一种基于功能安全的风电机组安全系统设计优化方案

摘要：通过研究风力发电机组安全系统典型失效特征和功能安全相关设计理念，提出了基于功能安全的风电机组安全系统设计优化方案。对比了优化前后风电机组的安全性能参数，论证优化方案的有效性。

关键词：双馈风力发电机组；安全系统；功能安全

中图分类号：TM315

文献标识码：A文章编号：16749944（2017）12023703

1风电机组安全系统典型失效特征

风电机组发生安全事故往往会导致整台机组倒塔、起火，造成巨大的经济损失，甚至威胁人员的安全。风电机组事故发生过程中的安全系统的失效特征分析如下。

风机突然甩负荷、风速突变、联轴器损坏等故障可能导致传动链严重超速；叶片、联轴器、齿轮箱等部件发生断裂、损坏等故障可能造成机组强烈冲击；风电机组内部电气回路发生短路可能引起电弧放电。在上述故障发生时，如果安全系统对应的转速、振动、电流等测量功能失效、变桨控制系统制动功能失效、高速轴刹车制动功能失效或高低压侧断路器保护功能失效，使安全系统未能起到保护作用，则将最终导致风电机组事故的发生。上述安全系统失效属于安全相关部件随机失效。

安全系统设计不当也有可能导致事故的发生，如高速轴刹车动作不当造成摩擦起火星，火星点燃附近可燃物可能导致火灾；安全系统复位逻辑设计不当导致危险未解除情况下制动系统被复位再次引发危险；保护相关参数设置不当导致不能起到保护作用。上述安全系统设计不当导致的失效属于安全系统的系统性失效。

2功能安全相关理念

安全是指一个系统中不存在不可接受的风U。而功能安全是整体安全的组成部分，其研究对象是机器设备装置及其控制系统，功能安全取决于安全相关控制系统、采用其他技术的安全相关系统（如液压、气动系统）和外部风险降低措施的正确行使[5]。功能安全是通过系统或设备对输入的正确执行来保证的，是安全系统执行安全功能能力的体现。

3安全系统设计过程中引入功能安全

在风电机组设计开发过程中，需要采取一些措施降低安全系统的硬件随机失效概率；避免引入的系统性失效以提高风电机组安全性能，保障风电机组的安全运行、保障人身和财产安全。通过将功能安全设计理念引入风电机组安全系统设计过程可以实现上述需求。基于功能安全的安全系统设计思路如下：通过约束安全相关部件可靠性指标和冗余数量，约束系统的回路结构、安全系统监测回路设计等使风电机组安全系统更有效规避硬件随机故障、系统单一失效、降低因失效和单一故障引起危险发生的概率。完成上述设计后估算每个安全功能的危险失效概率，并考虑采用措施避免系统性失效。

电机组安全系统设计方案优化

4.1识别安全功能

本文以某双馈式风电机组安全系统设计方案为例，分析“当机组转速超过其极限转速时激活安全相关停止”安全功能的安全性能，并制定优化设计方案。

4.2原安全系统设计方案失效概率

原设计方案中，实现“当机组转速超过其极限转速时激活安全相关停止”安全功能的系统结构见图1。本方案子系统3安全系统电路连接方采用单回路结构，当子系统3中的1个安全相关部件失效将引起该安全功能的失效。根据ISO 1389-1，安全系统的子系统3结构类别被划分为Cat.B，整体性能等级最高只能实现PL=b。根据表1[1]该安全功能每小时平均危险失效概率最低为PFHD=3×10-6。

4.3原安全系统存在的问题分析

（1）子系统3的安全系统电路采用单回路设计，结构类别被划分为Cat.B，进而成为该风电机组安全系统整体性能等级的短板。

（2）未采取足够措施避免单一失效。例如当Q1出现触点粘连故障时，当安全系统被触发后Q1不能断开其触点，会进而导致变桨系统不能收到紧急收桨指令，造成安全功能失效。

（3）未采取足够措施避免共模故障。例如未避免低速轴转速测量结果不准确的情况。

4.4优化安全系统设计方案

4.4.1安全功能设计和技术实现

根据图2优化系统结构类别，由图可知当系统MTTFd=中，DCavg=低，选择安全系统结构类别为Cat.3时可实现性能等级PL=c，本方案采用系统结构类别Cat.3进行设计。

朱宁：一种基于功能安全的风电机组安全系统设计优化方案

机电与工程

Cat.3需满足以下具体要求：SPRR/CS根据基础安全原则ISO113849-2设计、构建、选择、组装并整合，以使其能够承受预期的影响；采用试验效果良好的安全原则；安全相关部件设计成：系统发生任何单一故障时，系统/子系统安全功能不能失效；应能检测到单一故障。且满足DC≥60% 、CCF≥65；安全系统需要具备单一故障容错功能，实现这个要求最常用的方法是应用双通道系统结构。根据上述要求安全系统设计方案进行以下优化设计。

（1）诊断覆盖率DC相关优化设计。提高诊断覆盖率，新增安全系统检测回路用于检测系统单一故障，包括设备故障和供电回路故障监测。

①新增安全模块故障监测：通过PLC检测安全模块的输入、输出信号，判断其动作逻辑是否正确，错误时触发风电机组停机；

②新增供电回路故障检测：应用安全模块上的脉冲输出检测功能实现供电回路故障检测，当检测到传感器返回的信号不是特定的输出脉冲时触发风电机组停机。

（2）防止共模故障优化设计。①为避免低速轴转速测量结果不准确，将两个超速传感器分别安装于风电机组高速轴侧和低速轴侧；

②冗余信号的连续触点电路有序的切换，避免了两个接触器的触点同时因为发生短路等故障引起熔焊导致共模故障，通过控制实现触点不同时进行切断以及闭合，使得一个触点总是在没有电流的情况下进行切换。

（3）化后安全系统设计方案。优化方案由超速测量装置执行超速触发安全系统功能，共有两个相互独立的超速模块P1、P2分别测量风电机组低速轴转速并分析转速情况，当超速模块判断转速达到临界速度时，超速模块立即断开其继电器触点。两个超速模块的触点信号分别连接至安全模块的两个独立输入。

优化方案由安全模块执行安全系统逻辑控制功能，安全模块硬件和控制逻辑均独立于控制系统。安全模块通过安全控制逻辑判断传感器反馈的触点信号，当信号断开时安全系统风电机组级别被触发，安全模块触发变桨系统紧急收桨。即当安全模块接入的超速测量信号中任意一个信号变为0V，则安全模块晶体管输出信号由24V变成0V触发变桨系统紧急收桨；安全模块晶体管输出信号为双回路信号，由两个安全模块输出分别连接至接触器Q1、Q2，安全模块输出至Q2信号增加1s延时，使得Q2触点总是在没有电流的情况下进行切换。

优化方案由接触器Q1、Q2执行驱动变桨系统急收桨功能，当接触器Q1、Q2接收到安全模块的触发信号后，触发变桨系统安全链，即安全模块晶体管输出信号由24V变成0V后，Q1、Q2常开触点打开，触发变桨系统紧急收桨。Q1、Q2将3个主回路触点分别串入变桨系统3个叶片的安全回路。

优化方案由变桨系统执行安全系统的制动功能。安全系统要求每个安全功能要求应至少接入两套相互独立的的制动系统，并独立于控制系统功能。所以变桨系统进行如下设计：每个叶片的变桨电机采用一个独立的电动执行机构，且每个电机的后备电源和安全电路互相独立。风力发电机组中如单个变桨系统发生故障，转子将由另外两个叶片顺桨带动机组降速，变桨系统可在单个叶片发生故障的情况下完成安全功能。Q1、Q2的3个触点分别控制上述3个变桨系统紧急收桨，优化方案的系统结构见图2。

4.4.2应用软件SISTEMA 估算安全功能失效概率

优化方案模块图见图3。模块图将1个安全功能（SF）拆分成输入装置子系统（SB）、逻辑单元子系统（SB）和输出设备子系统（SB）。其中，传感器单元子系统承担超速保护功能，由两个超速传感器组成；逻辑单元子系统承担安全逻辑实现功能，由安全模块构成；输出设备子系统由接触器和变桨系统组成。

在软件SISTEMA中搭建上述模块图，并将安全相关参数定值分别输入到软件界面中的各功能块（BL）或元件（EL）中，主要包括：MTTFd、B10d、nop、DC。通过软件计算，优化后安全系统性能等级提升为PL=c，每小时危险失效概率PFHD2=1.42×10-6。

4.5设计方案安全性能对比

在原有风电机组安全系统设计方案中，该安全功能系统类别为Cat.B，且方案中未采取足够措施避免单一失效和共模故障；在安全系统优化设计方案中，将系统类别优化为Cat.3，并进行了诊断覆盖率和防止共模故障的相关设计优化。两个安全系统设计方案的安全性能对比如下。

（1） 原方案的安全功能性能等级PL=b，每小时危险失效概率最低为PFHD1=3×10-6。

（2） 应用安全系统设计方法进行方案优化后性能等级提升为PL=c，每小时危险失效概率PFHD2=1.42×10-6。

（3）安全系统设计方案优化后，每小时危险失效概率至少下降了50%，降低了系统安全失效概率，提升了风电机组的安全性能。

5结语

从风电机组安全系统设计角度出发，总结了降低风电机组事故风险的设计思路， 通过研究功能安全的设计理念和安全系统典型失效特征，提出了基于功能安全的风电机组安全系统设计优化方案。该方案通过约束安全相关部件可靠性指标和冗余数量，约束系统的回路结构、安全系统监测回路设计等使风电机组安全系统更有效规避硬件随机故障、系统单一失效、降低公因失效和单一故障引起危险发生的概率。利用该方案能够有效控制和降低安全运行事故风险，提高风电机组的安全性能。

参考文献：

[1]

International Drganization for Stundardization. ISO13849-1：2008，safetyof machinery-Safety-related parts of control systems[S].International Drganization for Stundardization，2006.

[2]中华人民共和国质量监督检验检疫总局.IEC61508-1，电气/电子/可编程电子安全系统的功能安全第1 部分[S].北京：中国标准出版社，2013.

[3]德国劳埃德船级社.GL 2012德国劳埃德船级社离岸风机认证导则[R].柏林：德国劳埃德船级社，2012.

[4]陈开泰，朱春标，黄松杰.机械安全标准体系及其安全实现[J].中国仪器仪表及自动化，2007（6）.

[5]谢亚莲，尹宝娟.第1讲安全相关产品的实现[J].自动化仪表，2013（6）：92～94.

[6]熊文泽.第三十一讲：机械应用安全相关系统标准的简介[J].仪器仪表标准化与计量，2012（6）：19～22.

A Design Scheme of Wind Turbine Safety System Based on Functional Safety

Zhu Ning

（Guodian United Power Technology Ltd. Company， Beijing 100039， China）

Abstract： Through studying on the design concept of functional safety standards and typical fault features of the safety system for wind turbine， an optimization design method was proposed in this article. The effectiveness of the proposed scheme is demonstrated by comparing the performance parameters of the wind turbine before and after optimization.

Key words： doubly-fed Wind Turbine；safety system；functional safety