自诊断和失效模式作为最主要的两个因素，对温度变送器的安全功能具有极其重要的影响。温度变送器具有自诊断功能，当其处于运行状态时，可以有效诊断自身工作状态。当温度变送器出现故障，失效时，便会发出警告，及时降低危险性，便于工作人员及时发现并修复故障。温度变送器具有自动检测自身是否失效的能力，这一能力被定义为诊断覆盖率。诊断覆盖率较低时，达不到安全完整性要求与安全功能要求。相关工作人员需要修改其软件与硬件设计，直至其诊断覆盖率达标，安全性得以保障。温度变送器失效模式主要由安全失效、危险失效和无影响失效等 3 部分构成。当温度变送器在运行过程中出现失效情况时，工作人员需要对变送器进行失效性分析，从而确定单个部件的失效模式是否影响整个温度变送器的运行状况。

2 功能安全温度变送器设计方案

2.1 系统设计

温度变送器采用 1-out-of-1 diagnosis 系统机构，简称 1oo1 D 系统结构。系统设计了诊断通道和数据采集通道两个相对独立的通道，不会发生冗余现象。安全温度变送器主要包括数据信息采集、以及输出与通信两大部分。温度变送器运行过程中，温度数据的采集主要由数据采集部分完成。数据采集完毕后，还会对其进行整理、计算，以串口为媒介发送到通信部分中。温度数据的计算、通信和模拟量输出的部分则由输出通信部分完成。数据信息采集部分和输出与通信部分的完美配合，可以实现安全变送器的所有功能，确保其安全高效运行。安全温度变送器由以下模块组成。

（1）A/D 模块。主要功能是采集模拟量。

（2）D/A 模块。主要负责内容是最后电流的模拟输出。

（3）微控制器。主要功能是处理安全功能和数据采集功能的数据。

（4）通信模块，即串口通信（UART）模块。主要负责功能是将 A/D 数据采集部分和 D/A 数据输出与通信部分进行交换。

（5）诊断电路。主要功能是诊断温度变送器各组成部分安全有效性。

温度变送器上电后，首先应该诊断其微控制器，使其实行自检功能。自检过后，再按照顺序诊断其他模块。从前到后的顺序为：传感器模块、A/D 模块、D/A 模块、信号输出模块。温度变送器在自诊断过程中，诊断出自身存在风险，则立即产生报警指示，并发出报警信号，控制器据此发现有失效情况。当温度变送器无错误情况产生，安全稳定运行时，变送器便可开始有效采集数据。另外，结合 HARA 总线分析，这一过程可以通过 D/A 转换形式，完成信号传送。

2.2 诊断方式

安全温度变送器的两个微控制器分别具有通信功能与数据采集功能。根据这个特点，数据对比方法作为冗余结构常用方法，将其引入到温度变送器中，可以有效提高数据采集与发送的安全性与可靠性。同时，温度变送器的其他模块也需要定期进行诊断，才能为温度变送器的安全性提供有力保障。主要诊断内容如下

（1）A/D 模块的诊断。在进行A/D模块诊断过程中，微控制器会产生一个系统设定值，经过离散化程序后，通过D/A模块采回数据。将采回值与设定值作对比。若二者相同，则认为 A/D 模块运行正常；若二者不同，则判断为出现失效。

（2）D/A 模块的诊断。同A/D诊断方式一样，同样比较设定值与采回值。若检测出失效的情况，则D/A在电流环路上输出报警电流。同时，D/A模块还具有其他功能，如通信计时功能和监视环路电流的功能等。当D/A 模块与微控制器模块的通信超时，或是环路电流超出规定范围时，都会产生警报。

（3）微控制器的诊断。温度变送器由两个微控制器组成，两个微控制器在完成各自功能的同时，还可以进行数据对比工作，间接诊断CPU和数据采集通道整体是否存在失效性。温度变送器工作是由温度传感器获取温度信号，再经A/D采集，变送器的两个微控制器便开始对原始温度数据进行计算，再比较其计算结果是否相同。若计算结果不同，则有报警电流输出，若计算结果相同，则将计算结果经由通信模块输出。

3 功能安全温度变送器可靠性分析

在安全温度变送器开发过程中，安全完整等级（SIL）指的是在一定条件下，安全功能正确执行的概率，是总体设计的一部分，用于衡量整个温度变送器安全性能是否达标，其数值表示变送器风险降低的数量级。在开发设计过程中，应在安全变送器中引入一定的安全措施，如诊断方法等，才能降低一些潜在风险，进而提高诊断覆盖率。确保温度安全变送器各部分及整体都能够符合要求，达到一定的安全完整性等级。安全完整性是评价安全温度变送器安全功能的重要指标。同时，还可以通过一些统计指标对安全温度变送器的可靠性进行分析，如时效效率（PFD）和平均无障碍时间等。并且，安全完整性等级的确定还受到安全失效分数（SFF）影响。综上，安全功能可靠性的评价需要借助一些数据指标完成。

首先，是Markov模型。这一模型通过分析系统在不同状态下的转换，来评估其安全性。在系统处于不同安全状态时，这一模型同时可为简单与复杂模型提供精准诊断评估结果。本文中安全温度变送器采用1oo1D系统结构，在行使诊断功能时，可将诊断到的危险失效转变为安全失效。Markov 模型在考虑到安全失效与危险失效这两种模式的同时，考虑到故障状态下，变送器的修复率能够达到常数，并且经过重新启动，仍能正常运行。建模假设在IEC 61508-6中有详尽描述。安全温度变送器采用的 1oo1D 体系结构中Markov的转移过程包含3个状态。

（1）OK（0）状态，表示初始情况下的正常情况。

（2）FS（1）状态，表示安全失效。

（3）FDU（2）表示存在没有被检测到的危险失效情况。当数据采集通道发生失效情况，变送器的状态就会由 0 转变为 1，表示危险失效被转换成了安全失效。当变速器重新启动正常运行时，其状态又会由 1 转变为 0。未能检测到失效时，状态又会由 0 变为 2。

其次，是安全完整性评估。温度变送器失效模式和诊断分析（FMEDA）对诊断覆盖率和失效率具有重要影响。失效模式影响及其诊断分析能够对设备的诊断能力以及不同失效模式进行合理有效的分析。它主要需要两方面信息。一方面，需要变送器所有部件的失效数据，主要包括失效模式分布与失效率；另一方面，需要诊断获得的内部失效能力信息。当失效模式影响及其诊断分析较为详细时，就能为失效模式与诊断覆盖率提供相对准确的分析。现场失效模式对这些信息进行报告工作，才能合理评估温度变送器失效模式与失效率。通过整理分析这些信息数据，以它为依据，可以准确计算安全评估参数，如安全失效分数和诊断覆盖率等，进而实行安全评价。

通过失效模式和诊断分析，了解温度变送器的安全失效、危险失效与无影响失效模式对整个温度变送器是否具有影响差异，进而推导出安全失效与危险失效之间的比例，以及不同失效模式下的失效率数值。就某些复杂器件而言，IEC 61508-2 列举了一些情况下的诊断覆盖率。其中，主要强调针对一些复杂器件，在计算其诊断覆盖率时，必须对其失效模式予以充分考虑，高度重视。

通过对比较低要求下的操作模式安全完整性等级表，判断温度变送器安全完整性。证明本研究所述诊断方案的温度变送器具有可靠性。同时通过失效模式和诊断，分析各模式对温度变送器的影响，提高了 Markov 模型有效性，使其应用优势得以全面发挥，总体满足社会及相关企业需求。

4 结语

研究中安全温度变送器采用的体系结构是 1oo1D 体系模式，主要由两个微控制端组成。能够有效将数据对比分析模式引入到变速设备中。同时对各模块进行分析诊断，有利于保障安全温度变送器可靠性。

参考文献

［1］王钰涵.功能安全温度变送器设计和可靠性分析［J］.化工管理， 2017（19）：41.

［2］余韦，谢亚莲.功能安全型液位变送器的设计及可靠性分析［J］.电子科技，2017，30（6）：118-121.

［3］胥玉萍，肖继学，李海军，等.电力电缆电力传送实验平台测试系统设计［J］.中国测试，2016，42（8）：88-92.

［4］周亚，徐皑冬，白占元，等.功能安全温度变送器设计和可靠性分析［J］.自动化仪表，2013，34（6）：70-73.

［5］孙伟，江国进，田亚杰，等.基于概率论技术的安全壳喷淋信号仪控设计方案分析与可靠性计算［J］.核科学与工程，2012，32（S2）：145-151.

上一篇超短基线水声定位系统误差校准方法综述下一篇超短基线水声定位系统