史哲烽,牛其磊

(上海自動(dòng)化儀表有限公司，上海 200072)

0 引言

現(xiàn)代工業(yè)規(guī)模不斷擴(kuò)大，工況日益嚴(yán)峻，轉(zhuǎn)速在工業(yè)測(cè)量中是一種極其重要的信號(hào)類(lèi)型?？煽康販y(cè)量轉(zhuǎn)速并在異常工況下輸出報(bào)警信息是工業(yè)現(xiàn)場(chǎng)安全、可靠運(yùn)行的保障[1]。IEC 61508標(biāo)準(zhǔn)對(duì)電子電氣及可編程電子設(shè)備的功能安全進(jìn)行了規(guī)范[2]，并提出了一整套功能安全評(píng)價(jià)方法。Cortex-M3具有低功耗、高性能、中斷速度快等特點(diǎn)，廣泛應(yīng)用在工業(yè)測(cè)量、儀器儀表領(lǐng)域[3]?；贑ortex-M3進(jìn)行轉(zhuǎn)速采集及故障輸出報(bào)警在實(shí)踐中具有一定的可行性。工業(yè)現(xiàn)場(chǎng)轉(zhuǎn)速信號(hào)眾多，諸如汽輪機(jī)、膨脹機(jī)、壓縮機(jī)、電動(dòng)機(jī)都是大型旋轉(zhuǎn)機(jī)械，在發(fā)生超速飛車(chē)及惡性故障事件時(shí)往往會(huì)造成巨大的人員及財(cái)產(chǎn)損失。因此，轉(zhuǎn)速信號(hào)測(cè)量的可靠性及故障情況下的緊急遮斷報(bào)警功能顯得極其重要。針對(duì)大型工業(yè)現(xiàn)場(chǎng)，當(dāng)前大部分轉(zhuǎn)速報(bào)警裝置都存在響應(yīng)不及時(shí)、可靠性差等特點(diǎn)，無(wú)法保證設(shè)備及人身安全。

本文在充分研究了目前工業(yè)現(xiàn)場(chǎng)使用的轉(zhuǎn)速報(bào)警裝置的基礎(chǔ)上，基于IEC 61508標(biāo)準(zhǔn)設(shè)計(jì)了一套功能安全型的轉(zhuǎn)速報(bào)警裝置。本文采用了三取二邏輯結(jié)構(gòu)，分析了裝置的失效率及診斷覆蓋率等可靠性指標(biāo)，驗(yàn)證了裝置在復(fù)雜工況下的安全性與可靠性。

1 轉(zhuǎn)速報(bào)警裝置的系統(tǒng)框架及信號(hào)采集設(shè)計(jì)

1.1 轉(zhuǎn)速報(bào)警裝置系統(tǒng)框架

常規(guī)轉(zhuǎn)速報(bào)警裝置不具備功能安全功能，在可靠性、安全性等要求較高的工業(yè)場(chǎng)合難以適用。而基于SIL3等級(jí)[4]功能安全標(biāo)準(zhǔn)設(shè)計(jì)的轉(zhuǎn)速報(bào)警裝置，在可靠性、安全性等方面相較傳統(tǒng)轉(zhuǎn)速儀表具有較大優(yōu)勢(shì)。基于IEC 61508標(biāo)準(zhǔn)，設(shè)計(jì)了具有軟硬件診斷機(jī)制及三取二邏輯保護(hù)機(jī)制[5]的轉(zhuǎn)速報(bào)警裝置。裝置主要由三個(gè)相同的轉(zhuǎn)速模塊與通信背板組成，轉(zhuǎn)速模塊基于Cortex-M3芯片實(shí)現(xiàn)轉(zhuǎn)速采集、跳機(jī)開(kāi)關(guān)量輸入、故障診斷、輸出調(diào)節(jié)、緊急遮斷、報(bào)警輸出等功能。通信背板主要實(shí)現(xiàn)三個(gè)相同轉(zhuǎn)速模塊之間的數(shù)據(jù)共享及三取二邏輯判斷。為實(shí)時(shí)反饋工業(yè)現(xiàn)場(chǎng)的轉(zhuǎn)速信息，每個(gè)轉(zhuǎn)速模塊都設(shè)計(jì)了超速103%及超速110%的數(shù)字量輸出報(bào)警通道。轉(zhuǎn)速報(bào)警裝置總體框圖如圖1所示。

圖1中：PI為頻率輸入信號(hào)；DI為開(kāi)關(guān)量輸入信號(hào)；AO為模擬量輸出信號(hào)；DO為開(kāi)關(guān)量輸出信號(hào)。

圖1 轉(zhuǎn)速報(bào)警裝置總體框圖

1.2 基于Cortex-M3的轉(zhuǎn)速模塊設(shè)計(jì)

功能安全型的轉(zhuǎn)速報(bào)警裝置包括三個(gè)轉(zhuǎn)速輸入模塊，實(shí)現(xiàn)三取二邏輯跳機(jī)的功能。每個(gè)轉(zhuǎn)速模塊以Cortex-M3為核心設(shè)計(jì)了轉(zhuǎn)速調(diào)理通道、跳機(jī)DI輸入通道、AO輸出通道、報(bào)警DO輸出通道、跳機(jī)DO輸出通道、電源模塊等模塊。轉(zhuǎn)速模塊框圖如圖2所示。

圖2 轉(zhuǎn)速模塊框圖

各通道的基本設(shè)計(jì)思路如下。

①轉(zhuǎn)速調(diào)理通道：對(duì)于霍爾型脈沖轉(zhuǎn)速輸入信號(hào)，通過(guò)共模扼流圈屏蔽干擾，然后通過(guò)高速光耦將波形轉(zhuǎn)換為3.3 V方波輸入微控制單元(micro controller unit,MCU)的定時(shí)器；對(duì)于磁阻型正弦波轉(zhuǎn)速輸入信號(hào)，通過(guò)穩(wěn)壓管、運(yùn)放器、比較器等整形電路，將正弦波信號(hào)調(diào)理成3.3V方波輸入MCU的定時(shí)器。

②AO輸出通道：MCU通過(guò)SPI串口將轉(zhuǎn)速所對(duì)應(yīng)的百分比通過(guò)AO輸出，4 mA對(duì)應(yīng)1 Hz，20 mA對(duì)應(yīng)20 kHz。輸出電流通過(guò)AD420芯片驅(qū)動(dòng)。

③報(bào)警DO輸出通道：包括超速103%報(bào)警DO、超速110%報(bào)警DO。MCU輸出數(shù)字量信號(hào)，通過(guò)常開(kāi)繼電器隔離輸出。

④跳機(jī)DO輸出通道：MCU通過(guò)跳機(jī)輸出邏輯輸出本模塊的第一級(jí)跳機(jī)DO信號(hào)。此信號(hào)通過(guò)通信背板送往另2個(gè)模塊。同時(shí)，本模塊也接收另外2個(gè)模塊發(fā)送過(guò)來(lái)的第一級(jí)跳機(jī)DO信號(hào)，輸出給安全繼電器。安全繼電器的輸出信號(hào)有兩個(gè)觸點(diǎn)輸出，通過(guò)底板上的硬接線形成三取二邏輯，輸出裝置跳機(jī)DO信號(hào)。

⑤電源設(shè)計(jì)：裝置共1組24 V DC電源輸入，通過(guò)開(kāi)關(guān)電源轉(zhuǎn)換為5 V DC和3.3 V DC，為MCU和數(shù)字部分電路供電；同時(shí)，通過(guò)隔離電源轉(zhuǎn)換出轉(zhuǎn)速調(diào)理通道、DI輸入通道、AO和DO通道的通道電源。

2 基于IEC 61508的功能安全設(shè)計(jì)

2.1 三取二邏輯功能的設(shè)計(jì)

整套裝置的外部三路轉(zhuǎn)速輸入信號(hào)經(jīng)過(guò)調(diào)理電路轉(zhuǎn)換為脈沖信號(hào)，經(jīng)過(guò)濾波隔離后送入三個(gè)主控模塊。三個(gè)主控模塊各自獨(dú)立完成轉(zhuǎn)速信號(hào)的采樣，超速報(bào)警及故障邏輯判斷，并將各自的判斷結(jié)果通過(guò)通信背板連線進(jìn)行三取二線與邏輯表決。當(dāng)任意兩個(gè)轉(zhuǎn)速模塊判斷結(jié)果均為輸出報(bào)警時(shí)，整套裝置通過(guò)報(bào)警繼電器對(duì)外輸出報(bào)警信號(hào)與跳機(jī)DO信號(hào)。報(bào)警繼電器可以根據(jù)系統(tǒng)設(shè)定分別在超速103%和110%時(shí)動(dòng)作，使汽輪機(jī)、電動(dòng)機(jī)等旋轉(zhuǎn)機(jī)械迅速減速停車(chē)，進(jìn)而保證生產(chǎn)設(shè)備安全。模塊跳機(jī)DO和裝置跳機(jī)DO輸出的安全狀態(tài)均為0，其邏輯條件如下。

①一個(gè)轉(zhuǎn)速模塊在上電和復(fù)位狀態(tài)下跳機(jī)DO輸出為0，正常工作時(shí)模塊跳機(jī)DO輸出為1，診斷有故障時(shí)模塊跳機(jī)DO輸出為0。

②兩個(gè)轉(zhuǎn)速模塊同時(shí)產(chǎn)生超速110%報(bào)警，裝置跳機(jī)DO輸出從1變0。

③兩個(gè)轉(zhuǎn)速模塊同時(shí)診斷出故障，裝置跳機(jī)DO輸出從1變0。

④兩個(gè)轉(zhuǎn)速模塊外部跳機(jī)DI輸入信號(hào)同時(shí)為1，裝置跳機(jī)DO輸出從1變0。

⑤當(dāng)一個(gè)轉(zhuǎn)速模塊故障時(shí)，裝置降級(jí)為2選1，即只要有一個(gè)模塊故障或者產(chǎn)生超速110%報(bào)警或者跳機(jī)DI輸入為1，裝置跳機(jī)DO輸出從1變0。

三取二邏輯功能框圖如圖3所示。

圖3 三取二邏輯功能框圖

2.2 軟硬件故障診斷設(shè)計(jì)

依據(jù)IEC 61508標(biāo)準(zhǔn)對(duì)所設(shè)計(jì)轉(zhuǎn)速報(bào)警裝置的軟硬件進(jìn)行診斷設(shè)計(jì)。其中，硬件模塊的診斷主要包括電源模塊診斷、晶振診斷、PI通道診斷、DI通道診斷、DO通道診斷；軟件模塊的診斷主要包括堆棧、程序時(shí)序、RAM、ROM、指令、地址/數(shù)據(jù)行等的診斷。

對(duì)于硬件各功能模塊的診斷采用如下方式。

①電源診斷。針對(duì)模塊中用到的安全功能部分的電源進(jìn)行采樣，包括系統(tǒng)電源、轉(zhuǎn)速調(diào)理通道電源、跳機(jī)DI通道電源和跳機(jī)DO通道電源。當(dāng)采樣偏差超過(guò)±10%時(shí)進(jìn)行報(bào)警，偏差超過(guò)±20%時(shí)輸出安全狀態(tài)。

②晶振診斷。Cortex-M3芯片采用8 MHz晶振，同時(shí)用一個(gè)32.768 KB晶振與其進(jìn)行對(duì)比診斷。當(dāng)偏差超過(guò)±3%時(shí)，模塊進(jìn)行報(bào)警；當(dāng)偏差超過(guò)±5%時(shí)，模塊輸出安全狀態(tài)。

③PI通道診斷。將PI通道正端通過(guò)上拉電阻上拉到30 V，采用比較電路。當(dāng)通道正常工作時(shí)輸入電壓小于24 V；斷線時(shí)輸入電壓超過(guò)27 V，輸出報(bào)警信號(hào)；通道短路時(shí)輸入為0，進(jìn)行超量程報(bào)警。

④DI通道診斷。通過(guò)Cortex-M3控制DI通道上的FETMOS開(kāi)關(guān)，切換DI通道為斷路或短路狀態(tài)。在診斷周期內(nèi)，當(dāng)輸入為常1時(shí)，切換DI通道為斷路，此時(shí)輸入變?yōu)?；當(dāng)輸入為常0時(shí)，切換DI通道為短路，此時(shí)輸入變?yōu)?。若上述情況均能正常切換，則表明輸入功能正常，否則輸出報(bào)警。

⑤DO輸出通道診斷。通過(guò)對(duì)輸出DO信號(hào)采樣，判斷輸出是否正確。

對(duì)于軟件各功能模塊的診斷，采用如下方式。

①堆棧診斷。堆棧診斷示意圖如圖4所示。堆棧指針地址在高地址與低地址之間。設(shè)置地址A(高位地址+1)=0x5A5A5A5A，地址B(低位地址-1)= 0xA5A5A5A5。診斷期間，MCU通過(guò)指針讀取地址單元地址A和B，確認(rèn)是否改變。如信息已更改，則表明設(shè)備發(fā)生了堆棧的上/下溢出故障。當(dāng)檢測(cè)到故障時(shí)，設(shè)備輸出警報(bào)狀態(tài)。

圖4 堆棧診斷示意圖

②程序時(shí)序診斷。在主程序中，按程序執(zhí)行的順序設(shè)置標(biāo)志位。在中斷期間，清除看門(mén)狗，如存在標(biāo)志位，則清除標(biāo)志位;否則，由看門(mén)狗觸發(fā)系統(tǒng)進(jìn)入安全狀態(tài)，并輸出報(bào)警狀態(tài)。

③內(nèi)存診斷?；贛arch C[6]算法進(jìn)行內(nèi)存診斷，診斷到故障，則輸出報(bào)警狀態(tài)。

④ROM診斷。采用CRC-16[7]算法(即循環(huán)冗余校驗(yàn)算法)。Cortex-M3的ROM的大小為512 KB，實(shí)際使用的大小小于300 KB。通過(guò)將ROM分成若干個(gè)小于1 KB的部分，針對(duì)每個(gè)部分均采用循環(huán)冗余校驗(yàn)(cyclic redundancy check,CRC)-16校驗(yàn)算法診斷，診斷到故障則輸出報(bào)警狀態(tài)。

⑤指令診斷。采用指令譯碼器測(cè)試指令執(zhí)行結(jié)果，如果結(jié)果與預(yù)期不同，則認(rèn)為指令系統(tǒng)異常，輸出報(bào)警狀態(tài)。

⑥地址/數(shù)據(jù)行診斷。Cortex-M3定期將測(cè)試數(shù)據(jù)寫(xiě)入并讀取到相應(yīng)的地址，查看是否滿足預(yù)期的結(jié)果。如果讀寫(xiě)數(shù)據(jù)不一致，Cortex-M3會(huì)在將錯(cuò)誤標(biāo)志寫(xiě)入診斷寄存器的同時(shí)輸出報(bào)警。

3 功能安全驗(yàn)證及可靠性分析

3.1 功能安全完整性等級(jí)驗(yàn)證

進(jìn)行電子設(shè)備可靠性預(yù)計(jì)的一般步驟如下[8]。

①劃分可靠性預(yù)計(jì)單元，建立系統(tǒng)可靠性模型。

②計(jì)算各預(yù)計(jì)單元內(nèi)元器件的工作失效率。

③將預(yù)計(jì)單元內(nèi)各種類(lèi)元器件的工作失效率相加，得出預(yù)計(jì)單元的失效率。

④按設(shè)備、系統(tǒng)的可靠性模型逐級(jí)預(yù)計(jì)設(shè)備、系統(tǒng)的平均故障間隔時(shí)間等可靠性指標(biāo)。

依據(jù)上述可靠性預(yù)計(jì)的一般步驟，針對(duì)所設(shè)計(jì)的轉(zhuǎn)速報(bào)警裝置進(jìn)行可靠性預(yù)計(jì)，將整套裝置按照功能模塊劃分位電源模塊、DI模塊、PI_H模塊、PI_M模塊、MCU模塊、DO模塊、插槽和機(jī)架模塊?；贗SO 13849-2:2012標(biāo)準(zhǔn)建立元器件的失效模型，基于Siemens SN29500標(biāo)準(zhǔn)分析計(jì)算元器件的失效率，然后將分析得到的各種類(lèi)元器件工作失效率相加，得出整套裝置的失效率。失效率及安全失效分?jǐn)?shù)分析如表1所示。

表1 失效率及安全失效分?jǐn)?shù)分析表

表1中：λS為安全失效率;λD為危險(xiǎn)失效率;λDD為可診斷的危險(xiǎn)失效率;λDU為不可診斷的危險(xiǎn)失效率;SFF為安全失效分?jǐn)?shù)。其計(jì)算公式如下：

(1)

整套裝置的平均失效概率計(jì)算公式如下：

PFDavg=(λDU+λDD)tCE

(2)

其中：

(3)

式中：平均修理時(shí)間取MRT=8 h，平均修復(fù)時(shí)間取MTTR=24 h。當(dāng)運(yùn)行時(shí)間取T1=1 year=24×365 h=8 760 h 時(shí)，Pavg為109 889×10 e-9。而危險(xiǎn)失效的失效頻率(每小時(shí))為：

P=λDU

(4)

根據(jù)IEC 61508標(biāo)準(zhǔn)規(guī)定，SIL3等級(jí)B類(lèi)各指標(biāo)要求如下：10e-4≤Pavg<10e-3，10e-8≤P<10e-7，SFF≥90%。由此可以看出，上述各指標(biāo)均符合IEC 61508標(biāo)準(zhǔn)中的SIL3等級(jí)B類(lèi)規(guī)范要求。

3.2 裝置可靠性分析

可靠性是產(chǎn)品在規(guī)定的條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定功能的能力或概率[9]。通過(guò)診斷覆蓋率、平均無(wú)故障工作時(shí)間、可靠度等指標(biāo)，可以估計(jì)整套裝置的可靠性程度。

診斷覆蓋率計(jì)算示意如圖5所示。

圖5 診斷覆蓋率計(jì)算示意圖

基于表1中數(shù)據(jù)，可以分析得出整套裝置的診斷覆蓋率D如下：

(5)

診斷覆蓋率分級(jí)如表2所示。對(duì)比表2可以看出，所設(shè)計(jì)轉(zhuǎn)速報(bào)警裝置具有一個(gè)高診斷覆蓋率。

表2 診斷覆蓋率分級(jí)表

可靠度也是可靠性的主要特征量，依據(jù)功能模塊的劃分，繪制的轉(zhuǎn)速報(bào)警裝置邏輯框圖如圖6所示。

圖6 轉(zhuǎn)速報(bào)警裝置邏輯框圖

整套裝置的任一模塊喪失功能，此裝置即不能正常工作，所以該裝置是串聯(lián)系統(tǒng)，整套裝置的平均無(wú)故障工作時(shí)間t為：

(6)

可靠度為：

R(t)=R1R2R3R4R5R6

(7)

當(dāng)工作349 719 h后，裝置可靠度為0.99。從診斷覆蓋率、平均無(wú)故障工作時(shí)間與可靠度指標(biāo)來(lái)看，功能安全型的轉(zhuǎn)速報(bào)警裝置具有較高的可靠性。

4 結(jié)論

本文基于IEC 61508，設(shè)計(jì)了功能安全型的轉(zhuǎn)速報(bào)警裝置，通過(guò)三取二邏輯判斷以及軟硬件的故障診斷，實(shí)現(xiàn)了超速報(bào)警、緊急遮斷、輸出調(diào)節(jié)等功能。通過(guò)對(duì)裝置可靠性預(yù)計(jì)及失效率的分析，確定了裝置的安全完整性等級(jí)。通過(guò)對(duì)裝置平均壽命及可靠度等指標(biāo)的分析，驗(yàn)證了裝置的可靠性。功能安全型的轉(zhuǎn)速報(bào)警裝置適用范圍更廣、可靠性更高，平均壽命長(zhǎng)、診斷覆蓋率高，為大型旋轉(zhuǎn)機(jī)械設(shè)備的報(bào)警監(jiān)控提供了一種安全、可靠的解決方案。