SGS 功能安全認證（SIL）服務(wù)：變頻器功能安全設(shè)計要點講解（下篇）

隨著電力電子技術(shù)、計算機技術(shù)以及自動控制技術(shù)的迅速發(fā)展，電氣傳動技術(shù)正面臨一場新革命， 在電氣傳動領(lǐng)域，變頻調(diào)速系統(tǒng)因效率高、性能好而成為主流。作為變頻調(diào)速的重要設(shè)備，變頻器產(chǎn)業(yè)成為未來幾年市場潛力非常巨大的產(chǎn)業(yè)之一。

為應(yīng)對各行業(yè)對變頻器的不同應(yīng)用要求要求，變頻器也在不停地進行技術(shù)革新： 驅(qū)動的交流化，功率變換器的高頻化，控制的數(shù)字化、智能化和網(wǎng)絡(luò)化。根據(jù)公開資資料整理數(shù)據(jù)顯示：2020 年中國變頻器市場規(guī)模約為 532 億元。2021 年中國變頻器市場規(guī)模為 591 億元，同比增長 11.09%。預(yù)測到2022年我國變頻器市場規(guī)模將達656億元。近年來，我國變頻器市場一直保持著12%～15%的增長率。

在我們SGS 功能安全認證（SIL）服務(wù)：變頻器功能安全設(shè)計要點講解（上篇）中已經(jīng)著重介紹了標準 IEC 61800-5-2對于變頻器類產(chǎn)品的安全功能、對SIL等級的定義說明和安全功能開發(fā)的生命周期的要求。本篇將重點解讀IEC 61800-5-2對于變頻器安全功能的設(shè)計架構(gòu)、軟件開發(fā)、硬件硬件電路FMEDA和PFH計算及安全通信協(xié)議的要求。

（圖片來源網(wǎng)絡(luò)）

3、對安全功能的設(shè)計架構(gòu)的要求

在IEC 61800-5-2 中，首先將實現(xiàn)安全功能的設(shè)計分為了兩種類型，即是Type A子系統(tǒng)和Type B 子系統(tǒng)。Type A 子系統(tǒng)被定為簡單子系統(tǒng)，定義如下

1. 所有組成部件的失效模式都被很好地定義; 并且
2. 故障狀況下子系統(tǒng)的行為能夠完全確定;并且
3. 通過現(xiàn)場經(jīng)驗獲得充足而可靠的數(shù)據(jù),可顯示出滿足所聲明的檢測到的和未檢測到的危險失效的失效率。

對于變頻器的安全功能而言，如果其設(shè)計中采用了純硬件的電路，不含集成電路、微控制器、DSP、CPLD等芯片，則一般為TYPE A子系統(tǒng)。TYPE A子系統(tǒng)的架構(gòu)限制如下表所示：

（引用自標準： IEC 61800-5-2：2016： Table 4 – Maximum allowable safety integrity level for a safety sub-function carried out by a type A safety-related subsystem）

其中SFF 為安全失效分數(shù)，SFF需要通過元器件級別的FMEDA分析計算得到。 N為硬件故障裕度, 根據(jù)變頻器設(shè)計是否采用冗余架構(gòu)來判斷得到。

Type B 子系統(tǒng)為復(fù)雜子系統(tǒng)，其定義如下：

a)至少一個組成部件的失效模式未被很好地定義;或

b)故障狀況下子系統(tǒng)的行為不能完全確定;或

c)通過現(xiàn)場經(jīng)驗獲得的可靠的數(shù)據(jù)不夠充分,不足以顯示出滿足所聲明的檢測到的和未檢測到的危險失效的失效率。

對變頻器的安全功能而言，一般如果安全功能的設(shè)計中采用了集成電路、微控制器、DSP、CPLD等芯片等器件，則為復(fù)雜子系統(tǒng)，其架構(gòu)限制為：

（引用自標準： IEC 61800-5-2：2016： Table 5 – Maximum allowable safety integrity level for a safety sub-function carried out by a type B safety-related subsystem）

目前Type A簡單子系統(tǒng)的架構(gòu)和Type B復(fù)雜子系統(tǒng)的架構(gòu)在變頻器的市場上均有相關(guān)的應(yīng)用。Type A子系統(tǒng)的架構(gòu)由于其簡單，不含軟件，難以對其進行故障診斷的設(shè)計，設(shè)計難度反而比較大，而且往往難以實現(xiàn)較高SIL等級的要求。Type  B子系統(tǒng)采用了處理器芯片進行設(shè)計，能夠很方便地對輸入、邏輯和輸出、電源等進行診斷，能夠很容易實現(xiàn)SIL3等級，市場上應(yīng)用比較多。

需要說明的是：IEC 61800-5-2 并沒有規(guī)定變頻器安全系統(tǒng)的硬件架構(gòu)，僅針對系統(tǒng)的PFH，SFF，響應(yīng)時間等關(guān)鍵安全參數(shù)進行了規(guī)定，將設(shè)計的靈活性完全開放給了開發(fā)工程師。就目前市場上來看，采用雙通道的架構(gòu)設(shè)計的比較多，能比較容易實現(xiàn)SIL3等級。

4、對軟件開發(fā)的要求

如果軟件被應(yīng)用于變頻器安全功能的實現(xiàn)，IEC 61800-5-2 chapter 6.1.8中則明確了軟件的開發(fā)必須遵守IEC 61508-3中的要求：即需要按照V模型來開發(fā)。典型的V 模型如下圖所示：

(引用自標準 IEC 62061 ：2021： Figure 14 – V-model of software safety lifecycle for SW level 2)

在V模型中，IEC 61508-3對文檔的輸出、架構(gòu)設(shè)計的要求，編碼語言的選擇、編碼工具的選擇、單元測試、集成測試、軟硬件集成測試和軟件確認測試等內(nèi)容都有很多技術(shù)的要求，具體見標準的附錄A、附錄B。

5、對硬件電路FMEDA和PFH計算要求

在硬件設(shè)計完成初稿后，對其進行FMEDA分析和PFH計算，才能判斷其硬件隨機失效率是否能夠滿足預(yù)定的SIL目標值。FMEDA分析和PFH計算方案可以參考IEC 61508-6部分的內(nèi)容。常見的FMEDA表格如下所示：

在FMEDA中需要注意的點：

1. 失效率的來源。失效率應(yīng)來源于器件供應(yīng)商或者公開的數(shù)據(jù)庫，失效率的置信度至少70%。
2. 失效模式和百分比應(yīng)參考公開的數(shù)據(jù)庫，例如GJB 299C，IEC 61709，IEC 61508等標準的數(shù)據(jù)。
3. 診斷措施的選擇需要參考IEC 61508-2的附錄B考慮，對輸入、輸出、電源、CPU、時鐘、RAM、ROM等都應(yīng)進行診斷。

在計算PFH時，對于冗余通道必須考慮共因失效的影響。

6、對安全通信協(xié)議設(shè)計的要求

對于數(shù)據(jù)通信鏈路的要求，IEC61800-5-2則完全遵循IEC61784-3的要求。目前在功能安全中，實現(xiàn)安全通信的方式有兩種，白色通道和黑色通道，如下圖所示：

（引用自標準：IEC 61508-2: 2010  Figure 7 – Architectures for data communication）

白色通道的含義是實現(xiàn)通信過程的兩端包括兩端內(nèi)部的所有接口、轉(zhuǎn)換設(shè)備和軟件都需要符合IEC 61508；黑色通道的含義是僅僅兩端的設(shè)備（安全數(shù)據(jù)發(fā)送和安全數(shù)據(jù)最終接收）符合IEC61508，中間的通信過程符合IEC 61784-3，中間的軟硬件不需要符合IEC61508要求。目前世界工業(yè)領(lǐng)域主流的，包括IEC61784-3規(guī)定的都是采用黑色通道的方式來實現(xiàn)，采用黑色通道實現(xiàn)安全通信，如下圖：

（引用自標準：IEC 61784-3: 2021  Figure 5- Example model of a functional safety communication system）

在安全通信協(xié)議的設(shè)計中需要滿足下表中的設(shè)計要求，并計算殘差率，殘差率小于安全功能SIL等級的1%。

（引用自標準：IEC 61784-3: 2021 Table 1 – Overview of the effectiveness of the various measures on the possible errors）

目前主流的現(xiàn)場總線均支持了IEC 61800-5-2定義的安全功能，如西門子推行的基于PROFINET總線的PROFI-Safe安全總線協(xié)議和倍福推行的基于EtherCAT的FSoE安全總線協(xié)議等，各家安全總線均實現(xiàn)了對變頻器安全功能的支持。例如，倍福在ETG6100中詳細規(guī)定了變頻器各個安全功能的控制字和狀態(tài)字；其中，控制字中第一字節(jié)每個比特定義不可修改，第二字節(jié)各比特定義則開放給了變頻器廠家。

IEC 61800-5-2非常系統(tǒng)地規(guī)定了變頻器功能安全的設(shè)計開發(fā)要求和測試要求，任何企業(yè)都可以基于IEC 61800-5-2的要求開發(fā)符合自己企業(yè)系統(tǒng)特點的安全變頻器，并能夠有效證明這些功能能的設(shè)計滿足SIL1~ SIL3的要求。

關(guān)于SGS 工業(yè)服務(wù)功能安全團隊

SGS工業(yè)服務(wù)在中國大陸現(xiàn)有員工超過1700人，在18個城市派駐有檢驗認證工程師和業(yè)務(wù)員：上海、蘇州、杭州、南京、寧波、廣州、廈門、深圳、武漢、重慶、成都、西安、北京、天津、鄭州、青島，大連和長沙，在18個城市配備有實驗室：上海、蘇州、杭州、南京、寧波、廣州、廈門、深圳、武漢、北京、天津、青島、煙臺、大連和成都等。另設(shè)有6個鐵路實驗室：武漢、沈陽、成都、重慶、廈門、合肥。憑借完善的全球網(wǎng)絡(luò)，SGS工業(yè)服務(wù)能為材料與制造、石油化工、電力及公用設(shè)施、基礎(chǔ)設(shè)施等多個領(lǐng)域提供專業(yè)且快捷的檢驗、鑒定、測試和認證服務(wù)。

依托于強大的SGS全球功能安全能力中心SGS-TÜV GCC ，SGS工業(yè)服務(wù)部擁有一支龐大的、技術(shù)底蘊深厚、在各行業(yè)均有豐富經(jīng)驗的功能安全專家團隊。我們可以依據(jù)各行業(yè)功能安全要求開展技術(shù)培訓(xùn)、人員資質(zhì)認證、差距分析、技術(shù)咨詢、功能安全技術(shù)服務(wù)、測試及認證服務(wù)，讓客戶了解行業(yè)及產(chǎn)品功能安全標準的要求外，充盈企業(yè)安全產(chǎn)品的研發(fā)實力。

目前SGS 工業(yè)服務(wù)中國功能安全團隊已為國內(nèi)多家電梯、電力及自動化領(lǐng)域變頻器產(chǎn)品研發(fā)企業(yè)頒發(fā)了功能安全認證證書， 助力我們的客戶在滿足市場要求的同時，減少安全風(fēng)險，提升企業(yè)在國際市場中的競爭力。

SGS定制化解決方案：IEC61508 SIL（安全完整性等級）認證