在繼電保護(hù)行業(yè)中，那什么是功能安全?

【專家解說】：功能安全簡介 對于客戶而言，一個(gè)工業(yè)系統(tǒng)的什么特性最重要?相信會有不少回答，但可以肯定的是，其中一定有個(gè)答案是-安全!那什么是安全?是完全沒有危險(xiǎn)，不受威脅，不出事故的狀態(tài)和過程嗎?恐怕這種絕對的安全在自然界中并不存在。在IEC61508-4中有對于安全更合乎實(shí)際的定義，安全就是沒有不可接受的風(fēng)險(xiǎn)。用個(gè)更通俗的表述來說，就是當(dāng)一個(gè)系統(tǒng)的風(fēng)險(xiǎn)降低到可接受的范圍時(shí)，那這個(gè)系統(tǒng)就是安全的。 那什么又是功能安全呢?IEC61508-4中的定義是功能安全是整體安全的組成部分，它取決于系統(tǒng)或設(shè)備對于其輸入的正確響應(yīng)。筆者更愿意用另外一種定義來理解功能安全:在系統(tǒng)或者某個(gè)設(shè)備發(fā)生隨機(jī)失效、系統(tǒng)失效或者共因失效，都不會導(dǎo)致對人員或者環(huán)境產(chǎn)生危害，那這個(gè)系統(tǒng)就是在功能上是安全的。 功能安全在各行業(yè)的應(yīng)用現(xiàn)狀 2000年出臺的IEC61508是一個(gè)基礎(chǔ)標(biāo)準(zhǔn)，是應(yīng)用最廣泛的功能安全國際標(biāo)準(zhǔn)。由此功能安全做為獨(dú)立的安全學(xué)科，開始自成體系。IEC61508考慮了所有與安全相關(guān)的系統(tǒng)的整體、硬件和軟件生存周期階段，為安全系統(tǒng)實(shí)現(xiàn)必要的功能安全提供了一個(gè)規(guī)范安全需求的方法，并把風(fēng)險(xiǎn)做為一個(gè)度量危險(xiǎn)的指標(biāo)，用安全完整性等級來說明一個(gè)統(tǒng)一的安全目標(biāo)。 在IEC61508基礎(chǔ)上，很多行業(yè)都衍生出了各自的行業(yè)安全標(biāo)準(zhǔn)，用于指導(dǎo)各自行業(yè)對于安全產(chǎn)品的開發(fā)。具體可以參見圖1。這些標(biāo)準(zhǔn)有力的推進(jìn)了功能安全在機(jī)械、化工、航空航天、核能、醫(yī)藥的應(yīng)用。特別是在過程控制領(lǐng)域里，幾乎所有制造儀表和控制系統(tǒng)的公司都有對于安全完整性SIL(Safty Integrity Level)的明確要求，有很多符合IEC61508標(biāo)準(zhǔn)并達(dá)到了SIL3的等級認(rèn)證的產(chǎn)品，比如安全PLC、安全儀表等。 但實(shí)事求是的說，就現(xiàn)況而言，對于產(chǎn)品的功能安全的要求雖然已經(jīng)顯現(xiàn)出來，在工業(yè)控制領(lǐng)域尤其明顯，但由于現(xiàn)有技術(shù)和成本的局限，功能安全還沒有成為一個(gè)強(qiáng)制標(biāo)準(zhǔn)，但又勢在必行。其現(xiàn)狀就象處于一個(gè)需求爆發(fā)的前夜。 繼電保護(hù)行業(yè)對功能安全的需求 從功能安全的角度來說，一個(gè)典型的中壓系統(tǒng)的繼電保護(hù)應(yīng)用具有如下兩個(gè)主要功能: 1)可用性:在正常情況下，繼電保護(hù)裝置不影響電網(wǎng)上的電力設(shè)備正常運(yùn)行。 2)安全性:在某一設(shè)備出現(xiàn)故障，產(chǎn)生過載、短路異常情況時(shí)，繼電保護(hù)裝置能迅速隔離故障，保護(hù)電網(wǎng)上其它電力設(shè)備不受損壞，把故障縮小到最小范圍。 可用性其實(shí)就是在繼電保護(hù)行業(yè)中常說的不誤動，這種誤動通常會導(dǎo)致部分和全部的電網(wǎng)設(shè)備功能的喪失，也通常會導(dǎo)致巨大的經(jīng)濟(jì)損失。 安全性其實(shí)就是在繼電保護(hù)行業(yè)中常說的不拒動，過載、短路出現(xiàn)時(shí)如果拒動，過熱的電力設(shè)備或者電纜會導(dǎo)致起火，某些情況下甚至是爆炸，這種情況的后果通常會導(dǎo)致人身傷害。 因此，繼電保護(hù)行業(yè)對于功能安全是有明確的需求的。還要提出的一點(diǎn)是，繼電保護(hù)裝置在維護(hù)時(shí)，其保護(hù)功能不可用，對于可用性和安全性都是有影響的。 繼電保護(hù)行業(yè)中現(xiàn)在對于功能安全的需求還沒有大規(guī)模展開，至今只有極少數(shù)的具有前瞻視野的公司開發(fā)出了符合IEC61508認(rèn)證的繼電保護(hù)裝置，比如施耐德電氣的Sepam S80。但隨著用戶對安全認(rèn)識的不斷提高和世界各國對電力系統(tǒng)安全要求的不斷提高，功能安全要求對繼電保護(hù)裝置將會是一個(gè)不可避免的趨勢。 一個(gè)繼電保護(hù)產(chǎn)品的SIL認(rèn)證過程 完成一個(gè)繼電保護(hù)產(chǎn)品的SIL認(rèn)證過程非常復(fù)雜，時(shí)間跨度很長，涉及面也很寬。由于篇幅所限，筆者選取了這個(gè)過程中的幾個(gè)方面供大家參考。 ■ 研發(fā)流程要求 對于研發(fā)流程的要求是為了降低繼電保護(hù)產(chǎn)品的系統(tǒng)失效。這個(gè)要求可以分為兩個(gè)層次，第一層次是看這個(gè)研發(fā)組織是否通過了基本的認(rèn)證，比如公司的ISO9001/14000認(rèn)證, 軟件的CMM/CMMI認(rèn)證;第二層次就是看這個(gè)研發(fā)組織所使用的研發(fā)流程是否完善，研發(fā)流程的執(zhí)行是否徹底，在項(xiàng)目中使用的方法和工具是否成熟，研發(fā)過程中的文檔是否完整等等。這些要求實(shí)際上考量的是一個(gè)公司的成熟度，達(dá)到這些要求需要的是長年累月的積累，而不可能是一蹴而就。 值得提醒的是，根據(jù)筆者的經(jīng)驗(yàn)，研發(fā)流程往往很受重視，而產(chǎn)品的生產(chǎn)、運(yùn)行和維護(hù)流程卻最容易被忽視，但功能安全是涵蓋整個(gè)產(chǎn)品生命周期的，任何一個(gè)階段的流程不完善都會影響到該產(chǎn)品的SIL認(rèn)證結(jié)果。 ■ 研發(fā)團(tuán)隊(duì)技能要求 IEC61508 中對于研發(fā)團(tuán)隊(duì)技能有6個(gè)要求:所有成員都了解自己的職責(zé);所有需求都要被識別;所有成員的能力能夠被流程保證;所有需要的技能都需要被考慮;所有成員的能力需要文檔化;以上所有要求能被監(jiān)控。 以下就是根據(jù)這六項(xiàng)要求，對該繼電器開發(fā)團(tuán)隊(duì)技能認(rèn)證的實(shí)現(xiàn)方式: 1)定義出這個(gè)繼電保護(hù)裝置的生命周期內(nèi)所有的功能; 2)定義出每個(gè)功能所需的人員角色; 3)定義出每個(gè)人員角色的能力水平;通常分為3個(gè)等級。 4)在項(xiàng)目開始前檢查項(xiàng)目成員和角色之間的能力差距; 5)每個(gè)人的能力差距定義培訓(xùn)計(jì)劃;比如要求研發(fā)團(tuán)隊(duì)所有人員都要經(jīng)過功能安全基礎(chǔ)知識的培訓(xùn)，主要人員還要經(jīng)過更深入的功能安全知識的培訓(xùn)，核心人員具有認(rèn)證過的功能安全工程師資質(zhì)等。 6)定期檢查以上工作; 7)行為都要有記錄;比如所有人員的相關(guān)知識能力和相關(guān)培訓(xùn)，都被記錄下來，所有這些信息在后期的第三方評審中將非常有效。 ■ SFF要求 SFF(safe failure fraction)衡量的是繼電保護(hù)產(chǎn)品的隨機(jī)失效水平，要計(jì)算SFF首先需要描述系統(tǒng)的狀態(tài)圖，圖3就是某繼電保護(hù)器的安全狀態(tài)圖。圓形的是狀態(tài)節(jié)點(diǎn)，弧線是狀態(tài)轉(zhuǎn)移，弧線上的數(shù)字是發(fā)生的概率。通過這個(gè)狀態(tài)圖，就可以知道這個(gè)系統(tǒng)的整個(gè)狀況和行為。這個(gè)圖也是計(jì)算隨機(jī)失效概率的基礎(chǔ)。綠色代表安全狀態(tài);紅色代表危險(xiǎn)狀態(tài);黃色代表降級狀態(tài)，但在此狀態(tài)下系統(tǒng)仍然安全。 按IEC61508的定義，其將失效分為，λS安全失效和λD危險(xiǎn)失效，其中危險(xiǎn)失效λD又分為可檢測的危險(xiǎn)失效λDd和不能被檢測的危險(xiǎn)失效λDu. SFF安全失效分?jǐn)?shù)計(jì)算公式為: 根據(jù)IEC61508中的定義，繼電器屬于TypeB系統(tǒng)，其SIL等級及對應(yīng)的SFF分?jǐn)?shù)和HFT(Hardware fault tolerance)。 為達(dá)到SIL2的SFF分?jǐn)?shù)，該繼電保護(hù)器采用了很多方法，比如冗余的輸入通道，來增加λDd，提高危險(xiǎn)失效中的可檢測比例，從而提高SFF;主處理器和協(xié)處理器設(shè)計(jì)以實(shí)現(xiàn)兩個(gè)CPU的互相檢測，從而提高CPU部分的危險(xiǎn)失效的可檢測比例;在硬件上做了很多回讀設(shè)計(jì);軟件上做了很多自測功能，這些措施增加了λDd，提高了SFF，此外還包括謹(jǐn)慎的選擇器件和供應(yīng)商，降低λD;更合理的系統(tǒng)設(shè)計(jì)，提高λs降低λD等。 主處理器和協(xié)處理器分別實(shí)現(xiàn)了對模擬通道和數(shù)字通道各個(gè)子功能模塊進(jìn)行驗(yàn)證，并實(shí)現(xiàn)對自身的自檢功能;同時(shí)，為了提高兩個(gè)處理器檢測性能，這兩個(gè)處理器又能互檢，通過比較自檢結(jié)果和互檢結(jié)果，一旦模塊有異常情況出現(xiàn)，整個(gè)系統(tǒng)就會進(jìn)入安全狀態(tài)。 ■ PFD要求 盡管通過采用各種措施，該繼電器SFF能夠達(dá)到大于90%的目標(biāo)，但實(shí)際應(yīng)用中不可檢測的危險(xiǎn)失效始終是存在的，而只有proof test才能檢測到λDu。滿足PFD(Probability of Failure on Demand)的要求，最重要的是對于proof test interval(診斷測試間隔)的要求。Proof Test越頻繁，這個(gè)系統(tǒng)的安全性信心就越高，但顯然，proof test時(shí)這個(gè)系統(tǒng)是不可用的，這通常會帶來經(jīng)濟(jì)上的損失。從經(jīng)濟(jì)上看，proof test是越少越好。通常需要從這兩個(gè)方面取一個(gè)平衡。 這里需要指出的是，在計(jì)算PFD時(shí)，我們一般都認(rèn)為proof test的診斷率是100%，能檢測到所有未檢測到的危險(xiǎn)失效λDu，但現(xiàn)實(shí)情況并不總能這么完美。實(shí)際中由于診斷率達(dá)不到100%，會導(dǎo)致PFD(t)曲線向上偏移，偏移量跟proof test的實(shí)際診斷率有關(guān)。如圖5所示，proof test間隔時(shí)間是6年，PFD average符合SIL2標(biāo)準(zhǔn)，但由于proof test實(shí)際診斷率不到100%，導(dǎo)致PFD(t)曲線向上偏移，圖中紅色三角形就表示沒有達(dá)到SIL2的時(shí)間。 因此，需要考慮實(shí)際情況，適當(dāng)縮短proof test的間隔時(shí)間，以便同時(shí)滿足PFD(t)和PFD average的要求。 ■ safety manual的要求 在2010版的IEC61508-2的附錄D中對safety manual 中的硬件部分提出了明確的要求，要求safety manual 必須定義出安全功能元素，這些安全功能元素能夠支持一個(gè)安全系統(tǒng)執(zhí)行安全功能。而且所有這些功能和輸入輸出接口都要被清晰的描述出來。 對于每個(gè)功能，safety manual必須包括失效模式，相應(yīng)的失效概率，自檢間隔，維護(hù)要求等。 在IEC61508-3的附錄D中對safety manual中軟件部分也有明確的要求:比如所有對于安裝者的指令，軟件的配置，軟硬件的運(yùn)行環(huán)境，安裝者的能力，變更控制等等。 ■ Certification laboratory要求 功能安全在歐洲開展的較早，因此在從事這個(gè)領(lǐng)域的認(rèn)證試驗(yàn)室也以歐洲為多。例如德國的T?V Reinhand, 英國的SIRA，法國的INERIS，其中T?V的認(rèn)證是在全世界影響力最大的。 T?V不光提供產(chǎn)品的功能安全認(rèn)證，同時(shí)也提供功能安全知識的培訓(xùn)，值得一提的是T?V還開展了一個(gè)叫認(rèn)證功能安全工程師的工作。在參加了T?V的功能安全培訓(xùn)后，可以參加T?V組織的一個(gè)認(rèn)證考試，如果通過并提供從事功能安全工作三年的經(jīng)歷證明，就可以獲得T?V的認(rèn)證功能安全工程師證書，并在T?V網(wǎng)站上登記開放出來。迄今為止，全球已經(jīng)有4000多人通過了這個(gè)認(rèn)證。如果功能安全工程師參與研發(fā)功能安全相關(guān)系統(tǒng)，對于整個(gè)系統(tǒng)的SIL等級認(rèn)證大有裨益。 總結(jié) 高安全性和高可用性一直是繼電保護(hù)行業(yè)追求的目標(biāo)。功能安全I(xiàn)EC61508是從更抽象的一個(gè)層次，更全面的范圍對這兩個(gè)要求提出了更高的目標(biāo)。因此一個(gè)滿足IEC61508功能安全認(rèn)證的繼電保護(hù)器能給電力系統(tǒng)帶來更多的可用性和更高的安全性。 盡管在現(xiàn)在的技術(shù)水平上，能達(dá)到SIL2的繼電保護(hù)器還屈指可數(shù)。但相信隨著技術(shù)的發(fā)展，應(yīng)用的成熟，對風(fēng)險(xiǎn)的掌握，會有越來越多的符合SIL2，甚至SIL3的繼電保護(hù)器出現(xiàn)，我們的電力系統(tǒng)也會越來越堅(jiān)強(qiáng)和高效。