隨著電力電子技術(shù)、計(jì)算機(jī)技術(shù)以及自動控制技術(shù)的迅速發(fā)展，電氣傳動技術(shù)正面臨一場新革命， 在電氣傳動領(lǐng)域，變頻調(diào)速系統(tǒng)因效率高、性能好而成為主流。作為變頻調(diào)速的重要設(shè)備，變頻器產(chǎn)業(yè)成為未來幾年市場潛力非常巨大的產(chǎn)業(yè)之一。

為應(yīng)對各行業(yè)對變頻器的不同應(yīng)用要求要求，變頻器也在不停地進(jìn)行技術(shù)革新： 驅(qū)動的交流化，功率變換器的高頻化，控制的數(shù)字化、智能化和網(wǎng)絡(luò)化。根據(jù)公開資資料整理數(shù)據(jù)顯示：2020 年中國變頻器市場規(guī)模約為 532 億元。2021 年中國變頻器市場規(guī)模為 591 億元，同比增長 11.09%。預(yù)測到2022年我國變頻器市場規(guī)模將達(dá)656億元。近年來，我國變頻器市場一直保持著12%～15%的增長率。

在我們SGS 功能安全認(rèn)證（SIL）服務(wù)：變頻器功能安全設(shè)計(jì)要點(diǎn)講解（上篇）中已經(jīng)著重介紹了標(biāo)準(zhǔn) IEC 61800-5-2對于變頻器類產(chǎn)品的安全功能、對SIL等級的定義說明和安全功能開發(fā)的生命周期的要求。本篇將重點(diǎn)解讀IEC 61800-5-2對于變頻器安全功能的設(shè)計(jì)架構(gòu)、軟件開發(fā)、硬件硬件電路FMEDA和PFH計(jì)算及安全通信協(xié)議的要求。

（圖片來源網(wǎng)絡(luò)）

3、對安全功能的設(shè)計(jì)架構(gòu)的要求

在IEC 61800-5-2 中，首先將實(shí)現(xiàn)安全功能的設(shè)計(jì)分為了兩種類型，即是Type A子系統(tǒng)和Type B 子系統(tǒng)。Type A 子系統(tǒng)被定為簡單子系統(tǒng)，定義如下

1. 所有組成部件的失效模式都被很好地定義; 并且
2. 故障狀況下子系統(tǒng)的行為能夠完全確定;并且
3. 通過現(xiàn)場經(jīng)驗(yàn)獲得充足而可靠的數(shù)據(jù),可顯示出滿足所聲明的檢測到的和未檢測到的危險(xiǎn)失效的失效率。

對于變頻器的安全功能而言，如果其設(shè)計(jì)中采用了純硬件的電路，不含集成電路、微控制器、DSP、CPLD等芯片，則一般為TYPE A子系統(tǒng)。TYPE A子系統(tǒng)的架構(gòu)限制如下表所示：

（引用自標(biāo)準(zhǔn)： IEC 61800-5-2：2016： Table 4 – Maximum allowable safety integrity level for a safety sub-function carried out by a type A safety-related subsystem）

其中SFF 為安全失效分?jǐn)?shù)，SFF需要通過元器件級別的FMEDA分析計(jì)算得到。 N為硬件故障裕度, 根據(jù)變頻器設(shè)計(jì)是否采用冗余架構(gòu)來判斷得到。

Type B 子系統(tǒng)為復(fù)雜子系統(tǒng)，其定義如下：

a)至少一個組成部件的失效模式未被很好地定義;或

b)故障狀況下子系統(tǒng)的行為不能完全確定;或

c)通過現(xiàn)場經(jīng)驗(yàn)獲得的可靠的數(shù)據(jù)不夠充分,不足以顯示出滿足所聲明的檢測到的和未檢測到的危險(xiǎn)失效的失效率。

對變頻器的安全功能而言，一般如果安全功能的設(shè)計(jì)中采用了集成電路、微控制器、DSP、CPLD等芯片等器件，則為復(fù)雜子系統(tǒng)，其架構(gòu)限制為：

（引用自標(biāo)準(zhǔn)： IEC 61800-5-2：2016： Table 5 – Maximum allowable safety integrity level for a safety sub-function carried out by a type B safety-related subsystem）

目前Type A簡單子系統(tǒng)的架構(gòu)和Type B復(fù)雜子系統(tǒng)的架構(gòu)在變頻器的市場上均有相關(guān)的應(yīng)用。Type A子系統(tǒng)的架構(gòu)由于其簡單，不含軟件，難以對其進(jìn)行故障診斷的設(shè)計(jì)，設(shè)計(jì)難度反而比較大，而且往往難以實(shí)現(xiàn)較高SIL等級的要求。Type  B子系統(tǒng)采用了處理器芯片進(jìn)行設(shè)計(jì)，能夠很方便地對輸入、邏輯和輸出、電源等進(jìn)行診斷，能夠很容易實(shí)現(xiàn)SIL3等級，市場上應(yīng)用比較多。

需要說明的是：IEC 61800-5-2 并沒有規(guī)定變頻器安全系統(tǒng)的硬件架構(gòu)，僅針對系統(tǒng)的PFH，SFF，響應(yīng)時間等關(guān)鍵安全參數(shù)進(jìn)行了規(guī)定，將設(shè)計(jì)的靈活性完全開放給了開發(fā)工程師。就目前市場上來看，采用雙通道的架構(gòu)設(shè)計(jì)的比較多，能比較容易實(shí)現(xiàn)SIL3等級。

4、對軟件開發(fā)的要求

如果軟件被應(yīng)用于變頻器安全功能的實(shí)現(xiàn)，IEC 61800-5-2 chapter 6.1.8中則明確了軟件的開發(fā)必須遵守IEC 61508-3中的要求：即需要按照V模型來開發(fā)。典型的V 模型如下圖所示：

(引用自標(biāo)準(zhǔn) IEC 62061 ：2021： Figure 14 – V-model of software safety lifecycle for SW level 2)

在V模型中，IEC 61508-3對文檔的輸出、架構(gòu)設(shè)計(jì)的要求，編碼語言的選擇、編碼工具的選擇、單元測試、集成測試、軟硬件集成測試和軟件確認(rèn)測試等內(nèi)容都有很多技術(shù)的要求，具體見標(biāo)準(zhǔn)的附錄A、附錄B。

5、對硬件電路FMEDA和PFH計(jì)算要求

在硬件設(shè)計(jì)完成初稿后，對其進(jìn)行FMEDA分析和PFH計(jì)算，才能判斷其硬件隨機(jī)失效率是否能夠滿足預(yù)定的SIL目標(biāo)值。FMEDA分析和PFH計(jì)算方案可以參考IEC 61508-6部分的內(nèi)容。常見的FMEDA表格如下所示：

在FMEDA中需要注意的點(diǎn)：

1. 失效率的來源。失效率應(yīng)來源于器件供應(yīng)商或者公開的數(shù)據(jù)庫，失效率的置信度至少70%。
2. 失效模式和百分比應(yīng)參考公開的數(shù)據(jù)庫，例如GJB 299C，IEC 61709，IEC 61508等標(biāo)準(zhǔn)的數(shù)據(jù)。
3. 診斷措施的選擇需要參考IEC 61508-2的附錄B考慮，對輸入、輸出、電源、CPU、時鐘、RAM、ROM等都應(yīng)進(jìn)行診斷。

在計(jì)算PFH時，對于冗余通道必須考慮共因失效的影響。

6、對安全通信協(xié)議設(shè)計(jì)的要求

對于數(shù)據(jù)通信鏈路的要求，IEC61800-5-2則完全遵循IEC61784-3的要求。目前在功能安全中，實(shí)現(xiàn)安全通信的方式有兩種，白色通道和黑色通道，如下圖所示：

（引用自標(biāo)準(zhǔn)：IEC 61508-2: 2010  Figure 7 – Architectures for data communication）

白色通道的含義是實(shí)現(xiàn)通信過程的兩端包括兩端內(nèi)部的所有接口、轉(zhuǎn)換設(shè)備和軟件都需要符合IEC 61508；黑色通道的含義是僅僅兩端的設(shè)備（安全數(shù)據(jù)發(fā)送和安全數(shù)據(jù)最終接收）符合IEC61508，中間的通信過程符合IEC 61784-3，中間的軟硬件不需要符合IEC61508要求。目前世界工業(yè)領(lǐng)域主流的，包括IEC61784-3規(guī)定的都是采用黑色通道的方式來實(shí)現(xiàn)，采用黑色通道實(shí)現(xiàn)安全通信，如下圖：

（引用自標(biāo)準(zhǔn)：IEC 61784-3: 2021  Figure 5- Example model of a functional safety communication system）

在安全通信協(xié)議的設(shè)計(jì)中需要滿足下表中的設(shè)計(jì)要求，并計(jì)算殘差率，殘差率小于安全功能SIL等級的1%。

（引用自標(biāo)準(zhǔn)：IEC 61784-3: 2021 Table 1 – Overview of the effectiveness of the various measures on the possible errors）

目前主流的現(xiàn)場總線均支持了IEC 61800-5-2定義的安全功能，如西門子推行的基于PROFINET總線的PROFI-Safe安全總線協(xié)議和倍福推行的基于EtherCAT的FSoE安全總線協(xié)議等，各家安全總線均實(shí)現(xiàn)了對變頻器安全功能的支持。例如，倍福在ETG6100中詳細(xì)規(guī)定了變頻器各個安全功能的控制字和狀態(tài)字；其中，控制字中第一字節(jié)每個比特定義不可修改，第二字節(jié)各比特定義則開放給了變頻器廠家。

IEC 61800-5-2非常系統(tǒng)地規(guī)定了變頻器功能安全的設(shè)計(jì)開發(fā)要求和測試要求，任何企業(yè)都可以基于IEC 61800-5-2的要求開發(fā)符合自己企業(yè)系統(tǒng)特點(diǎn)的安全變頻器，并能夠有效證明這些功能能的設(shè)計(jì)滿足SIL1~ SIL3的要求。

關(guān)于SGS 工業(yè)服務(wù)功能安全團(tuán)隊(duì)

SGS工業(yè)服務(wù)在中國大陸現(xiàn)有員工超過1700人，在18個城市派駐有檢驗(yàn)認(rèn)證工程師和業(yè)務(wù)員：上海、蘇州、杭州、南京、寧波、廣州、廈門、深圳、武漢、重慶、成都、西安、北京、天津、鄭州、青島，大連和長沙，在18個城市配備有實(shí)驗(yàn)室：上海、蘇州、杭州、南京、寧波、廣州、廈門、深圳、武漢、北京、天津、青島、煙臺、大連和成都等。另設(shè)有6個鐵路實(shí)驗(yàn)室：武漢、沈陽、成都、重慶、廈門、合肥。憑借完善的全球網(wǎng)絡(luò)，SGS工業(yè)服務(wù)能為材料與制造、石油化工、電力及公用設(shè)施、基礎(chǔ)設(shè)施等多個領(lǐng)域提供專業(yè)且快捷的檢驗(yàn)、鑒定、測試和認(rèn)證服務(wù)。

依托于強(qiáng)大的SGS全球功能安全能力中心SGS-TÜV GCC ，SGS工業(yè)服務(wù)部擁有一支龐大的、技術(shù)底蘊(yùn)深厚、在各行業(yè)均有豐富經(jīng)驗(yàn)的功能安全專家團(tuán)隊(duì)。我們可以依據(jù)各行業(yè)功能安全要求開展技術(shù)培訓(xùn)、人員資質(zhì)認(rèn)證、差距分析、技術(shù)咨詢、功能安全技術(shù)服務(wù)、測試及認(rèn)證服務(wù)，讓客戶了解行業(yè)及產(chǎn)品功能安全標(biāo)準(zhǔn)的要求外，充盈企業(yè)安全產(chǎn)品的研發(fā)實(shí)力。

目前SGS 工業(yè)服務(wù)中國功能安全團(tuán)隊(duì)已為國內(nèi)多家電梯、電力及自動化領(lǐng)域變頻器產(chǎn)品研發(fā)企業(yè)頒發(fā)了功能安全認(rèn)證證書， 助力我們的客戶在滿足市場要求的同時，減少安全風(fēng)險(xiǎn)，提升企業(yè)在國際市場中的競爭力。

SGS定制化解決方案：IEC61508 SIL（安全完整性等級）認(rèn)證