黃宇，蔣猛，張簡(jiǎn)煉，廖偉涵，郭創(chuàng)新

計(jì)及人因可靠性的變電站自動(dòng)化系統(tǒng)失效風(fēng)險(xiǎn)評(píng)估

黃宇1，蔣猛1，張簡(jiǎn)煉2，廖偉涵2，郭創(chuàng)新2

（1．貴陽(yáng)供電局，貴州省 貴陽(yáng)市 550002；2．浙江大學(xué)電氣工程學(xué)院，浙江省 杭州市 310027）

目前對(duì)于變電站自動(dòng)化系統(tǒng)的可靠性研究鮮有涉及人為因素的定量影響，而許多電網(wǎng)事故是由人為失誤引起的，因此提出了一種計(jì)及人因可靠性的變電站自動(dòng)化系統(tǒng)失效風(fēng)險(xiǎn)評(píng)估方法。首先根據(jù)工作人員所處場(chǎng)景采用層次分析法-成功似然指數(shù)法評(píng)估人為失效概率以此修正設(shè)備故障概率，其次基于IEC-61850的功能分解對(duì)自動(dòng)化系統(tǒng)各種功能的失效風(fēng)險(xiǎn)進(jìn)行評(píng)估，最終融合為系統(tǒng)失效風(fēng)險(xiǎn)，以此描述當(dāng)前系統(tǒng)可靠性，為調(diào)度部門決策提供指導(dǎo)。算例結(jié)果表明，人為因素對(duì)于系統(tǒng)失效風(fēng)險(xiǎn)有著較大的影響，計(jì)及人因可靠性可更為客觀地描述系統(tǒng)風(fēng)險(xiǎn)，為調(diào)度操作人員提供風(fēng)險(xiǎn)預(yù)警。

變電站自動(dòng)化系統(tǒng)；智能變電站；人因可靠性

0 引言

智能變電站是智能電網(wǎng)的重要組成部分，因此，保證智能變電站自動(dòng)化系統(tǒng)(integrated substation automation system，ISAS)的安全對(duì)于整個(gè)智能電網(wǎng)的安全、可靠、經(jīng)濟(jì)運(yùn)行有著極為重大的意義[1-5]。許多學(xué)者都針對(duì)ISAS的可靠性進(jìn)行了研究。文獻(xiàn)[6]主要從硬件與軟件2方面的可靠性評(píng)估出發(fā)對(duì)SAS的可靠性進(jìn)行了描述，并提及還應(yīng)當(dāng)考慮人為操作的影響。文獻(xiàn)[7]采用故障樹分析方法，從硬件可用性的角度來(lái)評(píng)估ISAS的可靠性。文獻(xiàn)[8]對(duì)國(guó)內(nèi)數(shù)十座智能變電站的ISAS進(jìn)行詳細(xì)調(diào)研，構(gòu)建“二網(wǎng)一流”評(píng)估平臺(tái)、指標(biāo)、模型，結(jié)合專家評(píng)判等方法對(duì)ISAS的有效度作出評(píng)價(jià)。

但是上述研究都未就人為因素對(duì)ISAS可靠性的影響進(jìn)行定量分析。電網(wǎng)的安全可靠運(yùn)行是電力行業(yè)甚至社會(huì)各界所關(guān)心的問題，而大量停電事故記錄表明，人為因素是影響電力系統(tǒng)可靠性的重要方面[9-10]。國(guó)內(nèi)外學(xué)者針對(duì)人為因素對(duì)電力系統(tǒng)運(yùn)行的影響模式進(jìn)行了分析，并做出了相應(yīng)的研究。文獻(xiàn)[11]針對(duì)班組行為建立仿真系統(tǒng)，模擬了班組決策的過程。文獻(xiàn)[12]指出操作人員的行為受到多方面的影響，包括組織、管理、規(guī)章、工作壓力等。文獻(xiàn)[13]對(duì)國(guó)內(nèi)外城市的電網(wǎng)供電可靠性水平、組網(wǎng)模式以及變電站配置進(jìn)行了詳細(xì)對(duì)比和分析，并總結(jié)了相關(guān)經(jīng)驗(yàn)。

本文提出了基于層次分析法-成功似然指數(shù)法(analytic hierarchy process-success likelihood index method，AHP-SLIM)的人因可靠性評(píng)估模型，基于行為影響體系分析計(jì)算變電站中的人為失誤概率。并提出基于功能分解的ISAS失效風(fēng)險(xiǎn)評(píng)估方法，考慮人為因素計(jì)算邏輯節(jié)點(diǎn)、邏輯連接等的失效概率，結(jié)合功能失效嚴(yán)重度計(jì)算功能失效風(fēng)險(xiǎn)，最終融合所有功能失效風(fēng)險(xiǎn)以評(píng)估ISAS的失效風(fēng)險(xiǎn)，研究結(jié)果可為調(diào)度部門的決策分析提供依據(jù)與指導(dǎo)。

1 人為失誤概率評(píng)估

1.1 行為影響體系

隨著人因可靠性分析方法的不斷發(fā)展，許多研究者建立了各自的行為影響體系，盡管這些體系各有差異，但基本遵循以下3個(gè)原則：

1）體系所面向的分析目標(biāo)應(yīng)明確。

2）行為影響因素間互相獨(dú)立，避免冗余。

3）行為影響因素應(yīng)對(duì)人員行為有確實(shí)的影響，而非隨意捏造。

針對(duì)電力系統(tǒng)工作人員的操作環(huán)境，結(jié)合常規(guī)人因可靠性分析理論[14]，建立了相應(yīng)的行為影響體系。該體系共分為5類一級(jí)影響因素，包括：個(gè)人因素、組織因素、團(tuán)隊(duì)因素、環(huán)境因素以及信息因素。每種一級(jí)影響因素下又包含多種二級(jí)因素，詳細(xì)情況如表1所示。

表1 行為影響體系

每種影響因素代表了電力系統(tǒng)工作人員在工作時(shí)可能受到影響的方面，該體系不僅適用于人為失誤根源的定性分析，還可作為各因素對(duì)人員行為影響的定量分析的基礎(chǔ)。為了定量分析每種因素的影響程度，一般采用面向?qū)＜业膯柧碚{(diào)查方法。每類二級(jí)因素均按等級(jí)劃分為1~10，數(shù)字越小說(shuō)明情況越惡劣。而當(dāng)評(píng)級(jí)為10時(shí)，說(shuō)明該因素在防止人為失誤上有著最佳的作用，在個(gè)人因素下的二級(jí)因素中，知識(shí)與經(jīng)驗(yàn)的影響程度最高，心理與生理的影響程度相對(duì)較低。

1.2 AHP-SLIM評(píng)估方法

SLIM是一種簡(jiǎn)單靈活的概率可靠性分析方法，且融合專家經(jīng)驗(yàn)后，可用于評(píng)估人為失誤概率。與其他人因可靠性評(píng)估方法相比，該方法更為靈活，且可在一定程度上降低主觀判斷帶來(lái)的誤差。SLIM認(rèn)為在特定環(huán)境下，人為失誤主要取決于幾種二級(jí)因素，這些因素又被稱為決定性因素。SLIM模型給出了利用給定決定性因素來(lái)判斷人為失誤概率的方法，包括以下2個(gè)步驟[15]：

1）綜合每個(gè)決定性因素的權(quán)重與價(jià)值，利用式(1)計(jì)算成功似然指數(shù)LI。

式中：為第項(xiàng)決定性因素的重要度權(quán)重；v為第項(xiàng)決定性因素的價(jià)值；和均為常數(shù)。顯然，所有決定性因素的重要程度并不相同，因此本文采用層次分析法對(duì)這些因素的權(quán)重與價(jià)值進(jìn)行取值，以降低主觀判斷帶來(lái)的誤差。

層次分析法通常被用來(lái)解決集合了定性與定量分析的復(fù)雜問題，具體的步驟如下。

1）征詢本領(lǐng)域?qū)＜乙庖?，依?jù)表2對(duì)不同的決定性因素進(jìn)行一一比較，構(gòu)建判別矩陣如下：

表2 AHP判別矩陣取值說(shuō)明

2）對(duì)矩陣中的各列進(jìn)行歸一化處理，得到1矩陣。

3）1矩陣各行求和，得到列向量。

4）對(duì)列向量進(jìn)行歸一化處理，即得權(quán)重系數(shù)向量1。

5）一致性檢驗(yàn)，若不能通過檢驗(yàn)，則需對(duì)判別矩陣進(jìn)行修正，直至滿足要求。

綜上所述，AHP-SLIM方法詳細(xì)步驟如下，流程如圖1所示。

圖1 AHP-SLIM評(píng)估方法流程圖

1）獲取分析場(chǎng)景，依據(jù)場(chǎng)景，選定決定性因素集合。

2）采用層次分析法獲得權(quán)重系數(shù)向量1，并依據(jù)專家意見獲得決定性因素對(duì)應(yīng)價(jià)值。

3）根據(jù)式(1)和(2)計(jì)算得到系統(tǒng)人為失誤概率HE。

2 ISAS失效風(fēng)險(xiǎn)評(píng)估方法

ISAS的故障失效不僅僅受到單個(gè)硬件設(shè)備的影響，而應(yīng)計(jì)及多方面因素，包括硬件設(shè)備、軟件系統(tǒng)、通信要素以及人為因素等。

2.1 功能分解方法

基于IEC-61850[16]，將ISAS中各類功能(function，F(xiàn))分解為邏輯節(jié)點(diǎn)(logical node，LN)與邏輯連接(logical connection，LC)，而通信信息片(piece of information for communication，PICOM)經(jīng)由邏輯連接在邏輯節(jié)點(diǎn)間傳遞。

對(duì)于功能、邏輯節(jié)點(diǎn)及邏輯連接的定義為

1）功能F：ISAS所需完成的任務(wù)。ISAS可被劃分為若干項(xiàng)基礎(chǔ)功能(如量測(cè)功能、過電流保護(hù)功能等)。

2）邏輯節(jié)點(diǎn)LN：某功能中，進(jìn)行數(shù)據(jù)交換的最小組成部分，是對(duì)硬件、軟件或人因的抽象。

3）邏輯連接LC：不同邏輯節(jié)點(diǎn)間的通信鏈接，且具有方向性。

以距離保護(hù)功能為例，對(duì)其進(jìn)行功能分解如圖2所示。

圖2 距離保護(hù)功能分解示意

2.2 功能失效概率

對(duì)于某操作人員控制的自動(dòng)化設(shè)備D，考慮人為因素后，對(duì)其故障率進(jìn)行修正：

為使分析過程簡(jiǎn)便，本文作以下假設(shè)：

1）某物理設(shè)備中的所有邏輯節(jié)點(diǎn)與邏輯連接具有相同的失效概率，與該設(shè)備失效概率相一致；

2）功能、邏輯節(jié)點(diǎn)及邏輯連接僅存在工作狀態(tài)與失效狀態(tài)2種狀態(tài)；

3）當(dāng)某邏輯節(jié)點(diǎn)或邏輯連接處于失效狀態(tài)時(shí)，其所屬功能也處于失效狀態(tài)；

4）不同功能間的失效事件相互獨(dú)立；

5）忽略所有通信時(shí)間延遲。

因此，基于以上假設(shè)，可得如下結(jié)論：

3）對(duì)于連接不同設(shè)備(1，2)中2個(gè)邏輯節(jié)點(diǎn)(LN1，LN2)的邏輯連接LC，其失效概率為

依據(jù)功能分解原理，可將功能視作一系列邏輯節(jié)點(diǎn)與邏輯連接的集合，因此功能F的失效概率為：

式中：LN和LC分別表示本功能中所包含的邏輯節(jié)點(diǎn)數(shù)與邏輯連接數(shù)；和則分別表示第個(gè)邏輯節(jié)點(diǎn)與第個(gè)邏輯連接的失效概率。

2.3 功能失效嚴(yán)重度

ISAS的各類功能的有效實(shí)現(xiàn)，依賴于邏輯連接中通信信息片傳遞的準(zhǔn)確性，因此信息安全要素(包括保密性、完整性和可用性)可用于描述ISAS功能失效的嚴(yán)重程度。因此，通信信息片的價(jià)值決定了邏輯連接價(jià)值，而邏輯連接價(jià)值則決定了功能失效嚴(yán)重度。

信息安全要素被劃分為9個(gè)等級(jí)(數(shù)字越大，等級(jí)越高)。根據(jù)文獻(xiàn)[17-18]，邏輯連接價(jià)值和功能失效嚴(yán)重度應(yīng)當(dāng)能區(qū)別反映主要影響因素與次要影響因素，因此本文邏輯連接價(jià)值與功能失效嚴(yán)重度的定義為

表3 通信信息片安全要素評(píng)級(jí)

2.4 ISAS失效風(fēng)險(xiǎn)

依據(jù)風(fēng)險(xiǎn)評(píng)估的基本概念，功能失效風(fēng)險(xiǎn)應(yīng)綜合反映功能失效的概率與嚴(yán)重度，其定義該風(fēng)險(xiǎn)為

由于不同功能對(duì)系統(tǒng)的影響并不一致，因此引入風(fēng)險(xiǎn)轉(zhuǎn)移權(quán)重來(lái)代表功能對(duì)于ISAS的重要程度，該權(quán)重系數(shù)可利用層次分析法計(jì)算得到。最后，結(jié)合該風(fēng)險(xiǎn)轉(zhuǎn)移權(quán)重與功能失效風(fēng)險(xiǎn)即可得到ISAS失效風(fēng)險(xiǎn)：

3 算例分析

本文以T1-1型變電站為例，對(duì)其進(jìn)行ISAS失效風(fēng)險(xiǎn)評(píng)估。T1-1型變電站可以劃分為4個(gè)間隔，分別為D1Q1，E1Q2，E1Q1及E1Q3，其電氣接線及邏輯節(jié)點(diǎn)如圖3所示，主要功能如表4所示。

圖3 T1-1型變電站電氣接線與邏輯節(jié)點(diǎn)示意

表4 T1-1型變電站ISAS功能

首先，確定人為失誤的決定性因素(價(jià)值)為：知識(shí)經(jīng)驗(yàn)KE(4)、團(tuán)隊(duì)合作TC(3)、工作環(huán)境WC (3)、任務(wù)數(shù)量TL(8)、時(shí)間緊迫度TU(7)及情景認(rèn)知SP(4)，并征詢意見，構(gòu)建判別矩陣，見表5。

利用層次分析法計(jì)算得到?jīng)Q定性因素的權(quán)重系數(shù)向量為

表5 判別矩陣A

表6 設(shè)備故障率修正

注：MTTF為平均無(wú)故障時(shí)間；MTTR為平均修復(fù)時(shí)間。

對(duì)各個(gè)功能的失效概率、失效嚴(yán)重度以及失效風(fēng)險(xiǎn)進(jìn)行評(píng)估，風(fēng)險(xiǎn)轉(zhuǎn)移權(quán)重參考文獻(xiàn)[18]，得到結(jié)果如表7所示。依據(jù)式(9)可得，本場(chǎng)景下ISAS失效風(fēng)險(xiǎn)為2.4719。若不考慮人為失效概率，則ISAS失效風(fēng)險(xiǎn)為0.7154?？梢?，人為因素對(duì)于ISAS風(fēng)險(xiǎn)影響是可觀的。

表7 功能失效風(fēng)險(xiǎn)統(tǒng)計(jì)

令人因環(huán)境由惡劣向良好過渡(LI由1增至10)，分別計(jì)算系統(tǒng)風(fēng)險(xiǎn)的變化情況，如圖4所示。由圖4可知，隨著人因可靠性逐漸轉(zhuǎn)好(LI逐漸變大)，系統(tǒng)風(fēng)險(xiǎn)也不斷降低。當(dāng)人因可靠性達(dá)到最佳(LI=10)時(shí)，系統(tǒng)風(fēng)險(xiǎn)為0.9375，仍高于未考慮人為因素時(shí)的系統(tǒng)風(fēng)險(xiǎn)。說(shuō)明即使工作人員的各方面條件與所處環(huán)境都非常理想時(shí)，仍有操作失誤的可能。

因此，本文所提出的計(jì)及人因可靠性的ISAS失效風(fēng)險(xiǎn)評(píng)估方法能有效表征人為因素對(duì)于變電站自動(dòng)化系統(tǒng)可靠性的定量影響，作為預(yù)警標(biāo)志向工作人員發(fā)出警示，為調(diào)度決策人員提供風(fēng)險(xiǎn)信息支持。

圖4 ISAS風(fēng)險(xiǎn)受人為因素影響情況

4 結(jié)論

提出了一種計(jì)及人因可靠性的變電站自動(dòng)化系統(tǒng)失效風(fēng)險(xiǎn)評(píng)估方法，對(duì)傳統(tǒng)的ISAS失效風(fēng)險(xiǎn)評(píng)估方法做出了改進(jìn)。得到以下結(jié)論：

1）采用AHP-SLIM方法可根據(jù)不同人因場(chǎng)景獲取相應(yīng)的人為失誤概率，且可自由選擇人因決定性因素滿足不同的分析需求。

2）基于功能分解的ISAS失效風(fēng)險(xiǎn)評(píng)估方法能將風(fēng)險(xiǎn)細(xì)化至每個(gè)功能及其所含邏輯節(jié)點(diǎn)與邏輯連接，使各項(xiàng)風(fēng)險(xiǎn)有據(jù)可循。

3）未計(jì)及人為可靠性的傳統(tǒng)風(fēng)險(xiǎn)評(píng)估方法無(wú)法定量表征人為失誤對(duì)系統(tǒng)風(fēng)險(xiǎn)的影響，所提出的方法很好地彌補(bǔ)了這一不足。

[1] 郭創(chuàng)新，俞斌，郭嘉，等．基于IEC61850的變電站自動(dòng)化系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估[J]．中國(guó)電機(jī)工程學(xué)報(bào)，2014，34(4)：685-694．

[2] 徐志超，李曉明，楊玲君，等．?dāng)?shù)字化變電站系統(tǒng)可靠性評(píng)估與分析[J]．電力系統(tǒng)自動(dòng)化，2012，36(5)：67-71．

[3] 劉世丹，袁亮榮，曾耿暉，等．一種基于IEC 61850統(tǒng)一建模的多智能變電站數(shù)據(jù)共享方案[J]．廣東電力，2017，30(8)：109-112．

[4] 陳錦山，唐志軍，何燕玲，等．智能變電站二次系統(tǒng)信息安全測(cè)試方法[J]．廣東電力，2017，30(9)：75-80．

[5] 李生權(quán)，錢文姝．智能變電站技術(shù)的現(xiàn)狀與發(fā)展趨勢(shì)研究[J]．電網(wǎng)與清潔能源，2017，33(12)：59-64．

[6] 徐立子．變電站自動(dòng)化系統(tǒng)的可靠性分析[J]．電網(wǎng)技術(shù)，2002，26(8)：68-72．

[7] 杜雙育，王先培，謝光彬，等．基于IEC61850的變電站自動(dòng)化系統(tǒng)可靠性評(píng)估[J]．電力系統(tǒng)保護(hù)與控制，2012，40(5)：32-36．

[8] 邱劍，王慧芳，陳志光，等．智能變電站自動(dòng)化系統(tǒng)有效度評(píng)估模型[J]．電力系統(tǒng)自動(dòng)化，2013，37(17)：87-94．

[9] 唐志軍，翟博龍，晁武杰，等．智能變電站二次系統(tǒng)可靠性評(píng)估與分析研究[J]．電網(wǎng)與清潔能源，2017，33(9)：84-88+98．

[10] 暴英凱．人為因素對(duì)電力系統(tǒng)運(yùn)行可靠性影響分析[D]．杭州：浙江大學(xué)，2016．

[11] Sasou K K，Yoshimura T S．Modeling and simulation of operator team behavior in nuclear power plants[J]．Advances in Human Factors/Ergonomics，1995，20：415-420．

[12] Zio E．Reliability engineering：old problems and new challenges[J]．Reliability Engineering & System Safety，2009，94(2)：125-141．

[13] 陳皓勇，王增煜，丘子岳．考慮分布式電源隨機(jī)性的配電網(wǎng)綜合資源規(guī)劃[J]．分布式能源，2018，3(6)：54-59．

[14] Groth K M，Mosleh A．A data-informed PIF hierarchy for model-based human reliability analysis [J]．Reliability Engineering and System Safety，2012，108：154-174．

[15] Vestrucci P．The logistic model for assessing human error probabilities using the SLIM method

[J]．Reliability Engineering and System Safety，1988，21：189-196．

[16] IEC．Communication networks and systems in substations-part5：communication requirements for functions and device models：IEC 61850-5-2013[S]．G-eneva Switzerland：IEC，2003．

[17] 國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)．信息安全技術(shù)–信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范：GB/T 20984—2007 [S]．北京：中國(guó)標(biāo)準(zhǔn)出版社，2007．

[18] Liu N，Zhang J H，Wu X．Asset analysis of risk assessment for IEC 61850-based power control systems：part I：methodology[J]．IEEE Transactions on Power Delivery，2011，26(2)：869-875．

[19] 韓宇奇，郭嘉，郭創(chuàng)新．考慮軟件失效的信息物理融合電力系統(tǒng)智能變電站安全風(fēng)險(xiǎn)評(píng)估[J]．中國(guó)電機(jī)工程學(xué)報(bào)，2016，36(6)：1500-1508．

Risk Assessment of Substation Automation System Failure Considering Human Reliability

HUANG Yu1, JIANG Meng1, ZHANG Jianlian2, LIAO Weihan2, GUO Chuangxin2

(1. Guiyang Electric Power Supply Bureau, Guiyang 550002, Guizhou Province, China;2. College of Electrical Engineering, Zhejiang University, Hangzhou 310027, Zhejiang Province, China)

Currently, there are few research on the influence of human reliability upon the reliability of integrated substation automation system (ISAS). This paper proposed a risk assessment method of ISAS considering human reliability. First, according to the operators work condition, estimate the human error probability based on analytic hierarchy process-smart substation automation system to correct the failure probability of physical devices. Then, adopt the function decomposition based method to assess the failure risk of functions. Finally, obtain the failure risk of ISAS by mixing the function risks to characterize the reliability of ISAS and offer guidance to dispatching department. The big impact of human reliability on the ISAS risk is demonstrated in case study, which means considering human reliability is more objective than the traditional method.

substation automation system; smart substation; human reliability

10.12096/j.2096-4528.pgt.19051

國(guó)家自然科學(xué)基金項(xiàng)目(51537010)。

Project Supported by National Natural Science foundation of China (51537010)

2019-04-14。

黃宇(1987)，男，碩士，工程師，研究方向?yàn)殡娏ο到y(tǒng)調(diào)度，智能變電站等，303767806@qq.com。

黃宇

(責(zé)任編輯 辛培裕)