功能安全在继电保护装置中的应用
武汉加油 共渡难关
南京南瑞继保电气有限公司的研究人员咸光全、李响,在2019年第12期《电气技术》杂志上撰文,对功能安全标准及评估技术在继电保护装置中的应用进行了探讨。首先介绍了功能安全标准及其应用情况,进而结合目前继电保护装置存在的安全风险,分析了继电保护装置应用功能安全技术的必要性。
使用风险图法,得到了继电保护装置应满足的安全完整性等级;结合IEC 61508标准,确定了保护装置应满足的目标失效量。为了实现保护装置安全性和可用性的兼顾,提出了基于保护、起动双重化带诊断架构的功能安全继电保护装置设计方案,并给出了包括诊断方法、减少共因失效、FMEA分析、故障注入测试以及安全芯片等相关技术的具体实施。
功能安全是指采取合理的技术和管理措施,保证系统功能的正确实现,从而避免由功能性故障导致的不可接受的风险。功能安全标准IEC 61508发布于2000年,并于2010年发布第2版,该标准提出了全新的评价和保证系统可靠性的理论及方法,将风险做为一个衡量危险的指标,并使用功能安全等级来表示降低风险的能力,是迄今为止安全相关系统的理论概括和技术总结。
目前,功能安全以IEC 61508作为基础标准,已经在汽车、高铁、化工、医疗等行业得到了广泛的应用,并形成了各自的行业安全标准,但是在与国民经济息息相关的电力二次设备领域还没有得到重视。继电保护装置是电力系统稳定运行的重要保障,一旦失效,会带来极大的安全隐患,造成重大安全事故或经济损失。
继电保护装置由上千个元器件组成,元器件个性失效会导致保护发生拒动、误动风险。近年来国内外的多起电力事故,再一次向我们敲响了警钟,完全有必要引进系统、全面的安全标准作为继电保护装置可靠运行的理论和方法支撑。
本文对目前继电保护装置存在的安全风险进行了分析,并提出了引入功能安全标准和评估技术,实现装置运行状态的全面监视,提高装置可靠性,降低因硬件故障导致的拒动和误动风险。结合保护装置的特殊性,提出了基于保护、起动双重化带诊断架构的功能安全继电保护装置设计方案,实现了保护装置安全性和可用性的兼顾。给出了包括诊断方法、减少共因失效、FMEA分析、故障注入测试等功能安全相关技术在保护装置中的具体实施方法。
1 目前继电保护装置存在的安全风险
1.1 单套非冗余配置
对于110kV及以下电压等级的场合,一般继电保护装置按单套非冗余配置。这种配置成本较低,但是安全性相对较差,拒动风险高。装置内部保护互感器、模数转换电路、逻辑处理CPU及出口回路等部件,都是单独运行的,任何一个部件失效,都有可能造成装置无法正常实现跳闸出口;虽然装置有自诊断功能,但诊断结果要么仅触发报警,要么闭锁装置出口,故障导向危险。一旦当一次设备发生故障时,保护装置失效,则会造成一次设备损坏或越级动作。
1.2 双套冗余配置
对于220kV及以上电压等级的场合,一般继电保护装置按双套配置。双套配置实现了一定程度的冗余,当其中一台保护装置失效时,另一台保护装置仍然可以实现正常的保护跳闸功能,较单套配置安全性有了大幅度的提高,但仍存在以下不足:
1)虽然是双套配置,但是两个保护装置是独立运行的,他们之间无冗余通信。任何一个装置根据逻辑运算结果判断出一次设备故障时,则直接跳闸出口,增加了误动的可能性。
2)有些涉及跳闸动作回路的器件故障时无法及时检测出来,当发生区外故障时开放起动电源后会造成误动,扩大停电范围。
3)目前提高可靠性的方法,主要靠经验。缺乏理论支撑,且缺少必要的故障注入测试。
综上所述,目前继电保护装置配置存在一定的安全风险,需要系统性地引入功能安全设计理念和管理方法,进一步提高继电保护装置的可靠性。
2 继电保护装置的功能安全
2.1 继电保护装置的功能安全定义
继电保护装置的安全功能是保证电力系统设备安全,提高用电的可靠性。当一次设备故障时,保护能够快速、可靠动作,及时将故障设备与电力系统隔离开,防止故障设备及其他一次设备损坏,避免越级跳闸,缩小故障影响范围,将故障危害程度降至最低。同时能实现装置的运行状态全面监测,在故障时及时检修隔离出来。
2.2 继电保护装置功能安全的特殊性
继电保护装置,不仅要在一次设备故障时可靠动作,还要在一次设备无故障时不能误动。在实际应用中,安全性和可用性往往是矛盾的。比如,目前110kV电压等级以下变电站中,单套继电保护自检故障时,会闭锁装置的出口正电源。这种做法降低了误动的风险,提高了保护装置的可用性,防止了负荷端的频繁断电;但是此时一次设备处于无保护状态,如果发生故障,将导致一次设备损坏或越级动作,这又降低了装置的安全性。
而在220kV电压等级以上的变电站中,保护装置按双套配置,一台装置闭锁后,另外一台装置仍能实现保护功能。这种配置降低了拒动的风险,提高了安全性;但增加了误动的概率,降低了可用性。
引入功能安全标准评价继电保护装置的可靠性,需要根据实际应用场合,寻找安全性和可用性的最优平衡点。
3 继电保护装置安全完整性等级和目标失效量确定
3.1 安全完整性等级(SIL)确定
安全完整性是一种量化预期安全水平的方式,其等级表示降低风险的能力,因此需要先定义继电保护装置所需的SIL,以指导功能安全保护装置的方案设计。可以使用定量和定性两种方法来确定SIL,定量的方法涉及到大量的数据,评估比较繁琐,本文参考IEC 61508-5中附录D的风险图法,定性地确定继电保护装置所需的SIL。
如图1所示,对于继电保护设备而言,其失效产生的危险会导致对一人或者多人的严重永久伤害,也可能造成几人或多人死亡(折中选择C3)。但是检修一般1年甚至几年才会进行一次,所以人员很少暴露在危险区域(选择F1)。
最坏情况下这种危险为高压电击或者爆炸、燃烧等危害,人员几乎不可能避开此种危险(选择P2);通常一次电力设备按标准方法设计,此种不期望事件发生概率小且只有少量不期望事件出现(选择W2)。查看图1虚线箭头标记,确定SIL2(图中各路径的含义见表1)。
3.2 目标失效量确定
从继电保护装置的功能安全定义可以看出,继电保护装置为低要求的操作模式,根据表2可得,其允许的平均失效概率PFD≥10-3且<10-2。
图1 风险分析框图
表1 风险图中的数据含义
表2 低要求操作模式下要求的目标失效量
根据表3可得,其允许的安全失效分数(SFF)和系统的硬件故障裕度HFT有关系;如果HFT为0,则SFF需≥90%且<99%;如果HFT为1,则SFF在60%~90%之间;如果HFT为2,则SFF<60%即可。
表3 硬件故障裕度与安全失效分数
4 继电保护装置功能安全设计
4.1 安全的系统架构
1)1OO1D安全架构
如图1所示,110kV及以下电压等级的场合,功能安全继电保护装置采用1OO1D,即一取一带诊断安全架构,此架构的硬件故障裕度HFT为0。诊断功能有助于把检测到的危险失效转变成安全失效。
如图2所示,保护装置的安全逻辑模块由保护通道、起动通道、诊断单元组成,保护通道和起动通道相互独立,各自具有ADC采样电路及CPU计算单元;同时,由诊断单元作为协处理器,用于监测保护、起动通道各元件的运行状态,并实现两个通道的数据交互、同步和表决。
保护通道及诊断单元表决输出跳闸信号。当保护通道发生异常时,诊断单元可以根据诊断信息输出跳闸信号,降低拒动的概率;由起动通道和诊断单元表决后开放出口电源,降低误动的概率,实现了安全性和可用性的兼顾。
图2 1OO1D安全架构
2)1OO2D安全架构
如图3所示,220kV及以上电压等级的场合,功能安全继电保护装置采用1OO2D,即二取一带诊断安全架构,此架构的硬件故障裕度HFT为1。保护装置A和保护装置B是热备用关系,正常工作时一主一备,主机故障时自动切换到备机,系统降级为1OO1D运行。
主备机之间通过以太网进行信息交互,确保数据同步。1OO2D架构的保护装置,二次互感器、保护通道、起动通道、诊断单元及出口继电器等环节,均实现了冗余,可极大提高系统安全性和可用性,和2OO3安全架构的安全性和可用性几乎相当。
图3 1OO2D安全架构
4.2 诊断方法
引入诊断的目的是在装置运行过程中,不断地监测系统的运行状态,当某个模块发生故障时,系统可以将其检测出来,并将危险失效引导为安全失效,使系统进入到安全状态。
本文安全继电保护装置诊断方法包括:对装置内各级电源模块进行状态监测,防止芯片在电源过压、欠压等工况下不正常工作;CPU板卡设计有硬件看门狗,防止程序跑飞;装置模拟采样电路均留有监视通道,该监视通道输入接到ADC基准等固定电平,从而诊断ADC工作是否正常;选用带ECC内存校验保护功能的DDR、FLASH等存储元件,纠正数据传输过程中的1比特出错;继电器驱动、背板CAN通信等关键信号回读,用于诊断实际输出信号是否符合预期。
4.3 减少共因失效
共因失效是由于某个单一故障源,导致系统多个部件同时发生失效,共因失效是引起冗余系统失效的主要原因之一,该故障源可能是系统内的,也可能是系统外的。
在设计阶段,可以通过典型的共因失效检测并指定防范措施,来降低共因失效率,安全继电保护装置共因失效的防范措施:保护通道、起动通道及诊断单元使用相互独立的电源、时钟及采样基准等,加强环境(温度、湿度、灰尘、腐蚀等)、EMC等外部共因的测试。根据IEC 61508-6的表格D.1,计算共因失效因子,然后在评估平均失效概率(PFD)时,将失效因子考虑在内。
4.4 FMEA分析及故障注入测试
FMEA技术分析系统各元件可能的失效原因,计算安全失效、危险失效的占比,并寻找将危险失效转换为安全失效的方法,FMEA分析工作贯穿整个产品的设计开发过程。
通常如电阻、电容、MOSFET等分立器件的失效模式和失效概率可以在SN 29500或者GJB/Z299C等标准中找到详细的数据,而如CPU、FPGA、SOC等集成电路的失效模式比较难预测,通常做法是将集成芯片按照功能分成多个子模块,然后通过分析各子模块失效模式以及失效结果,汇总、分析芯片所需的防护措施。
FMEA分析的过程比较费时和繁琐,但是却能在设计阶段,通过系统性的分析计算,发现装置的薄弱环节和缺陷,并尽早做出改进措施,为实现保护装置的高安全性、高可靠性提供重要的依据和保障。
为了验证诊断措施的有效性及FMEA分析的正确性,需要进行故障注入测试。硬件故障注入测试从元器件的物理层面,进行全面的“拉网式”故障模拟测试,这个过程能够识别出潜在的设计缺陷、硬件缺陷及故障影响。
例如,在测试阶段,可修改各级电源芯片的反馈电阻阻值,或者使用外接可调电压源,模拟电源欠压、过压等故障,观察系统运行情况;使用时钟拉偏仪,模拟嵌入式芯片时钟偏移、短路及开路等故障,观察系统运行情况;装置内部和安全功能相关的电阻、电容等被动器件,逐一测试其在短路、开路、参数变化等工况下的系统运行情况。由于故障注入测试工作比较繁琐,其他测试不再一一例举。
4.5 使用安全芯片
随着功能安全在各行业的应用,各芯片厂家相继推出了满足SIL标准的安全芯片,如TI推出的Hercules系列CPU芯片,内部采用旋转90°且分开Layout的双核架构,避免共因失效,同时支持CPU自检、Flash及RAM的ECC校验、电压及时钟监控等安全特性;ADI推出的AD7124系列ADC芯片,支持电源、基准电压、模拟输入监控、开路检测、转换校准检查等丰富的诊断机制。
使用安全芯片,可以节省布板空间和成本,节省外围电路元器件;由于安全芯片已经经过了TUV等专业机构的评估认证,所以在使用的时候,可将其当作满足SIL等级的模块处理,提高设计效率,缩短开发周期。
本文对功能安全在继电保护装置中的应用进行了探讨,分析了目前装置配置存在的安全风险。参考IEC 61508标准,定性分析了继电保护装置需要满足的安全完整性等级及目标失效量。
采用1OO1D或1OO2D安全架构的功能安全继电保护装置,可降低拒动风险,提高安全性;保护、起动双通道带诊断设计,可降低误动风险,提高可用性。自诊断、降低共因失效、安全芯片等技术,可有效控制装置的系统性失效;FDMA分析及故障注入测试可有效控制装置的随机失效。
目前,由南京南瑞继保研发的满足核电站功能安全标准的继电保护装置PCS- 9620H,已经在三门核电站及辽宁红沿河核电站取得了成功应用。