“故障導(dǎo)向安全”設(shè)計原則及其在水電廠的應(yīng)用

姜樹德

（中國電建集團(tuán)北京勘測設(shè)計研究院有限公司，北京市 100024）

“故障導(dǎo)向安全”設(shè)計原則及其在水電廠的應(yīng)用

姜樹德

（中國電建集團(tuán)北京勘測設(shè)計研究院有限公司，北京市 100024）

“故障導(dǎo)向安全”是一個國際上廣泛采用的設(shè)計原則。對于采用“故障導(dǎo)向安全”設(shè)計原則的水電廠的控制系統(tǒng)，系統(tǒng)中任何元件的故障，都將導(dǎo)向一個可以預(yù)見的安全狀態(tài)，即停機(jī)狀態(tài)。我國以往的設(shè)計原則師承蘇聯(lián)，在控制設(shè)備出現(xiàn)故障時，不是停機(jī)，而是盡力維持機(jī)組運(yùn)行，并發(fā)出報警信號。接下去，現(xiàn)場人員將視具體情況決定是手動繼續(xù)運(yùn)行或立即停機(jī)。在電廠必須有人值班、電力供應(yīng)緊張的年代，這種“蘇式”設(shè)計原則有一定的合理性?，F(xiàn)在，水電廠普遍采用“無人值班”（少人值守）或完全無人值班。為保障設(shè)備安全，“故障導(dǎo)向安全”顯然是一個更為合理的設(shè)計原則。

水電廠；故障導(dǎo)向安全；失電停機(jī)；無人值班

0 引言

2005年12月14日，美國湯姆索克抽水蓄能電站上水庫因抽水溢流而造成潰壩事故，Shut-Ins國家公園遭到嚴(yán)重?fù)p壞，所幸未造成人員死亡。重建工程耗資4.5億美元。[1]

2009年10月4日，俄羅斯薩揚(yáng)舒申斯克水電廠發(fā)生了機(jī)組飛逸、水淹廠房的重大事故，75人死亡，廠房和機(jī)電設(shè)備遭到嚴(yán)重破壞。經(jīng)濟(jì)損失約70億盧布。[2]

2011年7月23日，我國寧甬線發(fā)生動車組列車追尾事故，40人死亡，直接經(jīng)濟(jì)損失1.9億元。[3]

以上三起事故看起來互不相干，但在它們的事故分析或補(bǔ)救措施的資料中都不約而同地提到了一個事實(shí)：發(fā)生這些事故的原因之一是因?yàn)樵O(shè)計違背了Fail Safe，即“故障導(dǎo)向安全”（或譯為“故障安全”）的設(shè)計原則。

那么，什么是“故障導(dǎo)向安全”呢？GB/T 2900.13—2008《電工術(shù)語 可信性與服務(wù)質(zhì)量》給出的定義是：“防止產(chǎn)品因失效導(dǎo)致致命性故障的一種產(chǎn)品設(shè)計特性?！盵4]美國聯(lián)邦能源管理委員會對“故障導(dǎo)向安全”設(shè)計的定義是：“系統(tǒng)中任何元件的故障都會導(dǎo)致一個預(yù)定的安全的輸出狀態(tài)?！盵5]

有兩個簡單的例子可以說明“故障導(dǎo)向安全”的設(shè)計原則。

第一個例子是機(jī)場的手推行李車。只有向下按行李車手柄，才能松開剎車推行。如果推車人突然昏迷或不慎摔倒而松手，那么行李車就會自動剎車，即使車子在坡道上也不會向下沖而造成事故，體現(xiàn)了發(fā)生故障時保證安全的原則。

第二個例子是起重機(jī)。在突然失去電源時，起重機(jī)的剎車裝置依靠彈簧或液壓裝置的儲能自動抱閘，避免了重物自由下落造成事故，保證了人身和設(shè)備的安全。

1 他山之石

“故障導(dǎo)向安全”的理念，最先應(yīng)用于鐵路運(yùn)輸?shù)幕疖嚪雷蚕到y(tǒng)。

火車的防撞系統(tǒng)也稱自動閉塞系統(tǒng)。當(dāng)一列火車進(jìn)入棧道的時候，信號系統(tǒng)會禁止其他車進(jìn)入，防止撞車。為了做到這一點(diǎn)，兩站之間的軌道區(qū)間被劃分成若干個閉塞分區(qū)，每一個閉塞分區(qū)只準(zhǔn)容納一列火車。當(dāng)一列火車駛?cè)胍粋€閉塞分區(qū)的時候，當(dāng)前被占用的閉塞分區(qū)尾部的色燈信號機(jī)會自動顯示為紅色，鄰近的下一個閉塞分區(qū)尾部的信號燈顯示為黃色，再下一個顯示為黃綠色，從第四個到以后的閉塞分區(qū)就都為綠色。綠燈，表示列車可以常速行駛；黃綠燈，提示前方有車、注意運(yùn)行；黃燈，提示必須減速運(yùn)行；紅燈，提示必須停車。從而保障兩列車始終保持一定的距離，不發(fā)生追尾事故。

除了閉塞分區(qū)有列車停留時，信號系統(tǒng)發(fā)出紅燈信號以外，發(fā)生以下可能使信號系統(tǒng)癱瘓的情況時，系統(tǒng)也要發(fā)出紅燈信號：信號電源消失、電路斷線、軌道斷裂、繼電器繞組開路或短路、軌道落上了導(dǎo)電障礙物（如鐵棒等）。

總之，如果故障導(dǎo)致不能正常判斷和提示前方閉塞分區(qū)中是否有車，按照“寧可信其有”的理念設(shè)計的信號系統(tǒng)，將等同于閉塞區(qū)被占位來處理，點(diǎn)亮紅燈，警示鄰區(qū)的列車停車，保證了行車安全。

反觀寧甬線的動車事故：當(dāng)溫州南站列控中心一個電路的電源回路保險管遭雷擊熔斷后，采集數(shù)據(jù)不再更新，系統(tǒng)依據(jù)故障前最后時刻采集的狀態(tài)信息控制信號顯示，未反映前方區(qū)段被列車占用的狀態(tài)信息，使列控中心管轄的閉塞分區(qū)及后續(xù)兩個閉塞分區(qū)防護(hù)信號錯誤地顯示綠燈，釀成了悲劇的發(fā)生。如果電路嚴(yán)格按照“故障導(dǎo)向安全”的原則設(shè)計，失去電源就發(fā)紅燈信號，事故完全可以避免。[3]

2 水電廠如何實(shí)現(xiàn)“故障導(dǎo)向安全”

2.1 兩種設(shè)計原則

水電廠的設(shè)備發(fā)生電氣事故時，機(jī)組的控制設(shè)備將同時跳開斷路器、滅磁、關(guān)導(dǎo)水葉，實(shí)現(xiàn)停機(jī)；發(fā)生機(jī)械事故時，將先關(guān)導(dǎo)水葉、減負(fù)荷到零，然后跳開斷路器并滅磁。

關(guān)導(dǎo)水葉、跳斷路器和磁場斷路器的操作，有兩種方式實(shí)現(xiàn)：一種是借助操作電源提供的電氣信號實(shí)現(xiàn)，也稱“有電動作”；另一種是在失去電源時，借助操作機(jī)構(gòu)的彈簧等器件事先儲存的勢能實(shí)現(xiàn)上述操作，也稱“失電動作”。

以調(diào)速器為例，如果采用“有電動作”原則，那么進(jìn)行停機(jī)操作時調(diào)速器必須有電源，如果電源消失，停機(jī)操作無法進(jìn)行。

如果采用“失電動作”原則，其停機(jī)電磁閥只有一個電磁繞組，繞組通電時，調(diào)速器方能進(jìn)行開機(jī)操作。不論何種原因?qū)е麓死@組失電，電磁閥立即返回原位，切換油路，使導(dǎo)水葉向關(guān)閉方向運(yùn)動。“失電動作”原則，在水電廠體現(xiàn)為“失電停機(jī)”，因?yàn)榭刂圃O(shè)備如果失去操作電源，就是失去了對被控設(shè)備的狀態(tài)進(jìn)行判斷和對其實(shí)行控制的能力，這時勉強(qiáng)維持被控設(shè)備運(yùn)行，存在很大的風(fēng)險。及時停機(jī)，正是體現(xiàn)了“故障（失電）導(dǎo)向安全（停機(jī)）”的設(shè)計原則。

我國多年來沿用前蘇聯(lián)方式，在電源消失或重要元件故障時，控制設(shè)備維持原有狀態(tài)，等待值班人員處理。以調(diào)速器為例，GB/T 9652.1—2007 《水輪機(jī)控制系統(tǒng)技術(shù)條件》中規(guī)定：“如測速裝置輸入信號、水頭信號、功率信號或接力器位置信號消失時，應(yīng)能使機(jī)組保持所帶負(fù)荷”，“同時要求不影響機(jī)組的正常停機(jī)和事故停機(jī)”[6]。操作電源消失時，調(diào)速器將維持此前的開度，使機(jī)組保持所帶負(fù)荷。如果恰在此時發(fā)生事故，無法使設(shè)備回到安全狀態(tài)（停機(jī)），很可能導(dǎo)致嚴(yán)重的人身和設(shè)備事故。顯然，這種操作方式不符合“故障導(dǎo)向安全”的原則?！笆щ娋S持運(yùn)行”在電力緊張的歷史背景下有其合理性，但其本質(zhì)是使機(jī)組失去有效控制的情況下繼續(xù)運(yùn)轉(zhuǎn)，不適用于無人值班的電站。

歐美國家的做法與前蘇聯(lián)和我國不同。IEEE的《水輪發(fā)電機(jī)調(diào)速器應(yīng)用導(dǎo)則》規(guī)定：“閥門操作按照故障導(dǎo)向安全設(shè)計。如果操作電源消失或關(guān)鍵元件故障，則作用于停機(jī)?！盵7]實(shí)際上，不僅IEEE這樣規(guī)定，多數(shù)國家都將“故障導(dǎo)向安全”即“失電停機(jī)”作為調(diào)速器的動作原則。

值得注意的是，俄羅斯薩揚(yáng)舒申斯克水電廠重大事故后，重新投產(chǎn)的機(jī)組調(diào)速器采用了失去電源時關(guān)閉導(dǎo)水葉的設(shè)計原則。[8]

2.2 采用“故障導(dǎo)向安全”設(shè)計原則的事故停機(jī)回路

如前所述，實(shí)現(xiàn)“故障導(dǎo)向安全”的設(shè)備自身必須具備“失電停機(jī)”（失電時關(guān)閉閥門或跳開斷路器）的操作機(jī)構(gòu)，此外，控制回路也必須與之配合，使得失去電源時的動作后果與主設(shè)備發(fā)生事故時的動作后果相同。

圖1是國外一座水電廠機(jī)組采用“失電停機(jī)”原則設(shè)計的電氣事故停機(jī)回路的例子。在發(fā)生電氣事故時，繼電保護(hù)的輸出觸點(diǎn)一方面直接啟動電氣事故停機(jī)繼電器；另一方面經(jīng)過LCU的開出觸點(diǎn)啟動該繼電器。該繼電器動作后，通過常開輔助觸點(diǎn)自保持，并通過其常閉輔助觸點(diǎn)使調(diào)速器、機(jī)組斷路器、磁場斷路器的電磁閥或跳閘繞組失電，從而實(shí)現(xiàn)關(guān)機(jī)、跳閘。由圖1可見，不但調(diào)速器在失去電源時會關(guān)閉導(dǎo)水葉，機(jī)組斷路器、磁場斷路器在失去操作電源時，也將跳開。如果電站有球閥或蝶閥，它們也會在失去電源時自動關(guān)閉。而引起事故停機(jī)的原因，除了電氣事故外，還包括按下事故停機(jī)按鈕、LCU的watchdog報警（斷開常閉觸點(diǎn)）、LCU失去電源。這是法國和法語非洲國家常用的控制方式。

圖1 采用“失電停機(jī)”原則的電氣事故停機(jī)回路

其他國家采用“失電停機(jī)”的具體做法不盡相同，機(jī)組斷路器失電跳閘的做法并沒有被廣泛接受。但調(diào)速器失電停機(jī)、球閥或蝶閥失電關(guān)閉的設(shè)計原則，得到了廣泛的應(yīng)用。

2.3 主管機(jī)構(gòu)文件和設(shè)計規(guī)范對“故障導(dǎo)向安全”設(shè)計原則的支持

電監(jiān)會文件“關(guān)于吸取俄羅斯薩揚(yáng)事故教訓(xùn)，進(jìn)一步加強(qiáng)安全監(jiān)督管理的意見”[2]要求：“應(yīng)根據(jù)水電廠的重要性及規(guī)模，考慮機(jī)組保護(hù)和控制裝置采用‘失電動作’規(guī)則的必要性，在機(jī)組的保護(hù)和控制回路電壓消失時，相關(guān)保護(hù)和控制能夠自動動作關(guān)閉導(dǎo)水機(jī)構(gòu)?！?/p>

國家能源局的反措要求規(guī)定：“大中型水電廠應(yīng)采用‘失電動作’規(guī)則，在水輪發(fā)電機(jī)組的保護(hù)和控制回路電壓消失時，使相關(guān)保護(hù)和控制裝置能夠自動動作關(guān)閉機(jī)組導(dǎo)水機(jī)構(gòu)。”[9]

NB/T 35004—2013《水力發(fā)電廠自動化設(shè)計技術(shù)規(guī)范》規(guī)定：“調(diào)速器宜采用失電停機(jī)原則，在控制回路電壓消失時，調(diào)速器宜自動動作關(guān)閉導(dǎo)水機(jī)構(gòu)?！盵10]

事實(shí)上，我國近20年來引進(jìn)的抽水蓄能機(jī)組的相關(guān)設(shè)備大都是按照“故障導(dǎo)向安全”即“失電停機(jī)”的原則設(shè)計的。有些采用國產(chǎn)設(shè)備的水電廠，也采用了“失電停機(jī)”原則。[11]

3 對幾個問題的澄清

“失電停機(jī)”的設(shè)計原則經(jīng)常遇到各種誤解和質(zhì)疑，現(xiàn)分別列舉和澄清如下。

（1）最常見的誤解是，采用“失電停機(jī)”會導(dǎo)致誤停機(jī)次數(shù)的增加。為此，我們詢問過采用“失電停機(jī)”的設(shè)計原則的一座國內(nèi)抽水蓄能電站的工作人員。得到的回答是，唯一的一次失電停機(jī)發(fā)生在調(diào)試時，由誤操作引起。事實(shí)上，由于各類設(shè)備的控制電源均為雙重化，只失去一個電源時不會造成停機(jī)。同時失去兩個電源的機(jī)會極少，如果真的發(fā)生了，停機(jī)是必要的。

（2）還有一種誤解是，冗余已經(jīng)提供了安全保證，不必要再搞“失電停機(jī)”。的確，一般情況下，冗余配置可以提高設(shè)備的安全性。但是如果發(fā)生俄羅斯薩揚(yáng)舒申斯克電站那樣的極端事故，電廠被淹，冗余也起不到作用。反之，如果薩揚(yáng)舒申斯克電站是按照“失電停機(jī)”設(shè)計的，那么越是早失去電源，越有可能早停機(jī)，導(dǎo)向安全的后果。

（3）還有人認(rèn)為，“失電停機(jī)”主要由電氣二次回路實(shí)現(xiàn)。如前所述，“失電停機(jī)”能否實(shí)現(xiàn)，與主設(shè)備的設(shè)計原則關(guān)系很大，“失電停機(jī)”實(shí)際上是由主設(shè)備和二次設(shè)備互相配合實(shí)現(xiàn)的。不論是調(diào)速器還是斷路器，如果設(shè)計制造時沒有考慮失電關(guān)閉或失電跳閘，那么二次回路是無法按照“失電停機(jī)”原則對其進(jìn)行操作的。

4 結(jié)論

（1）“失電停機(jī)”的設(shè)計原則可以保證主設(shè)備的控制系統(tǒng)發(fā)生失去操作電源等故障時，可靠地回到停機(jī)狀態(tài)。在無人值班的水電廠采用此原則，對于保障設(shè)備安全十分必要。

（2）國外的經(jīng)驗(yàn)與教訓(xùn)都證明了水電廠采用“失電停機(jī)”的設(shè)計原則的必要性。

（3）國內(nèi)業(yè)務(wù)主管部門的文件和能源工業(yè)行業(yè)標(biāo)準(zhǔn)都規(guī)定了在水電廠采用“失電停機(jī)”原則，為這項(xiàng)工作的開展提供了充分的依據(jù)。

[1]J. David Rogers Conor M. Watkins Overview of the Taum Sauk pumped storage power plant upper reservoir failure，Reynolds County，Mo 6thInternational conference on case histories in geotechnical engineering，August 11-16，2008.http://web.mst.edu/～rogersda/dams/2_43_rogers.

[2]電監(jiān)安全〔2009〕58號.關(guān)于吸取俄羅斯薩揚(yáng)事故教訓(xùn)，進(jìn)一步加強(qiáng)安全監(jiān)督管理的意見.

[3]國務(wù)院“7·23”甬溫線特別重大鐵路交通事故調(diào)查組.“7·23”甬溫線特別重大鐵路交通事故調(diào)查報告，http://www.chinasafety.gov.cn/newpage/Contents/Channel_5498/2011/1228/160577/content_160577.htm，2011-12-25.

[4]GB/T 2900.13—2008，電工術(shù)語 可信性與服務(wù)質(zhì)量.北京：中國標(biāo)準(zhǔn)版社，2009.

[5]FERC（美國聯(lián)邦能源管理委員會）.Pumped storage hydro-electric project technical guidance， October 5，2007. http://www.ferc.gov/industries/hydropower/safety/initiatives/PS_Tech_Guidance_Oct07.

[6]GB/T 9652.1—2007，水輪機(jī)控制系統(tǒng)技術(shù)條件.北京：中國標(biāo)準(zhǔn)出版社，2008.

[7]IEEE Std 1207—2004，IEEE Guide for the application of turbine governing systems for hydroelectric generating units.

[8]Start-up operations at the Sayano-Shushenskaya HPP unit No.6 in progress. www.eng.rushydro.ru/press/news/10001.html， 2010-2-15.

[9]國能安全〔2014〕161號.防止電力生產(chǎn)安全事故的25項(xiàng)重點(diǎn)要求.

[10]NB/T 35004—2013，水力發(fā)電廠自動化設(shè)計技術(shù)規(guī)范.北京：中國電力出版社，2013.

[11]何春山，尹述紅.小灣水電廠調(diào)速器液壓系統(tǒng)的方案比選.水力發(fā)電，2009，（9）:87-90.

姜樹德（1943—）男，教授級高級工程師，主要從事水電廠的自動化和繼電保護(hù)設(shè)計工作。E-mail: jshd0808@sina.com

The “Fail Safe” Design Principles and Their Application to Hydroelectric Power Plants

JIANG Shude
（HYDROCHINA Beijing Engineering Corporation，Beijing 100024，China）

The “fail safe” design principles are widely adopted in the international scope. For a control system of a hydroelectric power plant adopting the“ fail safe” design principles，the failure of any component in the system results in a predictable safe output condition，or standstill of the unit. The Soviet design principles were adopted by our country in the past years，which demanded to manage to keep the unit running in case of failure of the control system and to send out alarm signals. Subsequently，in accordance with real conditions，the field staff should decide whether to continue the unit running manually or to shut down the unit immediately. During the days when the power plants had to be attended and the energy was in short supply，the Soviet design principles were reasonable to a certain extent. Nowdays，most hydroelectric power plants become unattended （with few watchers） or totally unattended.To guarantee the equipment safety，obviously，the “fail safe”design principles are more reasonable.

hydroelectric power plant；fail safe；de-energized to shutdown；unattended operation