“故障导向安全”设计原则及其在水电厂的应用

姜树德

（中国电建集团北京勘测设计研究院有限公司，北京市 100024）

“故障导向安全”设计原则及其在水电厂的应用

姜树德

（中国电建集团北京勘测设计研究院有限公司，北京市 100024）

“故障导向安全”是一个国际上广泛采用的设计原则。对于采用“故障导向安全”设计原则的水电厂的控制系统，系统中任何元件的故障，都将导向一个可以预见的安全状态，即停机状态。我国以往的设计原则师承苏联，在控制设备出现故障时，不是停机，而是尽力维持机组运行，并发出报警信号。接下去，现场人员将视具体情况决定是手动继续运行或立即停机。在电厂必须有人值班、电力供应紧张的年代，这种“苏式”设计原则有一定的合理性。现在，水电厂普遍采用“无人值班”（少人值守）或完全无人值班。为保障设备安全，“故障导向安全”显然是一个更为合理的设计原则。

水电厂；故障导向安全；失电停机；无人值班

0 引言

2005年12月14日，美国汤姆索克抽水蓄能电站上水库因抽水溢流而造成溃坝事故，Shut-Ins国家公园遭到严重损坏，所幸未造成人员死亡。重建工程耗资4.5亿美元。[1]

2009年10月4日，俄罗斯萨扬舒申斯克水电厂发生了机组飞逸、水淹厂房的重大事故，75人死亡，厂房和机电设备遭到严重破坏。经济损失约70亿卢布。[2]

2011年7月23日，我国宁甬线发生动车组列车追尾事故，40人死亡，直接经济损失1.9亿元。[3]

以上三起事故看起来互不相干，但在它们的事故分析或补救措施的资料中都不约而同地提到了一个事实：发生这些事故的原因之一是因为设计违背了Fail Safe，即“故障导向安全”（或译为“故障安全”）的设计原则。

那么，什么是“故障导向安全”呢？GB/T 2900.13—2008《电工术语 可信性与服务质量》给出的定义是：“防止产品因失效导致致命性故障的一种产品设计特性。”[4]美国联邦能源管理委员会对“故障导向安全”设计的定义是：“系统中任何元件的故障都会导致一个预定的安全的输出状态。”[5]

有两个简单的例子可以说明“故障导向安全”的设计原则。

第一个例子是机场的手推行李车。只有向下按行李车手柄，才能松开刹车推行。如果推车人突然昏迷或不慎摔倒而松手，那么行李车就会自动刹车，即使车子在坡道上也不会向下冲而造成事故，体现了发生故障时保证安全的原则。

第二个例子是起重机。在突然失去电源时，起重机的刹车装置依靠弹簧或液压装置的储能自动抱闸，避免了重物自由下落造成事故，保证了人身和设备的安全。

1 他山之石

“故障导向安全”的理念，最先应用于铁路运输的火车防撞系统。

火车的防撞系统也称自动闭塞系统。当一列火车进入栈道的时候，信号系统会禁止其他车进入，防止撞车。为了做到这一点，两站之间的轨道区间被划分成若干个闭塞分区，每一个闭塞分区只准容纳一列火车。当一列火车驶入一个闭塞分区的时候，当前被占用的闭塞分区尾部的色灯信号机会自动显示为红色，邻近的下一个闭塞分区尾部的信号灯显示为黄色，再下一个显示为黄绿色，从第四个到以后的闭塞分区就都为绿色。绿灯，表示列车可以常速行驶；黄绿灯，提示前方有车、注意运行；黄灯，提示必须减速运行；红灯，提示必须停车。从而保障两列车始终保持一定的距离，不发生追尾事故。

除了闭塞分区有列车停留时，信号系统发出红灯信号以外，发生以下可能使信号系统瘫痪的情况时，系统也要发出红灯信号：信号电源消失、电路断线、轨道断裂、继电器绕组开路或短路、轨道落上了导电障碍物（如铁棒等）。

总之，如果故障导致不能正常判断和提示前方闭塞分区中是否有车，按照“宁可信其有”的理念设计的信号系统，将等同于闭塞区被占位来处理，点亮红灯，警示邻区的列车停车，保证了行车安全。

反观宁甬线的动车事故：当温州南站列控中心一个电路的电源回路保险管遭雷击熔断后，采集数据不再更新，系统依据故障前最后时刻采集的状态信息控制信号显示，未反映前方区段被列车占用的状态信息，使列控中心管辖的闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯，酿成了悲剧的发生。如果电路严格按照“故障导向安全”的原则设计，失去电源就发红灯信号，事故完全可以避免。[3]

2 水电厂如何实现“故障导向安全”

2.1 两种设计原则

水电厂的设备发生电气事故时，机组的控制设备将同时跳开断路器、灭磁、关导水叶，实现停机；发生机械事故时，将先关导水叶、减负荷到零，然后跳开断路器并灭磁。

关导水叶、跳断路器和磁场断路器的操作，有两种方式实现：一种是借助操作电源提供的电气信号实现，也称“有电动作”；另一种是在失去电源时，借助操作机构的弹簧等器件事先储存的势能实现上述操作，也称“失电动作”。

以调速器为例，如果采用“有电动作”原则，那么进行停机操作时调速器必须有电源，如果电源消失，停机操作无法进行。

如果采用“失电动作”原则，其停机电磁阀只有一个电磁绕组，绕组通电时，调速器方能进行开机操作。不论何种原因导致此绕组失电，电磁阀立即返回原位，切换油路，使导水叶向关闭方向运动。“失电动作”原则，在水电厂体现为“失电停机”，因为控制设备如果失去操作电源，就是失去了对被控设备的状态进行判断和对其实行控制的能力，这时勉强维持被控设备运行，存在很大的风险。及时停机，正是体现了“故障（失电）导向安全（停机）”的设计原则。

我国多年来沿用前苏联方式，在电源消失或重要元件故障时，控制设备维持原有状态，等待值班人员处理。以调速器为例，GB/T 9652.1—2007 《水轮机控制系统技术条件》中规定：“如测速装置输入信号、水头信号、功率信号或接力器位置信号消失时，应能使机组保持所带负荷”，“同时要求不影响机组的正常停机和事故停机”[6]。操作电源消失时，调速器将维持此前的开度，使机组保持所带负荷。如果恰在此时发生事故，无法使设备回到安全状态（停机），很可能导致严重的人身和设备事故。显然，这种操作方式不符合“故障导向安全”的原则。“失电维持运行”在电力紧张的历史背景下有其合理性，但其本质是使机组失去有效控制的情况下继续运转，不适用于无人值班的电站。

欧美国家的做法与前苏联和我国不同。IEEE的《水轮发电机调速器应用导则》规定：“阀门操作按照故障导向安全设计。如果操作电源消失或关键元件故障，则作用于停机。”[7]实际上，不仅IEEE这样规定，多数国家都将“故障导向安全”即“失电停机”作为调速器的动作原则。

值得注意的是，俄罗斯萨扬舒申斯克水电厂重大事故后，重新投产的机组调速器采用了失去电源时关闭导水叶的设计原则。[8]

2.2 采用“故障导向安全”设计原则的事故停机回路

如前所述，实现“故障导向安全”的设备自身必须具备“失电停机”（失电时关闭阀门或跳开断路器）的操作机构，此外，控制回路也必须与之配合，使得失去电源时的动作后果与主设备发生事故时的动作后果相同。

图1是国外一座水电厂机组采用“失电停机”原则设计的电气事故停机回路的例子。在发生电气事故时，继电保护的输出触点一方面直接启动电气事故停机继电器；另一方面经过LCU的开出触点启动该继电器。该继电器动作后，通过常开辅助触点自保持，并通过其常闭辅助触点使调速器、机组断路器、磁场断路器的电磁阀或跳闸绕组失电，从而实现关机、跳闸。由图1可见，不但调速器在失去电源时会关闭导水叶，机组断路器、磁场断路器在失去操作电源时，也将跳开。如果电站有球阀或蝶阀，它们也会在失去电源时自动关闭。而引起事故停机的原因，除了电气事故外，还包括按下事故停机按钮、LCU的watchdog报警（断开常闭触点）、LCU失去电源。这是法国和法语非洲国家常用的控制方式。

图1 采用“失电停机”原则的电气事故停机回路

其他国家采用“失电停机”的具体做法不尽相同，机组断路器失电跳闸的做法并没有被广泛接受。但调速器失电停机、球阀或蝶阀失电关闭的设计原则，得到了广泛的应用。

2.3 主管机构文件和设计规范对“故障导向安全”设计原则的支持

电监会文件“关于吸取俄罗斯萨扬事故教训，进一步加强安全监督管理的意见”[2]要求：“应根据水电厂的重要性及规模，考虑机组保护和控制装置采用‘失电动作’规则的必要性，在机组的保护和控制回路电压消失时，相关保护和控制能够自动动作关闭导水机构。”

国家能源局的反措要求规定：“大中型水电厂应采用‘失电动作’规则，在水轮发电机组的保护和控制回路电压消失时，使相关保护和控制装置能够自动动作关闭机组导水机构。”[9]

NB/T 35004—2013《水力发电厂自动化设计技术规范》规定：“调速器宜采用失电停机原则，在控制回路电压消失时，调速器宜自动动作关闭导水机构。”[10]

事实上，我国近20年来引进的抽水蓄能机组的相关设备大都是按照“故障导向安全”即“失电停机”的原则设计的。有些采用国产设备的水电厂，也采用了“失电停机”原则。[11]

3 对几个问题的澄清

“失电停机”的设计原则经常遇到各种误解和质疑，现分别列举和澄清如下。

（1）最常见的误解是，采用“失电停机”会导致误停机次数的增加。为此，我们询问过采用“失电停机”的设计原则的一座国内抽水蓄能电站的工作人员。得到的回答是，唯一的一次失电停机发生在调试时，由误操作引起。事实上，由于各类设备的控制电源均为双重化，只失去一个电源时不会造成停机。同时失去两个电源的机会极少，如果真的发生了，停机是必要的。

（2）还有一种误解是，冗余已经提供了安全保证，不必要再搞“失电停机”。的确，一般情况下，冗余配置可以提高设备的安全性。但是如果发生俄罗斯萨扬舒申斯克电站那样的极端事故，电厂被淹，冗余也起不到作用。反之，如果萨扬舒申斯克电站是按照“失电停机”设计的，那么越是早失去电源，越有可能早停机，导向安全的后果。

（3）还有人认为，“失电停机”主要由电气二次回路实现。如前所述，“失电停机”能否实现，与主设备的设计原则关系很大，“失电停机”实际上是由主设备和二次设备互相配合实现的。不论是调速器还是断路器，如果设计制造时没有考虑失电关闭或失电跳闸，那么二次回路是无法按照“失电停机”原则对其进行操作的。

4 结论

（1）“失电停机”的设计原则可以保证主设备的控制系统发生失去操作电源等故障时，可靠地回到停机状态。在无人值班的水电厂采用此原则，对于保障设备安全十分必要。

（2）国外的经验与教训都证明了水电厂采用“失电停机”的设计原则的必要性。

（3）国内业务主管部门的文件和能源工业行业标准都规定了在水电厂采用“失电停机”原则，为这项工作的开展提供了充分的依据。

[1]J. David Rogers Conor M. Watkins Overview of the Taum Sauk pumped storage power plant upper reservoir failure，Reynolds County，Mo 6thInternational conference on case histories in geotechnical engineering，August 11-16，2008.http://web.mst.edu/～rogersda/dams/2_43_rogers.

[2]电监安全〔2009〕58号.关于吸取俄罗斯萨扬事故教训，进一步加强安全监督管理的意见.

[3]国务院“7·23”甬温线特别重大铁路交通事故调查组.“7·23”甬温线特别重大铁路交通事故调查报告，http://www.chinasafety.gov.cn/newpage/Contents/Channel_5498/2011/1228/160577/content_160577.htm，2011-12-25.

[4]GB/T 2900.13—2008，电工术语 可信性与服务质量.北京：中国标准版社，2009.

[5]FERC（美国联邦能源管理委员会）.Pumped storage hydro-electric project technical guidance， October 5，2007. http://www.ferc.gov/industries/hydropower/safety/initiatives/PS_Tech_Guidance_Oct07.

[6]GB/T 9652.1—2007，水轮机控制系统技术条件.北京：中国标准出版社，2008.

[7]IEEE Std 1207—2004，IEEE Guide for the application of turbine governing systems for hydroelectric generating units.

[8]Start-up operations at the Sayano-Shushenskaya HPP unit No.6 in progress. www.eng.rushydro.ru/press/news/10001.html， 2010-2-15.

[9]国能安全〔2014〕161号.防止电力生产安全事故的25项重点要求.

[10]NB/T 35004—2013，水力发电厂自动化设计技术规范.北京：中国电力出版社，2013.

[11]何春山，尹述红.小湾水电厂调速器液压系统的方案比选.水力发电，2009，（9）:87-90.

姜树德（1943—）男，教授级高级工程师，主要从事水电厂的自动化和继电保护设计工作。E-mail: jshd0808@sina.com

The “Fail Safe” Design Principles and Their Application to Hydroelectric Power Plants

JIANG Shude
（HYDROCHINA Beijing Engineering Corporation，Beijing 100024，China）

The “fail safe” design principles are widely adopted in the international scope. For a control system of a hydroelectric power plant adopting the“ fail safe” design principles，the failure of any component in the system results in a predictable safe output condition，or standstill of the unit. The Soviet design principles were adopted by our country in the past years，which demanded to manage to keep the unit running in case of failure of the control system and to send out alarm signals. Subsequently，in accordance with real conditions，the field staff should decide whether to continue the unit running manually or to shut down the unit immediately. During the days when the power plants had to be attended and the energy was in short supply，the Soviet design principles were reasonable to a certain extent. Nowdays，most hydroelectric power plants become unattended （with few watchers） or totally unattended.To guarantee the equipment safety，obviously，the “fail safe”design principles are more reasonable.

hydroelectric power plant；fail safe；de-energized to shutdown；unattended operation