功能安全壓力變送器的設(shè)計與實現(xiàn)

摘要：為滿足安全儀表系統(tǒng)的設(shè)計選型和系統(tǒng)構(gòu)成，根據(jù)IEC61508標準設(shè)計研發(fā)了一種功能安全壓力變送器，傳感器部件基于非冗余設(shè)計實現(xiàn)了二重化功能，給出了電路部分的硬件設(shè)計。并進行安全可靠性評估和測試，取得了安全完整性等級認證。

功能安全壓力變送器作為安全儀表系統(tǒng)(SIS)的重要組成部分，其設(shè)計和制造的全過程必須滿足IEC61508標準的要求。針對石油、石化等行業(yè)的重要設(shè)備控制領(lǐng)域中使用的壓力變送器，為了檢測出壓力傳感器的故障并確保檢測值的可靠性，可參照IEC61508.7附錄A.12.1參考傳感器的要求:使用一個獨立的參考傳感器來監(jiān)測過程傳感器的工作［2］，傳感器應進行冗余設(shè)計以確保檢測值的可靠性和產(chǎn)品的安全性。但這種設(shè)計結(jié)構(gòu)復雜，同時增加了制造成本，為此，開發(fā)了一種新型的功能安全壓力變送器及其檢測方法和檢測程序。自主設(shè)計的運算單元和補正單元，通過采樣芯片內(nèi)部正負反轉(zhuǎn)切換功能，交互進行采樣計算，實現(xiàn)采樣電路的冗余功能;自主設(shè)計的診斷單元可診斷出傳感器的故障。通過電路部分的硬件、軟件測試驗證，取得了安全完整性等級(SIL)認證，實現(xiàn)了產(chǎn)品的批量應用。

1產(chǎn)品開發(fā)的技術(shù)路線

根據(jù)IEC61508標準以實現(xiàn)產(chǎn)品安全完整性等級SIL2、SIL3的目標，項目產(chǎn)品的開發(fā)嚴格按圖1的技術(shù)路線實施。

2傳感器部件二重化功能的設(shè)計與實現(xiàn)

2.1傳感器二重化功能設(shè)計

圖2為差壓傳感器功能框圖。為避免傳感器的冗余設(shè)置，根據(jù)差壓傳感器的一對電容C1、C2容量變化是否出現(xiàn)了對稱性失效從而檢測傳感器的故障。假設(shè)一邊的電容和另一邊電容發(fā)生的容量變化相同，差壓傳感器是正常的話，則壓差所對應的電容量變化和壓差值正負反轉(zhuǎn)后的應該一樣。電容C1、C2任何一邊的壓力反轉(zhuǎn)值C1'(p)、C2'(p)和另一邊實測值C2(p)、C1(p)進行比較，可診斷出差壓傳感器的故障。這樣，不需要差壓傳感器的冗余設(shè)計，通過壓力反轉(zhuǎn)值的計算就可以檢測差壓傳感器的故障，實現(xiàn)差壓傳感器二重化的功能。

2.2各單元的功能

差壓傳感器設(shè)置了以下3個單元:根據(jù)電容C1的實測值得出壓力反轉(zhuǎn)值的運算單元;對壓力反轉(zhuǎn)值進行補正的補正單元;對差壓傳感器進行故障診斷的診斷單元。各單元的具體功能如下:

a.運算單元。對壓力作用在硅膜片上產(chǎn)生的壓差值進行正負反轉(zhuǎn)時，算出電容C1的壓力反轉(zhuǎn)值C1'(p)。

b.補正單元。對于差壓傳感器的實際產(chǎn)品，差壓零點狀態(tài)的電容C1、C2的容量會產(chǎn)生誤差。補正單元在差壓零點狀態(tài)的電容C1、C2的差值基礎(chǔ)上，對壓力反轉(zhuǎn)值C1'(p)進行補正。

c.診斷單元。將電容C1補正后的壓力反轉(zhuǎn)值C1″(p)和電容C2的實測值C2(p)進行對比做出差壓傳感器的故障判斷。診斷單元將按照補正后的壓力反轉(zhuǎn)值C1″(p)和實測值C2(p)的差分(C1″(p)－C2(p))是否在允許范圍之內(nèi)來診斷故障。補正后的壓力反轉(zhuǎn)值C1″(p)和實測值C2(p)之間產(chǎn)生的差分在允許誤差范圍之內(nèi)時，差壓傳感器被診斷為正常。反之，補正后的壓力反轉(zhuǎn)值C1″(p)和實測值C2(p)之間的差分超過了允許誤差范圍，則差壓傳感器被診斷為故障。當診斷單元診斷出差壓傳感器為故障時，將由差壓變送器向外部控制器或監(jiān)視器輸出模擬/數(shù)字信號的故障警報。

利用以上3個單元的功能和對應的運算，可以在傳感器非冗余設(shè)計的前提下，實現(xiàn)傳感器二重化的功能，有效地檢測出差壓傳感器的故障，滿足功能安全的要求。

3硬件安全完整性等級

系統(tǒng)硬件框圖如圖3所示，硬件部分由1個單元和5塊電路板組成，即傳感器單元、CPU板、電源板、LCD板、端子板和避雷器板。其中傳感器單元由壓力傳感器、ＲU板和檢出板組成。

按硬件塊劃分，硬件部分由功能安全相關(guān)的硬件塊和非功能安全相關(guān)的硬件塊組成。其中，功能安全相關(guān)的硬件塊包括傳感器、傳感器數(shù)據(jù)、供電、信號轉(zhuǎn)換、時鐘、配置數(shù)據(jù)、輸出和中央處理器;非功能安全相關(guān)的硬件塊包括脈沖開關(guān)、調(diào)制解調(diào)和LCD液晶顯示。

與功能安全相關(guān)的硬件塊對應的可靠性塊劃分，由輸入、時鐘、處理器、存儲器、供電和輸出組成。

根據(jù)元器件失效模式和影響分析(FMEA)，測試計算出各可靠性塊的安全失效率λS、可檢測危險失效率λDD和不可檢測危險失效率λDU的總和如下:

可以計算出安全失效分數(shù)為97.06%。

表1為安全完整性等級劃分表。依據(jù)表1，變送器的安全失效分數(shù)(SFF)滿足90%～99%的條件，因此，硬件安全完整性等級可達到SIL2標準(HFT=0)，也可達到SIL3標準(HFT=1)。

4軟件安全完整性等級

為完成項目產(chǎn)品并實現(xiàn)功能安全，自主研發(fā)產(chǎn)品及其測試的專用軟件所采用的技術(shù)均符合IEC61508.3附錄A、附錄B中SIL3等級的技術(shù)和措施要求，經(jīng)過認證方對功能安全評估后可以達到SIL3要求。

5測試認證

SIL認證。產(chǎn)品設(shè)計研發(fā)和測試驗證的全程嚴格按照IEC61508國際標準的要求進行。依據(jù)IEC61508標準，完成開發(fā)產(chǎn)品的功能安全測試報告，頒發(fā)了功能安全認證證書，安全完整性等級為:硬件SIL2(HFT=0)、SIL3(HFT=1)，軟件SIL3。

HAＲT認證。取得了美國HAＲT基金會通信協(xié)議7.0版本的認證。

防爆認證。依據(jù)GB3836爆炸性環(huán)境標準，取得了儀器儀表防爆安全監(jiān)督檢驗站(NEPSI)的防爆認證證書，防爆等級為:

本質(zhì)安全型ExiaⅡCT4Ga

綜合防爆型ExdⅡCT4/T6Ga/GbExiaⅡCT4GaExTdA21

6結(jié)束語

功能安全壓力變送器產(chǎn)品的研發(fā)和實現(xiàn)滿足安全儀表系統(tǒng)(SIS)的設(shè)計選型和系統(tǒng)構(gòu)成，為大型流程化行業(yè)重要裝置的安全性及測量的可靠性、穩(wěn)定性提供了可靠的技術(shù)保障，具有很好的應用前景和市場空間。另外，在中石油、中石化所屬多家企業(yè)的工程項目中以及海內(nèi)外其他石油化工企業(yè)等眾多項目中得到應用，用戶普遍反映產(chǎn)品性能穩(wěn)定可靠、精度高、維護量小、使用效果良好。