一種基于功能安全的風電機組安全系統設計優化方案

摘要：通過研究風力發電機組安全系統典型失效特征和功能安全相關設計理念，提出了基于功能安全的風電機組安全系統設計優化方案。對比了優化前后風電機組的安全性能參數，論證優化方案的有效性。

關鍵詞：雙饋風力發電機組；安全系統；功能安全

中圖分類號：TM315

文獻標識碼：A文章編號：16749944（2017）12023703

1風電機組安全系統典型失效特征

風電機組發生安全事故往往會導致整臺機組倒塔、起火，造成巨大的經濟損失，甚至威脅人員的安全。風電機組事故發生過程中的安全系統的失效特征分析如下。

風機突然甩負荷、風速突變、聯軸器損壞等故障可能導致傳動鏈嚴重超速；葉片、聯軸器、齒輪箱等部件發生斷裂、損壞等故障可能造成機組強烈沖擊；風電機組內部電氣回路發生短路可能引起電弧放電。在上述故障發生時，如果安全系統對應的轉速、振動、電流等測量功能失效、變槳控制系統制動功能失效、高速軸剎車制動功能失效或高低壓側斷路器保護功能失效，使安全系統未能起到保護作用，則將最終導致風電機組事故的發生。上述安全系統失效屬于安全相關部件隨機失效。

安全系統設計不當也有可能導致事故的發生，如高速軸剎車動作不當造成摩擦起火星，火星點燃附近可燃物可能導致火災；安全系統復位邏輯設計不當導致危險未解除情況下制動系統被復位再次引發危險；保護相關參數設置不當導致不能起到保護作用。上述安全系統設計不當導致的失效屬于安全系統的系統性失效。

2功能安全相關理念

安全是指一個系統中不存在不可接受的風險。而功能安全是整體安全的組成部分，其研究對象是機器設備裝置及其控制系統，功能安全取決于安全相關控制系統、采用其他技術的安全相關系統（如液壓、氣動系統）和外部風險降低措施的正確行使[5]。功能安全是通過系統或設備對輸入的正確執行來保證的，是安全系統執行安全功能能力的體現。

3安全系統設計過程中引入功能安全

在風電機組設計開發過程中，需要采取一些措施降低安全系統的硬件隨機失效概率；避免引入的系統性失效以提高風電機組安全性能，保障風電機組的安全運行、保障人身和財產安全。通過將功能安全設計理念引入風電機組安全系統設計過程可以實現上述需求。基于功能安全的安全系統設計思路如下：通過約束安全相關部件可靠性指標和冗余數量，約束系統的回路結構、安全系統監測回路設計等使風電機組安全系統更有效規避硬件隨機故障、系統單一失效、降低因失效和單一故障引起危險發生的概率。完成上述設計后估算每個安全功能的危險失效概率，并考慮采用措施避免系統性失效。

4風電機組安全系統設計方案優化

4.1識別安全功能

本文以某雙饋式風電機組安全系統設計方案為例，分析“當機組轉速超過其極限轉速時激活安全相關停止”安全功能的安全性能，并制定優化設計方案。

4.2原安全系統設計方案失效概率

原設計方案中，實現“當機組轉速超過其極限轉速時激活安全相關停止”安全功能的系統結構見圖1。本方案子系統3安全系統電路連接方采用單回路結構，當子系統3中的1個安全相關部件失效將引起該安全功能的失效。根據ISO 1389-1，安全系統的子系統3結構類別被劃分為Cat.B，整體性能等級最高只能實現PL=b。根據表1[1]該安全功能每小時平均危險失效概率最低為PFHD=3×10-6。

4.3原安全系統存在的問題分析

（1）子系統3的安全系統電路采用單回路設計，結構類別被劃分為Cat.B，進而成為該風電機組安全系統整體性能等級的短板。

（2）未采取足夠措施避免單一失效。例如當Q1出現觸點粘連故障時，當安全系統被觸發后Q1不能斷開其觸點，會進而導致變槳系統不能收到緊急收槳指令，造成安全功能失效。

（3）未采取足夠措施避免共模故障。例如未避免低速軸轉速測量結果不準確的情況。

4.4優化安全系統設計方案

4.4.1安全功能設計和技術實現

根據圖2優化系統結構類別，由圖可知當系統MTTFd=中，DCavg=低，選擇安全系統結構類別為Cat.3時可實現性能等級PL=c，本方案采用系統結構類別Cat.3進行設計。

朱寧：一種基于功能安全的風電機組安全系統設計優化方案

機電與工程

Cat.3需滿足以下具體要求：SPRR/CS根據基礎安全原則ISO113849-2設計、構建、選擇、組裝并整合，以使其能夠承受預期的影響；采用試驗效果良好的安全原則；安全相關部件設計成：系統發生任何單一故障時，系統/子系統安全功能不能失效；應能檢測到單一故障。且滿足DC≥60% 、CCF≥65；安全系統需要具備單一故障容錯功能，實現這個要求最常用的方法是應用雙通道系統結構。根據上述要求安全系統設計方案進行以下優化設計。

（1）診斷覆蓋率DC相關優化設計。提高診斷覆蓋率，新增安全系統檢測回路用于檢測系統單一故障，包括設備故障和供電回路故障監測。

①新增安全模塊故障監測：通過PLC檢測安全模塊的輸入、輸出信號，判斷其動作邏輯是否正確，錯誤時觸發風電機組停機；

②新增供電回路故障檢測：應用安全模塊上的脈沖輸出檢測功能實現供電回路故障檢測，當檢測到傳感器返回的信號不是特定的輸出脈沖時觸發風電機組停機。

（2）防止共模故障優化設計。①為避免低速軸轉速測量結果不準確，將兩個超速傳感器分別安裝于風電機組高速軸側和低速軸側；

②冗余信號的連續觸點電路有序的切換，避免了兩個接觸器的觸點同時因為發生短路等故障引起熔焊導致共模故障，通過控制實現觸點不同時進行切斷以及閉合，使得一個觸點總是在沒有電流的情況下進行切換。

（3）優化后安全系統設計方案。優化方案由超速測量裝置執行超速觸發安全系統功能，共有兩個相互獨立的超速模塊P1、P2分別測量風電機組低速軸轉速并分析轉速情況，當超速模塊判斷轉速達到臨界速度時，超速模塊立即斷開其繼電器觸點。兩個超速模塊的觸點信號分別連接至安全模塊的兩個獨立輸入。

優化方案由安全模塊執行安全系統邏輯控制功能，安全模塊硬件和控制邏輯均獨立于控制系統。安全模塊通過安全控制邏輯判斷傳感器反饋的觸點信號，當信號斷開時安全系統風電機組級別被觸發，安全模塊觸發變槳系統緊急收槳。即當安全模塊接入的超速測量信號中任意一個信號變為0V，則安全模塊晶體管輸出信號由24V變成0V觸發變槳系統緊急收槳；安全模塊晶體管輸出信號為雙回路信號，由兩個安全模塊輸出分別連接至接觸器Q1、Q2，安全模塊輸出至Q2信號增加1s延時，使得Q2觸點總是在沒有電流的情況下進行切換。

優化方案由接觸器Q1、Q2執行驅動變槳系統急收槳功能，當接觸器Q1、Q2接收到安全模塊的觸發信號后，觸發變槳系統安全鏈，即安全模塊晶體管輸出信號由24V變成0V后，Q1、Q2常開觸點打開，觸發變槳系統緊急收槳。Q1、Q2將3個主回路觸點分別串入變槳系統3個葉片的安全回路。

優化方案由變槳系統執行安全系統的制動功能。安全系統要求每個安全功能要求應至少接入兩套相互獨立的的制動系統，并獨立于控制系統功能。所以變槳系統進行如下設計：每個葉片的變槳電機采用一個獨立的電動執行機構，且每個電機的后備電源和安全電路互相獨立。風力發電機組中如單個變槳系統發生故障，轉子將由另外兩個葉片順槳帶動機組降速，變槳系統可在單個葉片發生故障的情況下完成安全功能。Q1、Q2的3個觸點分別控制上述3個變槳系統緊急收槳，優化方案的系統結構見圖2。

4.4.2應用軟件SISTEMA 估算安全功能失效概率

優化方案模塊圖見圖3。模塊圖將1個安全功能（SF）拆分成輸入裝置子系統（SB）、邏輯單元子系統（SB）和輸出設備子系統（SB）。其中，傳感器單元子系統承擔超速保護功能，由兩個超速傳感器組成；邏輯單元子系統承擔安全邏輯實現功能，由安全模塊構成；輸出設備子系統由接觸器和變槳系統組成。

在軟件SISTEMA中搭建上述模塊圖，并將安全相關參數定值分別輸入到軟件界面中的各功能塊（BL）或元件（EL）中，主要包括：MTTFd、B10d、nop、DC。通過軟件計算，優化后安全系統性能等級提升為PL=c，每小時危險失效概率PFHD2=1.42×10-6。

4.5設計方案安全性能對比

在原有風電機組安全系統設計方案中，該安全功能系統類別為Cat.B，且方案中未采取足夠措施避免單一失效和共模故障；在安全系統優化設計方案中，將系統類別優化為Cat.3，并進行了診斷覆蓋率和防止共模故障的相關設計優化。兩個安全系統設計方案的安全性能對比如下。

（1） 原方案的安全功能性能等級PL=b，每小時危險失效概率最低為PFHD1=3×10-6。

（2） 應用安全系統設計方法進行方案優化后性能等級提升為PL=c，每小時危險失效概率PFHD2=1.42×10-6。

（3）安全系統設計方案優化后，每小時危險失效概率至少下降了50%，降低了系統安全失效概率，提升了風電機組的安全性能。

5結語

從風電機組安全系統設計角度出發，總結了降低風電機組事故風險的設計思路， 通過研究功能安全的設計理念和安全系統典型失效特征，提出了基于功能安全的風電機組安全系統設計優化方案。該方案通過約束安全相關部件可靠性指標和冗余數量，約束系統的回路結構、安全系統監測回路設計等使風電機組安全系統更有效規避硬件隨機故障、系統單一失效、降低公因失效和單一故障引起危險發生的概率。利用該方案能夠有效控制和降低安全運行事故風險，提高風電機組的安全性能。

參考文獻：

[1]

International Drganization for Stundardization. ISO13849-1：2008，safetyof machinery-Safety-related parts of control systems[S].International Drganization for Stundardization，2006.

[2]中華人民共和國質量監督檢驗檢疫總局.IEC61508-1，電氣/電子/可編程電子安全系統的功能安全第1 部分[S].北京：中國標準出版社，2013.

[3]德國勞埃德船級社.GL 2012德國勞埃德船級社離岸風機認證導則[R].柏林：德國勞埃德船級社，2012.

[4]陳開泰，朱春標，黃松杰.機械安全標準體系及其安全實現[J].中國儀器儀表及自動化，2007（6）.

[5]謝亞蓮，尹寶娟.第1講安全相關產品的實現[J].自動化儀表，2013（6）：92～94.

[6]熊文澤.第三十一講：機械應用安全相關系統標準的簡介[J].儀器儀表標準化與計量，2012（6）：19～22.

A Design Scheme of Wind Turbine Safety System Based on Functional Safety

Zhu Ning

（Guodian United Power Technology Ltd. Company， Beijing 100039， China）

Abstract： Through studying on the design concept of functional safety standards and typical fault features of the safety system for wind turbine， an optimization design method was proposed in this article. The effectiveness of the proposed scheme is demonstrated by comparing the performance parameters of the wind turbine before and after optimization.

Key words： doubly-fed Wind Turbine；safety system；functional safety