随着电力电子技术、计算机技术以及自动控制技术的迅速发展,电气传动技术正面临一场新革命, 在电气传动领域,变频调速系统因效率高、性能好而成为主流。作为变频调速的重要设备,变频器产业成为未来几年市场潜力非常巨大的产业之一。
为应对各行业对变频器的不同应用要求要求,变频器也在不停地进行技术革新: 驱动的交流化,功率变换器的高频化,控制的数字化、智能化和网络化。根据公开资资料整理数据显示:2020 年中国变频器市场规模约为 532 亿元。2021 年中国变频器市场规模为 591 亿元,同比增长 11.09%。预测到2022年我国变频器市场规模将达656亿元。近年来,我国变频器市场一直保持着12%~15%的增长率。
在我们SGS 功能安全认证(SIL)服务:变频器功能安全设计要点讲解(上篇)中已经着重介绍了标准 IEC 61800-5-2对于变频器类产品的安全功能、对SIL等级的定义说明和安全功能开发的生命周期的要求。本篇将重点解读IEC 61800-5-2对于变频器安全功能的设计架构、软件开发、硬件硬件电路FMEDA和PFH计算及安全通信协议的要求。
(图片来源网络)
3、对安全功能的设计架构的要求
在IEC 61800-5-2 中,首先将实现安全功能的设计分为了两种类型,即是Type A子系统和Type B 子系统。Type A 子系统被定为简单子系统,定义如下
- 所有组成部件的失效模式都被很好地定义; 并且
- 故障状况下子系统的行为能够完全确定;并且
- 通过现场经验获得充足而可靠的数据,可显示出满足所声明的检测到的和未检测到的危险失效的失效率。
对于变频器的安全功能而言,如果其设计中采用了纯硬件的电路,不含集成电路、微控制器、DSP、CPLD等芯片,则一般为TYPE A子系统。TYPE A子系统的架构限制如下表所示:
(引用自标准: IEC 61800-5-2:2016: Table 4 – Maximum allowable safety integrity level for a safety sub-function carried out by a type A safety-related subsystem)
其中SFF 为安全失效分数,SFF需要通过元器件级别的FMEDA分析计算得到。 N为硬件故障裕度, 根据变频器设计是否采用冗余架构来判断得到。
Type B 子系统为复杂子系统,其定义如下:
a)至少一个组成部件的失效模式未被很好地定义;或
b)故障状况下子系统的行为不能完全确定;或
c)通过现场经验获得的可靠的数据不够充分,不足以显示出满足所声明的检测到的和未检测到的危险失效的失效率。
对变频器的安全功能而言,一般如果安全功能的设计中采用了集成电路、微控制器、DSP、CPLD等芯片等器件,则为复杂子系统,其架构限制为:
(引用自标准: IEC 61800-5-2:2016: Table 5 – Maximum allowable safety integrity level for a safety sub-function carried out by a type B safety-related subsystem)
目前Type A简单子系统的架构和Type B复杂子系统的架构在变频器的市场上均有相关的应用。Type A子系统的架构由于其简单,不含软件,难以对其进行故障诊断的设计,设计难度反而比较大,而且往往难以实现较高SIL等级的要求。Type B子系统采用了处理器芯片进行设计,能够很方便地对输入、逻辑和输出、电源等进行诊断,能够很容易实现SIL3等级,市场上应用比较多。
需要说明的是:IEC 61800-5-2 并没有规定变频器安全系统的硬件架构,仅针对系统的PFH,SFF,响应时间等关键安全参数进行了规定,将设计的灵活性完全开放给了开发工程师。就目前市场上来看,采用双通道的架构设计的比较多,能比较容易实现SIL3等级。
4、对软件开发的要求
如果软件被应用于变频器安全功能的实现,IEC 61800-5-2 chapter 6.1.8中则明确了软件的开发必须遵守IEC 61508-3中的要求:即需要按照V模型来开发。典型的V 模型如下图所示:
(引用自标准 IEC 62061 :2021: Figure 14 – V-model of software safety lifecycle for SW level 2)
在V模型中,IEC 61508-3对文档的输出、架构设计的要求,编码语言的选择、编码工具的选择、单元测试、集成测试、软硬件集成测试和软件确认测试等内容都有很多技术的要求,具体见标准的附录A、附录B。
5、对硬件电路FMEDA和PFH计算要求
在硬件设计完成初稿后,对其进行FMEDA分析和PFH计算,才能判断其硬件随机失效率是否能够满足预定的SIL目标值。FMEDA分析和PFH计算方案可以参考IEC 61508-6部分的内容。常见的FMEDA表格如下所示:
在FMEDA中需要注意的点:
- 失效率的来源。失效率应来源于器件供应商或者公开的数据库,失效率的置信度至少70%。
- 失效模式和百分比应参考公开的数据库,例如GJB 299C,IEC 61709,IEC 61508等标准的数据。
- 诊断措施的选择需要参考IEC 61508-2的附录B考虑,对输入、输出、电源、CPU、时钟、RAM、ROM等都应进行诊断。
在计算PFH时,对于冗余通道必须考虑共因失效的影响。
6、对安全通信协议设计的要求
对于数据通信链路的要求,IEC61800-5-2则完全遵循IEC61784-3的要求。目前在功能安全中,实现安全通信的方式有两种,白色通道和黑色通道,如下图所示:
(引用自标准:IEC 61508-2: 2010 Figure 7 – Architectures for data communication)
白色通道的含义是实现通信过程的两端包括两端内部的所有接口、转换设备和软件都需要符合IEC 61508;黑色通道的含义是仅仅两端的设备(安全数据发送和安全数据最终接收)符合IEC61508,中间的通信过程符合IEC 61784-3,中间的软硬件不需要符合IEC61508要求。目前世界工业领域主流的,包括IEC61784-3规定的都是采用黑色通道的方式来实现,采用黑色通道实现安全通信,如下图:
(引用自标准:IEC 61784-3: 2021 Figure 5- Example model of a functional safety communication system)
在安全通信协议的设计中需要满足下表中的设计要求,并计算残差率,残差率小于安全功能SIL等级的1%。
(引用自标准:IEC 61784-3: 2021 Table 1 – Overview of the effectiveness of the various measures on the possible errors)
目前主流的现场总线均支持了IEC 61800-5-2定义的安全功能,如西门子推行的基于PROFINET总线的PROFI-Safe安全总线协议和倍福推行的基于EtherCAT的FSoE安全总线协议等,各家安全总线均实现了对变频器安全功能的支持。例如,倍福在ETG6100中详细规定了变频器各个安全功能的控制字和状态字;其中,控制字中第一字节每个比特定义不可修改,第二字节各比特定义则开放给了变频器厂家。
IEC 61800-5-2非常系统地规定了变频器功能安全的设计开发要求和测试要求,任何企业都可以基于IEC 61800-5-2的要求开发符合自己企业系统特点的安全变频器,并能够有效证明这些功能能的设计满足SIL1~ SIL3的要求。
关于SGS 工业服务功能安全团队
SGS工业服务在中国大陆现有员工超过1700人,在18个城市派驻有检验认证工程师和业务员:上海、苏州、杭州、南京、宁波、广州、厦门、深圳、武汉、重庆、成都、西安、北京、天津、郑州、青岛,大连和长沙,在18个城市配备有实验室:上海、苏州、杭州、南京、宁波、广州、厦门、深圳、武汉、北京、天津、青岛、烟台、大连和成都等。另设有6个铁路实验室:武汉、沈阳、成都、重庆、厦门、合肥。凭借完善的全球网络,SGS工业服务能为材料与制造、石油化工、电力及公用设施、基础设施等多个领域提供专业且快捷的检验、鉴定、测试和认证服务。
依托于强大的SGS全球功能安全能力中心SGS-TÜV GCC ,SGS工业服务部拥有一支庞大的、技术底蕴深厚、在各行业均有丰富经验的功能安全专家团队。我们可以依据各行业功能安全要求开展技术培训、人员资质认证、差距分析、技术咨询、功能安全技术服务、测试及认证服务,让客户了解行业及产品功能安全标准的要求外,充盈企业安全产品的研发实力。
目前SGS 工业服务中国功能安全团队已为国内多家电梯、电力及自动化领域变频器产品研发企业颁发了功能安全认证证书, 助力我们的客户在满足市场要求的同时,减少安全风险,提升企业在国际市场中的竞争力。
SGS定制化解决方案:IEC61508 SIL(安全完整性等级)认证