功能安全是指采取合理的技術和管理措施，保證系統(tǒng)功能的正確實現(xiàn)，從而避免由功能性故障導致的不可接受的風險。功能安全標準IEC 61508發(fā)布于2000年，并于2010年發(fā)布第2版，該標準提出了全新的評價和保證系統(tǒng)可靠性的理論及方法，將風險做為一個衡量危險的指標，并使用功能安全等級來表示降低風險的能力，是迄今為止安全相關系統(tǒng)的理論概括和技術總結。

目前，功能安全以IEC 61508作為基礎標準，已經(jīng)在汽車、高鐵、化工、醫(yī)療等行業(yè)得到了廣泛的應用，并形成了各自的行業(yè)安全標準，但是在與國民經(jīng)濟息息相關的電力二次設備領域還沒有得到重視。繼電保護裝置是電力系統(tǒng)穩(wěn)定運行的重要保障，一旦失效，會帶來極大的安全隱患，造成重大安全事故或經(jīng)濟損失。

繼電保護裝置由上千個元器件組成，元器件個性失效會導致保護發(fā)生拒動、誤動風險。近年來國內(nèi)外的多起電力事故，再一次向我們敲響了警鐘，完全有必要引進系統(tǒng)、全面的安全標準作為繼電保護裝置可靠運行的理論和方法支撐。

本文對目前繼電保護裝置存在的安全風險進行了分析，并提出了引入功能安全標準和評估技術，實現(xiàn)裝置運行狀態(tài)的全面監(jiān)視，提高裝置可靠性，降低因硬件故障導致的拒動和誤動風險。結合保護裝置的特殊性，提出了基于保護、起動雙重化帶診斷架構的功能安全繼電保護裝置設計方案，實現(xiàn)了保護裝置安全性和可用性的兼顧。給出了包括診斷方法、減少共因失效、FMEA分析、故障注入測試等功能安全相關技術在保護裝置中的具體實施方法。

1 目前繼電保護裝置存在的安全風險

1.1 單套非冗余配置

對于110kV及以下電壓等級的場合，一般繼電保護裝置按單套非冗余配置。這種配置成本較低，但是安全性相對較差，拒動風險高。裝置內(nèi)部保護互感器、模數(shù)轉換電路、邏輯處理CPU及出口回路等部件，都是單獨運行的，任何一個部件失效，都有可能造成裝置無法正常實現(xiàn)跳閘出口；雖然裝置有自診斷功能，但診斷結果要么僅觸發(fā)報警，要么閉鎖裝置出口，故障導向危險。一旦當一次設備發(fā)生故障時，保護裝置失效，則會造成一次設備損壞或越級動作。

1.2 雙套冗余配置

對于220kV及以上電壓等級的場合，一般繼電保護裝置按雙套配置。雙套配置實現(xiàn)了一定程度的冗余，當其中一臺保護裝置失效時，另一臺保護裝置仍然可以實現(xiàn)正常的保護跳閘功能，較單套配置安全性有了大幅度的提高，但仍存在以下不足：

1）雖然是雙套配置，但是兩個保護裝置是獨立運行的，他們之間無冗余通信。任何一個裝置根據(jù)邏輯運算結果判斷出一次設備故障時，則直接跳閘出口，增加了誤動的可能性。

2）有些涉及跳閘動作回路的器件故障時無法及時檢測出來，當發(fā)生區(qū)外故障時開放起動電源后會造成誤動，擴大停電范圍。

3）目前提高可靠性的方法，主要靠經(jīng)驗。缺乏理論支撐，且缺少必要的故障注入測試。

綜上所述，目前繼電保護裝置配置存在一定的安全風險，需要系統(tǒng)性地引入功能安全設計理念和管理方法，進一步提高繼電保護裝置的可靠性。

2 繼電保護裝置的功能安全

2.1 繼電保護裝置的功能安全定義

繼電保護裝置的安全功能是保證電力系統(tǒng)設備安全，提高用電的可靠性。當一次設備故障時，保護能夠快速、可靠動作，及時將故障設備與電力系統(tǒng)隔離開，防止故障設備及其他一次設備損壞，避免越級跳閘，縮小故障影響范圍，將故障危害程度降至最低。同時能實現(xiàn)裝置的運行狀態(tài)全面監(jiān)測，在故障時及時檢修隔離出來。

2.2 繼電保護裝置功能安全的特殊性

繼電保護裝置，不僅要在一次設備故障時可靠動作，還要在一次設備無故障時不能誤動。在實際應用中，安全性和可用性往往是矛盾的。比如，目前110kV電壓等級以下變電站中，單套繼電保護自檢故障時，會閉鎖裝置的出口正電源。這種做法降低了誤動的風險，提高了保護裝置的可用性，防止了負荷端的頻繁斷電；但是此時一次設備處于無保護狀態(tài)，如果發(fā)生故障，將導致一次設備損壞或越級動作，這又降低了裝置的安全性。

而在220kV電壓等級以上的變電站中，保護裝置按雙套配置，一臺裝置閉鎖后，另外一臺裝置仍能實現(xiàn)保護功能。這種配置降低了拒動的風險，提高了安全性；但增加了誤動的概率，降低了可用性。

引入功能安全標準評價繼電保護裝置的可靠性，需要根據(jù)實際應用場合，尋找安全性和可用性的最優(yōu)平衡點。

3 繼電保護裝置安全完整性等級和目標失效量確定

3.1 安全完整性等級（SIL）確定

安全完整性是一種量化預期安全水平的方式，其等級表示降低風險的能力，因此需要先定義繼電保護裝置所需的SIL，以指導功能安全保護裝置的方案設計。可以使用定量和定性兩種方法來確定SIL，定量的方法涉及到大量的數(shù)據(jù)，評估比較繁瑣，本文參考IEC 61508-5中附錄D的風險圖法，定性地確定繼電保護裝置所需的SIL。

如圖1所示，對于繼電保護設備而言，其失效產(chǎn)生的危險會導致對一人或者多人的嚴重永久傷害，也可能造成幾人或多人死亡（折中選擇C3）。但是檢修一般1年甚至幾年才會進行一次，所以人員很少暴露在危險區(qū)域（選擇F1）。

最壞情況下這種危險為高壓電擊或者爆炸、燃燒等危害，人員幾乎不可能避開此種危險（選擇P2）；通常一次電力設備按標準方法設計，此種不期望事件發(fā)生概率小且只有少量不期望事件出現(xiàn)（選擇W2）。查看圖1虛線箭頭標記，確定SIL2（圖中各路徑的含義見表1）。

3.2 目標失效量確定

從繼電保護裝置的功能安全定義可以看出，繼電保護裝置為低要求的操作模式，根據(jù)表2可得，其允許的平均失效概率PFD≥10-3且＜10-2。

圖1 風險分析框圖

表1 風險圖中的數(shù)據(jù)含義

表2 低要求操作模式下要求的目標失效量

根據(jù)表3可得，其允許的安全失效分數(shù)（SFF）和系統(tǒng)的硬件故障裕度HFT有關系；如果HFT為0，則SFF需≥90%且＜99%；如果HFT為1，則SFF在60%～90%之間；如果HFT為2，則SFF＜60%即可。

表3 硬件故障裕度與安全失效分數(shù)

4 繼電保護裝置功能安全設計

4.1 安全的系統(tǒng)架構

1）1OO1D安全架構

如圖1所示，110kV及以下電壓等級的場合，功能安全繼電保護裝置采用1OO1D，即一取一帶診斷安全架構，此架構的硬件故障裕度HFT為0。診斷功能有助于把檢測到的危險失效轉變成安全失效。

如圖2所示，保護裝置的安全邏輯模塊由保護通道、起動通道、診斷單元組成，保護通道和起動通道相互獨立，各自具有ADC采樣電路及CPU計算單元；同時，由診斷單元作為協(xié)處理器，用于監(jiān)測保護、起動通道各元件的運行狀態(tài)，并實現(xiàn)兩個通道的數(shù)據(jù)交互、同步和表決。

保護通道及診斷單元表決輸出跳閘信號。當保護通道發(fā)生異常時，診斷單元可以根據(jù)診斷信息輸出跳閘信號，降低拒動的概率；由起動通道和診斷單元表決后開放出口電源，降低誤動的概率，實現(xiàn)了安全性和可用性的兼顧。

圖2 1OO1D安全架構

2）1OO2D安全架構

如圖3所示，220kV及以上電壓等級的場合，功能安全繼電保護裝置采用1OO2D，即二取一帶診斷安全架構，此架構的硬件故障裕度HFT為1。保護裝置A和保護裝置B是熱備用關系，正常工作時一主一備，主機故障時自動切換到備機，系統(tǒng)降級為1OO1D運行。

主備機之間通過以太網(wǎng)進行信息交互，確保數(shù)據(jù)同步。1OO2D架構的保護裝置，二次互感器、保護通道、起動通道、診斷單元及出口繼電器等環(huán)節(jié)，均實現(xiàn)了冗余，可極大提高系統(tǒng)安全性和可用性，和2OO3安全架構的安全性和可用性幾乎相當。

圖3 1OO2D安全架構

4.2 診斷方法

引入診斷的目的是在裝置運行過程中，不斷地監(jiān)測系統(tǒng)的運行狀態(tài)，當某個模塊發(fā)生故障時，系統(tǒng)可以將其檢測出來，并將危險失效引導為安全失效，使系統(tǒng)進入到安全狀態(tài)。

本文安全繼電保護裝置診斷方法包括：對裝置內(nèi)各級電源模塊進行狀態(tài)監(jiān)測，防止芯片在電源過壓、欠壓等工況下不正常工作；CPU板卡設計有硬件看門狗，防止程序跑飛；裝置模擬采樣電路均留有監(jiān)視通道，該監(jiān)視通道輸入接到ADC基準等固定電平，從而診斷ADC工作是否正常；選用帶ECC內(nèi)存校驗保護功能的DDR、FLASH等存儲元件，糾正數(shù)據(jù)傳輸過程中的1比特出錯；繼電器驅動、背板CAN通信等關鍵信號回讀，用于診斷實際輸出信號是否符合預期。

4.3 減少共因失效

共因失效是由于某個單一故障源，導致系統(tǒng)多個部件同時發(fā)生失效，共因失效是引起冗余系統(tǒng)失效的主要原因之一，該故障源可能是系統(tǒng)內(nèi)的，也可能是系統(tǒng)外的。

在設計階段，可以通過典型的共因失效檢測并指定防范措施，來降低共因失效率，安全繼電保護裝置共因失效的防范措施：保護通道、起動通道及診斷單元使用相互獨立的電源、時鐘及采樣基準等，加強環(huán)境（溫度、濕度、灰塵、腐蝕等）、EMC等外部共因的測試。根據(jù)IEC 61508-6的表格D.1，計算共因失效因子，然后在評估平均失效概率（PFD）時，將失效因子考慮在內(nèi)。

4.4 FMEA分析及故障注入測試

FMEA技術分析系統(tǒng)各元件可能的失效原因，計算安全失效、危險失效的占比，并尋找將危險失效轉換為安全失效的方法，F(xiàn)MEA分析工作貫穿整個產(chǎn)品的設計開發(fā)過程。

通常如電阻、電容、MOSFET等分立器件的失效模式和失效概率可以在SN 29500或者GJB/Z299C等標準中找到詳細的數(shù)據(jù)，而如CPU、FPGA、SOC等集成電路的失效模式比較難預測，通常做法是將集成芯片按照功能分成多個子模塊，然后通過分析各子模塊失效模式以及失效結果，匯總、分析芯片所需的防護措施。

FMEA分析的過程比較費時和繁瑣，但是卻能在設計階段，通過系統(tǒng)性的分析計算，發(fā)現(xiàn)裝置的薄弱環(huán)節(jié)和缺陷，并盡早做出改進措施，為實現(xiàn)保護裝置的高安全性、高可靠性提供重要的依據(jù)和保障。

為了驗證診斷措施的有效性及FMEA分析的正確性，需要進行故障注入測試。硬件故障注入測試從元器件的物理層面，進行全面的“拉網(wǎng)式”故障模擬測試，這個過程能夠識別出潛在的設計缺陷、硬件缺陷及故障影響。

例如，在測試階段，可修改各級電源芯片的反饋電阻阻值，或者使用外接可調(diào)電壓源，模擬電源欠壓、過壓等故障，觀察系統(tǒng)運行情況；使用時鐘拉偏儀，模擬嵌入式芯片時鐘偏移、短路及開路等故障，觀察系統(tǒng)運行情況；裝置內(nèi)部和安全功能相關的電阻、電容等被動器件，逐一測試其在短路、開路、參數(shù)變化等工況下的系統(tǒng)運行情況。由于故障注入測試工作比較繁瑣，其他測試不再一一例舉。

4.5 使用安全芯片

隨著功能安全在各行業(yè)的應用，各芯片廠家相繼推出了滿足SIL標準的安全芯片，如TI推出的Hercules系列CPU芯片，內(nèi)部采用旋轉90°且分開Layout的雙核架構，避免共因失效，同時支持CPU自檢、Flash及RAM的ECC校驗、電壓及時鐘監(jiān)控等安全特性；ADI推出的AD7124系列ADC芯片，支持電源、基準電壓、模擬輸入監(jiān)控、開路檢測、轉換校準檢查等豐富的診斷機制。

使用安全芯片，可以節(jié)省布板空間和成本，節(jié)省外圍電路元器件；由于安全芯片已經(jīng)經(jīng)過了TUV等專業(yè)機構的評估認證，所以在使用的時候，可將其當作滿足SIL等級的模塊處理，提高設計效率，縮短開發(fā)周期。

結論

本文對功能安全在繼電保護裝置中的應用進行了探討，分析了目前裝置配置存在的安全風險。參考IEC 61508標準，定性分析了繼電保護裝置需要滿足的安全完整性等級及目標失效量。

采用1OO1D或1OO2D安全架構的功能安全繼電保護裝置，可降低拒動風險，提高安全性；保護、起動雙通道帶診斷設計，可降低誤動風險，提高可用性。自診斷、降低共因失效、安全芯片等技術，可有效控制裝置的系統(tǒng)性失效；FDMA分析及故障注入測試可有效控制裝置的隨機失效。

目前，由南京南瑞繼保研發(fā)的滿足核電站功能安全標準的繼電保護裝置PCS- 9620H，已經(jīng)在三門核電站及遼寧紅沿河核電站取得了成功應用。