智能變送器的硬件安全評估

崔 丹 翁思健

(華東理工大學信息科學與工程學院1，上海 200237;上海工業自動化儀表研究院2，上海 200233)

0 引言

IEC 61508在航空航天、石油化工和軌道交通等領域得到了越來越廣泛的關注和應用［1］。為了適應功能安全的新發展，IEC 61508第二版共七個部分經IEC標準委員會投票通過并于2010年4月正式發布。隨著現場總線控制系統的發展，提出了“控制在現場”的要求。同時，對應用于安全領域的智能控制系統部件也提出了更高的安全要求。

智能變送器作為一種典型的智能控制系統部件，其安全性也受到了更多的關注。在國外，艾默生、E+H等公司已研發出通過安全認證的智能儀表產品。然而，在國內，對于功能安全的研究還處于起步階段。本文以上海工業自動化儀表研究院自主研發的基于HART協議的智能壓力變送器為對象，探索適用于智能變送器安全研究的方法。

1 智能變送器簡介

1.1 系統組成

本文討論的智能變送器是主要用于流程工業檢測和控制的、輸出為4～20 mA的二線制智能設備，其功能模塊分為傳感器、信號調理模塊、數據處理模塊、4～20 mA輸出模塊、HART通信模塊以及一些其他輔助功能模塊。智能變送器原理框圖如圖1所示。

圖1 智能變送器原理框圖Fig.1 Principle of the smart transmitter

由圖1可知，智能變送器的功能模塊劃分遵從IEC 60770-3:2006《適用于流程工業控制系統的智能變送器——智能變送器性能評價方法》。滿足該標準要求的智能變送器模型能保證硬件電路上各個功能模塊之間的獨立性，使智能變送器在系統結構方面更為清晰，也給電路分析、測試以及安全評估帶來了極大的便利［2］。

1.2 變送器的安全要求

在IEC 61508-4中，安全功能的定義是:針對特定的危險事件，為達到或保持EUC的安全狀態，由E/E/PE安全相關系統、其他技術安全相關系統或外部風險降低設施實現的功能［3］。

對于智能變送器而言，傳感器及信號調理模塊、數據處理模塊和4～20 mA輸出模塊共同組成檢測通道，這是智能變送器的基本功能，也是需要研究的安全功能。4～20 mA既是控制系統模擬輸出的標準量，也是HART通信的載體，其在控制系統中有著重要的意義。可以說，4～20 mA的準確輸出在一定程度上確保了控制系統的安全性。因此，4～20 mA是智能控制系統的安全變量之一，也是智能變送器的安全變量，智能變送器的核心任務就是保證4～20 mA的正確輸出。

2 硬件安全要求

2.1 硬件安全要求

在討論產品的安全完整性等級之前，需要確定產品的結構或冗余方式。不同的安全完整性等級(SIL)對不同的硬件結構有著不同的安全失效分數(safety failure fraction，SFF)要求。

安全完整性的硬件結構約束如表1所示。

表1 安全完整性的硬件結構約束Tab.1 Structural constraints on hardware safety integrity

本文所討論的智能變送器為單通道結構的B類系統，1個故障就可能導致全部功能的喪失，即硬件故障裕度(HFT)為0，目標安全完整性等級為SIL2。由表1可知，該產品要達到SIL2的安全失效分數不能低于90%。

2.2 B類系統安全要求

根據智能變送器原理劃分子系統，可以得到傳感器及信號調理模塊、4～20 mA輸出模塊為A類子系統，數據處理功能塊的主要硬件——微處理器為可編程電子器件，應當被視作B類子系統。由于微處理器的存在，智能變送器應當被視作B類系統［4］。對于HFT=0的智能變送器，系統需要具備全面、完善的診斷技術，才能保證滿足SFF不低于90%的要求。

根據IEC 61508第2部分要求，并結合智能變送器自身的相關特點，SIL2對應的故障診斷要求如表2所示［5］。

表2 SIL2對應的故障診斷內容Tab.2 Diagnosis content requested by SIL2

表2中，軟錯誤表示由于射線、電磁干擾、線路串擾和衰變等環境因素引起的線路或物理器件的變化，導致數據或地址的錯誤;DC故障模型主要指固定故障、開路、高阻和信號線之間的短路，這些故障呈現出穩定的故障狀態。

3 安全評估

在采用失效模式、影響和診斷分析(failure mode，effect and diagnostic analysis，FMEDA)和故障注入試驗對智能變送器進行安全評估時，需作如下假設。

①智能變送器內部每次只有一個元器件發生失效。

②只考慮內部電氣/電子/可編程電子器件組成的主板，不考慮智能變送器的外殼及其他相關的機械部件。

③每個元器件的失效率都是固定的，不會隨時間發生變化。

④非安全功能部分不會影響到安全功能。

⑤HART通信是非安全功能，它用于通信和診斷目的。

⑥在4～20 mA范圍內出現超差被認為是無可檢測的危險失效。

⑦傳感器不作考慮。

⑧外部電源不作考慮。

3.1 FMEDA

傳感器及信號調理模塊和4～20 mA輸出模塊均由阻容器件(電阻、電容等)、半導體器件(二極管、三極管)和電子器件(A/D轉換器、D/A轉換器)組成。每個元器件的失效模式、失效影響及故障診斷均可被確定，且結合元器件失效手冊和一些器件制造商提供的元器件失效率數據，可以計算出安全失效分數SFF、平均失效率等與安全完整性相關的參數。本文的A類器件失效率數據大部分由器件制造商處獲取。國際上一些公司和組織先后都以MIL-HDBK-217為藍本，制定了可靠性預計手冊或標準，如西門子的SN29500、英國的HRD-4。本研究中無法獲取的數據可參考GJB/Z 299C-2006《電子設備可靠性預計手冊》［6］。

失效模式、影響和診斷分析(FMEDA)也存在其局限性。當系統同時存在多種失效時，多種失效產生的組合會造成非常嚴重的后果。由于將失效模式分開考慮，可能分析得到的失效后果很小，尤其是在軟硬件共同作用的可編程電子器件中，這種假設往往很難成立［7］。因此，采用FMEDA需要遵循各失效之間相互獨立的假設條件，即假定每次只發生一種失效。對于復雜的集成電路和可編程電子器件，失效的重點將從隨機失效轉變為系統失效，且故障和失效之間的原因和影響關系難以確定［8］。因此，對于復雜集成電路和可編程電子器件不適用FMEDA，需要進行故障注入試驗以確定失效影響及其是否可診斷。根據IEC 61508-6可知，對于復雜的元器件，通常接受50%的安全失效和50%的危險失效［9］，即滿足如下三個關系式:

式中:λs為安全失效率;λd為危險失效率;λdd為可檢測的危險失效率;λdu為不可檢測的危險失效率。

3.2 故障注入試驗

由軟件安全性的研究可知，RAM區數據采用校驗碼，能夠檢測到由于DC故障模型和軟錯誤引起的數據錯誤。一旦RAM區數據被沖掉，智能變送器會對外輸出報警電流;當檢測到堆棧指針到棧頂位置時，程序認為堆棧已經發生溢出，采用復位的方式排除故障;EEPROM采用校驗碼和備份的方式保證數據的正確性，當校驗碼和備份兩種技術均不能排除故障時，采用復位的方式排除故障。研究表明，當故障診斷措施不能奏效時，智能變送器會采用電流報警或復位的方式排除故障，這兩種方式均不屬于不可檢測的危險失效。

本文討論的注入故障分為兩類:A類元器件的故障模式和B類元器件的DC故障模型。為保證原電路的完整性，故障以靜態方式注入，即在智能變送器啟動之前，按照元器件的故障模式改變元器件的運行狀態，或改變集成電路管腳的電位以造成集成電路管腳級的故障，以達到修改電路結構的目的，從而將故障注入到智能變送器［10］。靜態注入的方式具有一定的破壞性。同時，為了保證試驗結果與系統其他部分無關，遵從前述安全評估的假設，每次只對一個元器件注入一種故障模式，在得到相應的試驗結果之后恢復故障現場。

3.3 安全評估結果

由于對B類子系統的注入故障無法被完全診斷，故障注入試驗得到的診斷覆蓋率只能反映當前數據處理模塊的診斷覆蓋率整體水平。由故障注入試驗的結果得到B類器件的不可檢測的危險失效率約為30%～40%，即診斷覆蓋率處于60% ～90%區間內。因此，取診斷覆蓋率(DC)的值為60%，由此得到安全功能的計算結果如表3所示。

表3 安全功能的計算結果Tab.3 The calculation result of safety function

從表3可以看出，假設智能變送器的診斷時間間隔是1 a，不考慮診斷所需要的時間，則低要求時的危險失效率(probability of dangerous failure on demand，PFD)近似計算結果為:

式中:PFD(t)為低要求操作模式下的平均危險失效概率;PFH為高要求或連續工作模式下的每小時危險失效概率，h－1。對于有診斷單通道系統，可近似認為:

由式(4)和式(5)可知，當 t=8760 h時，PFD=1.275 ×10－3;當 t=0 時，PFD=0。因此，由(t，PFD)=(1，1.275 ×10－3)和(0，0)兩點確定直線。智能變送器的PFD曲線如圖2所示。

圖2 智能變送器的PFD曲線Fig.2 The PFD curve of smart transmitter

智能變送器的目標安全完整性等級是SIL2，其失效率為10－3＜PFD＜10－2。從圖2可以看到，假定智能變送器已經達到SIL2的水平，則大約7.8 a之后該智能變送器的PFD會低于SIL2的最低要求。

3.4 結果分析

從安全失效分數SFF來看，智能變送器的安全性尚不滿足SIL2不低于90%的要求，但是差距不大，各模塊中生產工藝的失效率較大;同時，由于生產工藝引入的不可檢測的危險失效率占總的不可檢測的危險失效率的比重也較大。因此，改善生產制造工藝對提高產品質量的意義重大。另外，診斷覆蓋率較低，導致危險失效率偏高，整個控制系統的風險向上層轉移，給控制系統帶來了更大的安全壓力，因此，還需要進一步研究該智能變送器的故障診斷功能。

4 結束語

智能變送器作為一種典型的智能控制系統部件，其安全功能集中體現在4～20 mA的模擬電流輸出上。本文分別對A類子系統和B類子系統的不同處理方式進行了說明，并通過FMEDA與故障注入試驗的方法計算得到了與安全完整性等級評定相關的參數。計算結果表明，制板工藝有待進一步提高，智能變送器硬件系統總體接近SIL2的要求。本文對智能變送器的安全完整性等級評估方法進行了探索性研究，同時也為嵌入式軟件的安全完整性研究提供了一定依據。

［1］李佳嘉.貫穿于全生命周期的功能安全［J］.自動化儀表，2006，27(5):21－24.

［2］International Electrotechnical Commission.IEC 60770-3:2006 Trans-mitters for use in industrial-process control systems，part3:methods for evaluation of intelligent transmitters［S］.International Electrotechnical Commission:2006.

［3］International Electrotechnical Commission.IEC 61508-4:1998 Functional safety of electrical/electronic/programmable electronic safety related systems，part 4:definitions and abbreviations［S］.International Electrotechnical Commission:1998.

［4］International Electrotechnical Commission.IEC 61508-7:2000 Functional safety of electrical/electronic/programmable electronic safety related systems，part 7:overview of techniques and measures［S］.International Electrotechnical Commission，2000.

［5］國家質量監督檢驗檢疫總局.GB/T 20438.2-2006電氣/電子/可編程電子安全相關系統的功能安全第2部分:電氣/電子/可編程電子安全相關系統的要求［S］.北京:中國標準出版社，2006.

［6］李永紅，徐明.MIL-HDBK-217可靠性預計方法存在的問題及其替代方法淺析［J］.航空標準化與質量，2005(4):40－43.

［7］International Electrotechnical Commission.IEC 60812-2006 Analysis techniques for system reliability.Procedure for failure mode and effects analysis［S］.International Electrotechnical Commission:2006.

［8］International Electrotechnical Commission.IEC 61508-2:2000 Functional safety of electrical/electronic/programmable electronic safety related systems，part 2:requirements for electrical/electronic/programmable electronic safety related systems［S］.International Electrotechnical Commission:2000.

［9］International Electrotechnical Commission.IEC 61508-6:2000 Functional safety of electrical/electronic/programmable electronic safety related systems，part 6:guidelines on the application of IEC 61508-2 and IEC 61508-3［S］.International Electrotechnical Commission:2000.

［10］孫俊朝，王建瑩，楊孝宗.管腳級故障模型的分析與生成技術的研究［J］.計算機學報，1999，22(8):845－851.