功能安全型液位变送器的设计及可靠性分析
随着危险事故的频繁发生,人们开始重视工业生产过程中的安全问题。 如何才能减少危险的发生频率,以及让系统在危险发生之前及时做出反应,进入一种安全状态,这些因素已经成为了衡量现代工业技术的一项重要指标。 安全相关系统监视工业生产过程中的状态,在危险出现时及时采取措施,避免潜在危险造成的伤害或减轻其带来的损失。功能安全型变送器作为安全相关系统中的一个重要组成部分,通过对其进行一系列的诊断,达到实时监控系统的目的,提高诊断覆盖率,从而达到目标安全完整性等级,保证了工业生产过程安全可靠的进行。磁致伸缩液位传感器测量系统当前液位值,对传感器测得信号进行处理,得到标准电流输出,传送给下一个模块,在整个系统中是关键的一环。 因此,设计功能安全型液位变送器是工业领域迫切需要的。 文中在硬件方面,针对系统可能存在失效的部分增加诊断模块,提高系统可被诊断的失效率,保证变送器在发生失效时,可以通过自诊断电路或程序发现问题,使变送器进入安全状态 ; 最后经过一系列可靠性分析,验证该设计满足工业生产对安全方面的要求。
1 安全相关产品
随着2006年gb/t 20 438电气/电子/可编程电子安全相关系统的功能安全的颁布,功能安全的概念正式进入我国。目前,在石油、化工、冶金、核电等领域,安全相关产品的需求也越来越大。所谓的安全相关产品,是指可构成安全相关系统的、满足功能安全设计实现要求的、具有安全相关参数的产品[4]。通俗来讲,要称一个产品为安全相关产品,其必须具有一定的安全功能,保证系统在发生危险前进入安全状态。一个安全相关产品必有其对应的安全完整性等级,为了达到目标安全完整性等级,硬件设计和软件编程中都必须满足标准中规定的要求。硬件上存在随机硬件失效和系统失效这两个因素影响安全完整性等级,而软件上只存在系统失效。针对不同的失效,必须在设计开发过程中采取一定的措施和手段,实现其安全功能,从而降低失效发生的概率。
2 安全液位变送器的结构和安全功能
安全功能的要求来源于对危险的分析,即必须做什么以避开危险事件;而安全完整性等级的要求来源于对风险的评估,即安全功能必须执行到什么程度以使残余风险能够被接受[5] 。由安全相关产品的构成可 以看出,需要在产品的硬件和软件的设计上采取一系列措施,增加安全功能。硬件安全完整性等级受限于硬件故障裕度以及安全失效分数[6]。硬件故障裕度是指超过该参数的失效则会造成系统安全功能丧失,工业上往往根据设备的硬件需求已经确定其硬件故障裕度;而安全失效分数 sff 如式(1)'其中las指安全失效总概率,工入d 指危险失效总概率,工入dd指诊断测试检测到的危险失效概率[7] ' 可以看出安全失效分数与 可诊断的危险失效概率有关,也就是说可以通过增加诊断回路来提高安全失效分数。
液位变送器的安全功能就是准确测量液位值,并将测得的数据传输给后续处理模块。其基本功能模块主要包括信号输入、a/d转换、微处理器数据处理、dia转换输出、电源模块以及时钟模块[8]。在时钟系统的控制下,首先是传感器测得的数据通过信号输入模块传递给 a/d转换模块,经过a/d转换后传输给单片机,单片机对数据进行滤波计算出当前传感器测得的液位值以及 对应的码值写入dia转换模块,最后dia芯片根据得到的码值输出对应大小的标准电流信号,电源模块在这个过程中对其他的模块提供稳定电压。
3 安全液位变送器的设计
液位变送器在硬件上要达到目标安全完整性等 级,通常从两方面着手:通过冗余结构来提高硬件故障裕度,避免由于其中一条通道故障而导致系统进入危险状态;通过设计诊断电路增加安全失效分数,在危险发生之前能及时发现并采取措施,把危险失效转化为安全失效[9]。在硬件故障裕度为定值的情况下,通常针对每个功能模块设计诊断结构。
3.1 基本功能模块设计
液位变送器的基本功能主要包括信号输入,aid转换,微处理器数据处理,dia转换输出,以及电源模块和系统时钟模块。本文以stm32f103xx增强型系列芯片作为主芯片为例,具体讲述安全型液位变送器在硬件上的设计。系统上电后,时钟模块启动,在系统时钟提供的时钟下,由传感器测得的信号发送给单片机内嵌模数转换器,对输入信号进行模数转换,微处理器对转换后的信号进行运算处理,把得到的码值传送到外部dia模块,最后得到标准电流信号输出。
(1)电源模块。二线制功能安全型变送器不仅要为微处理器、数模转换器dia,通信电路供电,同时出 于安全保护考虑,输入输出电路需要相互隔离,因此,仅使用单片机内部电源远达不到要求。本设计使用linear公司生产的 lt1934 芯片,其输入电压范围 可达34 v, 最小也可为3.2 v, 能对各种电源进行调节。在输人24 v直流电时,与输入隔离的一组输出 5 v,4 ma电流,不隔离的一组输出5 v,9 ma电流,满足其他各模块的供电需求;
(2)时钟系统。微处理器的各个模块都需要在时 钟的驱动下工作。stm32存在五个时钟源,通常选择锁相环倍频输出(pl l)、8 mhz的rc振荡器(hsi)或高速外部时钟(hse)三者之一作为系统时钟,再通过ahb分频器分频后提供给各个模块使用。大部分提供给外设的时钟输出都是带有使能控制的,使用模块之前,必须发送信号开启其对应的时钟。这种设计的好处在于,当不使用某个外设时,关闭其对应的时钟,降低了系统的功耗。值得注意的是,看门狗电路使用内部低速时钟(lsi)'但窗口看门狗使用系统时钟是通过ahbl分频得到。设置a/d模块以及片外dia模块在相同频率下工作;
(3)mcu数据处理模块。stm32f103xx增强型系列芯片使用专门为要求高性能、低成本、低功耗的嵌入式应用而设计的高性能armcortex -m3的risc内核[10]。同时,芯片内置高速存储器,包括高达128kb 的闪存和20kb的sram[ll]'硬件上充分满足液位变送器的设计需求。此外,它具有丰富的功能模块,包括 2个12位adc、电源电压监控、电压调压器、dma控制器独立的看门狗以及窗口看门狗、7个定时器、9个通信接口(l2c,usart, spi, can, usb)等,优势不言而喻;
(4)a/d模块。stm32f103增强型产品内嵌两个12位的adc,每个adc有多达16个外部通道,转换电压范围在0-3. 6 v之间,从传感器输出的信号通常要经过电平移动或者放大传感器信号再送到adc中。使用adc模块前,必须开启pa口的时钟,并把pao设置成模拟输入。两个adc使用同一个时钟频率,最后采样转换得到的数据存放在adcl_dr寄存器中;(s)d/a模块。由于stm32fl03xx增强型系列芯片不含内嵌dia,因此必须选择一款dia芯片作为外设得到标准输出。本文选用ti公司的dac7750芯片。该系列芯片是12位的数模转换器,与单片机可以通过spi接口进行数据通信,输出电流范围有3组可供选择,4-20 ma,o -20 ma,o -24 ma , 符合产品的需求。与此同时,dac7750还具有部分自检功能,包括循环冗余校验,开路警报以及看门狗电路电流输出。
3.2 诊断模块设计
本文主要针对a/d,dia模块以及时钟模块进行硬件设计上的诊断。
(1)看门狗时钟诊断。看门狗实际上是一个定时器电路,输入端与单片机上的1/0相连,由程序控制定时向这个引脚传送高电平或低电平,就是俗称的"喂狗”另一端连接单片机的复位引脚。旦系统由于干扰出现程序跑飞或进入死循环,导致"喂狗”的动作没有如期进行,看门狗便会通过连接的复位引脚向单片机发送一个复位电平,使得单片机复位。 stm32f103增强型系列的芯片带有两个看门狗定时器,一个是独立看门狗,一个是窗口看门狗。由于要对晶振的偏移做出诊断,这里选择窗口看门狗,过早或太晚喂狗”都会造成系统复位;
(2)a/d模块诊断。由千stm32fl03xx增强型产品内嵌两个12位的模数转换器adc,这里采用双adc模式,对输入信号进行同步采样,转换后的数据adcl转换得来的数据存储在寄存器的低16位,由adc2得到数据存储在高16位。adc2得到的数据作为一个参考数据,与adcl得到的数据进行比较,若两存储在a/d接口的adc_jdrl存储器中,其中由adcl转换得来的数据存储在寄存器的低16位,由adc2得到数据存储在高16位。adc2得到的数据作为一个参考数据,与adcl得到的数据进行比较,若两个数据之间的误差在可接受范围内,则认为系统安全,把寄存器的低16位数据传送给mcu进行处理;否则的话,认为adc出现故障有可能导致系统发生危险失效,此时软件上必须保证系统进入一种安全状态;
(3)d/a模块诊断。系统中增加一块a/d芯片作为dia模块的诊断。给定一个设定值,经过dia转换后,把转换得到的数据作为a/d模块的输入,并对经a/d转换后的输出信号进行回采。对比最后得到 的数据与设定值,若两者相同,则认为dia转换通道没问题;若不同,则判定会发生失效[12]。此外,在系统运行过程中,可通过访问dac7750内部高精度电阻器来实时监控电流输出,一旦超出正常输出范围,系统发出警报。
4 硬件安全完整性等级分析
根据iec61508的定义,液位变送器属于b类安全相关子系统,即失效模式不能被定义的子系统,同时根据1001d的系统结构得出其硬件故障裕度为0。由表l可知,系统要达到目标安全完整性等级 s112, 其安全失效分数必须达到90%以上。
文中采用的fmeda分析法依据的标准主要由失效率预计、元器件失效模式及其百分比和元器件失效 模式排除依据3部分组成[13 l。对于复杂器件,不能对失效模式进行详细分析时,通常将失效分为安全失效50%, 危险失效50%[14]。根据各模块采取的诊断措施,可从iec61508 -2中查出诊断方法及其对应的诊断覆盖率[5,10]。本文参考国家标准gjb/z299c-2006电子设备可靠性预计手册,对每种元器件进行失效模式、失效概率以及失效影响分析,可以得到相对准确的失效模式以及诊断覆盖的评估信息[15]'具体数据如表2中fmeda的分析结果。
5 结束语
本文系统介绍了功能安全型液位变送器在硬件上 的设计,在硬件故障裕度为定值0的情况下,采取 loold的系统硬件结构,分别对电源模块,时钟模块, 微处理器数据处理模块,输出模块设计诊断回路,有效增大安全失效分数。 经过可靠性分析,验证安全失效 分数达到98. 3%, 从而在硬件上满足其目标安全完整 性等级 si巳的要求。
关键词:变送器 监控系统 液位传感器 传感器 液位变送器
瑞士国际快递(瑞士国际快递查询)
厂家生产环保扫地车325*660除尘滤筒滤芯
一体化健康小屋体检机管理设备解决方案
差压式流量计工作原理
HDW41X型多功能无声止回阀性能特点
功能安全型液位变送器的设计及可靠性分析
砂浆试验设备清单
蝶阀使用时应留意的细节
SK轴支座图片
RAW什么意思
美国托运费用多少?
LED行业是如何实现等离子体智能化来降低成本的
锅炉除尘器改造的原因讲解
上海到美国海运整箱出口(上海到美国海运代理)
CC-PAIH01 51405038-175 模拟输入模块 参考说明
NWZ耐污渍试验机使用操作说明
磁分离水处理设备的工作原理是什么?
排污泵选型时的注意事项
昆明冷藏物流 昆明到景洪冷藏物流
河北钢套钢直埋管详细使用技术分析
1 安全相关产品
随着2006年gb/t 20 438电气/电子/可编程电子安全相关系统的功能安全的颁布,功能安全的概念正式进入我国。目前,在石油、化工、冶金、核电等领域,安全相关产品的需求也越来越大。所谓的安全相关产品,是指可构成安全相关系统的、满足功能安全设计实现要求的、具有安全相关参数的产品[4]。通俗来讲,要称一个产品为安全相关产品,其必须具有一定的安全功能,保证系统在发生危险前进入安全状态。一个安全相关产品必有其对应的安全完整性等级,为了达到目标安全完整性等级,硬件设计和软件编程中都必须满足标准中规定的要求。硬件上存在随机硬件失效和系统失效这两个因素影响安全完整性等级,而软件上只存在系统失效。针对不同的失效,必须在设计开发过程中采取一定的措施和手段,实现其安全功能,从而降低失效发生的概率。
2 安全液位变送器的结构和安全功能
安全功能的要求来源于对危险的分析,即必须做什么以避开危险事件;而安全完整性等级的要求来源于对风险的评估,即安全功能必须执行到什么程度以使残余风险能够被接受[5] 。由安全相关产品的构成可 以看出,需要在产品的硬件和软件的设计上采取一系列措施,增加安全功能。硬件安全完整性等级受限于硬件故障裕度以及安全失效分数[6]。硬件故障裕度是指超过该参数的失效则会造成系统安全功能丧失,工业上往往根据设备的硬件需求已经确定其硬件故障裕度;而安全失效分数 sff 如式(1)'其中las指安全失效总概率,工入d 指危险失效总概率,工入dd指诊断测试检测到的危险失效概率[7] ' 可以看出安全失效分数与 可诊断的危险失效概率有关,也就是说可以通过增加诊断回路来提高安全失效分数。
液位变送器的安全功能就是准确测量液位值,并将测得的数据传输给后续处理模块。其基本功能模块主要包括信号输入、a/d转换、微处理器数据处理、dia转换输出、电源模块以及时钟模块[8]。在时钟系统的控制下,首先是传感器测得的数据通过信号输入模块传递给 a/d转换模块,经过a/d转换后传输给单片机,单片机对数据进行滤波计算出当前传感器测得的液位值以及 对应的码值写入dia转换模块,最后dia芯片根据得到的码值输出对应大小的标准电流信号,电源模块在这个过程中对其他的模块提供稳定电压。
3 安全液位变送器的设计
液位变送器在硬件上要达到目标安全完整性等 级,通常从两方面着手:通过冗余结构来提高硬件故障裕度,避免由于其中一条通道故障而导致系统进入危险状态;通过设计诊断电路增加安全失效分数,在危险发生之前能及时发现并采取措施,把危险失效转化为安全失效[9]。在硬件故障裕度为定值的情况下,通常针对每个功能模块设计诊断结构。
3.1 基本功能模块设计
液位变送器的基本功能主要包括信号输入,aid转换,微处理器数据处理,dia转换输出,以及电源模块和系统时钟模块。本文以stm32f103xx增强型系列芯片作为主芯片为例,具体讲述安全型液位变送器在硬件上的设计。系统上电后,时钟模块启动,在系统时钟提供的时钟下,由传感器测得的信号发送给单片机内嵌模数转换器,对输入信号进行模数转换,微处理器对转换后的信号进行运算处理,把得到的码值传送到外部dia模块,最后得到标准电流信号输出。
(1)电源模块。二线制功能安全型变送器不仅要为微处理器、数模转换器dia,通信电路供电,同时出 于安全保护考虑,输入输出电路需要相互隔离,因此,仅使用单片机内部电源远达不到要求。本设计使用linear公司生产的 lt1934 芯片,其输入电压范围 可达34 v, 最小也可为3.2 v, 能对各种电源进行调节。在输人24 v直流电时,与输入隔离的一组输出 5 v,4 ma电流,不隔离的一组输出5 v,9 ma电流,满足其他各模块的供电需求;
(2)时钟系统。微处理器的各个模块都需要在时 钟的驱动下工作。stm32存在五个时钟源,通常选择锁相环倍频输出(pl l)、8 mhz的rc振荡器(hsi)或高速外部时钟(hse)三者之一作为系统时钟,再通过ahb分频器分频后提供给各个模块使用。大部分提供给外设的时钟输出都是带有使能控制的,使用模块之前,必须发送信号开启其对应的时钟。这种设计的好处在于,当不使用某个外设时,关闭其对应的时钟,降低了系统的功耗。值得注意的是,看门狗电路使用内部低速时钟(lsi)'但窗口看门狗使用系统时钟是通过ahbl分频得到。设置a/d模块以及片外dia模块在相同频率下工作;
(3)mcu数据处理模块。stm32f103xx增强型系列芯片使用专门为要求高性能、低成本、低功耗的嵌入式应用而设计的高性能armcortex -m3的risc内核[10]。同时,芯片内置高速存储器,包括高达128kb 的闪存和20kb的sram[ll]'硬件上充分满足液位变送器的设计需求。此外,它具有丰富的功能模块,包括 2个12位adc、电源电压监控、电压调压器、dma控制器独立的看门狗以及窗口看门狗、7个定时器、9个通信接口(l2c,usart, spi, can, usb)等,优势不言而喻;
(4)a/d模块。stm32f103增强型产品内嵌两个12位的adc,每个adc有多达16个外部通道,转换电压范围在0-3. 6 v之间,从传感器输出的信号通常要经过电平移动或者放大传感器信号再送到adc中。使用adc模块前,必须开启pa口的时钟,并把pao设置成模拟输入。两个adc使用同一个时钟频率,最后采样转换得到的数据存放在adcl_dr寄存器中;(s)d/a模块。由于stm32fl03xx增强型系列芯片不含内嵌dia,因此必须选择一款dia芯片作为外设得到标准输出。本文选用ti公司的dac7750芯片。该系列芯片是12位的数模转换器,与单片机可以通过spi接口进行数据通信,输出电流范围有3组可供选择,4-20 ma,o -20 ma,o -24 ma , 符合产品的需求。与此同时,dac7750还具有部分自检功能,包括循环冗余校验,开路警报以及看门狗电路电流输出。
3.2 诊断模块设计
本文主要针对a/d,dia模块以及时钟模块进行硬件设计上的诊断。
(1)看门狗时钟诊断。看门狗实际上是一个定时器电路,输入端与单片机上的1/0相连,由程序控制定时向这个引脚传送高电平或低电平,就是俗称的"喂狗”另一端连接单片机的复位引脚。旦系统由于干扰出现程序跑飞或进入死循环,导致"喂狗”的动作没有如期进行,看门狗便会通过连接的复位引脚向单片机发送一个复位电平,使得单片机复位。 stm32f103增强型系列的芯片带有两个看门狗定时器,一个是独立看门狗,一个是窗口看门狗。由于要对晶振的偏移做出诊断,这里选择窗口看门狗,过早或太晚喂狗”都会造成系统复位;
(2)a/d模块诊断。由千stm32fl03xx增强型产品内嵌两个12位的模数转换器adc,这里采用双adc模式,对输入信号进行同步采样,转换后的数据adcl转换得来的数据存储在寄存器的低16位,由adc2得到数据存储在高16位。adc2得到的数据作为一个参考数据,与adcl得到的数据进行比较,若两存储在a/d接口的adc_jdrl存储器中,其中由adcl转换得来的数据存储在寄存器的低16位,由adc2得到数据存储在高16位。adc2得到的数据作为一个参考数据,与adcl得到的数据进行比较,若两个数据之间的误差在可接受范围内,则认为系统安全,把寄存器的低16位数据传送给mcu进行处理;否则的话,认为adc出现故障有可能导致系统发生危险失效,此时软件上必须保证系统进入一种安全状态;
(3)d/a模块诊断。系统中增加一块a/d芯片作为dia模块的诊断。给定一个设定值,经过dia转换后,把转换得到的数据作为a/d模块的输入,并对经a/d转换后的输出信号进行回采。对比最后得到 的数据与设定值,若两者相同,则认为dia转换通道没问题;若不同,则判定会发生失效[12]。此外,在系统运行过程中,可通过访问dac7750内部高精度电阻器来实时监控电流输出,一旦超出正常输出范围,系统发出警报。
4 硬件安全完整性等级分析
根据iec61508的定义,液位变送器属于b类安全相关子系统,即失效模式不能被定义的子系统,同时根据1001d的系统结构得出其硬件故障裕度为0。由表l可知,系统要达到目标安全完整性等级 s112, 其安全失效分数必须达到90%以上。
文中采用的fmeda分析法依据的标准主要由失效率预计、元器件失效模式及其百分比和元器件失效 模式排除依据3部分组成[13 l。对于复杂器件,不能对失效模式进行详细分析时,通常将失效分为安全失效50%, 危险失效50%[14]。根据各模块采取的诊断措施,可从iec61508 -2中查出诊断方法及其对应的诊断覆盖率[5,10]。本文参考国家标准gjb/z299c-2006电子设备可靠性预计手册,对每种元器件进行失效模式、失效概率以及失效影响分析,可以得到相对准确的失效模式以及诊断覆盖的评估信息[15]'具体数据如表2中fmeda的分析结果。
5 结束语
本文系统介绍了功能安全型液位变送器在硬件上 的设计,在硬件故障裕度为定值0的情况下,采取 loold的系统硬件结构,分别对电源模块,时钟模块, 微处理器数据处理模块,输出模块设计诊断回路,有效增大安全失效分数。 经过可靠性分析,验证安全失效 分数达到98. 3%, 从而在硬件上满足其目标安全完整 性等级 si巳的要求。
关键词:变送器 监控系统 液位传感器 传感器 液位变送器
瑞士国际快递(瑞士国际快递查询)
厂家生产环保扫地车325*660除尘滤筒滤芯
一体化健康小屋体检机管理设备解决方案
差压式流量计工作原理
HDW41X型多功能无声止回阀性能特点
功能安全型液位变送器的设计及可靠性分析
砂浆试验设备清单
蝶阀使用时应留意的细节
SK轴支座图片
RAW什么意思
美国托运费用多少?
LED行业是如何实现等离子体智能化来降低成本的
锅炉除尘器改造的原因讲解
上海到美国海运整箱出口(上海到美国海运代理)
CC-PAIH01 51405038-175 模拟输入模块 参考说明
NWZ耐污渍试验机使用操作说明
磁分离水处理设备的工作原理是什么?
排污泵选型时的注意事项
昆明冷藏物流 昆明到景洪冷藏物流
河北钢套钢直埋管详细使用技术分析