功能安全简介
        对于客户而言，一个工业系统的什么特性最重要？相信会有不少回答，但可以肯定的是，其中一定有个答案是－安全！那什么是安全？是完全没有危险，不受威胁，不出事故的状态和过程吗？恐怕这种绝对的安全在自然界中并不存在。在IEC61508-4中有对于安全更合乎实际的定义，安全就是没有不可接受的风险。用个更通俗的表述来说，就是当一个系统的风险降低到可接受的范围时，那这个系统就是安全的。
        那什么又是功能安全呢？IEC61508-4中的定义是功能安全是整体安全的组成部分，它取决于系统或设备对于其输入的正确响应。笔者更愿意用另外一种定义来理解功能安全：在系统或者某个设备发生随机失效、系统失效或者共因失效，都不会导致对人员或者环境产生危害，那这个系统就是在功能上是安全的。
        功能安全在各行业的应用现状
        2000年出台的IEC61508是一个基础标准，是应用最广泛的功能安全国际标准。由此功能安全做为独立的安全学科，开始自成体系。IEC61508考虑了所有与安全相关的系统的整体、硬件和软件生存周期阶段，为安全系统实现必要的功能安全提供了一个规范安全需求的方法，并把风险做为一个度量危险的指标，用安全完整性等级来说明一个统一的安全目标。
        在IEC61508基础上，很多行业都衍生出了各自的行业安全标准，用于指导各自行业对于安全产品的开发。具体可以参见图1。这些标准有力的推进了功能安全在机械、化工、航空航天、核能、医药的应用。特别是在过程控制领域里，几乎所有制造仪表和控制系统的公司都有对于安全完整性SIL(Safty Integrity Level)的明确要求，有很多符合IEC61508标准并达到了SIL3的等级认证的产品控制工程网版权所有，比如安全PLC、安全仪表等。

图1 各行业的功能安全标准

        但实事求是的说，就现况而言，对于产品的功能安全的要求虽然已经显现出来，在工业控制领域尤其明显，但由于现有技术和成本的局限，功能安全还没有成为一个强制标准，但又势在必行。其现状就象处于一个需求爆发的前夜。
        继电保护行业对功能安全的需求
        从功能安全的角度来说，一个典型的中压系统的继电保护应用（如图2所示）具有如下两个主要功能：
        1）可用性：在正常情况下，继电保护装置不影响电网上的电力设备正常运行。
        2）安全性：在某一设备出现故障，产生过载、短路异常情况时，继电保护装置能迅速隔离故障，保护电网上其它电力设备不受损坏，把故障缩小到最小范围。

图2 一个典型的中压系统

        可用性其实就是在继电保护行业中常说的不误动，这种误动通常会导致部分和全部的电网设备功能的丧失，也通常会导致巨大的经济损失。
        安全性其实就是在继电保护行业中常说的不拒动，过载、短路出现时如果拒动，过热的电力设备或者电缆会导致起火，某些情况下甚至是爆炸，这种情况的后果通常会导致人身伤害。
        因此，继电保护行业对于功能安全是有明确的需求的。还要提出的一点是，继电保护装置在维护时，其保护功能不可用，对于可用性和安全性都是有影响的。
        继电保护行业中现在对于功能安全的需求还没有大规模展开，至今只有极少数的具有前瞻视野的公司开发出了符合IEC61508认证的继电保护装置，比如施耐德电气的Sepam S80。但随着用户对安全认识的不断提高和世界各国对电力系统安全要求的不断提高，功能安全要求对继电保护装置将会是一个不可避免的趋势。
        一个继电保护产品的SIL认证过程
        完成一个继电保护产品的SIL认证过程非常复杂，时间跨度很长，涉及面也很宽。由于篇幅所限，笔者选取了这个过程中的几个方面供大家参考。
        ■  研发流程要求
        对于研发流程的要求是为了降低继电保护产品的系统失效。这个要求可以分为两个层次，第一层次是看这个研发组织是否通过了基本的认证，比如公司的ISO9001/14000认证, 软件的CMM/CMMI认证；第二层次就是看这个研发组织所使用的研发流程是否完善，研发流程的执行是否彻底www.cechina.cn，在项目中使用的方法和工具是否成熟，研发过程中的文档是否完整等等。这些要求实际上考量的是一个公司的成熟度，达到这些要求需要的是长年累月的积累CONTROL ENGINEERING China版权所有，而不可能是一蹴而就。
        值得提醒的是，根据笔者的经验，研发流程往往很受重视，而产品的生产、运行和维护流程却最容易被忽视，但功能安全是涵盖整个产品生命周期的，任何一个阶段的流程不完善都会影响到该产品的SIL认证结果。
        ■  研发团队技能要求
        IEC61508 中对于研发团队技能有6个要求：所有成员都了解自己的职责；所有需求都要被识别；所有成员的能力能够被流程保证；所有需要的技能都需要被考虑；所有成员的能力需要文档化；以上所有要求能被监控。
        以下就是根据这六项要求，对该继电器开发团队技能认证的实现方式：
        1）定义出这个继电保护装置的生命周期内所有的功能；
        2）定义出每个功能所需的人员角色；
        3）定义出每个人员角色的能力水平；通常分为3个等级。
        4）在项目开始前检查项目成员和角色之间的能力差距；
        5）每个人的能力差距定义培训计划；比如要求研发团队所有人员都要经过功能安全基础知识的培训，主要人员还要经过更深入的功能安全知识的培训，核心人员具有认证过的功能安全工程师资质等。
        6）定期检查以上工作；
        7）行为都要有记录；比如所有人员的相关知识能力和相关培训，都被记录下来，所有这些信息在后期的第三方评审中将非常有效。
        ■  SFF要求
        SFF(safe failure fraction)衡量的是继电保护产品的随机失效水平，要计算SFF首先需要描述系统的状态图，图3就是某继电保护器的安全状态图。圆形的是状态节点，弧线是状态转移，弧线上的数字是发生的概率。通过这个状态图，就可以知道这个系统的整个状况和行为。这个图也是计算随机失效概率的基础。绿色代表安全状态；红色代表危险状态；黄色代表降级状态，但在此状态下系统仍然安全。

图3 安全状态图

        按IEC61508的定义，其将失效分为，λS安全失效和λD危险失效，其中危险失效λD又分为可检测的危险失效λDd和不能被检测的危险失效λDu.
        SFF安全失效分数计算公式为：
        根据IEC61508中的定义，继电器属于TypeB系统，其SIL等级及对应的SFF分数和HFT（Hardware fault tolerance）如表1所示。

表1 TypeB系统的SFF分数

        为达到SIL2的SFF分数控制工程网版权所有，该继电保护器采用了很多方法，比如冗余的输入通道，来增加λDd，提高危险失效中的可检测比例，从而提高SFF；主处理器和协处理器设计以实现两个CPU的互相检测，从而提高CPU部分的危险失效的可检测比例；在硬件上做了很多回读设计；软件上做了很多自测功能，这些措施增加了λDd，提高了SFF，此外还包括谨慎的选择器件和供应商，降低λD；更合理的系统设计，提高λs降低λD等。

图4 硬件框图

        图4是该继电保护装置的硬件框图，主处理器和协处理器分别实现了对模拟通道和数字通道各个子功能模块进行验证，并实现对自身的自检功能；同时，为了提高两个处理器检测性能，这两个处理器又能互检，通过比较自检结果和互检结果，一旦模块有异常情况出现，整个系统就会进入安全状态。
        ■ PFD要求
        尽管通过采用各种措施，该继电器SFF能够达到大于90%的目标，但实际应用中不可检测的危险失效始终是存在的，而只有proof test才能检测到λDu。满足PFD(Probability of Failure on Demand)的要求，最重要的是对于proof test interval(诊断测试间隔)的要求。Proof Test越频繁，这个系统的安全性信心就越高，但显然，proof test时这个系统是不可用的，这通常会带来经济上的损失。从经济上看，proof test是越少越好。通常需要从这两个方面取一个平衡。
        这里需要指出的是，在计算PFD时，我们一般都认为proof test的诊断率是100%，能检测到所有未检测到的危险失效λDu，但现实情况并不总能这么完美。实际中由于诊断率达不到100%，会导致PFD(t)曲线向上偏移，偏移量跟proof test的实际诊断率有关。如图5所示，proof test间隔时间是6年，PFD average符合SIL2标准，但由于proof test实际诊断率不到100%，导致PFD(t)曲线向上偏移，图中红色三角形就表示没有达到SIL2的时间。

图5 PFD(t)和PFD average

        因此，需要考虑实际情况，适当缩短proof test的间隔时间，以便同时满足PFD(t)和PFD average的要求。
        ■ safety manual的要求
        在2010版的IEC61508-2的附录D中对safety manual 中的硬件部分提出了明确的要求，要求safety manual 必须定义出安全功能元素，这些安全功能元素能够支持一个安全系统执行安全功能。而且所有这些功能和输入输出接口都要被清晰的描述出来。
        对于每个功能，safety manual必须包括失效模式，相应的失效概率，自检间隔，维护要求等。
        在IEC61508-3的附录D中对safety manual中软件部分也有明确的要求：比如所有对于安装者的指令，软件的配置，软硬件的运行环境，安装者的能力，变更控制等等。
        ■ Certification laboratory要求
        功能安全在欧洲开展的较早，因此在从事这个领域的认证试验室也以欧洲为多。例如德国的TϋV Reinhand, 英国的SIRA，法国的INERIS，其中TϋV的认证是在全世界影响力最大的。
        TϋV不光提供产品的功能安全认证，同时也提供功能安全知识的培训，值得一提的是TϋV还开展了一个叫认证功能安全工程师的工作。在参加了TϋV的功能安全培训后，可以参加TϋV组织的一个认证考试www.cechina.cn，如果通过并提供从事功能安全工作三年的经历证明，就可以获得TϋV的认证功能安全工程师证书，并在TϋV网站上登记开放出来。迄今为止，全球已经有4000多人通过了这个认证。如果功能安全工程师参与研发功能安全相关系统，对于整个系统的SIL等级认证大有裨益。
        总结
        高安全性和高可用性一直是继电保护行业追求的目标。功能安全IEC61508是从更抽象的一个层次，更全面的范围对这两个要求提出了更高的目标。因此一个满足IEC61508功能安全认证的继电保护器能给电力系统带来更多的可用性和更高的安全性。
        尽管在现在的技术水平上，能达到SIL2的继电保护器还屈指可数。但相信随着技术的发展，应用的成熟，对风险的掌握，会有越来越多的符合SIL2，甚至SIL3的继电保护器出现，我们的电力系统也会越来越坚强和高效。