利用风险图法,得到了继电保护装置应知足的安全完全性等级;结合IEC 61508标准,确定了保护装置应知足的目标失落效量。为了实现保护装置安全性和可用性的兼顾,提出了基于保护、起动双重化带诊断架构的功能安全继电保护装置设计方案,并给出了包括诊断方法、减少共因失落效、FMEA剖析、故障注入测试以及安全芯片等干系技能的详细履行。
功能安全是指采纳合理的技能和管理方法,担保系统功能的精确实现,从而避免由功能性故障导致的不可接管的风险。功能安全标准IEC 61508发布于2000年,并于2010年发布第2版,该标准提出了全新的评价和担保系统可靠性的理论及方法,将风险做为一个衡量危险的指标,并利用功能安全等级来表示降落风险的能力,是迄今为止安全干系系统的理论概括和技能总结。
目前,功能安全以IEC 61508作为根本标准,已经在汽车、高铁、化工、医疗等行业得到了广泛的运用,并形成了各自的行业安全标准,但是在与国民经济息息相关的电力二次设备领域还没有得到重视。继电保护装置是电力系统稳定运行的主要保障,一旦失落效,会带来极大的安全隐患,造成重大安全事件或经济丢失。
继电保护装置由上千个元器件组成,元器件个性失落效会导致保护发生拒动、误动风险。近年来国内外的多起电力事件,再一次向我们敲响了警钟,完备有必要引进系统、全面的安全标准作为继电保护装置可靠运行的理论和方法支撑。
本文对目前继电保护装置存在的安全风险进行了剖析,并提出了引入功能安全标准和评估技能,实现装置运行状态的全面监视,提高装置可靠性,降落因硬件故障导致的拒动和误动风险。结合保护装置的分外性,提出了基于保护、起动双重化带诊断架构的功能安全继电保护装置设计方案,实现了保护装置安全性和可用性的兼顾。给出了包括诊断方法、减少共因失落效、FMEA剖析、故障注入测试等功能安全干系技能在保护装置中的详细履行方法。
1 目前继电保护装置存在的安全风险1.1 单套非冗余配置
对付110kV及以下电压等级的场合,一样平常继电保护装置按单套非冗余配置。这种配置本钱较低,但是安全性相对较差,拒动风险高。装置内部保护互感器、模数转换电路、逻辑处理CPU及出口回路等部件,都是单独运行的,任何一个部件失落效,都有可能造成装置无法正常实现跳闸出口;虽然装置有自诊断功能,但诊断结果要么仅触发报警,要么闭锁装置出口,故障导向危险。一旦当一次设备发生故障时,保护装置失落效,则会造成一次设备破坏或越级动作。
1.2 双套冗余配置
对付220kV及以上电压等级的场合,一样平常继电保护装置按双套配置。双套配置实现了一定程度的冗余,当个中一台保护装置失落效时,另一台保护装置仍旧可以实现正常的保护跳闸功能,较单套配置安全性有了大幅度的提高,但仍存在以下不敷:
1)虽然是双套配置,但是两个保护装置是独立运行的,他们之间无冗余通信。任何一个装置根据逻辑运算结果判断出一次设备故障时,则直接跳闸出口,增加了误动的可能性。
2)有些涉及跳闸动作回路的器件故障时无法及时检测出来,当发生区外故障时开放起动电源后会造成误动,扩大停电范围。
3)目前提高可靠性的方法,紧张靠履历。缺少理论支撑,且短缺必要的故障注入测试。
综上所述,目前继电保护装置配置存在一定的安全风险,须要系统性地引入功能安全设计理念和管理方法,进一步提高继电保护装置的可靠性。
2 继电保护装置的功能安全2.1 继电保护装置的功能安全定义
继电保护装置的安全功能是担保电力系统设备安全,提高用电的可靠性。当一次设备故障时,保护能够快速、可靠动作,及时将故障设备与电力系统隔离开,防止故障设备及其他一次设备破坏,避免越级跳闸,缩小故障影响范围,将故障危害程度降至最低。同时能实现装置的运行状态全面监测,在故障时及时检修隔离出来。
2.2 继电保护装置功能安全的分外性
继电保护装置,不仅要在一次设备故障时可靠动作,还要在一次设备无端障时不能误动。在实际运用中,安全性和可用性每每是抵牾的。比如,目前110kV电压等级以下变电站中,单套继电保护自检故障时,会闭锁装置的出口正电源。这种做法降落了误动的风险,提高了保护装置的可用性,防止了负荷真个频繁断电;但是此时一次设备处于无保护状态,如果发生故障,将导致一次设备破坏或越级动作,这又降落了装置的安全性。
而在220kV电压等级以上的变电站中,保护装置按双套配置,一台装置闭锁后,其余一台装置仍能实现保护功能。这种配置降落了拒动的风险,提高了安全性;但增加了误动的概率,降落了可用性。
引入功能安全标准评价继电保护装置的可靠性,须要根据实际运用处所,探求安全性和可用性的最优平衡点。
3 继电保护装置安全完全性等级和目标失落效量确定3.1 安全完全性等级(SIL)确定
安全完全性是一种量化预期安全水平的办法,其等级表示降落风险的能力,因此须要先定义继电保护装置所需的SIL,以辅导功能安全保护装置的方案设计。可以利用定量和定性两种方法来确定SIL,定量的方法涉及到大量的数据,评估比较繁琐,本文参考IEC 61508-5中附录D的风险图法,定性地确定继电保护装置所需的SIL。
如图1所示,对付继电保护设备而言,其失落效产生的危险会导致对一人或者多人的严重永久侵害,也可能造成几人或多人去世亡(折中选择C3)。但是检修一样平常1年乃至几年才会进行一次,以是职员很少暴露在危险区域(选择F1)。
最坏情形下这种危险为高压电击或者爆炸、燃烧等危害,职员险些不可能避开此种危险(选择P2);常日一次电力设备按标准方法设计,此种不期望事宜发生概率小且只有少量不期望事宜涌现(选择W2)。查看图1虚线箭头标记,确定SIL2(图中各路径的含义见表1)。
3.2 目标失落效量确定
从继电保护装置的功能安全定义可以看出,继电保护装置为低哀求的操作模式,根据表2可得,其许可的均匀失落效概率PFD≥10-3且<10-2。
图1 风险剖析框图
表1 风险图中的数据含义
表2 低哀求操作模式下哀求的目标失落效量
根据表3可得,其许可的安全失落效分数(SFF)和系统的硬件故障裕度HFT有关系;如果HFT为0,则SFF需≥90%且<99%;如果HFT为1,则SFF在60%~90%之间;如果HFT为2,则SFF<60%即可。
表3 硬件故障裕度与安全失落效分数
4 继电保护装置功能安全设计4.1 安全的系统架构
1)1OO1D安全架构
如图1所示,110kV及以下电压等级的场合,功能安全继电保护装置采取1OO1D,即一取一带诊断安全架构,此架构的硬件故障裕度HFT为0。诊断功能有助于把检测到的危险失落效转变成安全失落效。
如图2所示,保护装置的安全逻辑模块由保护通道、起动通道、诊断单元组成,保护通道和起动通道相互独立,各自具有ADC采样电路及CPU打算单元;同时,由诊断单元作为协处理器,用于监测保护、起动通道各元件的运行状态,并实现两个通道的数据交互、同步和表决。
保护通道及诊断单元表决输出跳闸旗子暗记。当保护通道发生非常时,诊断单元可以根据诊断信息输出跳闸旗子暗记,降落拒动的概率;由起动通道和诊断单元表决后开放出口电源,降落误动的概率,实现了安全性和可用性的兼顾。
图2 1OO1D安全架构
2)1OO2D安全架构
如图3所示,220kV及以上电压等级的场合,功能安全继电保护装置采取1OO2D,即二取一带诊断安全架构,此架构的硬件故障裕度HFT为1。保护装置A和保护装置B是热备用关系,正常事情时一主一备,主机故障时自动切换到备机,系统降级为1OO1D运行。
主备机之间通过以太网进行信息交互,确保数据同步。1OO2D架构的保护装置,二次互感器、保护通道、起动通道、诊断单元及出口继电器等环节,均实现了冗余,可极大提高系统安全性和可用性,和2OO3安全架构的安全性和可用性险些相称。
图3 1OO2D安全架构
4.2 诊断方法
引入诊断的目的是在装置运行过程中,不断地监测系统的运行状态,当某个模块发生故障时,系统可以将其检测出来,并将危险失落效勾引为安全失落效,使系统进入到安全状态。
本文安全继电保护装置诊断方法包括:对装置内各级电源模块进行状态监测,防止芯片在电源过压、欠压等工况下不正常事情;CPU板卡设计有硬件看门狗,防止程序跑飞;装置仿照采样电路均留有监视通道,该监视通道输入接到ADC基准等固定电平,从而诊断ADC事情是否正常;选用带ECC内存校验保护功能的DDR、FLASH等存储元件,纠正数据传输过程中的1比特出错;继电器驱动、背板CAN通信等关键旗子暗记回读,用于诊断实际输出旗子暗记是否符合预期。
4.3 减少共因失落效
共因失落效是由于某个单一故障源,导致系统多个部件同时发生失落效,共因失落效是引起冗余系统失落效的紧张缘故原由之一,该故障源可能是系统内的,也可能是系统外的。
在设计阶段,可以通过范例的共因失落效检测并指定戒备方法,来降落共因失落效率,安全继电保护装置共因失落效的戒备方法:保护通道、起动通道及诊断单元利用相互独立的电源、时钟及采样基准等,加强环境(温度、湿度、灰尘、堕落等)、EMC等外部共因的测试。根据IEC 61508-6的表格D.1,打算共因失落效因子,然后在评估均匀失落效概率(PFD)时,将失落效因子考虑在内。
4.4 FMEA剖析及故障注入测试
FMEA技能剖析系统各元件可能的失落效缘故原由,打算安全失落效、危险失落效的占比,并探求将危险失落效转换为安全失落效的方法,FMEA剖析事情贯穿全体产品的设计开拓过程。
常日如电阻、电容、MOSFET平分立器件的失落效模式和失落效概率可以在SN 29500或者GJB/Z299C等标准中找到详细的数据,而如CPU、FPGA、SOC等集成电路的失落效模式比较难预测,常日做法是将集成芯片按照功能分成多个子模块,然后通过剖析各子模块失落效模式以及失落效结果,汇总、剖析芯片所需的防护方法。
FMEA剖析的过程比较费时和繁琐,但是却能在设计阶段,通过系统性的剖析打算,创造装置的薄弱环节和毛病,并尽早做出改进方法,为实现保护装置的高安全性、高可靠性供应主要的依据和保障。
为了验证诊断方法的有效性及FMEA剖析的精确性,须要进行故障注入测试。硬件故障注入测试从元器件的物理层面,进行全面的“拉网式”故障仿照测试,这个过程能够识别出潜在的设计毛病、硬件毛病及故障影响。
例如,在测试阶段,可修正各级电源芯片的反馈电阻阻值,或者利用外接可调电压源,仿照电源欠压、过压等故障,不雅观察系统运行情形;利用时钟拉偏仪,仿照嵌入式芯片时钟偏移、短路及开路等故障,不雅观察系统运行情形;装置内部和安全功能干系的电阻、电容等被动器件,逐一测试其在短路、开路、参数变革等工况下的系统运行情形。由于故障注入测试事情比较繁琐,其他测试不再逐一例举。
4.5 利用安全芯片
随着功能安全在各行业的运用,各芯片厂家相继推出了知足SIL标准的安全芯片,如TI推出的Hercules系列CPU芯片,内部采取旋转90°且分开Layout的双核架构,避免共因失落效,同时支持CPU自检、Flash及RAM的ECC校验、电压及时钟监控等安全特性;ADI推出的AD7124系列ADC芯片,支持电源、基准电压、仿照输入监控、开路检测、转换校准检讨等丰富的诊断机制。
利用安全芯片,可以节省布板空间和本钱,节省外围电路元器件;由于安全芯片已经经由了TUV等专业机构的评估认证,以是在利用的时候,可将其当作知足SIL等级的模块处理,提高设计效率,缩短开拓周期。
结论本文对功能安全在继电保护装置中的运用进行了磋商,剖析了目前装置配置存在的安全风险。参考IEC 61508标准,定性剖析了继电保护装置须要知足的安全完全性等级及目标失落效量。
采取1OO1D或1OO2D安全架构的功能安全继电保护装置,可降落拒动风险,提高安全性;保护、起动双通道带诊断设计,可降落误动风险,提高可用性。自诊断、降落共因失落效、安全芯片等技能,可有效掌握装置的系统性失落效;FDMA剖析及故障注入测试可有效掌握装置的随机失落效。
目前,由南京南瑞继保研发的知足核电站功能安全标准的继电保护装置PCS- 9620H,已经在三门核电站及辽宁红沿河核电站取得了成功运用。
