任曉琨

摘 要：為實現(xiàn)對汽輪發(fā)電機組的安全保護(hù)，設(shè)計三冗余帶表決機制的緊急跳閘保護(hù)系統(tǒng)ETS。采用全硬件加邏輯的方式進(jìn)行設(shè)計，無需編程，通過搭配不同的接線端子板可適應(yīng)絕大多數(shù)應(yīng)用場合。通過與分布式控制系統(tǒng)DCS的系統(tǒng)聯(lián)試，ETS工作穩(wěn)定，反應(yīng)速度快，任務(wù)可靠性高，故障自診斷覆蓋率高，故障指示清晰準(zhǔn)確，能夠安全可靠地實現(xiàn)透平機械故障停機保護(hù)。

關(guān)鍵詞：安全保護(hù);裝置互聯(lián);三冗余;表決機制;ETS;DCS

中圖分類號：TP23 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-1302（2019）05-00-03

0 引 言

緊急跳閘系統(tǒng)（Emergency Trip System，ETS）保護(hù)裝置是通用透平機械安全保護(hù)系統(tǒng)的重要組成部分，主要針對小型透平機械的保護(hù)需求，為用戶提供純凝（背壓）機組、單抽（抽背）機組、拖動機組等類型機組的緊急跳閘保護(hù)功能。本文介紹一種采用三冗余架構(gòu)實現(xiàn)的專用ETS保護(hù)裝置設(shè)計，可用來取代傳統(tǒng)由PLC組成的ETS保護(hù)系統(tǒng)。與傳統(tǒng)PLC構(gòu)成的緊急跳閘系統(tǒng)相比，本文設(shè)計的專用ETS保護(hù)裝置具有以下明顯優(yōu)點：

（1）采用三冗余架構(gòu)純硬件邏輯設(shè)計，可靠性高;

（2）響應(yīng)迅速且有虛警判別機制，可用率高;

（3）通用性強，提供可適配絕大多數(shù)工業(yè)環(huán)境的外部端子板，通過開放的總線通信接口可與任意DCS系統(tǒng)相連;

（4）無需組態(tài)且各子模塊采用熱插拔設(shè)計，系統(tǒng)構(gòu)建成本低，維護(hù)簡單;

（5）自帶狀態(tài)顯示界面，系統(tǒng)狀態(tài)顯示直觀、清晰、準(zhǔn)確，使用方便。

1 整體設(shè)計框架

ETS保護(hù)裝置與分布式控制系統(tǒng)（Distributed Control System，DCS）、超速調(diào)速保護(hù)裝置一起構(gòu)成汽輪機組，具有控制與調(diào)節(jié)保護(hù)功能，整體系統(tǒng)框圖如圖1所示。

ETS保護(hù)裝置通過可自適配的端子板分別將外部離散量輸入類型的跳機點信號送入3個冗余架構(gòu)的I/O模塊，每個I/O模塊獨立采集跳機點信號后進(jìn)行異步兩兩通信，通過FPGA硬件進(jìn)行第一級三取二邏輯表決，通過各自模塊上的離散量輸出通道輸出保護(hù)信號。3個I/O模塊的離散量輸出通道交叉連接構(gòu)成第二級三取二表決。經(jīng)過兩級表決后的離散量輸出信號通過控制繼電器邏輯單元（Relay Logic Unit，RLU）進(jìn)而控制外部電磁閥，從而實現(xiàn)汽輪機緊急情況下的保護(hù)停車。此外，該裝置還設(shè)計了通信模塊，提供標(biāo)準(zhǔn)的Modbus，Profibus-DP以及RS 422/485接口，將ETS保護(hù)裝置現(xiàn)行狀態(tài)和停機事件序列（Sequence of Event，SOE）上報至DCS系統(tǒng)或操作員站，以供停機后分析查找跳機原因，前面板模塊提供當(dāng)前系統(tǒng)狀態(tài)指示。

2 關(guān)鍵技術(shù)描述

ETS的技術(shù)核心在于高可靠性的表決機制，高可靠性跳機信號的采集和處理電路。本文選擇ETS保護(hù)裝置中的表決機制構(gòu)建、全自檢隔離DI采集方案、異步DO輸出自檢機制3個關(guān)鍵技術(shù)進(jìn)行描述。

2.1 表決機制構(gòu)建

由于ETS在整個汽輪機控制與保護(hù)系統(tǒng)中處于特別重要的位置，因此其必須設(shè)計為容錯系統(tǒng)，且具有高可用性。容錯系統(tǒng)是指在系統(tǒng)的一個或多個組件出現(xiàn)錯誤時仍能保證系統(tǒng)整體運行安全性的技術(shù)[1]。目前，已經(jīng)有一些方法來保證系統(tǒng)的容錯能力[2]，多系冗余就是其中一種[3]。IEC61508推薦了5種安全系統(tǒng)的結(jié)構(gòu)，并計算了各種結(jié)構(gòu)的可靠性，三取二是其中可靠性最高的一種[4]。

本文系統(tǒng)采用兩級三取二表決機制構(gòu)成冗余系統(tǒng)。三個獨立運行可熱插拔的IOM模塊通過周期為1 ms的兩兩異步通信交換各自采集到的跳機信號，在內(nèi)部邏輯中構(gòu)成第一級邏輯表決機制。三個IOM模塊根據(jù)第一級邏輯表決結(jié)果，通過硬件接口輸出跳機/不跳機信號，通過6個MOS管硬件結(jié)構(gòu)搭成第二級表決機制。若兩級跳機信號表決均通過，則MOS管輸出驅(qū)動RLU內(nèi)部繼電器，實現(xiàn)汽輪機停機保護(hù)。第一級邏輯表決機制如圖2所示，第二級邏輯表決機制如圖3所示。

在第二級表決機制中，通過6個MOS管構(gòu)成三取二表決機制。第二級MOS驅(qū)動控制信號1和控制信號2均來自第一級的表決結(jié)果。當(dāng)任意兩系或者兩系以上輸出MOS管控制信號后，24 V冗余電源通過2個MOS管后可驅(qū)動RLU單元繼電器，實現(xiàn)停機保護(hù)。

由于ETS系統(tǒng)需要在工業(yè)現(xiàn)場全天候?qū)崟r進(jìn)行停機保護(hù)，因此必須保證其高可用性。在三系板卡高自檢率與可熱插拔更換維修的基礎(chǔ)上，設(shè)計降級判決機制，具體見表1所列。

通過構(gòu)建兩級三取二表決機制語故障時的降級處理機制，可保證ETS保護(hù)裝置的高任務(wù)可靠性，降低虛警率。

2.2 全自檢隔離DI采集方案

工控系統(tǒng)的實際應(yīng)用環(huán)境較為嚴(yán)苛，干擾因素較多。若DI采集電路與外部信號直連，則易引入外部干擾，降低系統(tǒng)可靠性與穩(wěn)定性，易出現(xiàn)誤動作等故障。因此，本文選用光耦隔離器對外部信號與內(nèi)部采集電路進(jìn)行隔離，既能使輸入信號無阻通過，同時又能抑制尖峰脈沖與各種噪聲干擾。DI采集接口整體框架如圖4所示。

2.3 異步DO輸出自檢機制

ETS保護(hù)裝置正常工作時，RLU繼電器原邊線圈處于接通狀態(tài)，MOS管控制信號為高電平信號，但絕大部分時間不會進(jìn)行緊急跳閘動作，即絕大多數(shù)時間不會斷開表決MOS的控制信號。為了既保證緊急跳閘時DO輸出通道的可用性，又能實現(xiàn)對DO輸出通道的周期自檢，特設(shè)計一種基于表決MOS管的異步DO輸出自檢機制。

參照圖4，對A系DO輸出自檢方案進(jìn)行分析。A板的兩個控制端自主發(fā)出自檢脈沖，其中A1控制端每個DO自檢周期發(fā)出1個脈沖，A2控制端每個DO自檢周期發(fā)出3個脈沖。在實際DO輸出通道中，C1與A2構(gòu)成一個通道，系統(tǒng)剛剛上電時，A1控制端與C1控制端發(fā)出脈沖的時間應(yīng)一致，此時A2回讀端在一個周期T內(nèi)應(yīng)回讀到4個脈沖信號。而系統(tǒng)運行一段時間后，由于各板的晶振精度不一致或出現(xiàn)板卡拔插的情況，導(dǎo)致C1控制端與A1控制端不一致，即有可能發(fā)生C1控制發(fā)出的脈沖與A2自主發(fā)出的3個脈沖之一有重合，那么此時A2回讀端一個周期T內(nèi)應(yīng)收到3個脈沖信號。自檢過程如圖5所示。

如果DO通道無故障，A2回讀端至少應(yīng)接收到3個或4個脈沖信號，出現(xiàn)其他情況可判定是繼電器輸出控制通道出現(xiàn)了故障。另外，RLU內(nèi)大繼電器典型的動作時間為5 ms，因此將輸出脈沖持續(xù)時間設(shè)置為10 μs，自檢周期間隔設(shè)置為10 s，這樣既可保證實現(xiàn)DO輸出的自檢，又可保證繼電器線圈端能量不會累積，不會導(dǎo)致RLU大繼電器誤動作。

3 結(jié) 語

本文ETS保護(hù)系統(tǒng)裝置采用多種新型獨創(chuàng)技術(shù)，實現(xiàn)了高可靠性多余度汽輪機跳閘保護(hù)功能。在實際應(yīng)用中，ETS保護(hù)裝置運行穩(wěn)定可靠，故障自檢機制完備，通用性強，使用維護(hù)方便，適用于絕大多數(shù)DCS系統(tǒng)級應(yīng)用。

參 考 文 獻(xiàn)

[1] CHEN L M ，AVIZIENIS A.N-version programming： afault tolerance approach to reliability of software operation[C].Proc.of the 8th Annual International Symposium on Fault Tolerant Computing，New York，USA：[s.n.]， 1978.

[2]涂雪紅，王強，張運德.核電汽輪機三取二表決、四取二液壓遮斷保護(hù)裝置通道試驗設(shè)計[J].東方汽輪機，2018（1）：56-59.

[3]鄭博.繼電保護(hù)裝置自動測試系統(tǒng)設(shè)計[J].電子測試，2017（19）：15-16.

[4]王治國，于哲，篤峻.繼電保護(hù)裝置整機智能測試及其關(guān)鍵技術(shù)研究[J].計算技術(shù)與自動化，2018，37（4）：21-26.

[5] BUTLER R W. The sure approach to reliability analysis[J].IEEE Trans.on reliability，1992，41（2）：210-218.

[6] ANDERSON T， LEE P A.Fault tolerance， principles and practice[M].[S.l.]：Springer-Verlag，1990.

[7] International electrotechnical commission.IEC 61508-1997 functional safety of electrical/electronicprogrammableelectronic safety-related systems[S].1997.

[8]白剛，賈新強.PLC型DCS控制系統(tǒng)在自動化生產(chǎn)線電子控制系統(tǒng)中的應(yīng)用[J].物聯(lián)網(wǎng)技術(shù)，2015，5（5）：78-79.

[9]王治國，陸靜，篤峻，等.一種智能電網(wǎng)保護(hù)裝置遠(yuǎn)程診斷系統(tǒng)研究[J].電力系統(tǒng)保護(hù)與控制，2017（20）：86-91.

[10]許宗光，文繼鋒，李彥.一種基于數(shù)據(jù)冗余校驗的數(shù)字化變電站繼電保護(hù)裝置防誤方法[J].電力系統(tǒng)保護(hù)與控制，2018（5）：166-170.