功能安全雙法蘭液位計采用1oo1D 硬件體系結構,根據功能安全標準IEC 61508 規定,雙法蘭液位計屬于TYPE B 系統,HFT為0,設計需求為安全完整性達到SIL 2,因此設計目標是99% >SFF > 90%。對于1oo1D 結構的雙法蘭液位計,如圖2 所示。在設計中為了提高診斷覆蓋率,針對變送器可能出現的故障,加入相應的診斷方法,分別對采集模塊、數據處理模塊以及通信模塊進行診斷,降低失效風險,使其安全完整性達到SIL2 標準。
變送器的工作過程中,變送器通過診斷功能周期性對傳感器模塊、EEPROM 模塊、外部RAM 模塊、電源模塊進行診斷,其中采集部分的診斷包括傳感器的診斷和采集電路的診斷,通信部分的診斷包括通訊超時和通訊數據錯誤的診斷,數據處理部分的診斷采用雙CPU 比較的方法來對變送器各階段處理結果進行比對,實現糾錯診斷和處理結果比對,來確保系統的安全可靠運行,當計算得到的采集CPU 和計算CPU 的各階段數據一致,變送器測壓過程中沒有故障產生,雙法蘭液位計功能得到執行,當計算得到的采集CPU 和計算CPU 的某一階段數據不一致,雙法蘭液位計立刻進入安全狀態,保證輸出信號的安全性,從而降低危險失效率,提高診斷覆蓋率。
在功能安全標準IEC61508-2 中對系統結構以及相應的診斷方法給出了詳細的介紹,IEC61508-2 里面列舉了針對復雜器件的必須予以考慮的診斷方法和相應的診斷覆蓋率[4-5]。結合功能安全雙法蘭液位計自身的結構和特點,本設計采用雙MCU 進行數據的運算和#終的比較,在采集部分對傳感器進行診斷,能夠診斷出傳感器的開路、短路,在通信部分加入了Profisafe 安全層,保證了通信數據的安全,采集部分和通信部分分別對可變內存和不可變內存進行診斷,確保數據存儲的正確性,電源部分采用專門的診斷電路對電源進行診斷,保證供電的安全,通過程序流監視的方法保證軟件運行的順序性和安全性。