活動鏈接：2014年控制網(wǎng)行業(yè)專題---打造有中國特色的智能電網(wǎng)

    風(fēng)力發(fā)電是一種理想的清潔能源，與其它燃料能源的發(fā)電有著無法比擬的優(yōu)勢，近年來在我國的發(fā)展極為迅速，隨著風(fēng)能發(fā)電方式的廣泛使用，風(fēng)電的安全控制技術(shù)也成為一個關(guān)注的焦點(diǎn)話題。本文就將以風(fēng)電中安全技術(shù)為主，講述安全評估方法和西門子安全解決方案在風(fēng)電行業(yè)和風(fēng)機(jī)控制中的應(yīng)用。

   為什么說安全是風(fēng)機(jī)控制中一個關(guān)鍵環(huán)節(jié)呢？

   任何一臺機(jī)械存在危險，都會給人員或者機(jī)械自身帶來傷害，風(fēng)力發(fā)電設(shè)備也不例外。這里的安全涵蓋了安全自動化技術(shù)、安全保護(hù)設(shè)備、安全控制系統(tǒng)、以及安全操作規(guī)程。

   我們可以看到很多風(fēng)機(jī)在其調(diào)試、運(yùn)行以及維護(hù)過程當(dāng)中的潛在風(fēng)險，比如：颶風(fēng)導(dǎo)致的超速或者失速，可能會引發(fā)軸承損毀，凸輪軸折損或者發(fā)電機(jī)燒毀的風(fēng)險；風(fēng)機(jī)葉片槳距偏差超限或者沒有提供位置信號會導(dǎo)致的過載或超速的風(fēng)險；扭纜帶來的失控和停機(jī)的風(fēng)險；以及接地故障有可能造成的火災(zāi)等等潛在風(fēng)險。

   在這些情況下，都需要控制系統(tǒng)可靠而穩(wěn)定的運(yùn)行、錯誤檢測以及可靠地停車，一旦出現(xiàn)由于各種原因的系統(tǒng)失效，或者不能正確執(zhí)行控制功能保證停車，將會造成人員和設(shè)備的巨大損失。除此之外，控制系統(tǒng)還需要能夠全面確切的報告故障，提供完善的診斷信息。因此，將保護(hù)人和機(jī)器處于安全狀態(tài)的安全技術(shù)是不可或缺甚至是尤為重要的。

   西門子故障安全系統(tǒng)是為確保風(fēng)力發(fā)電設(shè)備在出現(xiàn)故障或者失效時仍能夠處于安全狀態(tài)的系統(tǒng)。風(fēng)力發(fā)電機(jī)組的安全系統(tǒng)主要包括安全控制系統(tǒng)和剎車系統(tǒng)兩部分。安全控制系統(tǒng)是獨(dú)立于運(yùn)行控制計算機(jī)的監(jiān)測控制系統(tǒng)，安裝在風(fēng)機(jī)的一些獨(dú)立于運(yùn)行控制計算機(jī)并可以直接控制停機(jī)的傳感器上與安全控制器連為一體，當(dāng)這些傳感器動作時，直接觸發(fā)安全控制系統(tǒng)，一旦安全控制系統(tǒng)被觸發(fā)則立即停機(jī)，并切斷所有接觸器和閥體的控制電壓，此時風(fēng)機(jī)脫離運(yùn)行控制計算機(jī)的控制，最大限度地保證了機(jī)組的安全。通常情況下，安全系統(tǒng)也稱為安全鏈。

   安全系統(tǒng)在邏輯上優(yōu)先于控制系統(tǒng)，控制系統(tǒng)的功能應(yīng)服從安全系統(tǒng)的要求；在超過有關(guān)安全的限值后，或者如控制系統(tǒng)不能使機(jī)組保持在正常運(yùn)行范圍內(nèi)，則安全系統(tǒng)動作，使機(jī)組保持在安全狀態(tài)。

   而安全系統(tǒng)和控制系統(tǒng)屬于兩個不同的概念。

   控制系統(tǒng)指根據(jù)接受到的風(fēng)力發(fā)電機(jī)組信息和/或環(huán)境信息，調(diào)節(jié)風(fēng)力發(fā)電機(jī)組，使其保持在正常運(yùn)行范圍內(nèi)的系統(tǒng)。 當(dāng)控制系統(tǒng)和安全功能發(fā)生沖突之時，控制系統(tǒng)的功能應(yīng)服從安全系統(tǒng)的要求。在風(fēng)力發(fā)電機(jī)組的安全標(biāo)準(zhǔn)方面，世界范圍內(nèi)有很多相關(guān)的標(biāo)準(zhǔn)與規(guī)范，比如丹麥的相關(guān)標(biāo)準(zhǔn) DS 472描述了風(fēng)機(jī)安全要求和認(rèn)證的流程；荷蘭的風(fēng)機(jī)主要依托于相關(guān)標(biāo)準(zhǔn) IEC 61400-1（第二版）；印度從2000年開始，有IEC標(biāo)準(zhǔn)以及丹麥系統(tǒng)類似一個初步的認(rèn)證系統(tǒng)；中國風(fēng)機(jī)的安全標(biāo)準(zhǔn)主要以 GB18451.1-2001—風(fēng)力發(fā)電機(jī)組安全要求為主。

   另一個風(fēng)電的常用參考規(guī)范是GL2010，根據(jù)GL2010中涉及的風(fēng)機(jī)保護(hù)功能列表，西門子也列出了相應(yīng)的解決方案，以及如何滿足規(guī)范中要求的安全等級。

   要實(shí)現(xiàn)要求的安全等級，需要按照安全相關(guān)標(biāo)準(zhǔn)的規(guī)定執(zhí)行下列步驟：

   （1）風(fēng)險評估

   （2）實(shí)現(xiàn)風(fēng)險的降低通過安全設(shè)計；技術(shù)保護(hù)方法以及提供殘余風(fēng)險的用戶信息來實(shí)現(xiàn)

   （3）設(shè)備的驗證和確認(rèn)

   （4）交付業(yè)主/投放市場

   一個安全相關(guān)系統(tǒng)的完整性不僅限于設(shè)備的完整性，還與功能設(shè)計、操作、測試、維護(hù)和管理等有關(guān)。所以在上述過程的每一步都需要技術(shù)文檔的支持，這些文檔包括每一步驟的過程和結(jié)果本身，具體到每一步驟測試方法和測試結(jié)果以及責(zé)任方。以上的步驟是通向機(jī)器安全的必由之路，下面將其展開進(jìn)行詳細(xì)的說明。

  1　風(fēng)險評估

   在構(gòu)建一個安全的設(shè)備或系統(tǒng)前，正規(guī)的安全評估是不可或缺的步驟。設(shè)計一個安全設(shè)備或系統(tǒng)時，必須分析其潛在風(fēng)險并提供避免這些風(fēng)險的具體方法。圖1顯示了一個風(fēng)險評估的基本流程，整個過程是一個循環(huán)的過程，它將不斷重復(fù)直到設(shè)備滿足安全要求（除了不可避免的殘余風(fēng)險）。
  
                  
                              圖1 風(fēng)險評估的基本流程

   對于上述的安全風(fēng)險評估的具體流程，下面以一個壓機(jī)的安全評估為例進(jìn)行詳細(xì)說明。

   首先要先定義壓機(jī)的功能限制。比如該設(shè)備本身的詳細(xì)說明，其功用、操作模式、預(yù)期的使用方式以及可預(yù)見的會產(chǎn)生危險的干擾和誤動作。

   接下來，定義該壓機(jī)可能發(fā)生的潛在風(fēng)險。其中包括機(jī)械上，電氣上的各種危險。除此之外，也包括在壓機(jī)整個生命周期中（從安裝、調(diào)試、正常運(yùn)行、維修和淘汰）各個環(huán)節(jié)可能產(chǎn)生的危險。

   下一步，應(yīng)針對每一個已識別的危險，正確的評估和評價出其發(fā)生的風(fēng)險。風(fēng)險評估的方法有一個公式：

   風(fēng)險（Risk）=傷害的嚴(yán)重程度（Severity）×發(fā)生的可能性（Probability）風(fēng)險評價則取決于是否應(yīng)用了保護(hù)措施及保護(hù)措施能否有效地規(guī)避風(fēng)險。

   最后一步，需要判斷在進(jìn)行了上述步驟后，風(fēng)險是否得以充分降低以保證人員和設(shè)備在整個設(shè)備生命周期中是安全的。當(dāng)然，在任何設(shè)備和系統(tǒng)中，風(fēng)險不可能完全不存在。在這里涉及到一個殘余風(fēng)險的概念，殘余風(fēng)險是在采取和執(zhí)行了所有保護(hù)措施之后存在的風(fēng)險。如果當(dāng)存在的殘余風(fēng)險是合理的，不會對人員、設(shè)備和環(huán)境產(chǎn)生危害時，可以完成風(fēng)險評估。

   需要注意的是，風(fēng)險評估階段不涉及具體的安全等級，安全等級在進(jìn)行具體的風(fēng)險降低時才有意義。

   2　風(fēng)險降低

     根據(jù)風(fēng)險評估，設(shè)備制造商和系統(tǒng)集成商需要通過合適的方法去降低和消除風(fēng)險。圖2描述了對于每一個風(fēng)險源，進(jìn)行風(fēng)險降低的流程和步驟。
    
                
                            圖2 風(fēng)險降低的基本流程 

   2.1　安全設(shè)計

   首先，應(yīng)從機(jī)器和系統(tǒng)設(shè)計的角度去降低風(fēng)險，通過“安全設(shè)計”實(shí)現(xiàn)風(fēng)險降低。該方法是通過設(shè)備本身的本質(zhì)安全來規(guī)避風(fēng)險。比如避免電擊，發(fā)生緊急事故時的安全停車等等。安全設(shè)計在風(fēng)險評估中也是處于最高的優(yōu)先級。

   2.2　安全技術(shù)保護(hù)方法

  如果風(fēng)險不能通過安全設(shè)計來降低，那么就需要采用合適的保護(hù)措施，通過執(zhí)行安全系統(tǒng)的安全功能來降低風(fēng)險。比如說像壓機(jī)外圍的防護(hù)罩，或者防護(hù)圍欄和安全門的應(yīng)用。當(dāng)防護(hù)罩或安全門打開時，電機(jī)肯定處于停止?fàn)顟B(tài)。

   這里提到的安全系統(tǒng)由多個安全子系統(tǒng)構(gòu)成，像安全門功能，它就是由檢測、處理和執(zhí)行三個子系統(tǒng)構(gòu)成，如圖3所示。子系統(tǒng)1安全門鎖，對安全門鎖的信號進(jìn)行檢測。如果有一個安全門打開的信號，該信號會發(fā)送到子系統(tǒng)2的安全PLC或者安全繼電器來進(jìn)行安全進(jìn)好的處理，最后給到安全的驅(qū)動裝置使電機(jī)停止。

  一個機(jī)器或者系統(tǒng)中，可能包含著多個安全功能，比如說安全門鎖，安全區(qū)域的掃描，緊急停車按鈕，或雙手按鈕功能等等。這就需要一一去定義相關(guān)的安全功能，確定每一個安全功能需要滿足的安全等級。之后對此安全功能進(jìn)行設(shè)計，并測試是否達(dá)到預(yù)先確定的安全級別。

   在這里會涉及到幾個重要的國際安全標(biāo)準(zhǔn)，IEC61508、IEC62061和EN ISO 13849-1。其中，標(biāo)準(zhǔn)IEC61508-“電氣、電子和可編程電子安全相關(guān)型系統(tǒng)的運(yùn)行安全”是一個最基本的安全標(biāo)準(zhǔn)，它雖然與具體應(yīng)用無關(guān)，但它是具體應(yīng)用標(biāo)準(zhǔn)IEC62061和EN ISO 13849-1的基礎(chǔ)。作為具體應(yīng)用的指導(dǎo)，需要使用IEC62061或EN ISO 13849-1標(biāo)準(zhǔn)，用于機(jī)器安全領(lǐng)域中機(jī)器的安全相關(guān)型控制。在這些標(biāo)準(zhǔn)中，涉及到了對安全功能的定義，安全級別的設(shè)定，以及設(shè)計和測試方法和標(biāo)準(zhǔn)。
     
          
                        圖3 安全系統(tǒng)是由各個安全子系統(tǒng)構(gòu)成的 

   （1）定義安全功能

   在這里需要考慮和定義安全功能的邊界條件，包括設(shè)備中的風(fēng)險，會受影響的人員，以及操作模式。除此之外，需要給出安全功能的具體功能性定義；響應(yīng)時間；對故障的響應(yīng)方式等等。

   （2）確定需要的安全等級

     安全級別在上文提到的國際安全標(biāo)準(zhǔn)中有詳細(xì)的分級，它是保證安全功能可靠實(shí)現(xiàn)的標(biāo)準(zhǔn)。安全級別大體由幾個因素決定（根據(jù)應(yīng)用的標(biāo)準(zhǔn)不同略有區(qū)別）：人員受傷的嚴(yán)重性Se；發(fā)生的時間和頻度Fr；避免的可能性P等。在標(biāo)準(zhǔn)IEC62061中定義了安全完整性等級SIL1-SIL3的計算方法，如圖4所示。進(jìn)行評估時根據(jù)該安全功能的具體情況選擇參數(shù)的數(shù)值，然后根據(jù)下圖進(jìn)行技術(shù)。
    
            
                          圖4 IEC62061標(biāo)準(zhǔn)中定義的安全完整性等級 

   對于ISO13849-1標(biāo)準(zhǔn)，對安全級別的定義與IEC61508略有區(qū)別，是根據(jù)受傷的嚴(yán)重程度Se，危險發(fā)生的頻率Fr和避免的可能性P三個參數(shù)按如圖5所示確定。

   在IEC61508和ISO13849-1標(biāo)準(zhǔn)中，描述了安全功能允許的最大失效概率—每小時危險失效的平均概概率 PFHD。該值越小，則安全等級越高。每小時產(chǎn)生危險故障的平均概率

   該安全完整性等級的確定需要貫穿從設(shè)計到產(chǎn)品淘汰整個產(chǎn)品生命周期的始終。

   在標(biāo)準(zhǔn)中，也對安全等級的實(shí)現(xiàn)進(jìn)行的描述。系統(tǒng)的安全等級的實(shí)現(xiàn)需要考慮兩個方面—工程和流程。
 
                  
                    圖5 ISO13849-1標(biāo)準(zhǔn)中定義的安全完整性等級

   • 工程方面：考慮能夠?qū)崿F(xiàn)該安全等級的硬件結(jié)構(gòu)、故障檢測裕度和模塊的可靠性，可通過雙通道的冗余結(jié)構(gòu)，增加診斷功能增加系統(tǒng)的安全性。
  
                  
 
   • 流程管理：需要通過項目管理，測試和技術(shù)文檔來保證系統(tǒng)安全等級符合要求。

   西門子提供的安全系列產(chǎn)品可以從各個部分—安全的檢測、評估和響應(yīng)滿足客戶對安全等級的要求，構(gòu)成支持SIL2/SIL3或者PLd/Ple的高可靠性系統(tǒng)。詳見圖6。
 
                  
                        圖6 構(gòu)成安全系統(tǒng)的安全產(chǎn)品系列

  并且，西門子還提供了一款免費(fèi)的評估工具SET (SiemensEvaluation Tool)幫助客戶或者系統(tǒng)集成商簡單地實(shí)現(xiàn)安全評估，符合相關(guān)安全標(biāo)準(zhǔn)，以滿足SIL或者PL等級的要求。除此之外，SET還可以打印報告，作為驗收資料的組成部分。 

   摘自《自動化博覽》2013年12期