高 阳

（上海中广核工程科技有限公司，上海 200241）

0 引言

安全是在人类生产过程中，将系统的运行状态对人类的生命、财产、环境可能产生的损害控制在人类能接受水平以下的状态[1]。在大型风力发电机组中，通过安全系统来保障机组中电气、机械设备的安全运行，保护从业人员的人身安全。安全系统是独立于控制系统的硬件保护措施，安全系统的响应动作优先于控制系统，即使控制系统发生异常，也不会影响安全系统的正常动作，从而最大限度地保证大型风力发电机组的安全。

目前，在设计大型风力发电机组的安全系统时缺少一套标准化的方法，这就导致了在安全系统设计完成后，其能够达到的安全等级不明确的问题，给机组的安全运行埋下了隐患。

为了解决这一问题，本文提出了一种针对大型风力发电机组安全系统的设计方法。首先，对大型风力发电机组进行风险要素分析；其次，通过安全完整性等级赋值法与性能等级流程法相结合的方式确定消除各风险要素需要达到的安全等级，进而在此基础上设计了满足安全等级要求的硬件电路与安全系统，最后介绍了按此方法设计完成的安全系统的应用情况。

1 大型风力发电机组的风险要素分析

影响大型风力发电机组安全的要素，可以分为3类：

一是风力发电机组中的传动链。传动链一般由风轮、主轴承、齿轮箱和发电机等部件组成。传动链部件超速会导致部件自身乃至整个风机的损毁，因此一般选取传动链上一个部件的转速作为风险要素进行评估，并在设计安全系统时将该部件的超速情况作为安全系统的输入，其中选用较多的是风轮超速信号或发电机超速信号。

二是风力发电机组中的重要子系统。重要子系统包含偏航系统、变桨系统、变流器和振动监测系统4个部件[2]。偏航系统中的扭缆限位开关保护着电缆不过度扭缆，否则将导致机组电气系统的损毁和失效。变桨系统作为风力发电机组的气动刹车机构，如果失效将引起机组的严重损毁。变流器作为机组并网的电力电子界面，如果失效将导致机组无法运行发电乃至变流器等部件的损毁。振动监测系统检测机组的振动情况，其失效可能导致机组的严重损毁。因此，重要子系统是安全系统的必需输入，也是需要着重考虑的风险要素。

三是风力发电机组中的控制系统。由于安全系统是风力发电机组控制系统中的最后一道保护，处于机组的逻辑控制保护之后，当控制器（如PLC）失效时，安全系统应当动作确保机组停机。因此，控制器的失效也应作为安全系统的输入，也是一个风险要素。

2 适用于大型风力发电机组安全系统设计的标准

目前常用于指导工业控制系统中安全系统设计的标准有两个，分别是IEC 62061和ISO 13849。IEC 62061是IEC（国际电工委员会）颁布的标准，主要是对安全相关的电气、电子、可编程电子控制系统的功能安全要求；ISO 13849-1是ISO（国际标准化组织）颁布的标准，主要是对控制系统安全相关部件的要求。

IEC 62061[3]《机械安全--与安全有关的电气、电子和可编程电子控制系统的功能安全》是一个应用于机械领域的国际功能安全标准，IEC 62061主要参考了IEC 61508的第二、第三部分，也就是软、硬件开发的部分，IEC 61508标准定义了安全完整性等级（Safety Integrity Level，缩写为SIL）。安全完整性等级表示一个系统的安全功能性能等级，共分4个等级：SIL1、SIL2、SIL3和SIL4。其中SIL1为最低等级，SIL4为最高等级。在机器安全中只用到了SIL1、SIL2和SIL3这3个等级。

ISO 13849-1[4]《机械安全--控制系统安全相关部件》继承了EN 954-1的基本原则，侧重于分析控制回路的结构，并按照控制回路结构将控制回路分成B、1、2、3、4共5个类别，再配合平均无危险故障时间MTTFd（Mean Time To dangerous Failures）和系统诊断检测范围DC（Diagnostic Coverage），划分出PL a、PL b、PL c、PL d、PL e 5个性能等级（Performance Level，缩写为PL）。其中PL a为最低等级，PL e为最高等级[5]。

安全完整性等级（SIL）与性能等级（PL）具有如表2所示的对照关系。在设计大型风力发电机组的安全控制系统时，可以同时参考IEC 62061和ISO 13849-1两个标准。

表2 安全完整性等级与性能等级对照关系Table 2 The relationship between safety integrity level and performance level

3 安全等级评估

将风险要素作为评估对象，通过安全完整性等级赋值法与性能等级流程法可以分别评估出各项风险要素的安全完整性等级与性能等级。

在上述评估过程中使用的风险评估参数有4个，分别是：①Se（Severity of damage），损坏的严重性；②Fr（Frequency and duration of exposure to hazard），暴 露 在 危险下的频率；③Pr（Occurrence probability of hazardous situation），危险情形发生的几率；④Av（Probability of avoiding or limiting harm），避免或限制损害的可能性。

3.1 安全完整性等级赋值法

某一风险要素风险等级的评估，首先需确定该风险要素发生时导致风力发电机组“损坏的严重性”，其次对该风险要素“暴露在危险下的频率”“危险情形发生的几率”和“避免或限制损害的可能性”进行分项评估打分，再将三项评估得分加和，结合“损坏的严重性”一项评分确定出该风险要素的安全完整性等级。

图1 安全完整性等级赋值法结构Fig.1 SIL Assignment method structure

以表1中的9项风险要素作为输入，通过安全完整性等级赋值法进行风险评估，得到各项风险要素的安全完整性等级评估结果见表3。

表1 大型风力发电机组的风险要素Table 1 The relationship between safety integrity level and performance level

表3 安全完整性等级赋值法评估结果Table 3 The results of SIL assessment method

3.2 性能等级流程法

性能等级流程法通过评估过程中使用了Se、Fr和Av 3个评估参数，与安全完整性等级评估法相比较舍弃了Pr这个参数。同时采用了分支流程的评估方法，不在需要具体分数的评定与加和，使得评估更为快捷流畅。性能等级评估流程图如图3。

图3 性能等级流程法评估体系Fig.3 Evaluation system of PL flow

其中，各分支走向的判断条件见表4。

表4 性能等级评估判断分支Table 4 PL level assessment judging branches

以表1中的9项风险要素作为输入，通过性能等级流程法进行风险评估，得到各项风险因素的性能等级评估结果，见表5。

3.3 评估结果差异分析

综合表3和表5，可以得到表6，对通过安全完整性等级赋值法与性能等级流程法两种方法评估得到的结果进行对比分析。

表5 性能等级流程法评估结果Table 5 The results of PL assessment method

图2 安全完整性等级赋值法评估体系Fig.2 Evaluation system of SIL assignment

从表6中可以看出，风轮转速、偏航系统、变桨系统和振动等风险要素通过安全完整性等级评估法与性能等级流程法的评估结果是相匹配的。但变流器这一风险要素的安全完整性等级评估法的评估结果为SIL1，而性能等级流程法的评估结果为PL d，两个评估结果是不匹配的，通过PL方式评估的等级高于通过安全完整性等级方式评估的等级。一般导致出现此类情况的原因有以下3个方面：

表6 两种评估方法结果的对比Table 6 Comparison of the results of the two assessment methods

1）安全完整性等级赋值法与PL流程法的评估参数在数量上不一致，安全完整性等级赋值法需要通过4个评估参数完成评估，PL通过3个评估参数进行评估。评估参数的数量会导致评估结果的偏差。

2）安全完整性等级赋值法与PL流程法的评估参数在粒度划分上的细致程度不同，安全完整性等级赋值法采用打分的形式，每个评估参数对应3～5个具体的分值，最终的评估结果也是通过具体的分数累加而来。PL流程法采用分支流程的方式，每个评估参数对应2个分支，最终的评估结果为选择分支流程的终点。

3）评估人员的主观因素，无论是安全完整性等级赋值法中各项风险要素分数的给定，还是PL流程法中各项风险要素分支的选择，其中都必然包含了评估人员的主观判断。对各项风险要素的认知程度以及对大型风力发电机组系统的认知程度，都会影响评估人员的判断，导致出现差异性的安全等级评估结果。因此，为了评估结果尽可能的客观且能够被广泛地认同，一般需要一个由认证机构、整机厂商、部件供应商和业主共同组成的评估团队来完成风险要素的识别与安全等级评估。

3.4 安全等级的确定

对于变流器这一风险因素，由于在PL流程法中“Se2-->Fr2-->Av1-->PL d”的评估路径是清晰确定的，在SIL赋值法中评估参数Pr的赋值根据不同变流器的运行情况是可商榷的，因而对变流器的安全等级要求可以确定为PL d，在SIL等级中对应为SIL 2，详见表7。

接下来，以表7中确定的安全等级来设计安全系统电路。

表7 设计安全系统时采用的安全等级Table 7 The safety level used when designing the safety system

4 安全系统电路设计

在评估完了各个风险要素的等级之后，接下来就是按照评估结果进行安全系统的电路设计。

4.1 SIL 1/ PL c安全等级电路的设计

对SIL 1/ PL c安全等级的电路，设计有如下要求：1） 电路中使用安全单元。

2） 具有反馈回路。

对于安全等级要求为SIL 1/PL c的电路，偏航扭缆限位开关接入主控系统安全链的信号可以是单通道的。

4.2 SIL 2/ PL d安全等级电路的设计

对SIL 2/ PL d安全等级的电路，设计上有如下要求：

1）电路中使用安全单元。

2）输入与输出信号均使用冗余设计。

3）具有反馈回路。为了实现SIL 2/PL d安全等级的电路，要求诸如测量风轮转速的过速模块接入安全系统的信号、变桨通过滑环接入安全系统的信号、变流器接入安全系统的信号，以及振动监测系统接入安全系统的信号都是双通道的。

4.3 典型安全电路设计

以表7中的变桨系统为例，对其实现SIL 2/ PL d安全等级电路的设计。首先，选用由安全CPU、安全输入模块及安全输出模块组成安全控制系统，满足电路中使用安全单元的要求。

对于变桨系统而言，触发安全停机的变桨系统故障有两个，分别为“变桨系统故障1”与“变桨系统故障2”。这两个信号占用不同的电气滑环通道，接入安全输入模块中，形成输入信号的冗余。

图5 一种典型的独立安全系统Fig.5 A typical independent safety system

当安全CPU中的安全逻辑判定变桨系统需要进入紧停模式时，将通过安全输出模块控制继电器K1和K2输出“变桨系统紧停1”和“变桨系统紧停2”两路信号，各自通过独立的电气滑环通道输出给变桨系统，形成输出信号的冗余。同时，继电器K1和K2动作的信号也通过各自另外一个触点反馈到安全输入模块，形成反馈回路的冗余。

典型的电路设计如图4。

图4 典型安全电路示意图Fig.4 Typical safety circuit schematic

在实际设计中，如果上述硬件无法支持双通道输出，则其所在电路的安全等级则降低到SIL 1/ PL c，安全系统中的电路设计是安全等级评估结果与实际采用的元器件相互平衡后的结果。

5 安全系统的实现与应用

在安全系统电路设计完成之后，配合安全控制器就可以构成大型风力发电机组的安全系统。

在大型风力发电机组中，常用的安全控制器有3种：一是安全继电器，二是集成安全控制器，三是具有可编程功能的安全继电器。下面以具有可编程功能的安全继电器为例，介绍一种可应用于大型风力发电机组的独立安全系统。

独立安全系统是使用具有可编程功能的安全继电器构建的安全系统，其特点如下[6]：

1）通用性好，可编程安全继电器的品牌可以灵活选用。

2）功能独立，不参加主控系统中PLC控制器的组态。

3）支持逻辑编程，可以实现较为复杂的安全逻辑。

独立安全系统在硬件结构上由安全CPU、安全数字量输入模块、安全数字量输出模块和安全系统电路构成。独立安全系统采用了通用化的与主控系统PLC不紧密相关的总线通讯协议，如PROFIBUS DP或CANOPEN。同时安全CPU、安全数字量输入模块、安全数字量输出模块不参与主控系统PLC模块的组态。

安全系统与主控系统PLC通过PROFIBUS DP总线进行数据交互，将安全系统的状态信号和主控系统的复位信号等进行传递。

目前，该安全系统配合中广核国产化PLC构成的主控系统，已应用于内蒙古某风场25台2MW风力发电机组中，守护着中广核风力发电机组的运行安全。

6 结语

安全系统保障了大型风力发电机组的安全运行，也保护了风力发电行业从业人员的人身安全。本文从风险要素识别、安全标准的运用、安全等级的评估、安全电路与安全系统的设计等方面阐述了大型风力发电机组安全系统的设计方法。在实际的设计中，还需要考虑系统成本的约束、系统的可扩展性以及施工工艺的可操作性等因素，同时随着安全技术的发展，智能化也必将成为大型风力发电机组安全系统的发展趋势。