電動執(zhí)行機(jī)構(gòu)的功能安全評估和測試

彭仁坤 邵杰 楊亞東

摘 要：為了提高國產(chǎn)電動執(zhí)行機(jī)構(gòu)的功能安全技術(shù)水平，滿足工業(yè)過程控制的安全需求，依據(jù)IEC 61508標(biāo)準(zhǔn)，從硬件、軟件、驗證測試三個方面對執(zhí)行機(jī)構(gòu)安全功能進(jìn)行評估和分析，應(yīng)用FMEDA分析失效模式及其影響，計算出了安全相關(guān)參數(shù)，結(jié)果表明該執(zhí)行機(jī)構(gòu)滿足功能安全要求，可廣泛應(yīng)用于過程安全相關(guān)的系統(tǒng)中。

關(guān)鍵詞：電動執(zhí)行機(jī)構(gòu)；功能安全；評估；驗證測試；安全完整性等級（SIL）

中圖分類號：TH707 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2018）22-0065-02

在現(xiàn)代生產(chǎn)過程自動化中，電動執(zhí)行機(jī)構(gòu)（簡稱：執(zhí)行機(jī)構(gòu)）起著十分重要的作用，如果出現(xiàn)故障（失效），將可能導(dǎo)致控制系統(tǒng)的故障和設(shè)備停車，發(fā)生諸如危險化學(xué)品泄漏，引起火災(zāi)、爆炸，核電站的輻射超劑量等危險事件，將會對相關(guān)人員、設(shè)備和環(huán)境帶來災(zāi)難性后果。為了使災(zāi)難控制在可接受范圍以內(nèi)，這就需要依靠相關(guān)標(biāo)準(zhǔn)和法規(guī)來規(guī)范。而功能安全評估正是基于這些標(biāo)準(zhǔn)和規(guī)范，從執(zhí)行機(jī)構(gòu)的需求規(guī)范階段開始，利用成熟方法對執(zhí)行機(jī)構(gòu)整個安全生命周期的各個階段進(jìn)行管控，從而將執(zhí)行機(jī)構(gòu)整體安全生命周期的各個階段出現(xiàn)故障的可能性降低到最小，實現(xiàn)對風(fēng)險的控制。在中國，石油化工行業(yè)對功能安全的需求最為強(qiáng)烈，很多安全儀表系統(tǒng)已經(jīng)要求執(zhí)行機(jī)構(gòu)必須具有SIL2以上安全等級。

1 評估的依據(jù)和目標(biāo)

功能安全評估是基于IEC 61508標(biāo)準(zhǔn)對執(zhí)行機(jī)構(gòu)進(jìn)行安全完整性等級進(jìn)行評估，該標(biāo)準(zhǔn)規(guī)定了兩方面的基本安全要求：常規(guī)系統(tǒng)運(yùn)行和故障預(yù)測能力[1]。其中安全完整性等級（SIL）是用于評價安全功能在需要的時候正確執(zhí)行的能力，它被離散地分成4個等級，SIL4的等級最高，SIL1的等級最低[2]。

該執(zhí)行機(jī)構(gòu)的安全功能定義為：當(dāng)接收到ESD（Emergency Stop Device）命令時，執(zhí)行機(jī)構(gòu)可根據(jù)預(yù)先設(shè)定的緊急動作方式，執(zhí)行緊急關(guān)、緊急開或者緊急停車。安全完整性等級申明為在1oo1模式下滿足SIL2要求，系統(tǒng)結(jié)構(gòu)約束類型為B類，系統(tǒng)運(yùn)行在低要求操作模式。執(zhí)行機(jī)構(gòu)的功能安全評估主要對硬件，軟件，驗證測試三個方面進(jìn)行評估，目標(biāo)是都要滿足SIL2要求。

2 硬件模塊功能安全分析

執(zhí)行機(jī)構(gòu)整機(jī)是由多個部分組成，與功能安全相關(guān)的主要有行程編碼器、力矩傳感器、電源模塊和主控板等。對執(zhí)行機(jī)構(gòu)進(jìn)行評估所釆用的是失效模式、影響及其診斷分析法（FMEDA），我們需要對器件逐個進(jìn)行分析，電子元器件和機(jī)械零件的失效模式可分別參照MIL-HDBK-338B和NSWC-11。

失效影響分析就是根據(jù)器件各種失效模式，分析其對執(zhí)行機(jī)構(gòu)安全功能的影響。失效分為安全失效和危險失效，危險失效又分為可測和不可測，危險失效是否可測將直接影響診斷覆蓋率，直接決定了產(chǎn)品從結(jié)構(gòu)上是否能滿足SIL等級的要求[3]。

例如：以SN 29500西門子可靠性預(yù)計標(biāo)準(zhǔn)為基礎(chǔ)，分析相序檢測模塊上的鋁電解電容（220uF/35V）的失效模式及其失效率。

鋁電解電容失效率λ的公式為：

λ=λref*πU*πT*πQ

λref：參考條件下的失效率，πU：電壓因數(shù)，πT：溫度因數(shù)，πQ：品質(zhì)因數(shù)，根據(jù)SN 29500-4標(biāo)準(zhǔn)中相應(yīng)公式再結(jié)合查表，可計算出λref=5，πU=0.856，πT=1，πQ=2，最終該電容的失效率λ=8.56FIT。

根據(jù)失效分析得到的結(jié)果，再結(jié)合失效模式，可獲得如表1所示中的信息。

其他元器件和零件的失效分析與上例類似，最終計算出的安全相關(guān)參數(shù)見表2所示。

根據(jù)上述計算可以得知，在檢驗測試時間設(shè)定為3年時，該執(zhí)行機(jī)構(gòu)的PFD為1.13×10-3達(dá)到了IEC61508-1的要求（10-3≤PFD<10-2），硬件設(shè)計達(dá)到在1oo1模式下SIL2的要求。

3 軟件功能安全分析與評估

由于軟件也需要滿足SIL2要求，因此，在軟件設(shè)計、診斷、工具選擇及測試等方面，需要依據(jù)IEC 61508-3中的要求進(jìn)行評估。

軟件設(shè)計時采用流程圖的方式來區(qū)分模塊，表示軟件處理的過程，并考慮到了功能安全的要求，滿足了標(biāo)準(zhǔn)中結(jié)構(gòu)化方法的要求。軟件中多處使用了診斷措施，例如電源故障、過力矩故障等，診斷結(jié)果通過顯示器、輸出接點(diǎn)等方式輸出，滿足了標(biāo)準(zhǔn)中對診斷方面的要求。在選用軟件編程工具時，考慮到軟件穩(wěn)定性、成熟度以及難易程度等，選用C語言作為開發(fā)語言，并嚴(yán)格按照C語言編碼規(guī)則進(jìn)行編程，滿足了標(biāo)準(zhǔn)中對軟件工具及編譯規(guī)范的要求。在測試階段，對軟件進(jìn)行全面測試和集成測試，包括代碼規(guī)則測試、白盒測試、黑盒測試。測試結(jié)果達(dá)到了安全要求規(guī)范書的要求。

4 驗證測試

驗證測試分為三大部分來進(jìn)行。首先，對執(zhí)行機(jī)構(gòu)的基本性能、功能、環(huán)境適應(yīng)性等進(jìn)行了嚴(yán)格測試，用于確認(rèn)整機(jī)可正確執(zhí)行安全功能。其次，對執(zhí)行機(jī)構(gòu)的靜電放電抗擾度、浪涌抗擾度等9項進(jìn)行了電磁兼容性測試，測試結(jié)果滿足標(biāo)準(zhǔn)要求，并由第三方檢測機(jī)構(gòu)出具檢測報告。最后是故障插入測試，經(jīng)測試當(dāng)發(fā)生故障時執(zhí)行機(jī)構(gòu)能夠及時發(fā)現(xiàn)并報警。測試結(jié)果表明該執(zhí)行機(jī)構(gòu)達(dá)到設(shè)計要求的安全完整性等級的要求。

5 結(jié)語

通過一系列的評估分析，證明該執(zhí)行機(jī)構(gòu)的設(shè)計架構(gòu)滿足功能安全所要求的結(jié)構(gòu)約束，整體失效率達(dá)到了期望的水平，驗證測試表明該執(zhí)行機(jī)構(gòu)在多種測試環(huán)境下仍能正確執(zhí)行安全功能。所以其整體設(shè)計滿足在1oo1模式下的SIL2要求，可推廣應(yīng)用于石油、化工、核電等領(lǐng)域。

參考文獻(xiàn)

[1]王耀，王新寧，王疆.基于IEC61508標(biāo)準(zhǔn)電站鍋爐MFT的功能安全評估[J].自動化與儀表，2016，（12）：9-13.

[2]張艾森.智能壓力變送器功能安全評估與測試[D].上海：華東理工大學(xué).2013.

[3]田松.SIL3安全儀表系統(tǒng)的設(shè)計和應(yīng)用[J].自動化與儀表，2013，（2）：44-45.