功能安全是指采取合理的技術(shù)和管理措施，保證系統(tǒng)功能的正確實(shí)現(xiàn)，從而避免由功能性故障導(dǎo)致的不可接受的風(fēng)險(xiǎn)。功能安全標(biāo)準(zhǔn)IEC 61508發(fā)布于2000年，并于2010年發(fā)布第2版，該標(biāo)準(zhǔn)提出了全新的評(píng)價(jià)和保證系統(tǒng)可靠性的理論及方法，將風(fēng)險(xiǎn)做為一個(gè)衡量危險(xiǎn)的指標(biāo)，并使用功能安全等級(jí)來表示降低風(fēng)險(xiǎn)的能力，是迄今為止安全相關(guān)系統(tǒng)的理論概括和技術(shù)總結(jié)。

目前，功能安全以IEC 61508作為基礎(chǔ)標(biāo)準(zhǔn)，已經(jīng)在汽車、高鐵、化工、醫(yī)療等行業(yè)得到了廣泛的應(yīng)用，并形成了各自的行業(yè)安全標(biāo)準(zhǔn)，但是在與國民經(jīng)濟(jì)息息相關(guān)的電力二次設(shè)備領(lǐng)域還沒有得到重視。繼電保護(hù)裝置是電力系統(tǒng)穩(wěn)定運(yùn)行的重要保障，一旦失效，會(huì)帶來極大的安全隱患，造成重大安全事故或經(jīng)濟(jì)損失。

繼電保護(hù)裝置由上千個(gè)元器件組成，元器件個(gè)性失效會(huì)導(dǎo)致保護(hù)發(fā)生拒動(dòng)、誤動(dòng)風(fēng)險(xiǎn)。近年來國內(nèi)外的多起電力事故，再一次向我們敲響了警鐘，完全有必要引進(jìn)系統(tǒng)、全面的安全標(biāo)準(zhǔn)作為繼電保護(hù)裝置可靠運(yùn)行的理論和方法支撐。

本文對(duì)目前繼電保護(hù)裝置存在的安全風(fēng)險(xiǎn)進(jìn)行了分析，并提出了引入功能安全標(biāo)準(zhǔn)和評(píng)估技術(shù)，實(shí)現(xiàn)裝置運(yùn)行狀態(tài)的全面監(jiān)視，提高裝置可靠性，降低因硬件故障導(dǎo)致的拒動(dòng)和誤動(dòng)風(fēng)險(xiǎn)。結(jié)合保護(hù)裝置的特殊性，提出了基于保護(hù)、起動(dòng)雙重化帶診斷架構(gòu)的功能安全繼電保護(hù)裝置設(shè)計(jì)方案，實(shí)現(xiàn)了保護(hù)裝置安全性和可用性的兼顧。給出了包括診斷方法、減少共因失效、FMEA分析、故障注入測(cè)試等功能安全相關(guān)技術(shù)在保護(hù)裝置中的具體實(shí)施方法。

1 目前繼電保護(hù)裝置存在的安全風(fēng)險(xiǎn)

1.1 單套非冗余配置

對(duì)于110kV及以下電壓等級(jí)的場(chǎng)合，一般繼電保護(hù)裝置按單套非冗余配置。這種配置成本較低，但是安全性相對(duì)較差，拒動(dòng)風(fēng)險(xiǎn)高。裝置內(nèi)部保護(hù)互感器、模數(shù)轉(zhuǎn)換電路、邏輯處理CPU及出口回路等部件，都是單獨(dú)運(yùn)行的，任何一個(gè)部件失效，都有可能造成裝置無法正常實(shí)現(xiàn)跳閘出口；雖然裝置有自診斷功能，但診斷結(jié)果要么僅觸發(fā)報(bào)警，要么閉鎖裝置出口，故障導(dǎo)向危險(xiǎn)。一旦當(dāng)一次設(shè)備發(fā)生故障時(shí)，保護(hù)裝置失效，則會(huì)造成一次設(shè)備損壞或越級(jí)動(dòng)作。

1.2 雙套冗余配置

對(duì)于220kV及以上電壓等級(jí)的場(chǎng)合，一般繼電保護(hù)裝置按雙套配置。雙套配置實(shí)現(xiàn)了一定程度的冗余，當(dāng)其中一臺(tái)保護(hù)裝置失效時(shí)，另一臺(tái)保護(hù)裝置仍然可以實(shí)現(xiàn)正常的保護(hù)跳閘功能，較單套配置安全性有了大幅度的提高，但仍存在以下不足：

1）雖然是雙套配置，但是兩個(gè)保護(hù)裝置是獨(dú)立運(yùn)行的，他們之間無冗余通信。任何一個(gè)裝置根據(jù)邏輯運(yùn)算結(jié)果判斷出一次設(shè)備故障時(shí)，則直接跳閘出口，增加了誤動(dòng)的可能性。

2）有些涉及跳閘動(dòng)作回路的器件故障時(shí)無法及時(shí)檢測(cè)出來，當(dāng)發(fā)生區(qū)外故障時(shí)開放起動(dòng)電源后會(huì)造成誤動(dòng)，擴(kuò)大停電范圍。

3）目前提高可靠性的方法，主要靠經(jīng)驗(yàn)。缺乏理論支撐，且缺少必要的故障注入測(cè)試。

綜上所述，目前繼電保護(hù)裝置配置存在一定的安全風(fēng)險(xiǎn)，需要系統(tǒng)性地引入功能安全設(shè)計(jì)理念和管理方法，進(jìn)一步提高繼電保護(hù)裝置的可靠性。

2 繼電保護(hù)裝置的功能安全

2.1 繼電保護(hù)裝置的功能安全定義

繼電保護(hù)裝置的安全功能是保證電力系統(tǒng)設(shè)備安全，提高用電的可靠性。當(dāng)一次設(shè)備故障時(shí)，保護(hù)能夠快速、可靠動(dòng)作，及時(shí)將故障設(shè)備與電力系統(tǒng)隔離開，防止故障設(shè)備及其他一次設(shè)備損壞，避免越級(jí)跳閘，縮小故障影響范圍，將故障危害程度降至最低。同時(shí)能實(shí)現(xiàn)裝置的運(yùn)行狀態(tài)全面監(jiān)測(cè)，在故障時(shí)及時(shí)檢修隔離出來。

2.2 繼電保護(hù)裝置功能安全的特殊性

繼電保護(hù)裝置，不僅要在一次設(shè)備故障時(shí)可靠動(dòng)作，還要在一次設(shè)備無故障時(shí)不能誤動(dòng)。在實(shí)際應(yīng)用中，安全性和可用性往往是矛盾的。比如，目前110kV電壓等級(jí)以下變電站中，單套繼電保護(hù)自檢故障時(shí)，會(huì)閉鎖裝置的出口正電源。這種做法降低了誤動(dòng)的風(fēng)險(xiǎn)，提高了保護(hù)裝置的可用性，防止了負(fù)荷端的頻繁斷電；但是此時(shí)一次設(shè)備處于無保護(hù)狀態(tài)，如果發(fā)生故障，將導(dǎo)致一次設(shè)備損壞或越級(jí)動(dòng)作，這又降低了裝置的安全性。

而在220kV電壓等級(jí)以上的變電站中，保護(hù)裝置按雙套配置，一臺(tái)裝置閉鎖后，另外一臺(tái)裝置仍能實(shí)現(xiàn)保護(hù)功能。這種配置降低了拒動(dòng)的風(fēng)險(xiǎn)，提高了安全性；但增加了誤動(dòng)的概率，降低了可用性。

引入功能安全標(biāo)準(zhǔn)評(píng)價(jià)繼電保護(hù)裝置的可靠性，需要根據(jù)實(shí)際應(yīng)用場(chǎng)合，尋找安全性和可用性的最優(yōu)平衡點(diǎn)。

3 繼電保護(hù)裝置安全完整性等級(jí)和目標(biāo)失效量確定

3.1 安全完整性等級(jí)（SIL）確定

安全完整性是一種量化預(yù)期安全水平的方式，其等級(jí)表示降低風(fēng)險(xiǎn)的能力，因此需要先定義繼電保護(hù)裝置所需的SIL，以指導(dǎo)功能安全保護(hù)裝置的方案設(shè)計(jì)?？梢允褂枚亢投ㄐ詢煞N方法來確定SIL，定量的方法涉及到大量的數(shù)據(jù)，評(píng)估比較繁瑣，本文參考IEC 61508-5中附錄D的風(fēng)險(xiǎn)圖法，定性地確定繼電保護(hù)裝置所需的SIL。

如圖1所示，對(duì)于繼電保護(hù)設(shè)備而言，其失效產(chǎn)生的危險(xiǎn)會(huì)導(dǎo)致對(duì)一人或者多人的嚴(yán)重永久傷害，也可能造成幾人或多人死亡（折中選擇C3）。但是檢修一般1年甚至幾年才會(huì)進(jìn)行一次，所以人員很少暴露在危險(xiǎn)區(qū)域（選擇F1）。

最壞情況下這種危險(xiǎn)為高壓電擊或者爆炸、燃燒等危害，人員幾乎不可能避開此種危險(xiǎn)（選擇P2）；通常一次電力設(shè)備按標(biāo)準(zhǔn)方法設(shè)計(jì)，此種不期望事件發(fā)生概率小且只有少量不期望事件出現(xiàn)（選擇W2）。查看圖1虛線箭頭標(biāo)記，確定SIL2（圖中各路徑的含義見表1）。

3.2 目標(biāo)失效量確定

從繼電保護(hù)裝置的功能安全定義可以看出，繼電保護(hù)裝置為低要求的操作模式，根據(jù)表2可得，其允許的平均失效概率PFD≥10-3且＜10-2。

圖1 風(fēng)險(xiǎn)分析框圖

表1 風(fēng)險(xiǎn)圖中的數(shù)據(jù)含義

表2 低要求操作模式下要求的目標(biāo)失效量

根據(jù)表3可得，其允許的安全失效分?jǐn)?shù)（SFF）和系統(tǒng)的硬件故障裕度HFT有關(guān)系；如果HFT為0，則SFF需≥90%且＜99%；如果HFT為1，則SFF在60%～90%之間；如果HFT為2，則SFF＜60%即可。

表3 硬件故障裕度與安全失效分?jǐn)?shù)

4 繼電保護(hù)裝置功能安全設(shè)計(jì)

4.1 安全的系統(tǒng)架構(gòu)

1）1OO1D安全架構(gòu)

如圖1所示，110kV及以下電壓等級(jí)的場(chǎng)合，功能安全繼電保護(hù)裝置采用1OO1D，即一取一帶診斷安全架構(gòu)，此架構(gòu)的硬件故障裕度HFT為0。診斷功能有助于把檢測(cè)到的危險(xiǎn)失效轉(zhuǎn)變成安全失效。

如圖2所示，保護(hù)裝置的安全邏輯模塊由保護(hù)通道、起動(dòng)通道、診斷單元組成，保護(hù)通道和起動(dòng)通道相互獨(dú)立，各自具有ADC采樣電路及CPU計(jì)算單元；同時(shí)，由診斷單元作為協(xié)處理器，用于監(jiān)測(cè)保護(hù)、起動(dòng)通道各元件的運(yùn)行狀態(tài)，并實(shí)現(xiàn)兩個(gè)通道的數(shù)據(jù)交互、同步和表決。

保護(hù)通道及診斷單元表決輸出跳閘信號(hào)。當(dāng)保護(hù)通道發(fā)生異常時(shí)，診斷單元可以根據(jù)診斷信息輸出跳閘信號(hào)，降低拒動(dòng)的概率；由起動(dòng)通道和診斷單元表決后開放出口電源，降低誤動(dòng)的概率，實(shí)現(xiàn)了安全性和可用性的兼顧。

圖2 1OO1D安全架構(gòu)

2）1OO2D安全架構(gòu)

如圖3所示，220kV及以上電壓等級(jí)的場(chǎng)合，功能安全繼電保護(hù)裝置采用1OO2D，即二取一帶診斷安全架構(gòu)，此架構(gòu)的硬件故障裕度HFT為1。保護(hù)裝置A和保護(hù)裝置B是熱備用關(guān)系，正常工作時(shí)一主一備，主機(jī)故障時(shí)自動(dòng)切換到備機(jī)，系統(tǒng)降級(jí)為1OO1D運(yùn)行。

主備機(jī)之間通過以太網(wǎng)進(jìn)行信息交互，確保數(shù)據(jù)同步。1OO2D架構(gòu)的保護(hù)裝置，二次互感器、保護(hù)通道、起動(dòng)通道、診斷單元及出口繼電器等環(huán)節(jié)，均實(shí)現(xiàn)了冗余，可極大提高系統(tǒng)安全性和可用性，和2OO3安全架構(gòu)的安全性和可用性幾乎相當(dāng)。

圖3 1OO2D安全架構(gòu)

4.2 診斷方法

引入診斷的目的是在裝置運(yùn)行過程中，不斷地監(jiān)測(cè)系統(tǒng)的運(yùn)行狀態(tài)，當(dāng)某個(gè)模塊發(fā)生故障時(shí)，系統(tǒng)可以將其檢測(cè)出來，并將危險(xiǎn)失效引導(dǎo)為安全失效，使系統(tǒng)進(jìn)入到安全狀態(tài)。

本文安全繼電保護(hù)裝置診斷方法包括：對(duì)裝置內(nèi)各級(jí)電源模塊進(jìn)行狀態(tài)監(jiān)測(cè)，防止芯片在電源過壓、欠壓等工況下不正常工作；CPU板卡設(shè)計(jì)有硬件看門狗，防止程序跑飛；裝置模擬采樣電路均留有監(jiān)視通道，該監(jiān)視通道輸入接到ADC基準(zhǔn)等固定電平，從而診斷ADC工作是否正常；選用帶ECC內(nèi)存校驗(yàn)保護(hù)功能的DDR、FLASH等存儲(chǔ)元件，糾正數(shù)據(jù)傳輸過程中的1比特出錯(cuò)；繼電器驅(qū)動(dòng)、背板CAN通信等關(guān)鍵信號(hào)回讀，用于診斷實(shí)際輸出信號(hào)是否符合預(yù)期。

4.3 減少共因失效

共因失效是由于某個(gè)單一故障源，導(dǎo)致系統(tǒng)多個(gè)部件同時(shí)發(fā)生失效，共因失效是引起冗余系統(tǒng)失效的主要原因之一，該故障源可能是系統(tǒng)內(nèi)的，也可能是系統(tǒng)外的。

在設(shè)計(jì)階段，可以通過典型的共因失效檢測(cè)并指定防范措施，來降低共因失效率，安全繼電保護(hù)裝置共因失效的防范措施：保護(hù)通道、起動(dòng)通道及診斷單元使用相互獨(dú)立的電源、時(shí)鐘及采樣基準(zhǔn)等，加強(qiáng)環(huán)境（溫度、濕度、灰塵、腐蝕等）、EMC等外部共因的測(cè)試。根據(jù)IEC 61508-6的表格D.1，計(jì)算共因失效因子，然后在評(píng)估平均失效概率（PFD）時(shí)，將失效因子考慮在內(nèi)。

4.4 FMEA分析及故障注入測(cè)試

FMEA技術(shù)分析系統(tǒng)各元件可能的失效原因，計(jì)算安全失效、危險(xiǎn)失效的占比，并尋找將危險(xiǎn)失效轉(zhuǎn)換為安全失效的方法，F(xiàn)MEA分析工作貫穿整個(gè)產(chǎn)品的設(shè)計(jì)開發(fā)過程。

通常如電阻、電容、MOSFET等分立器件的失效模式和失效概率可以在SN 29500或者GJB/Z299C等標(biāo)準(zhǔn)中找到詳細(xì)的數(shù)據(jù)，而如CPU、FPGA、SOC等集成電路的失效模式比較難預(yù)測(cè)，通常做法是將集成芯片按照功能分成多個(gè)子模塊，然后通過分析各子模塊失效模式以及失效結(jié)果，匯總、分析芯片所需的防護(hù)措施。

FMEA分析的過程比較費(fèi)時(shí)和繁瑣，但是卻能在設(shè)計(jì)階段，通過系統(tǒng)性的分析計(jì)算，發(fā)現(xiàn)裝置的薄弱環(huán)節(jié)和缺陷，并盡早做出改進(jìn)措施，為實(shí)現(xiàn)保護(hù)裝置的高安全性、高可靠性提供重要的依據(jù)和保障。

為了驗(yàn)證診斷措施的有效性及FMEA分析的正確性，需要進(jìn)行故障注入測(cè)試。硬件故障注入測(cè)試從元器件的物理層面，進(jìn)行全面的“拉網(wǎng)式”故障模擬測(cè)試，這個(gè)過程能夠識(shí)別出潛在的設(shè)計(jì)缺陷、硬件缺陷及故障影響。

例如，在測(cè)試階段，可修改各級(jí)電源芯片的反饋電阻阻值，或者使用外接可調(diào)電壓源，模擬電源欠壓、過壓等故障，觀察系統(tǒng)運(yùn)行情況；使用時(shí)鐘拉偏儀，模擬嵌入式芯片時(shí)鐘偏移、短路及開路等故障，觀察系統(tǒng)運(yùn)行情況；裝置內(nèi)部和安全功能相關(guān)的電阻、電容等被動(dòng)器件，逐一測(cè)試其在短路、開路、參數(shù)變化等工況下的系統(tǒng)運(yùn)行情況。由于故障注入測(cè)試工作比較繁瑣，其他測(cè)試不再一一例舉。

4.5 使用安全芯片

隨著功能安全在各行業(yè)的應(yīng)用，各芯片廠家相繼推出了滿足SIL標(biāo)準(zhǔn)的安全芯片，如TI推出的Hercules系列CPU芯片，內(nèi)部采用旋轉(zhuǎn)90°且分開Layout的雙核架構(gòu)，避免共因失效，同時(shí)支持CPU自檢、Flash及RAM的ECC校驗(yàn)、電壓及時(shí)鐘監(jiān)控等安全特性；ADI推出的AD7124系列ADC芯片，支持電源、基準(zhǔn)電壓、模擬輸入監(jiān)控、開路檢測(cè)、轉(zhuǎn)換校準(zhǔn)檢查等豐富的診斷機(jī)制。

使用安全芯片，可以節(jié)省布板空間和成本，節(jié)省外圍電路元器件；由于安全芯片已經(jīng)經(jīng)過了TUV等專業(yè)機(jī)構(gòu)的評(píng)估認(rèn)證，所以在使用的時(shí)候，可將其當(dāng)作滿足SIL等級(jí)的模塊處理，提高設(shè)計(jì)效率，縮短開發(fā)周期。

結(jié)論

本文對(duì)功能安全在繼電保護(hù)裝置中的應(yīng)用進(jìn)行了探討，分析了目前裝置配置存在的安全風(fēng)險(xiǎn)。參考IEC 61508標(biāo)準(zhǔn)，定性分析了繼電保護(hù)裝置需要滿足的安全完整性等級(jí)及目標(biāo)失效量。

采用1OO1D或1OO2D安全架構(gòu)的功能安全繼電保護(hù)裝置，可降低拒動(dòng)風(fēng)險(xiǎn)，提高安全性；保護(hù)、起動(dòng)雙通道帶診斷設(shè)計(jì)，可降低誤動(dòng)風(fēng)險(xiǎn)，提高可用性。自診斷、降低共因失效、安全芯片等技術(shù)，可有效控制裝置的系統(tǒng)性失效；FDMA分析及故障注入測(cè)試可有效控制裝置的隨機(jī)失效。

目前，由南京南瑞繼保研發(fā)的滿足核電站功能安全標(biāo)準(zhǔn)的繼電保護(hù)裝置PCS- 9620H，已經(jīng)在三門核電站及遼寧紅沿河核電站取得了成功應(yīng)用。