风力发电是一种理想的清洁能源,与其它燃料能源的发电有着无法比拟的优势,近年来在我国的发展极为迅速,随着风能发电方式的广泛使用,风电的安全控制技术也成为一个关注的焦点话题。本文就将以风电中安全技术为主,讲述安全评估方法和西门子安全解决方案在风电行业和风机控制中的应用。
为什么说安全是风机控制中一个关键环节呢?
任何一台机械存在危险,都会给人员或者机械自身带来伤害,风力发电设备也不例外。这里的安全涵盖了安全自动化技术、安全保护设备、安全控制系统、以及安全操作规程。
我们可以看到很多风机在其调试、运行以及维护过程当中的潜在风险,比如:飓风导致的超速或者失速,可能会引发轴承损毁,凸轮轴折损或者发电机烧毁的风险;风机叶片桨距偏差超限或者没有提供位置信号会导致的过载或超速的风险;扭缆带来的失控和停机的风险;以及接地故障有可能造成的火灾等等潜在风险。
在这些情况下,都需要控制系统可靠而稳定的运行、错误检测以及可靠地停车,一旦出现由于各种原因的系统失效,或者不能正确执行控制功能保证停车,将会造成人员和设备的巨大损失。除此之外,控制系统还需要能够全面确切的报告故障,提供完善的诊断信息。因此,将保护人和机器处于安全状态的安全技术是不可或缺甚至是尤为重要的。
西门子故障安全系统是为确保风力发电设备在出现故障或者失效时仍能够处于安全状态的系统。风力发电机组的安全系统主要包括安全控制系统和刹车系统两部分。安全控制系统是独立于运行控制计算机的监测控制系统,安装在风机的一些独立于运行控制计算机并可以直接控制停机的传感器上与安全控制器连为一体,当这些传感器动作时,直接触发安全控制系统,一旦安全控制系统被触发则立即停机,并切断所有接触器和阀体的控制电压,此时风机脱离运行控制计算机的控制,最大限度地保证了机组的安全。通常情况下,安全系统也称为安全链。
安全系统在逻辑上优先于控制系统,控制系统的功能应服从安全系统的要求;在超过有关安全的限值后,或者如控制系统不能使机组保持在正常运行范围内,则安全系统动作,使机组保持在安全状态。
而安全系统和控制系统属于两个不同的概念。
控制系统指根据接受到的风力发电机组信息和/或环境信息,调节风力发电机组,使其保持在正常运行范围内的系统。 当控制系统和安全功能发生冲突之时,控制系统的功能应服从安全系统的要求。在风力发电机组的安全标准方面,世界范围内有很多相关的标准与规范,比如丹麦的相关标准 DS 472描述了风机安全要求和认证的流程;荷兰的风机主要依托于相关标准 IEC 61400-1(第二版);印度从2000年开始,有IEC标准以及丹麦系统类似一个初步的认证系统;中国风机的安全标准主要以 GB18451.1-2001—风力发电机组安全要求为主。
另一个风电的常用参考规范是GL2010,根据GL2010中涉及的风机保护功能列表,西门子也列出了相应的解决方案,以及如何满足规范中要求的安全等级。
要实现要求的安全等级,需要按照安全相关标准的规定执行下列步骤:
(1)风险评估
(2)实现风险的降低通过安全设计;技术保护方法以及提供残余风险的用户信息来实现
(3)设备的验证和确认
(4)交付业主/投放市场
一个安全相关系统的完整性不仅限于设备的完整性,还与功能设计、操作、测试、维护和管理等有关。所以在上述过程的每一步都需要技术文档的支持,这些文档包括每一步骤的过程和结果本身,具体到每一步骤测试方法和测试结果以及责任方。以上的步骤是通向机器安全的必由之路,下面将其展开进行详细的说明。
1 风险评估
在构建一个安全的设备或系统前,正规的安全评估是不可或缺的步骤。设计一个安全设备或系统时,必须分析其潜在风险并提供避免这些风险的具体方法。整个过程是一个循环的过程,它将不断重复直到设备满足安全要求(除了不可避免的残余风险)。
对于上述的安全风险评估的具体流程,下面以一个压机的安全评估为例进行详细说明。
首先要先定义压机的功能限制。比如该设备本身的详细说明,其功用、操作模式、预期的使用方式以及可预见的会产生危险的干扰和误动作。
接下来,定义该压机可能发生的潜在风险。其中包括机械上,电气上的各种危险。除此之外,也包括在压机整个生命周期中(从安装、调试、正常运行、维修和淘汰)各个环节可能产生的危险。
下一步,应针对每一个已识别的危险,正确的评估和评价出其发生的风险。风险评估的方法有一个公式:
风险(Risk)=伤害的严重程度(Severity)×发生的可能性(Probability)风险评价则取决于是否应用了保护措施及保护措施能否有效地规避风险。
最后一步,需要判断在进行了上述步骤后,风险是否得以充分降低以保证人员和设备在整个设备生命周期中是安全的。当然,在任何设备和系统中,风险不可能完全不存在。在这里涉及到一个残余风险的概念,残余风险是在采取和执行了所有保护措施之后存在的风险。如果当存在的残余风险是合理的,不会对人员、设备和环境产生危害时,可以完成风险评估。
需要注意的是,风险评估阶段不涉及具体的安全等级,安全等级在进行具体的风险降低时才有意义。
2 风险降低
根据风险评估,设备制造商和系统集成商需要通过合适的方法去降低和消除风险。
2.1 安全设计
首先,应从机器和系统设计的角度去降低风险,通过“安全设计”实现风险降低。该方法是通过设备本身的本质安全来规避风险。比如避免电击,发生紧急事故时的安全停车等等。安全设计在风险评估中也是处于最高的优先级。
2.2 安全技术保护方法
如果风险不能通过安全设计来降低,那么就需要采用合适的保护措施,通过执行安全系统的安全功能来降低风险。比如说像压机外围的防护罩,或者防护围栏和安全门的应用。当防护罩或安全门打开时,电机肯定处于停止状态。
这里提到的安全系统由多个安全子系统构成,像安全门功能,它就是由检测、处理和执行三个子系统构成,如图3所示。子系统1安全门锁,对安全门锁的信号进行检测。如果有一个安全门打开的信号,该信号会发送到子系统2的安全PLC或者安全继电器来进行安全进好的处理,最后给到安全的驱动装置使电机停止。
一个机器或者系统中,可能包含着多个安全功能,比如说安全门锁,安全区域的扫描,紧急停车按钮,或双手按钮功能等等。这就需要一一去定义相关的安全功能,确定每一个安全功能需要满足的安全等级。之后对此安全功能进行设计,并测试是否达到预先确定的安全级别。
在这里会涉及到几个重要的国际安全标准,IEC61508、IEC62061和EN ISO 13849-1。其中,标准IEC61508-“电气、电子和可编程电子安全相关型系统的运行安全”是一个最基本的安全标准,它虽然与具体应用无关,但它是具体应用标准IEC62061和EN ISO 13849-1的基础。作为具体应用的指导,需要使用IEC62061或EN ISO 13849-1标准,用于机器安全领域中机器的安全相关型控制。在这些标准中,涉及到了对安全功能的定义,安全级别的设定,以及设计和测试方法和标准。
(1)定义安全功能
在这里需要考虑和定义安全功能的边界条件,包括设备中的风险,会受影响的人员,以及操作模式。除此之外,需要给出安全功能的具体功能性定义;响应时间;对故障的响应方式等等。
(2)确定需要的安全等级
安全级别在上文提到的国际安全标准中有详细的分级,它是保证安全功能可靠实现的标准。安全级别大体由几个因素决定(根据应用的标准不同略有区别):人员受伤的严重性Se;发生的时间和频度Fr;避免的可能性P等。在标准IEC62061中定义了安全完整性等级SIL1-SIL3的计算方法。进行评估时根据该安全功能的具体情况选择参数的数值,然后根据该方法进行计算。
对于ISO13849-1标准,对安全级别的定义与IEC61508略有区别,是根据受伤的严重程度Se,危险发生的频率Fr和避免的可能性P三个参数按如图5所示确定。
在IEC61508和ISO13849-1标准中,描述了安全功能允许的最大失效概率—每小时危险失效的平均概概率 PFHD。该值越小,则安全等级越高。每小时产生危险故障的平均概率
该安全完整性等级的确定需要贯穿从设计到产品淘汰整个产品生命周期的始终。
在标准中,也对安全等级的实现进行的描述。系统的安全等级的实现需要考虑两个方面—工程和流程。
• 工程方面:考虑能够实现该安全等级的硬件结构、故障检测裕度和模块的可靠性,可通过双通道的冗余结构,增加诊断功能增加系统的安全性。
• 流程管理:需要通过项目管理,测试和技术文档来保证系统安全等级符合要求。
西门子提供的安全系列产品可以从各个部分—安全的检测、评估和响应满足客户对安全等级的要求,构成支持SIL2/SIL3或者PLd/Ple的高可靠性系统。
并且,西门子还提供了一款免费的评估工具SET (SiemensEvaluation Tool)帮助客户或者系统集成商简单地实现安全评估,符合相关安全标准,以满足SIL或者PL等级的要求。除此之外,SET还可以打印报告,作为验收资料的组成部分。
(转载)
