功能安全在电力行业的应用预案研究

陈华军，张宝林，黄晓昆，罗银

（1.南方电网信息技术与信息安全实验室，广东　广州，510080；2.工业和信息化部电子第五研究所，广东　广州，510610；3.电力行业信息安全等级保护测评中心第五实验室，广东　广州，510080；4.南方电网科学研究院有限责任公司，广东　广州，510080）



功能安全在电力行业的应用预案研究

陈华军1，3，4，张宝林2，黄晓昆2，罗银2

（1.南方电网信息技术与信息安全实验室，广东广州，510080；2.工业和信息化部电子第五研究所，广东广州，510610；3.电力行业信息安全等级保护测评中心第五实验室，广东广州，510080；4.南方电网科学研究院有限责任公司，广东广州，510080）

摘要：随着发电量的提高和电力系统网络范围的扩大，安全问题成为了电力行业稳定发展的关键。功能安全标准作为安全生产风险管理体系的重要组成部分，关注通过技术和管理将系统整体风险控制在可接受的范围内。以IEC 61508为基础，总结了电力行业软硬件产品的特点，对功能安全在电力行业的具体实施与应用进行了探讨，并提出了功能安全在电力行业中应用时应注意的问题及重点研究方向。

关键词：功能安全；电力行业；风险；安全生命周期；功能安全完整性等级

0　引言

电力行业是国家的基础产业，保障电力行业安全生产是国民经济发展的主旋律。功能安全[1]是保证系统安全、稳定地运行，降低系统风险，保障安全生产的有力武器，是完善国家安全生产及系统风险管理体系的重要内容，同时也是欧美国家用于对安全生产进行保障的法律法规。目前，功能安全的应用已经履盖了过程工业、汽车、核电、医疗和铁路交通等领域，但在电力行业还未得到广泛的应用。因此，研究功能安全在电力行业的具体应用，对于建立和完善国家电力行业功能安全标准体系，规范和保障电力行业安全生产具有重大的意义[2]。

1　概述

1.1功能安全

IEC 61508标准[3]中对功能安全（Functional Safett）的定义是：针对规定的危险事件，为达到或保持受控设备（EUC）的安全状态，由E/E/PE安全系统、其他技术安全系统或外部风险降低设施实施的功能。即当发生故障（包括随机故障和系统故障）或失效时，安全相关系统就会采取措施，保证不会引起人员的伤亡、环境的破坏或设备财产的损失。

1.2功能安全完整性等级

安全完整性等级用于衡量安全相关系统在规定的时间和规定的条件下完成系统设计时要求的安全功能的概率的大小。IEC 61508标准中将功能安全完整性划分为了1～4个等级，如表1所示。安全完整性的等级越高；则安全相关系统实现所要求的安全功能的概率就越高，反之，则越低。

表1　安全完整性等级划分标准表[5]

2　电力行业产品特点分析

整体上，电力行业可以划分为电厂和电网两部分；按流程划分，包括发电、输电、变电、配电和用电环节；按发电方式划分，包括火电、水电、核电和可再生能源发电等。

电力行业产品涉及硬件产品、主站和终端应用软件产品，其现状和特点如下所述。

a）电力行业产品如变压器、互感器和自动化系统往往都更新换代慢，进行新产品或新模式应用相对难度大，时间跨度大。

b）电力行业产品的重要性和责任性重大，对安全性要求高。例如：刀闸开关是用来改变线路或将设备与电源进行隔离的一种开头，刀闸开头的运用既涉及到自身行业人身财产安全，又影响着其他行业的安全，因而其责任重大。深圳大规模停电事件，原因之一就是刀闸开关设备故障。

c）软硬件产品多样，设备复杂度高，安全隐患大。电力行业的发电、输电、变电、配电和用电等多个环节均需要通过调度、变电、配电和计量自动化系统才具有信息采集、信息处理和系统控制等功能。设备系统的复杂度高，安全隐患大。

d）电力行业智能化和信息化发展对功能的安全需求高。电力行业正在大力地发展智能电网，采用传感、测量、控制和决策技术进行高效运行，运行安全更多的是依靠信息化系统和智能系统，受人为干预的影响程度越来越小，因此，保证信息化系统和智能化产品的功能安全，便成为了电力企业安全生产的关键。

e）通过了功能安全认证的软硬件产品较少。大量的事故表明，虽然电力行业的设备生产厂商提供了可靠性较高的电气产品，但是整个电力行业按照安全生命周期开发设计的设备较少，功能安全保障严重滞后。

3　功能安全在电力行业中的实施预案

结合电力行业的特点，提出了功能安全在电力行业中的实施预案[8]，具体的方法如下所述。

3.1建立电力行业功能安全标准规范和评估体系

我国应在借鉴国外和其他行业功能安全应用的经验的基础上，建立适合电力行业的特点的功能安全标准和评估体系[9]，并将标准上升为法律法规进行实施。电力行业功能安全标准主要内容应该包括电力行业软硬件产品安全完整性等级、安全生命周期和产品功能安全管理体系；产品类型上应该包括软件功能安全和硬件功能安全。电力行业的功能安全标准的架构如图1所示。

图1　电力行业功能安全标准架构

3.2建立自上而下的管理组织机构和功能安全管理体系

建立电力行业标准规范后，电力企业应建立符合标准要求的管理组织机构和管理体系。管理体系应该包括组织、人员和设备子系统的管理，如图2所示。

图2　电力行业功能安全管理体系

3.3建立电力行业软硬件产品全安全生命周期管理和评估制度

目前，电力行业软硬件产品大多缺乏功能安全认证，未按照功能安全生命周期各阶段的要求进行设计开发，缺乏完整的功能安全规划与设计、风险评估、可靠性分析、安全测试、集成测试和安全验证，以及确认过程。同时，软硬件产品设计缺乏基础的可靠性数据支撑。设备可靠性数据的缺乏制约了电力行业产品的安全性设计。在参考其他行业[10]软硬件产品安全生命周期并结合电力行业自身特点的基础上，设计了电力行业软硬件产品安全生命周期管理和评估体系，如图3所示。

下面以电力行业隔离开关（刀闸开关）为例进行说明。

a）产品概念阶段

对隔离开关及其安全相关系统、环境和法律法规要求有所了解。

b）整体概况阶段

确定隔离开关及其控制系统的作用、边界、目标和分析范围，包括误开、误合闸等危险因素。

c）危险和风险分析阶段

危险源风险分析的方法包括经验法（参考相关产品故障模式和数据）和HAZOP等[11]。隔离开关危险严重度表和危险事件概率分别如表2、3所示[12]。

图3　电力行业产品安全生命周期

表2　隔离开关危险事件严重度划分表

表3　隔离开关危险源发生频率划分表

HAZOP分析方法[13]是基于危险源的、以系统工程为基础的风险评价方法。HAZOP分析方法在电力行业应用的“引导词优先”分析流程图如图4所示。

d）整体安全要求阶段

根据图5所示的方式分析并确定原始风险和可接受风险的降低程度，确定隔离开关的要求和安全完整性等级，确定隔离开关安全相关系统和风险降低措施的安全功能和需求规范。

e）安全需求分配阶段

利用隔离开关安全相关系统、外部风险降低设施和其他安全相关系统分担需要完成的安全功能，从而确定相应的安全功能的安全完整性等级。例如：防止开关带负荷误操作的连锁装置或防止大的故障磁力作用下断开开关的销子等。

f）整体计划阶段

根据安全需求分配制定隔离开关整体计划，包括运行、维护、安装、试运行和安全确认计划。其中，隔离开关运行维护计划和安装试运行计划的主要内容应包括：隔离开关日常运行维护措施、不安全状态的特殊措施和对策、相关危险事件说明、维护范围、运行维护目录、试运行时间、隔离开关安装时间、安装步骤、安装顺序、安装时应注意的问题和安装完毕标准，以及故障处理步骤等。

g）安全功能实现阶段

设计实现符合电力行业功能安全标准要求的隔离开关安全相关系统、其他技术安全相关系统和外部风险降低措施，保障安全功能的实现。

图4　引导词优先分析流程

图5　安全相关系统风险控制

h）整体安装和试运行阶段

完成隔离开关安全相关系统的安装和试运行。

i）整体安全确认阶段

确认隔离开关安全相关系统在安全完整性和安全功能实现方面达到了整体安全阶段确定的隔离开关安全需求规范的要求。

j）整体运行维护和修理阶段

对隔离开关安全相关系统进行维护和修理，包括隔离开关修理计划、修理步骤、注意事项和维护时间表，以及目录、功能安全审核和修改归档等内容。

k）整体修改和翻新阶段

保证隔离开关安全相关系统、其他技术安全相关系统和外部风险降低措施在修改过程中具有正确的安全功能，包括风险分析、后果分析和影响隔离开关功能安全修改的安全确认。

l）报废和处理阶段

确保隔离开关安全相关系统达到终止条件，并进行报废和处理。处理过程中需请求认可，明确报废和处理步骤，进行后果分析、拆除和归档。若在报废和处理过程中对隔离开关功能安全产生了影响，则需返回到产品安全生命周期对应阶段。

3.4建立电力行业功能安全文档体系

文档是产品的一部分，是功能安全体系的重要组成部分，安全生命周期的各个阶段都应输出相应的成果文档，以便于有效地管理产品安全生命周期内所有阶段的分析、验证、评估和确认结果。以电力行业调度自动化系统为例，输出文档如表4所示。

4　功能安全在电力行业实施时应注意的问题

4.1电力行业设备可靠性数据库的建立

设备可靠性数据库是电力行业软硬件产品安全可靠设计的重要保障，是对设备进行可靠性分析、风险评估的重要依据。通过收集电力系统的各种设备原始数据和运行数据，在收集的可靠性数据的基础上，由从事电力行业可靠性研究的机构进行电力产品的可靠性统计分析，并结合电力行业的特点，挖掘和建立实用、有效、一致的电力行业设备可靠性数据库，包括发电设备、继电保护设备（系统）、监控（设备）系统和通信系统等的可靠性数据库。

4.2全安全生命周期的风险评估

电力行业产品涉及变压器、互感器等高压、强电危险设备，极易造成人员伤残、环境污染、发电装置的损坏和财产的损失。功能安全在电力行业应用的过程中，需要在产品开发安全生命周期各阶段进行充分的风险评估[14]，降低设备可能存在的风险，将风险降低到可容忍的风险等级。

表4　调度自动化软件系统生命周期输出文档

4.3功能安全产品认证

电力行业软硬件产品种类繁多，需对采购的软硬件产品包括发电机、变压器、电抗器、互感器、断路器、继电保护装置和刀闸开关等进行功能安全认证[15]，降低产品安全风险，保证安全生产。

4.4功能安全培训和团队建设

功能安全的应用实施，最终需要依靠企业员工执行，因此，只有提高企业管理层和基层员工的功能安全意识和素质，才能保证功能安全在电力行业中的成功应用，积累电力行业功能安全应用的经验。因此，电力企业应积极地组织功能安全培训，鼓励员工学习功能安全知识，建立自己的功能安全团队，为功能安全在电力行业中的应用奠定基础。

5　结束语

本文介绍了功能安全、安全完整性和安全生命周期的概念和理论，并对电力行业目前的产品现状和特点进行了分析总结，阐述了在电力行业应用功能安全的具体的实施预案，并指出了在电力行业应用功能安全时应该注意的一些问题。由于电力行业产品的复杂性和多样性，后续还需要对电力行业软硬件产品风险分析、风险评估和安全完整性定级等方面进行深入的研究。

参考文献：

[1]李佳玉，员春欣. IEC 61508功能安全国际标准及安全性分析[J] .中国铁路，2001（1）：44-45.

[2]王春喜，王玉敏.工业安全技术研究[J] .仪器仪表标准化与计量，2004（6）：7-12.

[3]王春喜，欧阳劲松.系统功能安全测试技术研究[J] .自动化仪表，2006，27（SL）：25-27.

[4]王春喜，石镇山.功能安全标准化发展现状分析[J] .仪器仪表标准化与计量，2010（5）：22-25.

[5]燕飞，唐涛. IEC 61508及其在铁路安全相关系统研制开发中的应用研究[J] .铁道学报，2005，27（3）：124-128.

[6]史学玲.功能安全标准的历史过程与发展趋势[J] .仪器仪表标准化与计量，2006（2）：6-8.

[7]孙怀义，石祥聪.可靠性、安全性与功能安全的关系[J] .机械与电子，2010，7（1）：23-25.

[8]史学玲.我国功能安全标准实施预案研究[C] //第七届工业仪表与自动化学术会议，2006.

[9]李玉明.实施功能安全标准完善安全评估体系[J] .安全健康和环境，2009（4）：2-4.

[10]邓璇炽，蒋大明.功能安全在城市轨道交通中的应用研究[J] .铁路计算机应用，2010，20（6）：56-59.

[11]史学玲，向刚.控制系统的可用性与安全性评估技术研究[J] .中国仪器仪表，2010（9）：62-65.

[12]燕飞，唐涛，郜春海.城市轨道交通安全评价体系研究[J] .都市快轨交通，2010（3）：32-36.

[13]张志春.浅谈电力系统中功能安全评估技术的使用[J] .仪器仪表标准化与计量，2007（2）：16-19.

[14]方来华.安全系统的功能安全的发展及实施建议[J] .中国安全生产科学技术，2012（9）：85-90.

[15]陶丞.仪器仪表产品功能安全评估测试技术研究与分析[J] .通信电源技术，2014（4）：52-55.

Application Plan of Functional Safety in Power Industry

CHEN Hua-jun1，3，4，ZHANG Bao-lin2，HUANG Xiao-kun2，LUO Yin2
（1. China Southern Power Grid Information Technologt and Information Securitt Laboratort，Guangzhou 510080，China；2. CEPREI，Guangzhou 510610，China；3. The 5th Laboratort of Electric Power Information Securitt Classified Protection Test and Evaluation Center，Guangzhou 510080，China；4. China Southern Power Grid Research Institute Co.，Ltd.，Guangzhou 510080，China）

Abstract：With the increase of power generation and the expansion of the network range of power ststem，the safett problem has become the crux of the stable development of power industrt. As one of the important component of risk management ststem，functional safett standard mainlt focus on controlling the overall risk of a ststem within an acceptable range with technologt and management. On the basis of IEC 61508，the characteristics of hardware and software products of power industrt are summarized，and the concrete implementation of functional safety in power industry is discussed. Besides，the problems need to be paid attention to and the ket research direction while applting functional safett in power industrt are pointed out.

Key words：functional safett；power industrt；risk；safett lifectcle；functional safett integritt level

作者简介：陈华军（1980），男，湖北黄冈人，南方电网信息技术与信息安全实验室高级工程师，硕士，从事电力信息与通信、信息安全及智能电网相关研究工作。

收稿日期：2015-09-24

doi:10.3969/j.issn.1672-5468.2016.02.011

中图分类号：TM 732

文献标志码：A

文章编号：1672-5468（2016）02-0052-06