功能安全浮筒液位计|工作原理及结构说明

摘    要：

随着工业自动化的不断发展, 安全仪表系统技术越来越受到关注, 而我国对功能安全仪表系统的研究尚在起步阶段。提出了功能安全浮筒液位计的安全构架, 主要研究了浮筒液位计的功能安全技术、FMEDA技术、软件自诊断技术、V&V技术及软件测试技术, 并将其应用于浮筒液位计的设计开发中。***终实现了浮筒液位计的SIL2功能安全认证, 是国内获得莱茵TUV颁发SIL2证书的功能安全浮筒液位计产品, 打破了国外对安全仪表及系统的长期技术垄断。

随着我国工业的不断发展, 工业自动化仪表作为过程工业自动化中的一个重要组成部分, 其安全问题越来越受到人们的重视。安全仪表系统 (SIS) , 在危险事件发生之前正确地执行其安全功能, 可以有效的避免或减少事故的发生[1]。2000年, 国际电工委员会 (IEC) 发布了IEC61508标准, 明确的提出了安全相关系统的功能安全[2]。仪表及系统的功能安全标准、评估、产品研究和开发、认证等问题逐渐成为国内外研究的热点。

在我国, 功能安全仪表及系统的研究和开发尚在起步阶段[3-4]。功能安全浮筒液位计作为安全仪表系统的重要组成部分, 使用在重要的安全和控制领域, 为确保生产过程的安全可靠运行发挥非常重要的作用[5]。对浮筒液位计实施功能安全认证, 能够对液位计的安全功能进行科学的分析, 对产品的失效进行有效的控制, 从而减少事故发生的概率, 从而从根本上保证工业生产过程的本质安全, 实现保障经济安全的目的[6]。

功能安全浮筒液位计主要包含功能安全液位变送器、浮筒室组件、浮筒组件、杠杆组件、扭力管。主要实现对液位的测量[7]。其主要工作原理如图1所示, 浮筒浸没在被测液体中, 与扭力管系统刚性连接。当被测液体的液位l发生变化, 则悬挂在液体中的浮筒受到的浮力也随之发生变化, 从而改变了扭力管的扭矩, 从而导致扭力管角度的变化。这种扭力管的旋转运动传递到液位计的摆动组件上, 从而导致摆动组件上的磁钢随之发生移动, 从而导致了磁场的变化。液位变送器中的霍尔传感器可以感应到这种磁场的变化, 并将磁信号转变为电信号, 通过A/D转换电路对该电信号进行采样得到电压值之后传输至CPU模块进行数据处理, 通过数据处理之后, 将物位信号变送成标准的4~20mA信号远程传输, 完成整个液位计的基本功能;HART通信的信号以4~20mA电路为物理层, 耦合符合FSK标准的HART总线信号, 以达到电浮筒物位计与HART主机间的信息交互功能。通过对液位计的传感器故障诊断、硬件故障诊断、FEMDA分析及计算、软件V&V认证及测试等, 并在产品的整个生命周期 (需求、设计、测试、生产、质量) 中遵循IEC61508, 从而开发出满足SIL2要求的功能安全浮筒液位计。

图1 液位传感器物理原理

根据IEC61508标准, 一套完整的安全仪表系统由传感变送器、逻辑运算器和***终执行元件构成[8]。逻辑运算器作为核心部件, 负责按照设定的逻辑进行控制。功能安全浮筒液位计作为传感变送器, 主要对液位信号进行采集, 并输出给逻辑运算器。

功能安全浮筒液位计的安全构架如图2所示:主要包括霍尔传感器、RTD传感器、测量A/D、诊断A/D、MCU模块、按键、LCD、HART模块、电源模块、D/A输出模块、时钟诊断模块、电源及输出诊断模块。

图2 功能安全浮筒液位计的安全构架

其中霍尔传感器、RTD传感器、测量A/D、MCU、电源及D/A输出模块为安全相关的部分, 其任何故障均需要进行诊断和FMEDA分析;其中诊断A/D、时钟诊断模块、电源及输出诊断模块为诊断部分, 其功能是对安全相关部分电路进行诊断;按键、LCD、HART模块为非安全相关的部分, 其失效不会影响到仪表的安全功能。

测量A/D采样模块主要采集霍尔传感器及RTD的温度信号并实现与MCU模块的通信, 诊断A/D则实现对测量A/D模块的诊断。MCU模块的主要对A/D模块采样的数字量进行运算处理并输出数字量给D/A从而控制4~20mA的电流输出。同时, MCU还可实现对电源、环境温度、激励电流、及MCU内部的诊断。电源提供系统所需要的+3.3V及+5V电源。D/A输出模块根据MCU提供的数字量输出4~20mA电流。电源及输出诊断模块实现对系统电源、通讯故障和回路电流诊断。时钟诊断模块主要实现对MCU时序的故障诊断。按键可实现对仪表的功能配置, LCD具有显示功能, HART模块具有HART通信功能。

功能安全浮筒液位计软件遵从V&V (verification and validation) 过程, 通过检查、分析、评估评审、评价、测试的方法为软件产品和过程提供置信度证明[9-10]。功能安全浮筒液位计的安全功能是通过传感器采集液位信号, 转变成数字信号实现4~20mA模拟量输出, 同时可通过LCD进行显示, 并通过按键进行参数设置, 通过上位机Hart协议进行通信, 实现监视和出厂标定。

MCU的软件功能总体设计如图3所示。

图3 软件总体设计图

MSP430通过SPI接口实现对模拟信号的采样;通过SPI接口实现D/A的模拟量输出;通过UART接口以完成产品的标定功能;另外, MCU通过I2C接口控制液晶显示, 通过按键设置量程范围。

功能安全浮筒液位计软件从功能上分为运行模块及诊断模块。运行模块负责信号的采集处理、LCD显示、键盘设置及HART通信等仪表基本功能的实现。诊断模块则是仪表安全的重要保障。其运行模块流程如图4所示。

图4 运行模块流程

首先, 仪表完成上电初始化, 同时进行上电诊断。如果诊断通过, 则进行变量初始化, 进入运行模式;若诊断出安全相关错误, 则进入安全状态。仪表在运行模式中也要进行运行自诊断, 如果自诊断出错则进入安全状态 (输出安全电流) 。

运行模块首先判断仪表的所处模式。如在正常运行模式, 仪表需完成A/D采样, AD线性化处理, 计算出物位值, D/A输出转换, 显示输出, 诊断功能, 同时若有上位机通信, 完成上位机监测 (注:标定对用户是不开放的功能, 是安全相关的) 功能。如果扫描按键输入, LCD显示输入的密码正确, 完成按键处理, 实现按键设置功能。如果仪表处于安全模式, 则输出安全电流。

运行模块分为8个子模块:按键处理模块、显示模块、主采样模块、诊断采样模块、D/A转换模块、控制模块、中断处理模块、配置模块。

功能安全浮筒液位计在基本检测仪表的基础上增加诊断功能, 实现对仪表状态的实时监控。因此诊断功能模块的设计决定着产品的安全功能, 是至关重要的。功能安全浮筒液位计的诊断包括上电诊断和运行中诊断。上电诊断主要对CPU内部性能进行诊断, 包括中断错误诊断、RAM上电诊断、ROM上电诊断、EEPROM上电诊断、堆栈上电诊断、寄存器上电诊断、指令上电诊断。运行中的诊断除了包括CPU诊断, 还包括外部器件的诊断, 如:采样AD诊断、DA诊断、电源诊断等。

功能安全完整性评估方法[11-12]是综合考虑系统或设备的每小时失效概率密度 (probability of failure per hour, PFH) , 危险损害严重程度, 暴露在危险中的时间, 避免危险损害的可能性等因素进行的评估。安全性是安全相关系统的一种固有属性, 并且以安全完整性等级 (SIL) 的形式来表征。安全完整性等级表示能成功完成安全功能的概率。根据IEC61508的规定, SIL分为4个等级, SIL1为较低, SIL4为***高, 等级越高代表发生故障的概率越低, 安全性越高。SIL等级与发生故障概率的关系如表1所示。

表1 功能安全完整性等级与危险失效概率的关系

为了确定功能安全液位变送器的SIL等级, 必须对液位计进行模块划分和模块独立诊断, 对诊断方案进行分析, 从而确定功能安全液位变送器诊断技术的有效性及诊断覆盖率。本文采用FMEDA的分析方法, 可以定性和定量的对功能安全液位计的各个安全相关的模块进行有效的分析、研究和改进, 从而实现安全仪表系统的高安全性、高可靠性以及高可用性[13]。

FMEDA方法是指通过分析元器件 (或部件) 所有可能的故障模式[14], 根据电路的原理进行科学的分析, 确定所有元器件的所有失效模式对液位计安全功能的影响, 并确定和区分所有的安全失效和危险失效。所有的危险失效必须有对应的诊断电路进行诊断, 从而达到SIL2要求的90%以上的诊断覆盖率和90%以上的安全失效分数 (SFF) 。针对功能安全浮筒液位计的硬件电路的各个模块进行FMEDA分析和计算可以得出表2的结论, 从而满足了功能安全SIL2的等级要求。

表2 功能安全浮筒液位计的FMEDA分析结果

(FIT)

要达到功能安全液位计SIL2的要求, 软件则须满足SIL3的等级要求, 在软件的开发过程中遵循V&V (verification and validation) 的要求, 从而减少软件开发过程中所带来失效。同时需要对软件设计中的设计方法、技术路线、测试方法等采取一系列的故障避免措施, 并对这些故障避免措施的有效性根据IEC61508进行分析和确认[15]。

软件验证主要包括软件静态测试、动态测试和集成测试。静态测试采用了人工审查分析和软件工具自动分析两种方法相结合的方式对软件源代码进行了静态测试分析。测试结果表明, 软件源代码符合MISRA—C:2004编程规范。浮筒液位计动态测试同时采用了黑盒测试和白盒测试两种方法。

集成测试则主要是产品的功能测试。不同于常规产品, 功能安全浮筒液位计还需要做故障插入测试, 以检验FMEDA分析的有效性, 对液位计各部分的故障进行人为的模拟注入测试, 并验证输出结果是否导致安全的失效。

“功能安全浮筒液位计”是我国具有自主知识产权的安全级智能液位仪表, 本项目的实施打破了国外对功能安全仪表技术的垄断, 实现了对其关键零部件的自主创新, 掌握了产品的关键工艺技术, 提升了我国对安全级仪表工业的技术、工艺水平。

国内对于功能安全浮筒液位计的研发和生产起步较晚, 这是我公司完全独立自主研发、国内通过功能安全完整性SIL2认证的浮筒液位计, 达到了国内外先进水平。