史哲烽,牛其磊

(上海自动化仪表有限公司，上海 200072)

0 引言

现代工业规模不断扩大，工况日益严峻，转速在工业测量中是一种极其重要的信号类型。可靠地测量转速并在异常工况下输出报警信息是工业现场安全、可靠运行的保障[1]。IEC 61508标准对电子电气及可编程电子设备的功能安全进行了规范[2]，并提出了一整套功能安全评价方法。Cortex-M3具有低功耗、高性能、中断速度快等特点，广泛应用在工业测量、仪器仪表领域[3]。基于Cortex-M3进行转速采集及故障输出报警在实践中具有一定的可行性。工业现场转速信号众多，诸如汽轮机、膨胀机、压缩机、电动机都是大型旋转机械，在发生超速飞车及恶性故障事件时往往会造成巨大的人员及财产损失。因此，转速信号测量的可靠性及故障情况下的紧急遮断报警功能显得极其重要。针对大型工业现场，当前大部分转速报警装置都存在响应不及时、可靠性差等特点，无法保证设备及人身安全。

本文在充分研究了目前工业现场使用的转速报警装置的基础上，基于IEC 61508标准设计了一套功能安全型的转速报警装置。本文采用了三取二逻辑结构，分析了装置的失效率及诊断覆盖率等可靠性指标，验证了装置在复杂工况下的安全性与可靠性。

1 转速报警装置的系统框架及信号采集设计

1.1 转速报警装置系统框架

常规转速报警装置不具备功能安全功能，在可靠性、安全性等要求较高的工业场合难以适用。而基于SIL3等级[4]功能安全标准设计的转速报警装置，在可靠性、安全性等方面相较传统转速仪表具有较大优势。基于IEC 61508标准，设计了具有软硬件诊断机制及三取二逻辑保护机制[5]的转速报警装置。装置主要由三个相同的转速模块与通信背板组成，转速模块基于Cortex-M3芯片实现转速采集、跳机开关量输入、故障诊断、输出调节、紧急遮断、报警输出等功能。通信背板主要实现三个相同转速模块之间的数据共享及三取二逻辑判断。为实时反馈工业现场的转速信息，每个转速模块都设计了超速103%及超速110%的数字量输出报警通道。转速报警装置总体框图如图1所示。

图1中：PI为频率输入信号；DI为开关量输入信号；AO为模拟量输出信号；DO为开关量输出信号。

图1 转速报警装置总体框图

1.2 基于Cortex-M3的转速模块设计

功能安全型的转速报警装置包括三个转速输入模块，实现三取二逻辑跳机的功能。每个转速模块以Cortex-M3为核心设计了转速调理通道、跳机DI输入通道、AO输出通道、报警DO输出通道、跳机DO输出通道、电源模块等模块。转速模块框图如图2所示。

图2 转速模块框图

各通道的基本设计思路如下。

①转速调理通道：对于霍尔型脉冲转速输入信号，通过共模扼流圈屏蔽干扰，然后通过高速光耦将波形转换为3.3 V方波输入微控制单元(micro controller unit,MCU)的定时器；对于磁阻型正弦波转速输入信号，通过稳压管、运放器、比较器等整形电路，将正弦波信号调理成3.3V方波输入MCU的定时器。

②AO输出通道：MCU通过SPI串口将转速所对应的百分比通过AO输出，4 mA对应1 Hz，20 mA对应20 kHz。输出电流通过AD420芯片驱动。

③报警DO输出通道：包括超速103%报警DO、超速110%报警DO。MCU输出数字量信号，通过常开继电器隔离输出。

④跳机DO输出通道：MCU通过跳机输出逻辑输出本模块的第一级跳机DO信号。此信号通过通信背板送往另2个模块。同时，本模块也接收另外2个模块发送过来的第一级跳机DO信号，输出给安全继电器。安全继电器的输出信号有两个触点输出，通过底板上的硬接线形成三取二逻辑，输出装置跳机DO信号。

⑤电源设计：装置共1组24 V DC电源输入，通过开关电源转换为5 V DC和3.3 V DC，为MCU和数字部分电路供电；同时，通过隔离电源转换出转速调理通道、DI输入通道、AO和DO通道的通道电源。

2 基于IEC 61508的功能安全设计

2.1 三取二逻辑功能的设计

整套装置的外部三路转速输入信号经过调理电路转换为脉冲信号，经过滤波隔离后送入三个主控模块。三个主控模块各自独立完成转速信号的采样，超速报警及故障逻辑判断，并将各自的判断结果通过通信背板连线进行三取二线与逻辑表决。当任意两个转速模块判断结果均为输出报警时，整套装置通过报警继电器对外输出报警信号与跳机DO信号。报警继电器可以根据系统设定分别在超速103%和110%时动作，使汽轮机、电动机等旋转机械迅速减速停车，进而保证生产设备安全。模块跳机DO和装置跳机DO输出的安全状态均为0，其逻辑条件如下。

①一个转速模块在上电和复位状态下跳机DO输出为0，正常工作时模块跳机DO输出为1，诊断有故障时模块跳机DO输出为0。

②两个转速模块同时产生超速110%报警，装置跳机DO输出从1变0。

③两个转速模块同时诊断出故障，装置跳机DO输出从1变0。

④两个转速模块外部跳机DI输入信号同时为1，装置跳机DO输出从1变0。

⑤当一个转速模块故障时，装置降级为2选1，即只要有一个模块故障或者产生超速110%报警或者跳机DI输入为1，装置跳机DO输出从1变0。

三取二逻辑功能框图如图3所示。

图3 三取二逻辑功能框图

2.2 软硬件故障诊断设计

依据IEC 61508标准对所设计转速报警装置的软硬件进行诊断设计。其中，硬件模块的诊断主要包括电源模块诊断、晶振诊断、PI通道诊断、DI通道诊断、DO通道诊断；软件模块的诊断主要包括堆栈、程序时序、RAM、ROM、指令、地址/数据行等的诊断。

对于硬件各功能模块的诊断采用如下方式。

①电源诊断。针对模块中用到的安全功能部分的电源进行采样，包括系统电源、转速调理通道电源、跳机DI通道电源和跳机DO通道电源。当采样偏差超过±10%时进行报警，偏差超过±20%时输出安全状态。

②晶振诊断。Cortex-M3芯片采用8 MHz晶振，同时用一个32.768 KB晶振与其进行对比诊断。当偏差超过±3%时，模块进行报警；当偏差超过±5%时，模块输出安全状态。

③PI通道诊断。将PI通道正端通过上拉电阻上拉到30 V，采用比较电路。当通道正常工作时输入电压小于24 V；断线时输入电压超过27 V，输出报警信号；通道短路时输入为0，进行超量程报警。

④DI通道诊断。通过Cortex-M3控制DI通道上的FETMOS开关，切换DI通道为断路或短路状态。在诊断周期内，当输入为常1时，切换DI通道为断路，此时输入变为0；当输入为常0时，切换DI通道为短路，此时输入变为1。若上述情况均能正常切换，则表明输入功能正常，否则输出报警。

⑤DO输出通道诊断。通过对输出DO信号采样，判断输出是否正确。

对于软件各功能模块的诊断，采用如下方式。

①堆栈诊断。堆栈诊断示意图如图4所示。堆栈指针地址在高地址与低地址之间。设置地址A(高位地址+1)=0x5A5A5A5A，地址B(低位地址-1)= 0xA5A5A5A5。诊断期间，MCU通过指针读取地址单元地址A和B，确认是否改变。如信息已更改，则表明设备发生了堆栈的上/下溢出故障。当检测到故障时，设备输出警报状态。

图4 堆栈诊断示意图

②程序时序诊断。在主程序中，按程序执行的顺序设置标志位。在中断期间，清除看门狗，如存在标志位，则清除标志位;否则，由看门狗触发系统进入安全状态，并输出报警状态。

③内存诊断。基于March C[6]算法进行内存诊断，诊断到故障，则输出报警状态。

④ROM诊断。采用CRC-16[7]算法(即循环冗余校验算法)。Cortex-M3的ROM的大小为512 KB，实际使用的大小小于300 KB。通过将ROM分成若干个小于1 KB的部分，针对每个部分均采用循环冗余校验(cyclic redundancy check,CRC)-16校验算法诊断，诊断到故障则输出报警状态。

⑤指令诊断。采用指令译码器测试指令执行结果，如果结果与预期不同，则认为指令系统异常，输出报警状态。

⑥地址/数据行诊断。Cortex-M3定期将测试数据写入并读取到相应的地址，查看是否满足预期的结果。如果读写数据不一致，Cortex-M3会在将错误标志写入诊断寄存器的同时输出报警。

3 功能安全验证及可靠性分析

3.1 功能安全完整性等级验证

进行电子设备可靠性预计的一般步骤如下[8]。

①划分可靠性预计单元，建立系统可靠性模型。

②计算各预计单元内元器件的工作失效率。

③将预计单元内各种类元器件的工作失效率相加，得出预计单元的失效率。

④按设备、系统的可靠性模型逐级预计设备、系统的平均故障间隔时间等可靠性指标。

依据上述可靠性预计的一般步骤，针对所设计的转速报警装置进行可靠性预计，将整套装置按照功能模块划分位电源模块、DI模块、PI_H模块、PI_M模块、MCU模块、DO模块、插槽和机架模块。基于ISO 13849-2:2012标准建立元器件的失效模型，基于Siemens SN29500标准分析计算元器件的失效率，然后将分析得到的各种类元器件工作失效率相加，得出整套装置的失效率。失效率及安全失效分数分析如表1所示。

表1 失效率及安全失效分数分析表

表1中：λS为安全失效率;λD为危险失效率;λDD为可诊断的危险失效率;λDU为不可诊断的危险失效率;SFF为安全失效分数。其计算公式如下：

(1)

整套装置的平均失效概率计算公式如下：

PFDavg=(λDU+λDD)tCE

(2)

其中：

(3)

式中：平均修理时间取MRT=8 h，平均修复时间取MTTR=24 h。当运行时间取T1=1 year=24×365 h=8 760 h 时，Pavg为109 889×10 e-9。而危险失效的失效频率(每小时)为：

P=λDU

(4)

根据IEC 61508标准规定，SIL3等级B类各指标要求如下：10e-4≤Pavg<10e-3，10e-8≤P<10e-7，SFF≥90%。由此可以看出，上述各指标均符合IEC 61508标准中的SIL3等级B类规范要求。

3.2 装置可靠性分析

可靠性是产品在规定的条件下和规定的时间内完成规定功能的能力或概率[9]。通过诊断覆盖率、平均无故障工作时间、可靠度等指标，可以估计整套装置的可靠性程度。

诊断覆盖率计算示意如图5所示。

图5 诊断覆盖率计算示意图

基于表1中数据，可以分析得出整套装置的诊断覆盖率D如下：

(5)

诊断覆盖率分级如表2所示。对比表2可以看出，所设计转速报警装置具有一个高诊断覆盖率。

表2 诊断覆盖率分级表

可靠度也是可靠性的主要特征量，依据功能模块的划分，绘制的转速报警装置逻辑框图如图6所示。

图6 转速报警装置逻辑框图

整套装置的任一模块丧失功能，此装置即不能正常工作，所以该装置是串联系统，整套装置的平均无故障工作时间t为：

(6)

可靠度为：

R(t)=R1R2R3R4R5R6

(7)

当工作349 719 h后，装置可靠度为0.99。从诊断覆盖率、平均无故障工作时间与可靠度指标来看，功能安全型的转速报警装置具有较高的可靠性。

4 结论

本文基于IEC 61508，设计了功能安全型的转速报警装置，通过三取二逻辑判断以及软硬件的故障诊断，实现了超速报警、紧急遮断、输出调节等功能。通过对装置可靠性预计及失效率的分析，确定了装置的安全完整性等级。通过对装置平均寿命及可靠度等指标的分析，验证了装置的可靠性。功能安全型的转速报警装置适用范围更广、可靠性更高，平均寿命长、诊断覆盖率高，为大型旋转机械设备的报警监控提供了一种安全、可靠的解决方案。