電動執(zhí)行機構的功能安全評估和測試

彭仁坤 邵杰 楊亞東

摘 要：為了提高國產電動執(zhí)行機構的功能安全技術水平，滿足工業(yè)過程控制的安全需求，依據IEC 61508標準，從硬件、軟件、驗證測試三個方面對執(zhí)行機構安全功能進行評估和分析，應用FMEDA分析失效模式及其影響，計算出了安全相關參數，結果表明該執(zhí)行機構滿足功能安全要求，可廣泛應用于過程安全相關的系統(tǒng)中。

關鍵詞：電動執(zhí)行機構；功能安全；評估；驗證測試；安全完整性等級（SIL）

中圖分類號：TH707 文獻標識碼：A 文章編號：1671-2064（2018）22-0065-02

在現代生產過程自動化中，電動執(zhí)行機構（簡稱：執(zhí)行機構）起著十分重要的作用，如果出現故障（失效），將可能導致控制系統(tǒng)的故障和設備停車，發(fā)生諸如危險化學品泄漏，引起火災、爆炸，核電站的輻射超劑量等危險事件，將會對相關人員、設備和環(huán)境帶來災難性后果。為了使災難控制在可接受范圍以內，這就需要依靠相關標準和法規(guī)來規(guī)范。而功能安全評估正是基于這些標準和規(guī)范，從執(zhí)行機構的需求規(guī)范階段開始，利用成熟方法對執(zhí)行機構整個安全生命周期的各個階段進行管控，從而將執(zhí)行機構整體安全生命周期的各個階段出現故障的可能性降低到最小，實現對風險的控制。在中國，石油化工行業(yè)對功能安全的需求最為強烈，很多安全儀表系統(tǒng)已經要求執(zhí)行機構必須具有SIL2以上安全等級。

1 評估的依據和目標

功能安全評估是基于IEC 61508標準對執(zhí)行機構進行安全完整性等級進行評估，該標準規(guī)定了兩方面的基本安全要求：常規(guī)系統(tǒng)運行和故障預測能力[1]。其中安全完整性等級（SIL）是用于評價安全功能在需要的時候正確執(zhí)行的能力，它被離散地分成4個等級，SIL4的等級最高，SIL1的等級最低[2]。

該執(zhí)行機構的安全功能定義為：當接收到ESD（Emergency Stop Device）命令時，執(zhí)行機構可根據預先設定的緊急動作方式，執(zhí)行緊急關、緊急開或者緊急停車。安全完整性等級申明為在1oo1模式下滿足SIL2要求，系統(tǒng)結構約束類型為B類，系統(tǒng)運行在低要求操作模式。執(zhí)行機構的功能安全評估主要對硬件，軟件，驗證測試三個方面進行評估，目標是都要滿足SIL2要求。

2 硬件模塊功能安全分析

執(zhí)行機構整機是由多個部分組成，與功能安全相關的主要有行程編碼器、力矩傳感器、電源模塊和主控板等。對執(zhí)行機構進行評估所釆用的是失效模式、影響及其診斷分析法（FMEDA），我們需要對器件逐個進行分析，電子元器件和機械零件的失效模式可分別參照MIL-HDBK-338B和NSWC-11。

失效影響分析就是根據器件各種失效模式，分析其對執(zhí)行機構安全功能的影響。失效分為安全失效和危險失效，危險失效又分為可測和不可測，危險失效是否可測將直接影響診斷覆蓋率，直接決定了產品從結構上是否能滿足SIL等級的要求[3]。

例如：以SN 29500西門子可靠性預計標準為基礎，分析相序檢測模塊上的鋁電解電容（220uF/35V）的失效模式及其失效率。

鋁電解電容失效率λ的公式為：

λ=λref*πU*πT*πQ

λref：參考條件下的失效率，πU：電壓因數，πT：溫度因數，πQ：品質因數，根據SN 29500-4標準中相應公式再結合查表，可計算出λref=5，πU=0.856，πT=1，πQ=2，最終該電容的失效率λ=8.56FIT。

根據失效分析得到的結果，再結合失效模式，可獲得如表1所示中的信息。

其他元器件和零件的失效分析與上例類似，最終計算出的安全相關參數見表2所示。

根據上述計算可以得知，在檢驗測試時間設定為3年時，該執(zhí)行機構的PFD為1.13×10-3達到了IEC61508-1的要求（10-3≤PFD<10-2），硬件設計達到在1oo1模式下SIL2的要求。

3 軟件功能安全分析與評估

由于軟件也需要滿足SIL2要求，因此，在軟件設計、診斷、工具選擇及測試等方面，需要依據IEC 61508-3中的要求進行評估。

軟件設計時采用流程圖的方式來區(qū)分模塊，表示軟件處理的過程，并考慮到了功能安全的要求，滿足了標準中結構化方法的要求。軟件中多處使用了診斷措施，例如電源故障、過力矩故障等，診斷結果通過顯示器、輸出接點等方式輸出，滿足了標準中對診斷方面的要求。在選用軟件編程工具時，考慮到軟件穩(wěn)定性、成熟度以及難易程度等，選用C語言作為開發(fā)語言，并嚴格按照C語言編碼規(guī)則進行編程，滿足了標準中對軟件工具及編譯規(guī)范的要求。在測試階段，對軟件進行全面測試和集成測試，包括代碼規(guī)則測試、白盒測試、黑盒測試。測試結果達到了安全要求規(guī)范書的要求。

4 驗證測試

驗證測試分為三大部分來進行。首先，對執(zhí)行機構的基本性能、功能、環(huán)境適應性等進行了嚴格測試，用于確認整機可正確執(zhí)行安全功能。其次，對執(zhí)行機構的靜電放電抗擾度、浪涌抗擾度等9項進行了電磁兼容性測試，測試結果滿足標準要求，并由第三方檢測機構出具檢測報告。最后是故障插入測試，經測試當發(fā)生故障時執(zhí)行機構能夠及時發(fā)現并報警。測試結果表明該執(zhí)行機構達到設計要求的安全完整性等級的要求。

5 結語

通過一系列的評估分析，證明該執(zhí)行機構的設計架構滿足功能安全所要求的結構約束，整體失效率達到了期望的水平，驗證測試表明該執(zhí)行機構在多種測試環(huán)境下仍能正確執(zhí)行安全功能。所以其整體設計滿足在1oo1模式下的SIL2要求，可推廣應用于石油、化工、核電等領域。

參考文獻

[1]王耀，王新寧，王疆.基于IEC61508標準電站鍋爐MFT的功能安全評估[J].自動化與儀表，2016，（12）：9-13.

[2]張艾森.智能壓力變送器功能安全評估與測試[D].上海：華東理工大學.2013.

[3]田松.SIL3安全儀表系統(tǒng)的設計和應用[J].自動化與儀表，2013，（2）：44-45.