高 陽

（上海中廣核工程科技有限公司，上海 200241）

0 引言

安全是在人類生產(chǎn)過程中，將系統(tǒng)的運行狀態(tài)對人類的生命、財產(chǎn)、環(huán)境可能產(chǎn)生的損害控制在人類能接受水平以下的狀態(tài)[1]。在大型風力發(fā)電機組中，通過安全系統(tǒng)來保障機組中電氣、機械設(shè)備的安全運行，保護從業(yè)人員的人身安全。安全系統(tǒng)是獨立于控制系統(tǒng)的硬件保護措施，安全系統(tǒng)的響應(yīng)動作優(yōu)先于控制系統(tǒng)，即使控制系統(tǒng)發(fā)生異常，也不會影響安全系統(tǒng)的正常動作，從而最大限度地保證大型風力發(fā)電機組的安全。

目前，在設(shè)計大型風力發(fā)電機組的安全系統(tǒng)時缺少一套標準化的方法，這就導(dǎo)致了在安全系統(tǒng)設(shè)計完成后，其能夠達到的安全等級不明確的問題，給機組的安全運行埋下了隱患。

為了解決這一問題，本文提出了一種針對大型風力發(fā)電機組安全系統(tǒng)的設(shè)計方法。首先，對大型風力發(fā)電機組進行風險要素分析；其次，通過安全完整性等級賦值法與性能等級流程法相結(jié)合的方式確定消除各風險要素需要達到的安全等級，進而在此基礎(chǔ)上設(shè)計了滿足安全等級要求的硬件電路與安全系統(tǒng)，最后介紹了按此方法設(shè)計完成的安全系統(tǒng)的應(yīng)用情況。

1 大型風力發(fā)電機組的風險要素分析

影響大型風力發(fā)電機組安全的要素，可以分為3類：

一是風力發(fā)電機組中的傳動鏈。傳動鏈一般由風輪、主軸承、齒輪箱和發(fā)電機等部件組成。傳動鏈部件超速會導(dǎo)致部件自身乃至整個風機的損毀，因此一般選取傳動鏈上一個部件的轉(zhuǎn)速作為風險要素進行評估，并在設(shè)計安全系統(tǒng)時將該部件的超速情況作為安全系統(tǒng)的輸入，其中選用較多的是風輪超速信號或發(fā)電機超速信號。

二是風力發(fā)電機組中的重要子系統(tǒng)。重要子系統(tǒng)包含偏航系統(tǒng)、變槳系統(tǒng)、變流器和振動監(jiān)測系統(tǒng)4個部件[2]。偏航系統(tǒng)中的扭纜限位開關(guān)保護著電纜不過度扭纜，否則將導(dǎo)致機組電氣系統(tǒng)的損毀和失效。變槳系統(tǒng)作為風力發(fā)電機組的氣動剎車機構(gòu)，如果失效將引起機組的嚴重損毀。變流器作為機組并網(wǎng)的電力電子界面，如果失效將導(dǎo)致機組無法運行發(fā)電乃至變流器等部件的損毀。振動監(jiān)測系統(tǒng)檢測機組的振動情況，其失效可能導(dǎo)致機組的嚴重損毀。因此，重要子系統(tǒng)是安全系統(tǒng)的必需輸入，也是需要著重考慮的風險要素。

三是風力發(fā)電機組中的控制系統(tǒng)。由于安全系統(tǒng)是風力發(fā)電機組控制系統(tǒng)中的最后一道保護，處于機組的邏輯控制保護之后，當控制器（如PLC）失效時，安全系統(tǒng)應(yīng)當動作確保機組停機。因此，控制器的失效也應(yīng)作為安全系統(tǒng)的輸入，也是一個風險要素。

2 適用于大型風力發(fā)電機組安全系統(tǒng)設(shè)計的標準

目前常用于指導(dǎo)工業(yè)控制系統(tǒng)中安全系統(tǒng)設(shè)計的標準有兩個，分別是IEC 62061和ISO 13849。IEC 62061是IEC（國際電工委員會）頒布的標準，主要是對安全相關(guān)的電氣、電子、可編程電子控制系統(tǒng)的功能安全要求；ISO 13849-1是ISO（國際標準化組織）頒布的標準，主要是對控制系統(tǒng)安全相關(guān)部件的要求。

IEC 62061[3]《機械安全--與安全有關(guān)的電氣、電子和可編程電子控制系統(tǒng)的功能安全》是一個應(yīng)用于機械領(lǐng)域的國際功能安全標準，IEC 62061主要參考了IEC 61508的第二、第三部分，也就是軟、硬件開發(fā)的部分，IEC 61508標準定義了安全完整性等級（Safety Integrity Level，縮寫為SIL）。安全完整性等級表示一個系統(tǒng)的安全功能性能等級，共分4個等級：SIL1、SIL2、SIL3和SIL4。其中SIL1為最低等級，SIL4為最高等級。在機器安全中只用到了SIL1、SIL2和SIL3這3個等級。

ISO 13849-1[4]《機械安全--控制系統(tǒng)安全相關(guān)部件》繼承了EN 954-1的基本原則，側(cè)重于分析控制回路的結(jié)構(gòu)，并按照控制回路結(jié)構(gòu)將控制回路分成B、1、2、3、4共5個類別，再配合平均無危險故障時間MTTFd（Mean Time To dangerous Failures）和系統(tǒng)診斷檢測范圍DC（Diagnostic Coverage），劃分出PL a、PL b、PL c、PL d、PL e 5個性能等級（Performance Level，縮寫為PL）。其中PL a為最低等級，PL e為最高等級[5]。

安全完整性等級（SIL）與性能等級（PL）具有如表2所示的對照關(guān)系。在設(shè)計大型風力發(fā)電機組的安全控制系統(tǒng)時，可以同時參考IEC 62061和ISO 13849-1兩個標準。

表2 安全完整性等級與性能等級對照關(guān)系Table 2 The relationship between safety integrity level and performance level

3 安全等級評估

將風險要素作為評估對象，通過安全完整性等級賦值法與性能等級流程法可以分別評估出各項風險要素的安全完整性等級與性能等級。

在上述評估過程中使用的風險評估參數(shù)有4個，分別是：①Se（Severity of damage），損壞的嚴重性；②Fr（Frequency and duration of exposure to hazard），暴 露 在 危險下的頻率；③Pr（Occurrence probability of hazardous situation），危險情形發(fā)生的幾率；④Av（Probability of avoiding or limiting harm），避免或限制損害的可能性。

3.1 安全完整性等級賦值法

某一風險要素風險等級的評估，首先需確定該風險要素發(fā)生時導(dǎo)致風力發(fā)電機組“損壞的嚴重性”，其次對該風險要素“暴露在危險下的頻率”“危險情形發(fā)生的幾率”和“避免或限制損害的可能性”進行分項評估打分，再將三項評估得分加和，結(jié)合“損壞的嚴重性”一項評分確定出該風險要素的安全完整性等級。

圖1 安全完整性等級賦值法結(jié)構(gòu)Fig.1 SIL Assignment method structure

以表1中的9項風險要素作為輸入，通過安全完整性等級賦值法進行風險評估，得到各項風險要素的安全完整性等級評估結(jié)果見表3。

表1 大型風力發(fā)電機組的風險要素Table 1 The relationship between safety integrity level and performance level

表3 安全完整性等級賦值法評估結(jié)果Table 3 The results of SIL assessment method

3.2 性能等級流程法

性能等級流程法通過評估過程中使用了Se、Fr和Av 3個評估參數(shù)，與安全完整性等級評估法相比較舍棄了Pr這個參數(shù)。同時采用了分支流程的評估方法，不在需要具體分數(shù)的評定與加和，使得評估更為快捷流暢。性能等級評估流程圖如圖3。

圖3 性能等級流程法評估體系Fig.3 Evaluation system of PL flow

其中，各分支走向的判斷條件見表4。

表4 性能等級評估判斷分支Table 4 PL level assessment judging branches

以表1中的9項風險要素作為輸入，通過性能等級流程法進行風險評估，得到各項風險因素的性能等級評估結(jié)果，見表5。

3.3 評估結(jié)果差異分析

綜合表3和表5，可以得到表6，對通過安全完整性等級賦值法與性能等級流程法兩種方法評估得到的結(jié)果進行對比分析。

表5 性能等級流程法評估結(jié)果Table 5 The results of PL assessment method

圖2 安全完整性等級賦值法評估體系Fig.2 Evaluation system of SIL assignment

從表6中可以看出，風輪轉(zhuǎn)速、偏航系統(tǒng)、變槳系統(tǒng)和振動等風險要素通過安全完整性等級評估法與性能等級流程法的評估結(jié)果是相匹配的。但變流器這一風險要素的安全完整性等級評估法的評估結(jié)果為SIL1，而性能等級流程法的評估結(jié)果為PL d，兩個評估結(jié)果是不匹配的，通過PL方式評估的等級高于通過安全完整性等級方式評估的等級。一般導(dǎo)致出現(xiàn)此類情況的原因有以下3個方面：

表6 兩種評估方法結(jié)果的對比Table 6 Comparison of the results of the two assessment methods

1）安全完整性等級賦值法與PL流程法的評估參數(shù)在數(shù)量上不一致，安全完整性等級賦值法需要通過4個評估參數(shù)完成評估，PL通過3個評估參數(shù)進行評估。評估參數(shù)的數(shù)量會導(dǎo)致評估結(jié)果的偏差。

2）安全完整性等級賦值法與PL流程法的評估參數(shù)在粒度劃分上的細致程度不同，安全完整性等級賦值法采用打分的形式，每個評估參數(shù)對應(yīng)3～5個具體的分值，最終的評估結(jié)果也是通過具體的分數(shù)累加而來。PL流程法采用分支流程的方式，每個評估參數(shù)對應(yīng)2個分支，最終的評估結(jié)果為選擇分支流程的終點。

3）評估人員的主觀因素，無論是安全完整性等級賦值法中各項風險要素分數(shù)的給定，還是PL流程法中各項風險要素分支的選擇，其中都必然包含了評估人員的主觀判斷。對各項風險要素的認知程度以及對大型風力發(fā)電機組系統(tǒng)的認知程度，都會影響評估人員的判斷，導(dǎo)致出現(xiàn)差異性的安全等級評估結(jié)果。因此，為了評估結(jié)果盡可能的客觀且能夠被廣泛地認同，一般需要一個由認證機構(gòu)、整機廠商、部件供應(yīng)商和業(yè)主共同組成的評估團隊來完成風險要素的識別與安全等級評估。

3.4 安全等級的確定

對于變流器這一風險因素，由于在PL流程法中“Se2-->Fr2-->Av1-->PL d”的評估路徑是清晰確定的，在SIL賦值法中評估參數(shù)Pr的賦值根據(jù)不同變流器的運行情況是可商榷的，因而對變流器的安全等級要求可以確定為PL d，在SIL等級中對應(yīng)為SIL 2，詳見表7。

接下來，以表7中確定的安全等級來設(shè)計安全系統(tǒng)電路。

表7 設(shè)計安全系統(tǒng)時采用的安全等級Table 7 The safety level used when designing the safety system

4 安全系統(tǒng)電路設(shè)計

在評估完了各個風險要素的等級之后，接下來就是按照評估結(jié)果進行安全系統(tǒng)的電路設(shè)計。

4.1 SIL 1/ PL c安全等級電路的設(shè)計

對SIL 1/ PL c安全等級的電路，設(shè)計有如下要求：1） 電路中使用安全單元。

2） 具有反饋回路。

對于安全等級要求為SIL 1/PL c的電路，偏航扭纜限位開關(guān)接入主控系統(tǒng)安全鏈的信號可以是單通道的。

4.2 SIL 2/ PL d安全等級電路的設(shè)計

對SIL 2/ PL d安全等級的電路，設(shè)計上有如下要求：

1）電路中使用安全單元。

2）輸入與輸出信號均使用冗余設(shè)計。

3）具有反饋回路。為了實現(xiàn)SIL 2/PL d安全等級的電路，要求諸如測量風輪轉(zhuǎn)速的過速模塊接入安全系統(tǒng)的信號、變槳通過滑環(huán)接入安全系統(tǒng)的信號、變流器接入安全系統(tǒng)的信號，以及振動監(jiān)測系統(tǒng)接入安全系統(tǒng)的信號都是雙通道的。

4.3 典型安全電路設(shè)計

以表7中的變槳系統(tǒng)為例，對其實現(xiàn)SIL 2/ PL d安全等級電路的設(shè)計。首先，選用由安全CPU、安全輸入模塊及安全輸出模塊組成安全控制系統(tǒng)，滿足電路中使用安全單元的要求。

對于變槳系統(tǒng)而言，觸發(fā)安全停機的變槳系統(tǒng)故障有兩個，分別為“變槳系統(tǒng)故障1”與“變槳系統(tǒng)故障2”。這兩個信號占用不同的電氣滑環(huán)通道，接入安全輸入模塊中，形成輸入信號的冗余。

圖5 一種典型的獨立安全系統(tǒng)Fig.5 A typical independent safety system

當安全CPU中的安全邏輯判定變槳系統(tǒng)需要進入緊停模式時，將通過安全輸出模塊控制繼電器K1和K2輸出“變槳系統(tǒng)緊停1”和“變槳系統(tǒng)緊停2”兩路信號，各自通過獨立的電氣滑環(huán)通道輸出給變槳系統(tǒng)，形成輸出信號的冗余。同時，繼電器K1和K2動作的信號也通過各自另外一個觸點反饋到安全輸入模塊，形成反饋回路的冗余。

典型的電路設(shè)計如圖4。

圖4 典型安全電路示意圖Fig.4 Typical safety circuit schematic

在實際設(shè)計中，如果上述硬件無法支持雙通道輸出，則其所在電路的安全等級則降低到SIL 1/ PL c，安全系統(tǒng)中的電路設(shè)計是安全等級評估結(jié)果與實際采用的元器件相互平衡后的結(jié)果。

5 安全系統(tǒng)的實現(xiàn)與應(yīng)用

在安全系統(tǒng)電路設(shè)計完成之后，配合安全控制器就可以構(gòu)成大型風力發(fā)電機組的安全系統(tǒng)。

在大型風力發(fā)電機組中，常用的安全控制器有3種：一是安全繼電器，二是集成安全控制器，三是具有可編程功能的安全繼電器。下面以具有可編程功能的安全繼電器為例，介紹一種可應(yīng)用于大型風力發(fā)電機組的獨立安全系統(tǒng)。

獨立安全系統(tǒng)是使用具有可編程功能的安全繼電器構(gòu)建的安全系統(tǒng)，其特點如下[6]：

1）通用性好，可編程安全繼電器的品牌可以靈活選用。

2）功能獨立，不參加主控系統(tǒng)中PLC控制器的組態(tài)。

3）支持邏輯編程，可以實現(xiàn)較為復(fù)雜的安全邏輯。

獨立安全系統(tǒng)在硬件結(jié)構(gòu)上由安全CPU、安全數(shù)字量輸入模塊、安全數(shù)字量輸出模塊和安全系統(tǒng)電路構(gòu)成。獨立安全系統(tǒng)采用了通用化的與主控系統(tǒng)PLC不緊密相關(guān)的總線通訊協(xié)議，如PROFIBUS DP或CANOPEN。同時安全CPU、安全數(shù)字量輸入模塊、安全數(shù)字量輸出模塊不參與主控系統(tǒng)PLC模塊的組態(tài)。

安全系統(tǒng)與主控系統(tǒng)PLC通過PROFIBUS DP總線進行數(shù)據(jù)交互，將安全系統(tǒng)的狀態(tài)信號和主控系統(tǒng)的復(fù)位信號等進行傳遞。

目前，該安全系統(tǒng)配合中廣核國產(chǎn)化PLC構(gòu)成的主控系統(tǒng)，已應(yīng)用于內(nèi)蒙古某風場25臺2MW風力發(fā)電機組中，守護著中廣核風力發(fā)電機組的運行安全。

6 結(jié)語

安全系統(tǒng)保障了大型風力發(fā)電機組的安全運行，也保護了風力發(fā)電行業(yè)從業(yè)人員的人身安全。本文從風險要素識別、安全標準的運用、安全等級的評估、安全電路與安全系統(tǒng)的設(shè)計等方面闡述了大型風力發(fā)電機組安全系統(tǒng)的設(shè)計方法。在實際的設(shè)計中，還需要考慮系統(tǒng)成本的約束、系統(tǒng)的可擴展性以及施工工藝的可操作性等因素，同時隨著安全技術(shù)的發(fā)展，智能化也必將成為大型風力發(fā)電機組安全系統(tǒng)的發(fā)展趨勢。