實現三個相同轉速模塊之間的數據共享及三取二邏輯判斷。為實時反饋工業現場的轉速信息，每個轉速模塊都設計了超速103%及超速110%的數字量輸出報警通道。轉速報警裝置總體框圖如圖1所示。

圖1中：PI為頻率輸入信號；DI為開關量輸入信號；AO為模擬量輸出信號；DO為開關量輸出信號。

圖1 轉速報警裝置總體框圖

1.2 基于Cortex-M3的轉速模塊設計

功能安全型的轉速報警裝置包括三個轉速輸入模塊，實現三取二邏輯跳機的功能。每個轉速模塊以Cortex-M3為核心設計了轉速調理通道、跳機DI輸入通道、AO輸出通道、報警DO輸出通道、跳機DO輸出通道、電源模塊等模塊。轉速模塊框圖如圖2所示。

圖2 轉速模塊框圖

各通道的基本設計思路如下。

①轉速調理通道：對于霍爾型脈沖轉速輸入信號，通過共模扼流圈屏蔽干擾，然后通過高速光耦將波形轉換為3.3 V方波輸入微控制單元(micro controller unit,MCU)的定時器；對于磁阻型正弦波轉速輸入信號，通過穩壓管、運放器、比較器等整形電路，將正弦波信號調理成3.3V方波輸入MCU的定時器。

②AO輸出通道：MCU通過SPI串口將轉速所對應的百分比通過AO輸出，4 mA對應1 Hz，20 mA對應20 kHz。輸出電流通過AD420芯片驅動。

③報警DO輸出通道：包括超速103%報警DO、超速110%報警DO。MCU輸出數字量信號，通過常開繼電器隔離輸出。

④跳機DO輸出通道：MCU通過跳機輸出邏輯輸出本模塊的第一級跳機DO信號。此信號通過通信背板送往另2個模塊。同時，本模塊也接收另外2個模塊發送過來的第一級跳機DO信號，輸出給安全繼電器。安全繼電器的輸出信號有兩個觸點輸出，通過底板上的硬接線形成三取二邏輯，輸出裝置跳機DO信號。

⑤電源設計：裝置共1組24 V DC電源輸入，通過開關電源轉換為5 V DC和3.3 V DC，為MCU和數字部分電路供電；同時，通過隔離電源轉換出轉速調理通道、DI輸入通道、AO和DO通道的通道電源。

2 基于IEC 61508的功能安全設計

2.1 三取二邏輯功能的設計

整套裝置的外部三路轉速輸入信號經過調理電路轉換為脈沖信號，經過濾波隔離后送入三個主控模塊。三個主控模塊各自獨立完成轉速信號的采樣，超速報警及故障邏輯判斷，并將各自的判斷結果通過通信背板連線進行三取二線與邏輯表決。當任意兩個轉速模塊判斷結果均為輸出報警時，整套裝置通過報警繼電器對外輸出報警信號與跳機DO信號。報警繼電器可以根據系統設定分別在超速103%和110%時動作，使汽輪機、電動機等旋轉機械迅速減速停車，進而保證生產設備安全。模塊跳機DO和裝置跳機DO輸出的安全狀態均為0，其邏輯條件如下。

①一個轉速模塊在上電和復位狀態下跳機DO輸出為0，正常工作時模塊跳機DO輸出為1，診斷有故障時模塊跳機DO輸出為0。

②兩個轉速模塊同時產生超速110%報警，裝置跳機DO輸出從1變0。

③兩個轉速模塊同時診斷出故障，裝置跳機DO輸出從1變0。

④兩個轉速模塊外部跳機DI輸入信號同時為1，裝置跳機DO輸出從1變0。

⑤當一個轉速模塊故障時，裝置降級為2選1，即只要有一個模塊故障或者產生超速110%報警或者跳機DI輸入為1，裝置跳機DO輸出從1變0。

三取二邏輯功能框圖如圖3所示。

圖3 三取二邏輯功能框圖

2.2 軟硬件故障診斷設計

依據IEC 61508標準對所設計轉速報警裝置的軟硬件進行診斷設計。其中，硬件模塊的診斷主要包括電源模塊診斷、晶振診斷、PI通道診斷、DI通道診斷、DO通道診斷；軟件模塊的診斷主要包括堆棧、程序時序、RAM、ROM、指令、地址/數據行等的診斷。

對于硬件各功能模塊的診斷采用如下方式。

①電源診斷。針對模塊中用到的安全功能部分的電源進行采樣，包括系統電源、轉速調理通道電源、跳機DI通道電源和跳機DO通道電源。當采樣偏差超過±10%時進行報警，偏差超過±20%時輸出安全狀態。

②晶振診斷。Cortex-M3芯片采用8 MHz晶振，同時用一個32.768 KB晶振與其進行對比診斷。當偏差超過±3%時，模塊進行報警；當偏差超過±5%時，模塊輸出安全狀態。

③PI通道診斷。將PI通道正端通過上拉電阻上拉到30 V，采用比較電路。當通道正常工作時輸入電壓小于24 V；斷線時輸入電壓超過27 V，輸出報警信號；通道短路時輸入為0，進行超量程報警。

④DI通道診斷。通過Cortex-M3控制DI通道上的FETMOS開關，切換DI通道為斷路或短路狀態。在診斷周期內，當輸入為常1時，切換DI通道為斷路，此時輸入變為0；當輸入為常0時，切換DI通道為短路，此時輸入變為1。若上述情況均能正常切換，則表明輸入功能正常，否則輸出報警。

⑤DO輸出通道診斷。通過對輸出DO信號采樣，判斷輸出是否正確。

對于軟件各功能模塊的診斷，采用如下方式。

①堆棧診斷。堆棧診斷示意圖如圖4所示。堆棧指針地址在高地址與低地址之間。設置地址A(高位地址+1)=0x5A5A5A5A，地址B(低位地址-1)= 0xA5A5A5A5。診斷期間，MCU通過指針讀取地址單元地址A和B，確認是否改變。如信息已更改，則表明設備發生了堆棧的上/下溢出故障。當檢測到故障時，設備輸出警報狀態。

圖4 堆棧診斷示意圖

②程序時序診斷。在主程序中，按程序執行的順序設置標志位。在中斷期間，清除看門狗，如存在標志位，則清除標志位;否則，由看門狗觸發系統進入安全狀態，并輸出報警狀態。

③內存診斷。基于March C[6]算法進行內存診斷，診斷到故障，則輸出報警狀態。

④ROM診斷。采用CRC-16[7]算法(即循環冗余校驗算法)。Cortex-M3的ROM的大小為512 KB，實際使用的大小小于300 KB。通過將ROM分成若干個小于1 KB的部分，針對每個部分均采用循環冗余校驗(cyclic redundancy check,CRC)-16校驗算法診斷，診斷到故障則輸出報警狀態。

⑤指令診斷。采用指令譯碼器測試指令執行結果，如果結果與預期不同，則認為指令系統異常，輸出報警狀態。

⑥地址/數據行診斷。Cortex-M3定期將測試數據寫入并讀取到相應的地址，查看是否滿足預期的結果。如果讀寫數據不一致，Cortex-M3會在將錯誤標志寫入診斷寄存器的同時輸出報警。

3 功能安全驗證及可靠性分析

3.1 功能安全完整性等級驗證

進行電子設備可靠性預計的一般步驟如下[8]。

①劃分可靠性預計單元，建立系統可靠性模型。

②計算各預計單元內元器件的工作失效率。

③將預計單元內各種類元器件的工作失效率相加，得出預計單元的失效率。

④按設備、系統的可靠性模型逐級預計設備、系統的平均故障間隔時間等可靠性指標。

依據上述可靠性預計的一般步驟，針對所設計的轉速報警裝置進行可靠性預計，將整套裝置按照功能模塊劃分位電源模塊、DI模塊、PI_H模塊、PI_M模塊、MCU模塊、DO模塊、插槽和機架模塊。基于ISO 13849-2:2012標準建立元器件的失效模型，基于Siemens SN29500標準分析計算元器件的失效率，然后將分析得到的各種類元器件工作失效率相加，得出整套裝置的失效率。失效率及安全失效分數分析如表1所示。

表1 失效率及安全失效分數分析表

表1中：λS為安全失效率;λD為危險失效率;λDD為可診斷的危險失效率;λDU為不可診斷的危險失效率;SFF為安全失效分數。其計算公式如下：

(1)

整套裝置的平均失效概率計算公式如下：

PFDavg=(λDU+λDD)tCE

(2)

其中：

(3)

式中：平均修理時間取MRT=8 h，平均修復時間取MTTR=24 h。當運行時間取T1=1 year=24×365 h=8 760 h 時，Pavg為109 889×10 e-9。而危險失效的失效頻率(每小時)為：

P=λDU

(4)

根據IEC 61508標準規定，SIL3等級B類各指標要求如下：10e-4≤Pavg<10e-3，10e-8≤P<10e-7，SFF≥90%。由此可以看出，上述各指標均符合IEC 61508標準中的SIL3等級B類規范要求。

3.2 裝置可靠性分析

可靠性是產品在規定的條件下和規定的時間內完成規定功能的能力或概率[9]。通過診斷覆蓋率、平均無故障工作時間、可靠度等指標，可以估計整套裝置的可靠性程度。

診斷覆蓋率計算示意如圖5所示。

圖5 診斷覆蓋率計算示意圖

基于表1中數據，可以分析得出整套裝置的診斷覆蓋率D如下：

(5)

診斷覆蓋率分級如表2所示。對比表2可以看出，所設計轉速報警裝置具有一個高診斷覆蓋率。

表2 診斷覆蓋率分級表

可靠度也是可靠性的主要特征量，依據功能模塊的劃分，繪制的轉速報警裝置邏輯框圖如圖6所示。

圖6 轉速報警裝置邏輯框圖

整套裝置的任一模塊喪失功能，此裝置即不能正常工作，所以該裝置是串聯系統，整套裝置的平均無故障工作時間t為：

(6)

可靠度為：

R(t)=R1R2R3R4R5R6

(7)

當工作349 719 h后，裝置可靠度為0.99。從診斷覆蓋率、平均無故障工作時間與可靠度指標來看，功能安全型的轉速報警裝置具有較高的可靠性。

4 結論

本文基于IEC 61508，設計了功能安全型的轉速報警裝置，通過三取二邏輯判斷以及軟硬件的故障診斷，實現了超速報警、緊急遮斷、輸出調節等功能。通過對裝置可靠性預計及失效率的分析，確定了裝置的安全完整性等級。通過對裝置平均壽命及可靠度等指標的分析，驗證了裝置的可靠性。功能安全型的轉速報警裝置適用范圍更廣、可靠性更高，平均壽命長、診斷覆蓋率高，為大型旋轉機械設備的報警監控提供了一種安全、可靠的解決方案。