NB T 10319-2019 风力发电机组安全系统设计技术规范.pdf

《NB T 10319-2019 风力发电机组安全系统设计技术规范.pdf》由会员分享，可在线阅读，更多相关《NB T 10319-2019 风力发电机组安全系统设计技术规范.pdf（17页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 27.180 F11 NB 中华人民共和国能源行业标准 NB/T 103192019 风力发电机组安全系统 设计技术规范 Design technical specification for safety system of wind turbine generator system 2019 - 11 - 04发布 2020 - 05 - 01实施 国家能源局 发布 NB/T XXXXXXXXX 目 次 前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 总则 . 1 4 风险分析 . 1 5 设计要求 . 2 6 保护要求 . 4 7 风险评价 . 7 8 安全系统测

2、试 . 8 附 录 A （规范性附录） 控制系统与安全系统 . 9 附 录 B （规范性附录） 安全系统设计流程 . 11 附 录 C （资料性附录） 基于风险评估的安全系统设计示例 . 12 I XX/T XXXXXXXXX 前 言 本标准 按照 GB/T 1.12009给出的规则起草。 本标准由中国电器工业协会提出。 本标准由能源行业风电标准化技术委员会风电电器设备分技术委员会(NE A/TCl/SC6)归口。 本标准主要起草单位：北京金风科创风电设备有限公司、机械工业北京电工技术经济研究所、中国 船级社质量认证公司、上海电气风电集团股份有限公司、江苏金风科技有限公司、国电联合动力技术有

3、限公司、明阳智慧能源集团股份公司、成都阜特科技股份有限公司、华锐风电科技（集团）股份有限公 司、成都阜特科技股份有限公司、三一重能有限公司、上海中认尚科新能源技术有限公司。 本标准参加起草单位：中国电力科学研究院有限公司、远景能源（江苏）有限公司、浙江运达风电 股份有限公司、中国广核新能源控股有限公司、维谛技术（西安）有限公司、中国质量认证中心、北京 鉴衡认证中心有限公司、东方电气风电有限公司、许昌许继风电科技有限公司、北京亚之捷环保科技有 限责任公司。 本标准起草人：孙长亮、果岩、隋红霞、李楠、潘磊、陈冬良、王艳华、李焯镜、李娜、冯永刚、 辛理夫、汪锋、董召然、史任胜、徐秉俊、陈晨、孙勇、潘

4、峰、廖元文、吴磊、白亮、孙礼美、杨天时、 周新亮、任华彬、高亚春、岳红轩、谢清明。 本标准为首次制定。 II XX/T XXXXXXXXX 风力发电机组安全系统设计技术规范 1 范围 本标准规定了风力发电机组安全系统 设计 的总则、风险分析、 设计 要求、保护要求、 风险 评价、安 全系统测试 等内 容。 本标准适用于陆上 水平轴、变速变桨风力发电机组 。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 5226.1-2008 机械电气安全 机械电气设备 第

5、 1 部分：通用技术条件 GB/T 15706 机械安全 设计通则 风险评估与风险减小 GB/T 16754 机械安全 急停 设计原则 GB/T 16855.1-2018 机械安全 控制系统有关安全部件 第 1 部分：设计通则 GB/T 16855.2-2015 机械安全 控制系统安全相关部件 第 2 部分：确认 GB/T 16856 机械安全 风险评估 实施指南和方法举例 GB/T 18451.1 风力发电机组 设计要求 GB/T 20438.3 电气/ 电子 /可编程电子安全相关系统的功能安全 第3 部分：软件要求 GB 28526 机械电气安全 安全相关电气、电子和可编程电子控制系统的功

6、能安全 GB/T 34040 工业通信网络 功能安全现场总线行规 通用规则和行规定义 GB/T 35792 风力发电机组 合格测试及认证 JB/T 10426.1 风力发电机组 制动系统 第 1部分：技术条件 3 总则 安全系统应具备相应的保护功能，与控制 系统的保护功能相互配合，在各种运行工况下保证风力发 电机组安全 。控制系统和安全系统的 关系 及相互作用 见附录 A。 为实现安全系统的预期设计目标，降低设计风险，应按照风险评估原则 开展安全系统设计，安全系 统设计流程见附录B 。 4 风险分析 4.1 原则 风险分析应 满足 GB/T 15706、 GB/T 16856、 GB 5226

7、.1-2008 的相关要求，可选择失效模式和影响 分析程序 、故障树分析法或其他等效的 分析 方法 。 4.2 风险识别 1 XX/T XXXXXXXXX 基于风力 发电 机组 设计 理念 ， 应对 各种 工况 下的运行故障进行 综合 分析 ， 应至少考虑如下几个方面： a) 部件的失效； b) 功能/ 任务 的失效； c) 可能的 失效 原因 /模式 ； d) 故障影响 及 危险程度 （结合 使用工况） 。 4.3 风险估计 风险估计用以确定危害可达到 的严重程度和发生频次 ， 作为 保护功能的设计基础。 每项 风险 水平的 估计结果， 应综合 可行 的 探测方式 及 降低 风险措施 ，考虑

8、 是否应 纳入 安全系统 实施 保护 。 4.4 所需性能等级 基于风险识别和风险估计结果，依据 GB/T 16855.1-2018第4 章的方法，确定安全系统保护 功能所需 性能等级PL r， 即确认 安全系统的性能 设计 需求 。 5 设计要求 5.1 安全策略 5.1.1 冗余性 安全系统宜 采用冗余设计 ， 如同一 保护功能 下， 采用 多路 传感 设备。 在实施冗余设计中，应充分考 虑设计的差异性 ，采用不同的技术 /设计 实现 。 5.1.2 独立性 应严格避免共性原因导致的 不同的功能单元 同时失效 ，应考虑 如下设计 要求 ： a) 安全系统应独立于控制系统 设计 ， 这里的独

9、立是指应考虑所有 可能 的功能 隔离 ， 保证 其 不应因 控制系统失效而 失去安全系统的 保护功能 。 b) 应考虑不同 保护功能 、同一 保护功能 冗余 设计 通道 之间的 分离 /隔离措施 。 c) 应保证 其不 因某项故障 ，引起 多个 制动 系统 同时 失效 。 5.1.3 失效-安全原则 安全系统应遵循失效- 安全 的基本 设计原则，即 各个故障模式应能够被监测及保护覆盖， 任何故障 模式不应导致 安全系统的保护功能失效。 5.1.4 复位 安全系统触发后， 应 由具备 运维资质 人员 在确认 风力发电 机组已恢复 安全 状态 后， 执行 就地手动复 位。 急停装置触发后，必须首先

10、排除 风险，再解除急停装置触发状态，并 通过 就地 手动复位解除 安全系 统的保护 状态 ，且 不允许风力发电机组自动 重启。 如果安全系统在电网掉电之前触发，则在电网 恢复 之后， 安全 系统 不应 自动 复位。 如果以下条件 同时 得到满足， 具备 运维资质人员可在远程控制中心 复位 安全系统故障 ： a) 必须首先完成对 根本原因的详细分析和对风力发电机组的调查 ，确 认 无 真实 风险， 可实施复位 操作。 2 XX/T XXXXXXXXX b) 评估安全系统触发根本原因的方法应能够明确检测出发生的事件，如叶片脱落、 齿轮箱漏油事 件、主轴承损坏等。 c) 应限制对安全系统进行远程复位

11、的次数，应对 复位机制进行定义 ： 1) 每24小时内允许进行远程复位的次数； 2) 允许进行远程复位的总次数。 5.2 结构 典型的 安全系统 回路结构设计见图 1。 应定义清晰的安全系统结构 组成， 以便于 设计 实施 及风险评 价。 安全系统组成结构 中，完整的保护功能 应 由输入、逻辑、 输出三个单元组成 。 同一 项输入可触发不 同的输出的设计理念， 应分别定义 不同的保护功能回路结构。 安全系统 结构设计的 一般组成 特点： a) 输入单元 ，一般 采用 过程 传感器，例如机械限位传感器、急停装置、编码器等，以及信号预 处 理设备等。 b) 逻辑单元 ，应用独立的安全控制器或等效的

12、安全 控制 技术实现 安全 系统 控制 逻辑部分。 c) 输出单元 ， 应包含叶轮制动系统， 以及 其他 纳入安全系统 保护功能 的执行单元 ，例如偏航系统、 液压系统、 安全通道的闭锁 设备 。 d) 选择安全 通信方式 ， 保证信息安全传递。 e) 若输入、逻辑、输出包含复杂的电路系统，一般应单独进行考虑其 设计 及风险 评估 ， 安全系统 不宜采用复杂的系统 设计，包括逻辑 中的 固件部分。 f) 控制系统与安全系统的分层保护功能应实时交互验证 。 输入单元 I1 制动系统 O1 输入单元 In 制动系统 On 说明：I1（n）：输入单元；L1（n）1 /L1（n）2：逻辑单元；O1（n

13、）：制动系统； i11（in1）：输入单元通讯方式；i 12（in2）：冗余输入单元通讯方式；io1（ion）：输出单元通讯方式； c：控制系统与安全系统交互验证。 图 1 安全系统结构示意图 3 XX/T XXXXXXXXX 5.3 装置 5.3.1 软件 安全系统的软件设计应符合GB/T 16855.1-2018、 GB 28526、 GB/T 20438.3的相关要求。对于含有嵌 入式软件的安全系统，应避免在风力发电机组 全生命周期内发生软件故障。软件应具备可读性、可测试 性、维护性，具备授权机制并采取措施防止软件被非法篡改。 应建立规范化的软件版本管理体系， 建立健全 软件相关版本命名

14、 规则、 内容记录、测试流程、 审批 流程等 管理体系，以及 实施 过程 的历史 追溯 机制 。 5.3.2 通讯 安全系统的 通讯方式 可采用 总线通讯 或干接点通讯方式。 安全系统 的总线 通讯除 满足 5.1.2节的独立 性要求 外，还应 符合 GB/T 34040的规定 。 5.3.3 控制器 安全控制器 应考虑如下 要求： a) 应充分 使用 安全设计 原则 ，如采用非等效设计 I/O 通信通道、强制导向型触点等。 b) 应具备高性能 等级，如 Cat. 4 / PL e（按照 GB/T 16855.1-2018 标准分类 ） 。 c) 应具备远程复位通道 。 d) 安全控制器 应采

15、用经认证的安全 产品， 如含有固件， 也应经过安全认证 。 e) 设计寿命应符合风力发电 机组的全生命周期需要。 f) 应配置 不间断电源供电 。 5.3.4 其他相关设备 安全系统其他相关设备包括传感器、继电器、电源、连接器等 ，一般应满足： a) 使用经验证、可靠的设备， 如凸轮开关、电磁阀等 。 或考虑在敏感 保护功能 回路中 使用安全设 备（同 5.3.3 要求），例如过速传感器、制 动系统驱动器等 。 b) 如需采用非标准安装 方式 ，需充分考虑安装 的 可靠性。 c) 应具备充分的使用裕量。 d) 宜采用失效模式 确定 的设备。 e) 设计寿命应符合 风力发电 机组的全生命周期需要

16、。 6 保护要求 6.1 总则 风力发电机组的 安全 要求应符合 GB/T 18451.1的相关规定。 风力发电机组安全系统设计应考虑 但不 限于以下风险 ： a) 机械载荷 增大 （ 转速 、振动、 功率 等 ）； b) 短路、 电网异常 ； c) 动力电缆 过 扭转； d) 控制系统故障 ； e) 制动系统故障 ； f) 偏航系统故障 ； 4 XX/T XXXXXXXXX g) 维护作业中的 安全 。 6.2 过速 叶轮/ 发电机 转速必须至少被不同的系统检测两次，获取至少两路转速信息 。 至少有一路速度传感 器的检测原理直接作用于叶轮旋转部件。 转速运行保护 曲线 见图 2，转速监测 应

17、满足： a) 当转速达到 n 4 值 时，则控制系统应执行停机。 b) 控制系统应监测 多路 转速 之间的数值合理性。 c) 超过临界转速 n A ，应 触发 安全系统执行停机 。 保证 任何情况下，转速 都不得超过最大过速 n max 。 说明：Vin：切入风速；Vr：额定风速；Vout：切出风速；V A：短期切出风速； n1：最小运行转速；nr：额定转速；n2：速度控制器设定转速；n3：最大运行转速；n4：切出转速；nA：临界转 速；nmax：最大过速。 图 2 转速曲线示意图 6.3 振动 如果振动 测量值超过安全限值，应 触发 安全系统 ， 使风力发电机组停机并处于安全状态。要求： a

18、) 振动的监测应连续进行。 b) 振动传感器应处于机舱高度，并偏离塔架轴线。 c) 采用感知整体振动 的测量技术。 d) 安全限值的确定应与 结构 载荷适应性相匹配 。 6.4 功率 功率应 由相互独立的系统连续对功率进行至少两次测量， 或通过 与功率有明确关联的物理量获得等 效冗余 监测 。功率运行保护 曲线 见图 3，要求： a) 如果功率超过过载功率 P T ，则控制系统应采取相应的保护措施。所采取的措施取决于系统 设计 理念，功率应随之降低，或者通过控制系统 执行停机。 b) 根据系统设计理念， 可由 安全系统连续监测功率是否超过临界功率 P A ，由安全系统执行保护 停机并处于安全停

19、机状态。 5 XX/T XXXXXXXXX 说明：Vin：切入风速；Vr：额定风速；Vout：切出风速；V A：短期切出风速； Pr: 额定功率； PT: 过载功率； PA：临界功率。 图3 功率曲线示意图 6.5 短路 风力发电机组主 电力 路径上必须装备合适的短路保护设备。并 执行以下 保护功能： a) 如保护装置检测到短路情况，应该迅速响应，切断短路回路。 b) 根据设计理念，由控制 系统 或安全系统执行 保护 停机，并使之处于安全状态下 。使用不能自动 复位保护设备 （例如发生熔断）时，如果通过保护 设备 达到安全状态，可由控制系统执行 停机。 6.6 扭缆 若运行会引起柔性电缆扭转，

20、尤其是旋转部件和固定结构部件（例如 机舱与 塔架）之间的连接电缆， 需要采取防止由于过渡扭转而引起 电缆损坏 的技术措施 。 应由控制系统执行合理的解缆策略及保护机制，当 电缆扭转 达到安全限值后，安全系统触发 执行停 机，同时 禁止 旋转部件沿电缆扭转方向进一步偏转 。安全限值应考虑 柔性电缆 的最大可承受 扭转角 度。 6.7 桨距角 安全系统应连续监测 叶片 桨距角 （变桨距制动系统） ，若 超出 安全 限值 ， 应触发安全系统执行 停机。 6.8 控制系统 安全系统应采用看门狗 或等效的技术措施 监测控制器 的运行状态 。 控制系统故障， 应触发 安全系统 执行停机。 6.9 急停装置

21、 急停装置应 符合 GB/T 16754及 GB 5226.1-2008中10 .7的技术原则 ，并 满足如下要求： a) 应至少 在塔底和机舱各配置一个急停装置， 并 根据维护作业的空间 分布及频率特点，考虑在不 同维护空间 增加 急停装置 。 b) 急停装置应能够 触发安全系统， 触发急停装置 的保护功能 必须优先于风力发电机组所有模式下 的运行 功能。 c) 急停装置触发，风力发电机组所有可能移动并造成危险的部件（如叶轮、偏航系统）应进入安 全状态。 d) 急停装 置应 保证 便于触发操作， 同时 应采取 措施 避免 误触碰 造成错误 触发 。 6 XX/T XXXXXXXXX 6.10

22、 制动系统 制动系统的设计应满足JB/T 10426.1 及GB/ T 18451.1有关要求。 制动系统工作状态应 被有效 监测 ， 能 包括 可能的 部件失效及 渐进式缺陷， 以 保证在任何情况下制动 系统都 具备 可靠的 保护功能。 至少包括 但 不限于 以下相关量 ： a) 能量状态 1) 应自动 连续 监测储能设备是否有足够的能量，以保证制动系统的急停要求 。 2) 如果不能连续自动监测能量储存，则必须定期进行自动试验，以验证 有足够的能量。 b) 桨距角 （变桨距制动系统） ； c) 温度（ 系统 环境温度、 后备电源温度、 驱动器温度等） ； d) 机械制动器磨损状态 （机械制动

23、系统 ）。 7 风险评价 7.1 原则 安全系统需要对其设计 性能 进行 综合 评价 ， 以确认其功能完整性， 即 对安全系统 设计 （由第 4 章风 险分析 确定 ）是否达到预期 风险减小的确认 过程 。 按照 GB/T 16855.1-2018 安全原则 实施 风险 评价 ，并 结合 GB/T 16855.2-2015 的 确认过程。 通过 分 析与计算，获得安全系统 的性能等级 PL。安全系统设计完整性应满足： a) PLPL r； b) 充分考虑了 防止 共因失效 （CCF ）的 措施； c) 充分考虑了 预防系统性失效的措施。 若评估结果 未能 达到 上述 要求， 应 重新 考虑安全

24、系统的设计，直至满足 评价要求。 附录 C 提供了一 项风力发电机组 安全系统设计应用举例。 7.2 性能等级 可遵循以下工作流程进行性能等级评价 ： a) 创建安全系统的保护功能列表。 列表中应包括 每项保护功能所需的性能等级P Lr（按照 第4 章内 容确认 ）。 b) 为每项保护功能建立结构框图。 框图应在逻辑上与 设计方案一致 。 框图的 定义 始于安全 系统输 入单元起始点 （例如： 用于扭缆监测的 凸轮 开关 ），结束于执行 单元 输出点（例如： 用于驱动电动 机的接触器或伺服驱动器 ）。 c) 按照GB/T 16855.1-2018中 4.5.2及附录 C、附 录 D原则 ， 计

25、算 保护功能平均危险失效时间 MTTF d 。 d) 按照GB/T 16855.1-2018 中 4.5.3及附录 E原则 ， 计算 保护功能的 DC avg 。 e) 按照GB/T 16855.1-2018 中 6.2原则 对保护功能进行结构类别划分。 f) 按照GB/T 16855.1-2018 中 5.4原则完成保护共呢个的性能等级PL 确认。 g) 如果安全系统中含有可编程装置，则应创建设计文件，并满足 GB/T 16855.1-2018附录 J的 检验 要求。 7.3 共因失效 应考虑 安全系统 设备及功能 的共因失效风险， 按照 GB/T 16855.1-2018附录 F的 评估原

26、 则，实施 预防 共因失效的设计分析 ，并 进行充分的设计确认，满足 防止 共因失效 （CCF ） 措施的打分 65。 7 XX/T XXXXXXXXX 7.4 预防系统性失效措施 应实施 GB/T 16855.1-2018附录 G、 GB/T 16855.2-2015中9.4 要求的 预防系统性失效 措施 的确认过程 。 8 安全系统测试 基于 GB/T 16855.1-2008 第 9 章 、 GB/T 16855.2-2015 第 11 章 的基本原则 ， 以及 GB/T 35792 的要求 制定合理的测试方案及测试计划 ，能够 有效 检验安全系统的功能完整性， 并有 以下 要求： a)

27、 安全系统回路 可 采用真实性 测试 方式 或等 效的模拟测试 方式 实施 验证 过程 。 b) 测试范围应包括 安全 相关 部件及 保护功能 ，如 传感 设备、 逻辑单元及 制动系统 。 c) 制动系统应 满足紧急停机 制动过程需求 ， 应考察 ： 1) 制动系统响应时间； 2) 紧急制动速度 ； 3) 后备能量损耗 。 d) 测试范围还 应包括控制系统 与安全系统的交叉监测部分。 e) 应定义合理的 测试 条件，包括环境条件及 风力发电 机组运行条件。 f) 测试计划 1) 风力发电机组首次安装 完成， 应 进行 安全系统 的保护功能 测试 。 2) 风力发电机组全生命周期内， 安全系统相

28、关部件（含 固件） 发生更换 或 技术 升级后，应进 保护功能测试； 3) 风力发电机组正式 投运后， 应制定 合理的定期 （或 不定期） 测试 计划 ， 最长 测试间隔周期 不应超过 1 年。 g) 安全系统的定期测试结果，应以正式文档形式记录在案，并作为风力发电 机组的运维管理计划 档案的组成部分 ，便于查询。 8 XX/T XXXXXXXXX 附 录 A （规范性附录） 控制系统与安全系统 A.1 总则 风力发电机组在不同的 使用 环境 和状态 下，存在诸多的风险。 开发人员 需要对风力发电机组 全生命 周期内的运行过程，进行全面的 归纳、 分析， 总结 全部的 系统性 风险 ，对 风险

29、 水平 有合理 的 判别， 并 通 过控制系统、安全系统 实施可靠的设计 措施 ，以及其他预防系统性失效的辅助措施，有效降低风险水平， 保证风力发电机组 始 终处于安全状态 。 A.2 控制系统 控制系统应为 风力发电机组 的不同 运行 状态提供全面、可靠的 故障监测， 保证风力发电机组工作于 运行限值范围内 。 控 制系统应能够获取 风力发电 机组所有的运行 信息，异常 状态 （设备 故障 或环境异常 ） 必须能够被 控制系统检测，并由控制系统采取适当的 措施 进行 保护 。 A.3 安全系统 安全系统作为第二层保护单元， 提供 面向 风力发电机组系统性 风险，或预期损失较大的局部风险的 保

30、护功能。 这类 风险 应由 制造商根据 产品 设计理念 对风险水平及风险的 经济性 进行 评价 ，并根据评价结 果确立安全系统的设计理念，第 6章 有关 要求内容的应作为 安全系统设计的 基本 要求考虑 。 风力发电机组运行 过程参数 超过安全限值后，应触发 安全系统 的保护功能 ， 并使用最高优先级 的制 动过程。 制动系统 应在最短的时间内 启动 制动 过程，并 以最快的速度实施制动，使风力发电机组旋转部 件减速至安全范围或 完全静止， 制动过程 应与风力发电机组部件的强度相适应 。 A.4 控制系统与安全系统的相互作用 控制系统与安全系统在设计上应 相辅相成，建立分层保护机制 。 控制系

31、统作为风力发电机组过程控 制中枢， 应对运行过程的全部风险进行 保护。 安全系统 一般仅对机组系统性风险进行保护， 其 保护的优 先级高于控制系统 。 控制系统与 安全系统的相互作用还体现在如下方面： a) 均应能够触发至少两套制动系统。若两套系统均启动制动系统实施 不同的制动过程 ， 则 应执行 安全系统指令 。 b) 安全系统应具有 独立性，控制系统（即使发生故障）不允许影响安全系统的保护功能。 c) 控制系统与安全系统运行 过程中 可实施 交叉 监测 ， 相互验证功能完整性。 d) 同一风险， 安全系统 不应作为唯一 保护措施， 应同时在 控制系统中设置保护功能 ， 并先于安全 系统触发

32、保护。 e) 安全系统触发 保护动作 后，控制系统仍能够保持在工作状态，辅助完成 其他保护需求， 例如仍 需维持运行的部件 （ 散热 、照明 等） 、故障 数据 存储 、就地及远程警示 等。 图 A.1 给出了风力发电机组控制系统与安全系统的相互作用示意 ，旨在帮助对上述内容的理解。 9 XX/T XXXXXXXXX 控制系统 安全系统 安全相关输入 : 过速 、 扭缆 、 急停按钮等 安全控制器 其他过程输入 : 转速 、 功率 、 风速 、 风 向 、 温度 、 压力 、 油位等 主控制器 （ PLC） 切断与电网连接 制动系统 图A. 1 控制系统与安全系统相互作用 10 XX/T XX

33、XXXXXXX 附 录 B （规范性附录） 安全系统设计流程 图 B.1 给出了可行的风力发电机组安全系统设计流程。 开始 风险识别 确认风险所需 安全等级 PLr 安全系统设计 （ 见第 5章 ） PL、 CCF等评估 及确认 风险分析 （ 见第 4章 ） 结束 是 否 是否达到预定的 风险减小 ？ 是否覆盖机组 风险及措施 ？ （ 见第 6章 ） 是否进行 充分测试 ？ （ 见第 8章 ） 风险评价 （ 见第 7章 ） 风险估计 是 否 是 否 图B. 1 安全系统设计流程 11 XX/T XXXXXXXXX 附 录 C （资料性附录） 基于风险评估的安全系统设计示例 本示例 作为风险评价

34、 流程 及文档 编制 的指导性说明 ，不应 视作要求。 如表 C.1 所示 风险举例。 表C. 1保护功能列表示例 编号 保护功能 （PF） PLr 1 PF1（叶轮过速） d 2 PF2（） d 以 PF1 叶轮过速保护功能为例， 绘制 保护功能 框图，如图 C.1 所示。 如图中 所示， 如果 保护功能 不 便于进行整体性的确认， 可按照 子系统划分 分别 进行 PL 确认 ， 并根据 GB/T 16855.1-2018 6.3 进行 保护 功能整体的 PL 确认。 过速回路 1（ 例如传感器 + 中继 +过速监测设备 ） 部件 ： 安全控制器 编号 ： L 图C. 1 过速保护功能安全框

35、图示例 以图 C.1 中子系统 2 为例 ，根 据 GB/T 16855.1-2018 内容 分别评估子系统部件 /整体的类别、 MTTF d 、 DC avg 、CCF 结果。见 表 C.2 内容 。 表C. 2 子系统2的SRP/CS列表示例 SRP/CS PL 类别 MTTF d 年 DCavg % 参考资料 部件 L - 1 249 90 制造商产品手册 部件 O - 1 52 0 制造商产品手册 子系统 2 c 1 43 16 - 同样的方式完成子系统1 的评估结果，过速及其他保护功能的整体结果见 表C.3，完 成 整体 的安全系 统确认。 12 XX/T XXXXXXXXX 表C. 3 保护功能/子系统及其参数列表示例 编号 保护功能（SF）/ 子系统 PLr PL 类别 MTTF d 年 DCavg % CCF 分 1 PF1（叶轮过速） d d 3 47 90 80 2 PF2（） d d - - - - _ 13