智能控制系统的安全标准趋势

UL University亚太区谘询事业发展经理 陈立闵。

随着智能电表的开始部署，新一代智能家电搭配智能电网得以做最有效率的用电调配。但智能电网与智能家电，会面临到孤岛电击效应、电磁干扰与联网上的种种安全威胁，有赖业界全面检视其安全性与可靠度…

UL亚太区谘询事业发展经理陈立闵指出，日前日本知名家电品牌回收全球某一系列的6款LCD电视，原因是电视电源管理芯片有瑕疪，造成过热、冒烟及外壳熔化，目前已知受到影响的数量即达160万部。他认为过去厂商开发产品都是强调规格、功能的创新，却常忽略了安全性，但一旦产品安全性出了问题，不仅现有产品的销售会受到影响，还必须担负产品回收的损失与发生安全意外的风险。

在讨论智能控制系统的安全性之前，首先要厘清此智能装置并非以往单纯强调人性化的智能，而是为了配合将来出现的智能电力网络，能够智能的使用与调配电力的装置。智能电网之一的功能就是用来平衡协调尖峰与离峰供电，架构上采分散能源、透过负载控制与侦测，形成智能电网的架构。而智能电网要怎样对负载做控制，有赖新技术、新产品的发展。

陈立闵提到，2009年美国知名家电业者发表能与智能电网沟通的智能厨房，一般在美国晚餐时段的电力特别贵，1度电可能需要超过10块钱，因此如果将高耗能的烘碗机、洗衣机与智能电网并联，设定等到晚上12点低价离峰时段再自动启用来烘碗、洗衣服，要达成这样的目标，烘碗机、洗衣机要有智能控制芯片，能够透过Internet和智能电网互动，读取最低电价区域后启动设备，然而至今还因为许多技术与成本问题，使得这麽棒的概念迟迟未能普及。

尖离峰的负载控制与独立备援电源的安全性

当持续供电的电源一直产生电能而对外没有连接输电负载时，很容易会有因电压过高而产生崩溃的风险。以前台电利用尖峰时段的多余电力，在离峰时段去抽水库的水上来，到尖峰供电时刻再泄水来推动涡轮，以水力发电来调节负载，但任何调配方式都有其限制，例如水库水位不可能无限制的上升，即使是存储到超级大电容器里面，当电容电压过大时就可能产生介质崩溃爆炸的危险。

陈立闵指出，智能电网遇到的第1个挑战就是独立分散式电源的威胁，这些独立电源主要是提供当电网突然停止供电(停电)时，维持一个区域供电直到整体电网回复到接近正常运作电压的能力。举例来说，在灯泡坏掉要替换时，大家一般都会先关掉电源再来换灯泡以策安全，但是在有备用电源配置的区域，如果备用电源持续供电，维修人员于不知情的状况下去更换灯泡，就容易有触电危险，因此分散式备用电源必须具有能随整体电网shutdown而自动关闭或手动关闭的设计，让维修人员维修后再手动或自动回复备援供电的模式。

在未来的智能电网模型中，可能有许多个独立分散式电源，不管是区域的太阳能光电板、UPS不断电系统，或风力发电的变频器，即使当维修人员进驻，如果独立分散式电源并没有随之关闭，并不会造成电网的全面失效，只要有1个独立电源运作，就会导致该区域的整个电网仍有电流产生，这就是所谓的供电孤岛效应。陈立闵强调，切莫忽视一个小小区域的独立电源，其供电溢流所造成维修人员的电击伤害，以IEC 60479-1安全规范来说明电击危害的模式与限制，小到10mA的电流，人员只要接触超过30秒以上，心脏就会有停止跳动的危险。大家不可忽略这样的问题与风险性，当设计的产品无法符合IEC 60479-1安全规范时，就会有触电的危险而不被采用。

智能电网面临的挑战─来自联网设备的安全威胁

陈立闵表示，智能电网所面临的另一项挑战，就是来自联网设备的安全威胁。例如在台湾，政府一直鼓励民众装设太阳能光电板，但是以台湾的电表设计，以及没有供电时间的差别价格，即使安装了太阳能光电板，或者更改用电时间，除了降低供电业者的尖端负载之外，对用户并没有费率的优势。在台湾尚未大规模于家家户户安装智能电表之前，此阶段买所谓能搭配智能电网的智能家电，其实意义不大。

不过，像在美国加州如此电费昂贵的地区，民众如果购买智能家电，然而当安装了这些智能家电之后，从此就受到电力公司的控制。陈立闵举例，有听朋友提到，夏天时加州很热，但是智能冷气机，用遥控器怎麽按，温度都无法调低，原来是电力公司直接透过智能电网设定冷气机温度下限，民众就无法自行更动而达到有效的负载调控目的。这些智能家电在智能电网以及智能电表的推动下，会开始有普及的需要，如果高耗能家电如洗衣机、烘碗机、冷气机等，能够透过与智能电网的互动，确实比较能节省电费，也能够达到减少发电机组的设立需求，同时带动绿色能源的需求。

当智能家电诞生后，安全标准也必须跟着进化，在美国，不符合安全标准的产品是不准使用的。因此UL在今年(2011)5月23日，公告了第1版用于联网智能家电的安全标准UL2744，以因应未来的智能电网联网设备。主要有下列3大项安全考量：1.抗干扰。像是抗静电放电干扰、抗电磁场干扰、抗突波(Surge & Transient)干扰、抗无线射频RF场干扰、抗电压突变干扰(抗电源频率电磁场干扰与抗电源谐波干扰)。2.电磁放射。包括无线辐射、传导的规范，例如不可干扰到有装心律调整器的人或者其他通讯产品的运作。3.防窜改。侦测、防止、防护分级，避免用户改机破解，除了避免窃电问题外，也避免造成智能电网的负载不均甚至其他危险。

智能家电更须注重可靠度 提供安全控制功能

陈立闵指出，智能家电由于可在无人监控情况下运作，也属于自动控制，从MCU到各零组件的安全性以及短期、长时间操作的可靠度，必须更为注重。目前全世界用于Functional Safety 安全控制功能的核心安全标准为IEC 61508系列，它针对产品安全控制功能，来自于系统与系统内部每一个零组件操作时的正确与否，来加以规范。例如针对家电操作温度过高时的防护，并非采用将各材料的耐受工作温度提高，而是设计当温度超过一定数值时，会有防护机制将马达、压缩机、电热器等作动的装置关闭以达到安全维护的功能。

在安全控制的可靠度分级上，可分为：1.低使用频率模式，1年启动不到1次；2.高使用频率模式，1年启动超过1次。举例来说，MCU进入省电模式，苏醒时回复到工作模式，就是1次电路开启与关闭的动作；3.连续使用模式，则是代表连续操作。国际上的安全完整性等级，在低使用频率模式下，平均每1,000次到10,000次连续性操作只能有1次失误；进行高使用频率模式时，则要求每1,000万次到1亿次连续性操作才可有1次失误。以洗衣机为例，1天开启1到2次，以SIL4等级的安全可靠度评估，大概开机10,000次也就是约30年才会失效1次，乍看之下还好，但如果产量变大时，就会造成实际失效案例的可能性，以前例电视回收疑虑事件而言，仅11个失效案例就导致160万部液晶电视的全面回厂检查。

陈立闵总结，智能电网能够提高配电效率，同时分散电网风险。而智能电网的成功，则仰赖智能电表与变频器的能力与设备的安全运作。当智能电网方兴未艾，唯有安全可靠的控制，方能掌握智能电网的未来！