SGS 功能安全認證（SIL）服務：變頻器功能安全設計要點講解（下篇）

隨著電力電子技術、計算機技術以及自動控制技術的迅速發展，電氣傳動技術正面臨一場新革命， 在電氣傳動領域，變頻調速系統因效率高、性能好而成為主流。作為變頻調速的重要設備，變頻器產業成為未來幾年市場潛力非常巨大的產業之一。

為應對各行業對變頻器的不同應用要求要求，變頻器也在不停地進行技術革新： 驅動的交流化，功率變換器的高頻化，控制的數字化、智能化和網絡化。根據公開資資料整理數據顯示：2020 年中國變頻器市場規模約為 532 億元。2021 年中國變頻器市場規模為 591 億元，同比增長 11.09%。預測到2022年我國變頻器市場規模將達656億元。近年來，我國變頻器市場一直保持著12%～15%的增長率。

在我們SGS 功能安全認證（SIL）服務：變頻器功能安全設計要點講解（上篇）中已經著重介紹了標準 IEC 61800-5-2對于變頻器類產品的安全功能、對SIL等級的定義說明和安全功能開發的生命周期的要求。本篇將重點解讀IEC 61800-5-2對于變頻器安全功能的設計架構、軟件開發、硬件硬件電路FMEDA和PFH計算及安全通信協議的要求。

（圖片來源網絡）

3、對安全功能的設計架構的要求

在IEC 61800-5-2 中，首先將實現安全功能的設計分為了兩種類型，即是Type A子系統和Type B 子系統。Type A 子系統被定為簡單子系統，定義如下

1. 所有組成部件的失效模式都被很好地定義; 并且
2. 故障狀況下子系統的行為能夠完全確定;并且
3. 通過現場經驗獲得充足而可靠的數據,可顯示出滿足所聲明的檢測到的和未檢測到的危險失效的失效率。

對于變頻器的安全功能而言，如果其設計中采用了純硬件的電路，不含集成電路、微控制器、DSP、CPLD等芯片，則一般為TYPE A子系統。TYPE A子系統的架構限制如下表所示：

（引用自標準： IEC 61800-5-2：2016： Table 4 – Maximum allowable safety integrity level for a safety sub-function carried out by a type A safety-related subsystem）

其中SFF 為安全失效分數，SFF需要通過元器件級別的FMEDA分析計算得到。 N為硬件故障裕度, 根據變頻器設計是否采用冗余架構來判斷得到。

Type B 子系統為復雜子系統，其定義如下：

a)至少一個組成部件的失效模式未被很好地定義;或

b)故障狀況下子系統的行為不能完全確定;或

c)通過現場經驗獲得的可靠的數據不夠充分,不足以顯示出滿足所聲明的檢測到的和未檢測到的危險失效的失效率。

對變頻器的安全功能而言，一般如果安全功能的設計中采用了集成電路、微控制器、DSP、CPLD等芯片等器件，則為復雜子系統，其架構限制為：

（引用自標準： IEC 61800-5-2：2016： Table 5 – Maximum allowable safety integrity level for a safety sub-function carried out by a type B safety-related subsystem）

目前Type A簡單子系統的架構和Type B復雜子系統的架構在變頻器的市場上均有相關的應用。Type A子系統的架構由于其簡單，不含軟件，難以對其進行故障診斷的設計，設計難度反而比較大，而且往往難以實現較高SIL等級的要求。Type  B子系統采用了處理器芯片進行設計，能夠很方便地對輸入、邏輯和輸出、電源等進行診斷，能夠很容易實現SIL3等級，市場上應用比較多。

需要說明的是：IEC 61800-5-2 并沒有規定變頻器安全系統的硬件架構，僅針對系統的PFH，SFF，響應時間等關鍵安全參數進行了規定，將設計的靈活性完全開放給了開發工程師。就目前市場上來看，采用雙通道的架構設計的比較多，能比較容易實現SIL3等級。

4、對軟件開發的要求

如果軟件被應用于變頻器安全功能的實現，IEC 61800-5-2 chapter 6.1.8中則明確了軟件的開發必須遵守IEC 61508-3中的要求：即需要按照V模型來開發。典型的V 模型如下圖所示：

(引用自標準 IEC 62061 ：2021： Figure 14 – V-model of software safety lifecycle for SW level 2)

在V模型中，IEC 61508-3對文檔的輸出、架構設計的要求，編碼語言的選擇、編碼工具的選擇、單元測試、集成測試、軟硬件集成測試和軟件確認測試等內容都有很多技術的要求，具體見標準的附錄A、附錄B。

5、對硬件電路FMEDA和PFH計算要求

在硬件設計完成初稿后，對其進行FMEDA分析和PFH計算，才能判斷其硬件隨機失效率是否能夠滿足預定的SIL目標值。FMEDA分析和PFH計算方案可以參考IEC 61508-6部分的內容。常見的FMEDA表格如下所示：

在FMEDA中需要注意的點：

1. 失效率的來源。失效率應來源于器件供應商或者公開的數據庫，失效率的置信度至少70%。
2. 失效模式和百分比應參考公開的數據庫，例如GJB 299C，IEC 61709，IEC 61508等標準的數據。
3. 診斷措施的選擇需要參考IEC 61508-2的附錄B考慮，對輸入、輸出、電源、CPU、時鐘、RAM、ROM等都應進行診斷。

在計算PFH時，對于冗余通道必須考慮共因失效的影響。

6、對安全通信協議設計的要求

對于數據通信鏈路的要求，IEC61800-5-2則完全遵循IEC61784-3的要求。目前在功能安全中，實現安全通信的方式有兩種，白色通道和黑色通道，如下圖所示：

（引用自標準：IEC 61508-2: 2010  Figure 7 – Architectures for data communication）

白色通道的含義是實現通信過程的兩端包括兩端內部的所有接口、轉換設備和軟件都需要符合IEC 61508；黑色通道的含義是僅僅兩端的設備（安全數據發送和安全數據最終接收）符合IEC61508，中間的通信過程符合IEC 61784-3，中間的軟硬件不需要符合IEC61508要求。目前世界工業領域主流的，包括IEC61784-3規定的都是采用黑色通道的方式來實現，采用黑色通道實現安全通信，如下圖：

（引用自標準：IEC 61784-3: 2021  Figure 5- Example model of a functional safety communication system）

在安全通信協議的設計中需要滿足下表中的設計要求，并計算殘差率，殘差率小于安全功能SIL等級的1%。

（引用自標準：IEC 61784-3: 2021 Table 1 – Overview of the effectiveness of the various measures on the possible errors）

目前主流的現場總線均支持了IEC 61800-5-2定義的安全功能，如西門子推行的基于PROFINET總線的PROFI-Safe安全總線協議和倍福推行的基于EtherCAT的FSoE安全總線協議等，各家安全總線均實現了對變頻器安全功能的支持。例如，倍福在ETG6100中詳細規定了變頻器各個安全功能的控制字和狀態字；其中，控制字中第一字節每個比特定義不可修改，第二字節各比特定義則開放給了變頻器廠家。

IEC 61800-5-2非常系統地規定了變頻器功能安全的設計開發要求和測試要求，任何企業都可以基于IEC 61800-5-2的要求開發符合自己企業系統特點的安全變頻器，并能夠有效證明這些功能能的設計滿足SIL1~ SIL3的要求。

關于SGS 工業服務功能安全團隊

SGS工業服務在中國大陸現有員工超過1700人，在18個城市派駐有檢驗認證工程師和業務員：上海、蘇州、杭州、南京、寧波、廣州、廈門、深圳、武漢、重慶、成都、西安、北京、天津、鄭州、青島，大連和長沙，在18個城市配備有實驗室：上海、蘇州、杭州、南京、寧波、廣州、廈門、深圳、武漢、北京、天津、青島、煙臺、大連和成都等。另設有6個鐵路實驗室：武漢、沈陽、成都、重慶、廈門、合肥。憑借完善的全球網絡，SGS工業服務能為材料與制造、石油化工、電力及公用設施、基礎設施等多個領域提供專業且快捷的檢驗、鑒定、測試和認證服務。

依托于強大的SGS全球功能安全能力中心SGS-TÜV GCC ，SGS工業服務部擁有一支龐大的、技術底蘊深厚、在各行業均有豐富經驗的功能安全專家團隊。我們可以依據各行業功能安全要求開展技術培訓、人員資質認證、差距分析、技術咨詢、功能安全技術服務、測試及認證服務，讓客戶了解行業及產品功能安全標準的要求外，充盈企業安全產品的研發實力。

目前SGS 工業服務中國功能安全團隊已為國內多家電梯、電力及自動化領域變頻器產品研發企業頒發了功能安全認證證書， 助力我們的客戶在滿足市場要求的同時，減少安全風險，提升企業在國際市場中的競爭力。

SGS定制化解決方案：IEC61508 SIL（安全完整性等級）認證