ICS 27.180 F11
NB 中 华 人 民 共 和 国 能 源 行 业 标 准
NB/T 10319—2019
风力发电机组安全系统
设计技术规范
Design technical specification for safety system of wind turbine generator system
2019 - 11 - 04发布 2020 - 05 - 01实施
国家能源局 发 布
NB/T XXXXX—XXXX
目 次
前言 ................................................................................ II
1 范围 .............................................................................. 1
2 规范性引用文件 .................................................................... 1
3 总则 .............................................................................. 1
4 风险分析 .......................................................................... 1
5 设计要求 .......................................................................... 2
6 保护要求 .......................................................................... 4
7 风险评价 .......................................................................... 7
8 安全系统测试 ...................................................................... 8
附 录 A (规范性附录) 控制系统与安全系统 .......................................... 9
附 录 B (规范性附录) 安全系统设计流程 ........................................... 11
附 录 C (资料性附录) 基于风险评估的安全系统设计示例 ............................. 12
I
XX/T XXXXX—XXXX
前 言
本标准按照GB/T 1.1—2009给出的规则起草。
本标准由中国电器工业协会提出。
本标准由能源行业风电标准化技术委员会风电电器设备分技术委员会(NEA/TCl/SC6)归口。 本标准主要起草单位:北京金风科创风电设备有限公司、机械工业北京电工技术经济研究所、中国
船级社质量认证公司、上海电气风电集团股份有限公司、江苏金风科技有限公司、国电联合动力技术有
限公司、明阳智慧能源集团股份公司、成都阜特科技股份有限公司、华锐风电科技(集团)股份有限公
司、成都阜特科技股份有限公司、三一重能有限公司、上海中认尚科新能源技术有限公司。 本标准参加起草单位:中国电力科学研究院有限公司、远景能源(江苏)有限公司、浙江运达风电
股份有限公司、中国广核新能源控股有限公司、维谛技术(西安)有限公司、中国质量认证中心、北京
鉴衡认证中心有限公司、东方电气风电有限公司、许昌许继风电科技有限公司、北京亚之捷环保科技有
限责任公司。 本标准起草人:孙长亮、果岩、隋红霞、李楠、潘磊、陈冬良、王艳华、李焯镜、李娜、冯永刚、
辛理夫、汪锋、董召然、史任胜、徐秉俊、陈晨、孙勇、潘峰、廖元文、吴磊、白亮、孙礼美、杨天时、
周新亮、任华彬、高亚春、岳红轩、谢清明。 本标准为首次制定。
II
XX/T XXXXX—XXXX
风力发电机组安全系统设计技术规范
1 范围
本标准规定了风力发电机组安全系统设计的总则、风险分析、设计要求、保护要求、风险评价、安
全系统测试等内容。
本标准适用于陆上水平轴、变速变桨风力发电机组。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 5226.1-2008 机械电气安全 机械电气设备 第 1 部分:通用技术条件 GB/T 15706 机械安全 设计通则 风险评估与风险减小 GB/T 16754 机械安全 急停 设计原则 GB/T 16855.1-2018 机械安全 控制系统有关安全部件 第 1 部分:设计通则 GB/T 16855.2-2015 机械安全 控制系统安全相关部件 第 2 部分:确认 GB/T 16856 机械安全 风险评估 实施指南和方法举例 GB/T 18451.1 风力发电机组 设计要求 GB/T 20438.3 电气/电子/可编程电子安全相关系统的功能安全 第3部分:软件要求 GB 28526 机械电气安全 安全相关电气、电子和可编程电子控制系统的功能安全 GB/T 34040 工业通信网络 功能安全现场总线行规 通用规则和行规定义 GB/T 35792 风力发电机组 合格测试及认证 JB/T 10426.1 风力发电机组 制动系统 第1部分:技术条件
3 总则
安全系统应具备相应的保护功能,与控制系统的保护功能相互配合,在各种运行工况下保证风力发
电机组安全。控制系统和安全系统的关系及相互作用见附录A。
为实现安全系统的预期设计目标,降低设计风险,应按照风险评估原则开展安全系统设计,安全系
统设计流程见附录B。
4 风险分析
4.1 原则
风险分析应满足 GB/T 15706、GB/T 16856、GB 5226.1-2008 的相关要求,可选择失效模式和影响
分析程序、故障树分析法或其他等效的分析方法。
4.2 风险识别
1
XX/T XXXXX—XXXX
基于风力发电机组设计理念,应对各种工况下的运行故障进行综合分析,应至少考虑如下几个方面: a) 部件的失效; b) 功能/任务的失效; c) 可能的失效原因/模式; d) 故障影响及危险程度(结合使用工况)。
4.3 风险估计
风险估计用以确定危害可达到的严重程度和发生频次,作为保护功能的设计基础。每项风险水平的
估计结果,应综合可行的探测方式及降低风险措施,考虑是否应纳入安全系统实施保护。
4.4 所需性能等级
基于风险识别和风险估计结果,依据GB/T 16855.1-2018第4章的方法,确定安全系统保护功能所需
性能等级PLr,即确认安全系统的性能设计需求。
5 设计要求
5.1 安全策略
5.1.1 冗余性
安全系统宜采用冗余设计,如同一保护功能下,采用多路传感设备。在实施冗余设计中,应充分考
虑设计的差异性,采用不同的技术/设计实现。
5.1.2 独立性
应严格避免共性原因导致的不同的功能单元同时失效,应考虑如下设计要求:
a) 安全系统应独立于控制系统设计,这里的独立是指应考虑所有可能的功能隔离,保证其不应因
控制系统失效而失去安全系统的保护功能。
b) 应考虑不同保护功能、同一保护功能冗余设计通道之间的分离/隔离措施。
c) 应保证其不因某项故障,引起多个制动系统同时失效。
5.1.3 失效-安全原则
安全系统应遵循失效-安全的基本设计原则,即各个故障模式应能够被监测及保护覆盖,任何故障
模式不应导致安全系统的保护功能失效。
5.1.4 复位
安全系统触发后,应由具备运维资质人员在确认风力发电机组已恢复安全状态后,执行就地手动复
位。
急停装置触发后,必须首先排除风险,再解除急停装置触发状态,并通过就地手动复位解除安全系
统的保护状态,且不允许风力发电机组自动重启。
如果安全系统在电网掉电之前触发,则在电网恢复之后,安全系统不应自动复位。
如果以下条件同时得到满足,具备运维资质人员可在远程控制中心复位安全系统故障:
a) 必须首先完成对根本原因的详细分析和对风力发电机组的调查,确认无真实风险,可实施复位
操作。
2
XX/T XXXXX—XXXX
b) 评估安全系统触发根本原因的方法应能够明确检测出发生的事件,如叶片脱落、齿轮箱漏油事
件、主轴承损坏等。
c) 应限制对安全系统进行远程复位的次数,应对复位机制进行定义:
1) 每24小时内允许进行远程复位的次数;
2) 允许进行远程复位的总次数。
5.2 结构
典型的安全系统回路结构设计见图 1。应定义清晰的安全系统结构组成,以便于设计实施及风险评
价。
安全系统组成结构中,完整的保护功能应由输入、逻辑、输出三个单元组成。同一项输入可触发不
同的输出的设计理念,应分别定义不同的保护功能回路结构。安全系统结构设计的一般组成特点:
a) 输入单元,一般采用过程传感器,例如机械限位传感器、急停装置、编码器等,以及信号预处
理设备等。
b) 逻辑单元,应用独立的安全控制器或等效的安全控制技术实现安全系统控制逻辑部分。
c) 输出单元,应包含叶轮制动系统,以及其他纳入安全系统保护功能的执行单元,例如偏航系统、
液压系统、安全通道的闭锁设备。
d) 选择安全通信方式,保证信息安全传递。
e) 若输入、逻辑、输出包含复杂的电路系统,一般应单独进行考虑其设计及风险评估,安全系统
不宜采用复杂的系统设计,包括逻辑中的固件部分。
f) 控制系统与安全系统的分层保护功能应实时交互验证。
输入单元
I1制动系统O1
输入单元
In制动系统On
说明:I1(n):输入单元;L1(n)1/L1(n)2:逻辑单元;O1(n):制动系统;
i11(in1):输入单元通讯方式;i12(in2):冗余输入单元通讯方式;io1(ion):输出单元通讯方式;
c:控制系统与安全系统交互验证。
图 1 安全系统结构示意图
3
XX/T XXXXX—XXXX
5.3 装置
5.3.1 软件
安全系统的软件设计应符合GB/T 16855.1-2018、GB 28526、GB/T 20438.3的相关要求。对于含有嵌
入式软件的安全系统,应避免在风力发电机组全生命周期内发生软件故障。软件应具备可读性、可测试
性、维护性,具备授权机制并采取措施防止软件被非法篡改。 应建立规范化的软件版本管理体系,建立健全软件相关版本命名规则、内容记录、测试流程、审批
流程等管理体系,以及实施过程的历史追溯机制。
5.3.2 通讯
安全系统的通讯方式可采用总线通讯或干接点通讯方式。安全系统的总线通讯除满足5.1.2节的独立
性要求外,还应符合GB/T 34040的规定。
5.3.3 控制器
安全控制器应考虑如下要求: a) 应充分使用安全设计原则,如采用非等效设计 I/O 通信通道、强制导向型触点等。 b) 应具备高性能等级,如 Cat. 4 / PL e(按照 GB/T 16855.1-2018 标准分类)。 c) 应具备远程复位通道。 d) 安全控制器应采用经认证的安全产品,如含有固件,也应经过安全认证。 e) 设计寿命应符合风力发电机组的全生命周期需要。 f) 应配置不间断电源供电。
5.3.4 其他相关设备
安全系统其他相关设备包括传感器、继电器、电源、连接器等,一般应满足: a) 使用经验证、可靠的设备,如凸轮开关、电磁阀等。或考虑在敏感保护功能回路中使用安全设
备(同 5.3.3 要求),例如过速传感器、制动系统驱动器等。 b) 如需采用非标准安装方式,需充分考虑安装的可靠性。 c) 应具备充分的使用裕量。 d) 宜采用失效模式确定的设备。 e) 设计寿命应符合风力发电机组的全生命周期需要。
6 保护要求
6.1 总则
风力发电机组的安全要求应符合GB/T 18451.1的相关规定。风力发电机组安全系统设计应考虑但不
限于以下风险:
a) 机械载荷增大(转速、振动、功率等);
b) 短路、电网异常;
c) 动力电缆过扭转;
d) 控制系统故障;
e) 制动系统故障;
f) 偏航系统故障;
4
XX/T XXXXX—XXXX
g) 维护作业中的安全。
6.2 过速
叶轮/发电机转速必须至少被不同的系统检测两次,获取至少两路转速信息。至少有一路速度传感
器的检测原理直接作用于叶轮旋转部件。
转速运行保护曲线见图2,转速监测应满足:
a) 当转速达到n4值时,则控制系统应执行停机。
b) 控制系统应监测多路转速之间的数值合理性。
c) 超过临界转速 nA,应触发安全系统执行停机。保证任何情况下,转速都不得超过最大过速
nmax。
说明:Vin:切入风速;Vr:额定风速;Vout:切出风速;VA:短期切出风速;
n1:最小运行转速;nr:额定转速;n2:速度控制器设定转速;n3:最大运行转速;n4:切出转速;nA:临界转
速;nmax:最大过速。
图 2 转速曲线示意图
6.3 振动
如果振动测量值超过安全限值,应触发安全系统,使风力发电机组停机并处于安全状态。要求:
a) 振动的监测应连续进行。
b) 振动传感器应处于机舱高度,并偏离塔架轴线。
c) 采用感知整体振动的测量技术。
d) 安全限值的确定应与结构载荷适应性相匹配。
6.4 功率
功率应由相互独立的系统连续对功率进行至少两次测量,或通过与功率有明确关联的物理量获得等
效冗余监测。功率运行保护曲线见图3,要求:
a) 如果功率超过过载功率PT,则控制系统应采取相应的保护措施。所采取的措施取决于系统设计
理念,功率应随之降低,或者通过控制系统执行停机。
b) 根据系统设计理念,可由安全系统连续监测功率是否超过临界功率 PA,由安全系统执行保护
停机并处于安全停机状态。
5
XX/T XXXXX—XXXX
说明:Vin:切入风速;Vr:额定风速;Vout:切出风速;VA:短期切出风速;
Pr: 额定功率; PT: 过载功率; PA:临界功率。
图 3 功率曲线示意图
6.5 短路
风力发电机组主电力路径上必须装备合适的短路保护设备。并执行以下保护功能:
a) 如保护装置检测到短路情况,应该迅速响应,切断短路回路。
b) 根据设计理念,由控制系统或安全系统执行保护停机,并使之处于安全状态下。使用不能自动
复位保护设备(例如发生熔断)时,如果通过保护设备达到安全状态,可由控制系统执行停机。
6.6 扭缆
若运行会引起柔性电缆扭转,尤其是旋转部件和固定结构部件(例如机舱与塔架)之间的连接电缆,
需要采取防止由于过渡扭转而引起电缆损坏的技术措施。
应由控制系统执行合理的解缆策略及保护机制,当电缆扭转达到安全限值后,安全系统触发执行停
机,同时禁止旋转部件沿电缆扭转方向进一步偏转。安全限值应考虑柔性电缆的最大可承受扭转角度。
6.7 桨距角
安全系统应连续监测叶片桨距角(变桨距制动系统),若超出安全限值,应触发安全系统执行停机。
6.8 控制系统
安全系统应采用看门狗或等效的技术措施监测控制器的运行状态。控制系统故障,应触发安全系统
执行停机。
6.9 急停装置
急停装置应符合GB/T 16754及GB 5226.1-2008中10.7的技术原则,并满足如下要求:
a) 应至少在塔底和机舱各配置一个急停装置,并根据维护作业的空间分布及频率特点,考虑在不
同维护空间增加急停装置。
b) 急停装置应能够触发安全系统,触发急停装置的保护功能必须优先于风力发电机组所有模式下
的运行功能。
c) 急停装置触发,风力发电机组所有可能移动并造成危险的部件(如叶轮、偏航系统)应进入安
全状态。
d) 急停装置应保证便于触发操作,同时应采取措施避免误触碰造成错误触发。
6
XX/T XXXXX—XXXX
6.10 制动系统
制动系统的设计应满足JB/T 10426.1及GB/T 18451.1有关要求。
制动系统工作状态应被有效监测,能包括可能的部件失效及渐进式缺陷,以保证在任何情况下制动
系统都具备可靠的保护功能。至少包括但不限于以下相关量:
a) 能量状态
1) 应自动连续监测储能设备是否有足够的能量,以保证制动系统的急停要求。
2) 如果不能连续自动监测能量储存,则必须定期进行自动试验,以验证有足够的能量。
b) 桨距角(变桨距制动系统);
c) 温度(系统环境温度、后备电源温度、驱动器温度等);
d) 机械制动器磨损状态(机械制动系统)。
7 风险评价
7.1 原则
安全系统需要对其设计性能进行综合评价,以确认其功能完整性,即对安全系统设计(由第 4章风
险分析确定)是否达到预期风险减小的确认过程。
按照 GB/T 16855.1-2018 安全原则实施风险评价,并结合 GB/T 16855.2-2015 的确认过程。通过分
析与计算,获得安全系统的性能等级 PL。安全系统设计完整性应满足:
a) PL≥PLr;
b) 充分考虑了防止共因失效(CCF)的措施;
c) 充分考虑了预防系统性失效的措施。
若评估结果未能达到上述要求,应重新考虑安全系统的设计,直至满足评价要求。附录 C提供了一
项风力发电机组安全系统设计应用举例。
7.2 性能等级
可遵循以下工作流程进行性能等级评价:
a) 创建安全系统的保护功能列表。列表中应包括每项保护功能所需的性能等级PLr(按照第4章内
容确认)。
b) 为每项保护功能建立结构框图。框图应在逻辑上与设计方案一致。框图的定义始于安全系统输
入单元起始点(例如:用于扭缆监测的凸轮开关),结束于执行单元输出点(例如:用于驱动电动
机的接触器或伺服驱动器)。
c) 按照GB/T 16855.1-2018中4.5.2及附录C、附录D原则,计算保护功能平均危险失效时间MTTFd。
d) 按照GB/T 16855.1-2018中4.5.3及附录E原则,计算保护功能的DCavg。
e) 按照GB/T 16855.1-2018中6.2原则对保护功能进行结构类别划分。
f) 按照GB/T 16855.1-2018中5.4原则完成保护共呢个的性能等级PL确认。
g) 如果安全系统中含有可编程装置,则应创建设计文件,并满足GB/T 16855.1-2018附录J的检验
要求。
7.3 共因失效
应考虑安全系统设备及功能的共因失效风险,按照GB/T 16855.1-2018附录F的评估原则,实施预防
共因失效的设计分析,并进行充分的设计确认,满足防止共因失效(CCF)措施的打分≥65。
7
XX/T XXXXX—XXXX
7.4 预防系统性失效措施
应实施GB/T 16855.1-2018附录G、GB/T 16855.2-2015中9.4要求的预防系统性失效措施的确认过程。
8 安全系统测试
基于 GB/T 16855.1-2008 第 9 章、GB/T 16855.2-2015 第 11 章的基本原则,以及 GB/T 35792 的要求
制定合理的测试方案及测试计划,能够有效检验安全系统的功能完整性,并有以下要求:
a) 安全系统回路可采用真实性测试方式或等效的模拟测试方式实施验证过程。
b) 测试范围应包括安全相关部件及保护功能,如传感设备、逻辑单元及制动系统。
c) 制动系统应满足紧急停机制动过程需求,应考察:
1) 制动系统响应时间;
2) 紧急制动速度;
3) 后备能量损耗。
d) 测试范围还应包括控制系统与安全系统的交叉监测部分。 e) 应定义合理的测试条件,包括环境条件及风力发电机组运行条件。 f) 测试计划
1) 风力发电机组首次安装完成,应进行安全系统的保护功能测试。
2) 风力发电机组全生命周期内,安全系统相关部件(含固件)发生更换或技术升级后,应进
保护功能测试;
3) 风力发电机组正式投运后,应制定合理的定期(或不定期)测试计划,最长测试间隔周期
不应超过 1年。
g) 安全系统的定期测试结果,应以正式文档形式记录在案,并作为风力发电机组的运维管理计划
档案的组成部分,便于查询。
8
XX/T XXXXX—XXXX
附 录 A
(规范性附录)
控制系统与安全系统
A.1 总则
风力发电机组在不同的使用环境和状态下,存在诸多的风险。开发人员需要对风力发电机组全生命
周期内的运行过程,进行全面的归纳、分析,总结全部的系统性风险,对风险水平有合理的判别,并通
过控制系统、安全系统实施可靠的设计措施,以及其他预防系统性失效的辅助措施,有效降低风险水平,
保证风力发电机组始终处于安全状态。
A.2 控制系统
控制系统应为风力发电机组的不同运行状态提供全面、可靠的故障监测,保证风力发电机组工作于
运行限值范围内。控制系统应能够获取风力发电机组所有的运行信息,异常状态(设备故障或环境异常)
必须能够被控制系统检测,并由控制系统采取适当的措施进行保护。
A.3 安全系统
安全系统作为第二层保护单元,提供面向风力发电机组系统性风险,或预期损失较大的局部风险的
保护功能。这类风险应由制造商根据产品设计理念对风险水平及风险的经济性进行评价,并根据评价结
果确立安全系统的设计理念,第6章有关要求内容的应作为安全系统设计的基本要求考虑。
风力发电机组运行过程参数超过安全限值后,应触发安全系统的保护功能,并使用最高优先级的制
动过程。制动系统应在最短的时间内启动制动过程,并以最快的速度实施制动,使风力发电机组旋转部
件减速至安全范围或完全静止,制动过程应与风力发电机组部件的强度相适应。
A.4 控制系统与安全系统的相互作用
控制系统与安全系统在设计上应相辅相成,建立分层保护机制。控制系统作为风力发电机组过程控
制中枢,应对运行过程的全部风险进行保护。安全系统一般仅对机组系统性风险进行保护,其保护的优
先级高于控制系统。
控制系统与安全系统的相互作用还体现在如下方面:
a) 均应能够触发至少两套制动系统。若两套系统均启动制动系统实施不同的制动过程,则应执行
安全系统指令。
b) 安全系统应具有独立性,控制系统(即使发生故障)不允许影响安全系统的保护功能。
c) 控制系统与安全系统运行过程中可实施交叉监测,相互验证功能完整性。
d) 同一风险,安全系统不应作为唯一保护措施,应同时在控制系统中设置保护功能,并先于安全
系统触发保护。
e) 安全系统触发保护动作后,控制系统仍能够保持在工作状态,辅助完成其他保护需求,例如仍
需维持运行的部件(散热、照明等)、故障数据存储、就地及远程警示等。
图 A.1 给出了风力发电机组控制系统与安全系统的相互作用示意,旨在帮助对上述内容的理解。
9
XX/T XXXXX—XXXX
控制系统
安全系统
安全相关输入:过速、扭缆、急停按钮等 安全控制器
其他过程输入:转速、功率、风速、风
向、温度、压力、油位等
主控制器(PLC)切断与电网连接
制动系统
图 A. 1 控制系统与安全系统相互作用
10
XX/T XXXXX—XXXX
附 录 B
(规范性附录)
安全系统设计流程
图 B.1 给出了可行的风力发电机组安全系统设计流程。
开始
风险识别
确认风险所需
安全等级PLr
安全系统设计
(见第5章)
PL、CCF等评估
及确认
风险分析(见第4章)
结束
是
否 是否达到预定的风险减小?
是否覆盖机组风险及措施?(见第6章)
是否进行充分测试?(见第8章)
风险评价(见第7章)
风险估计
是
否
是
否
图 B. 1 安全系统设计流程
11
XX/T XXXXX—XXXX
附 录 C
(资料性附录)
基于风险评估的安全系统设计示例
本示例作为风险评价流程及文档编制的指导性说明,不应视作要求。 如表 C.1所示风险举例。
表 C. 1 保护功能列表示例
编号 保护功能(PF) PLr
1 PF1(叶轮过速) d
2 PF2(……) d
…… …… ……
以 PF1 叶轮过速保护功能为例,绘制保护功能框图,如图 C.1 所示。如图中所示,如果保护功能不
便于进行整体性的确认,可按照子系统划分分别进行 PL 确认,并根据 GB/T 16855.1-2018 6.3 进行保护
功能整体的 PL 确认。
过速回路1(例如传感器+中继+过速监测设备)
部件:安全控制器
编号:L
图 C. 1 过速保护功能安全框图示例
以图 C.1 中子系统 2 为例,根据 GB/T 16855.1-2018 内容分别评估子系统部件/整体的类别、MTTFd、
DCavg、CCF 结果。见表 C.2 内容。
表 C. 2 子系统 2 的 SRP/CS 列表示例
SRP/CS PL 类别 MTTFd
[年]
DCavg
[%] 参考资料
部件 L - 1 249 90 制造商产品手册
部件 O - 1 52 0 制造商产品手册
子系统 2 c 1 43 16 -
同样的方式完成子系统1的评估结果,过速及其他保护功能的整体结果见表C.3,完成整体的安全系
统确认。
12
XX/T XXXXX—XXXX
表 C. 3 保护功能/子系统及其参数列表示例
编号 保护功能(SF)/子系统 PLr PL 类别 MTTFd
[年]
DCavg
[%]
CCF
[分]
1 PF1(叶轮过速) d d 3 47 90 80
2 PF2(……) d d - - - -
… …… … … … …… …… ……
_________________________________
13
Recommended
