功能安全双法兰液位计采用1oo1D 硬件体系结构,根据功能安全标准IEC 61508 规定,双法兰液位计属于TYPE B 系统,HFT为0,设计需求为安全完整性达到SIL 2,因此设计目标是99% >SFF > 90%。对于1oo1D 结构的双法兰液位计,如图2 所示。在设计中为了提高诊断覆盖率,针对变送器可能出现的故障,加入相应的诊断方法,分别对采集模块、数据处理模块以及通信模块进行诊断,降低失效风险,使其安全完整性达到SIL2 标准。
变送器的工作过程中,变送器通过诊断功能周期性对传感器模块、EEPROM 模块、外部RAM 模块、电源模块进行诊断,其中采集部分的诊断包括传感器的诊断和采集电路的诊断,通信部分的诊断包括通讯超时和通讯数据错误的诊断,数据处理部分的诊断采用双CPU 比较的方法来对变送器各阶段处理结果进行比对,实现纠错诊断和处理结果比对,来确保系统的安全可靠运行,当计算得到的采集CPU 和计算CPU 的各阶段数据一致,变送器测压过程中没有故障产生,双法兰液位计功能得到执行,当计算得到的采集CPU 和计算CPU 的某一阶段数据不一致,双法兰液位计立刻进入安全状态,保证输出信号的安全性,从而降低危险失效率,提高诊断覆盖率。
在功能安全标准IEC61508-2 中对系统结构以及相应的诊断方法给出了详细的介绍,IEC61508-2 里面列举了针对复杂器件的必须予以考虑的诊断方法和相应的诊断覆盖率[4-5]。结合功能安全双法兰液位计自身的结构和特点,本设计采用双MCU 进行数据的运算和#终的比较,在采集部分对传感器进行诊断,能够诊断出传感器的开路、短路,在通信部分加入了Profisafe 安全层,保证了通信数据的安全,采集部分和通信部分分别对可变内存和不可变内存进行诊断,确保数据存储的正确性,电源部分采用专门的诊断电路对电源进行诊断,保证供电的安全,通过程序流监视的方法保证软件运行的顺序性和安全性。