任曉琨

摘 要：為實(shí)現(xiàn)對汽輪發(fā)電機(jī)組的安全保護(hù)，設(shè)計(jì)三冗余帶表決機(jī)制的緊急跳閘保護(hù)系統(tǒng)ETS。采用全硬件加邏輯的方式進(jìn)行設(shè)計(jì)，無需編程，通過搭配不同的接線端子板可適應(yīng)絕大多數(shù)應(yīng)用場合。通過與分布式控制系統(tǒng)DCS的系統(tǒng)聯(lián)試，ETS工作穩(wěn)定，反應(yīng)速度快，任務(wù)可靠性高，故障自診斷覆蓋率高，故障指示清晰準(zhǔn)確，能夠安全可靠地實(shí)現(xiàn)透平機(jī)械故障停機(jī)保護(hù)。

關(guān)鍵詞：安全保護(hù);裝置互聯(lián);三冗余;表決機(jī)制;ETS;DCS

中圖分類號：TP23 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：2095-1302（2019）05-00-03

0 引 言

緊急跳閘系統(tǒng)（Emergency Trip System，ETS）保護(hù)裝置是通用透平機(jī)械安全保護(hù)系統(tǒng)的重要組成部分，主要針對小型透平機(jī)械的保護(hù)需求，為用戶提供純凝（背壓）機(jī)組、單抽（抽背）機(jī)組、拖動(dòng)機(jī)組等類型機(jī)組的緊急跳閘保護(hù)功能。本文介紹一種采用三冗余架構(gòu)實(shí)現(xiàn)的專用ETS保護(hù)裝置設(shè)計(jì)，可用來取代傳統(tǒng)由PLC組成的ETS保護(hù)系統(tǒng)。與傳統(tǒng)PLC構(gòu)成的緊急跳閘系統(tǒng)相比，本文設(shè)計(jì)的專用ETS保護(hù)裝置具有以下明顯優(yōu)點(diǎn)：

（1）采用三冗余架構(gòu)純硬件邏輯設(shè)計(jì)，可靠性高;

（2）響應(yīng)迅速且有虛警判別機(jī)制，可用率高;

（3）通用性強(qiáng)，提供可適配絕大多數(shù)工業(yè)環(huán)境的外部端子板，通過開放的總線通信接口可與任意DCS系統(tǒng)相連;

（4）無需組態(tài)且各子模塊采用熱插拔設(shè)計(jì)，系統(tǒng)構(gòu)建成本低，維護(hù)簡單;

（5）自帶狀態(tài)顯示界面，系統(tǒng)狀態(tài)顯示直觀、清晰、準(zhǔn)確，使用方便。

1 整體設(shè)計(jì)框架

ETS保護(hù)裝置與分布式控制系統(tǒng)（Distributed Control System，DCS）、超速調(diào)速保護(hù)裝置一起構(gòu)成汽輪機(jī)組，具有控制與調(diào)節(jié)保護(hù)功能，整體系統(tǒng)框圖如圖1所示。

ETS保護(hù)裝置通過可自適配的端子板分別將外部離散量輸入類型的跳機(jī)點(diǎn)信號送入3個(gè)冗余架構(gòu)的I/O模塊，每個(gè)I/O模塊獨(dú)立采集跳機(jī)點(diǎn)信號后進(jìn)行異步兩兩通信，通過FPGA硬件進(jìn)行第一級三取二邏輯表決，通過各自模塊上的離散量輸出通道輸出保護(hù)信號。3個(gè)I/O模塊的離散量輸出通道交叉連接構(gòu)成第二級三取二表決。經(jīng)過兩級表決后的離散量輸出信號通過控制繼電器邏輯單元（Relay Logic Unit，RLU）進(jìn)而控制外部電磁閥，從而實(shí)現(xiàn)汽輪機(jī)緊急情況下的保護(hù)停車。此外，該裝置還設(shè)計(jì)了通信模塊，提供標(biāo)準(zhǔn)的Modbus，Profibus-DP以及RS 422/485接口，將ETS保護(hù)裝置現(xiàn)行狀態(tài)和停機(jī)事件序列（Sequence of Event，SOE）上報(bào)至DCS系統(tǒng)或操作員站，以供停機(jī)后分析查找跳機(jī)原因，前面板模塊提供當(dāng)前系統(tǒng)狀態(tài)指示。

2 關(guān)鍵技術(shù)描述

ETS的技術(shù)核心在于高可靠性的表決機(jī)制，高可靠性跳機(jī)信號的采集和處理電路。本文選擇ETS保護(hù)裝置中的表決機(jī)制構(gòu)建、全自檢隔離DI采集方案、異步DO輸出自檢機(jī)制3個(gè)關(guān)鍵技術(shù)進(jìn)行描述。

2.1 表決機(jī)制構(gòu)建

由于ETS在整個(gè)汽輪機(jī)控制與保護(hù)系統(tǒng)中處于特別重要的位置，因此其必須設(shè)計(jì)為容錯(cuò)系統(tǒng)，且具有高可用性。容錯(cuò)系統(tǒng)是指在系統(tǒng)的一個(gè)或多個(gè)組件出現(xiàn)錯(cuò)誤時(shí)仍能保證系統(tǒng)整體運(yùn)行安全性的技術(shù)[1]。目前，已經(jīng)有一些方法來保證系統(tǒng)的容錯(cuò)能力[2]，多系冗余就是其中一種[3]。IEC61508推薦了5種安全系統(tǒng)的結(jié)構(gòu)，并計(jì)算了各種結(jié)構(gòu)的可靠性，三取二是其中可靠性最高的一種[4]。

本文系統(tǒng)采用兩級三取二表決機(jī)制構(gòu)成冗余系統(tǒng)。三個(gè)獨(dú)立運(yùn)行可熱插拔的IOM模塊通過周期為1 ms的兩兩異步通信交換各自采集到的跳機(jī)信號，在內(nèi)部邏輯中構(gòu)成第一級邏輯表決機(jī)制。三個(gè)IOM模塊根據(jù)第一級邏輯表決結(jié)果，通過硬件接口輸出跳機(jī)/不跳機(jī)信號，通過6個(gè)MOS管硬件結(jié)構(gòu)搭成第二級表決機(jī)制。若兩級跳機(jī)信號表決均通過，則MOS管輸出驅(qū)動(dòng)RLU內(nèi)部繼電器，實(shí)現(xiàn)汽輪機(jī)停機(jī)保護(hù)。第一級邏輯表決機(jī)制如圖2所示，第二級邏輯表決機(jī)制如圖3所示。

在第二級表決機(jī)制中，通過6個(gè)MOS管構(gòu)成三取二表決機(jī)制。第二級MOS驅(qū)動(dòng)控制信號1和控制信號2均來自第一級的表決結(jié)果。當(dāng)任意兩系或者兩系以上輸出MOS管控制信號后，24 V冗余電源通過2個(gè)MOS管后可驅(qū)動(dòng)RLU單元繼電器，實(shí)現(xiàn)停機(jī)保護(hù)。

由于ETS系統(tǒng)需要在工業(yè)現(xiàn)場全天候?qū)崟r(shí)進(jìn)行停機(jī)保護(hù)，因此必須保證其高可用性。在三系板卡高自檢率與可熱插拔更換維修的基礎(chǔ)上，設(shè)計(jì)降級判決機(jī)制，具體見表1所列。

通過構(gòu)建兩級三取二表決機(jī)制語故障時(shí)的降級處理機(jī)制，可保證ETS保護(hù)裝置的高任務(wù)可靠性，降低虛警率。

2.2 全自檢隔離DI采集方案

工控系統(tǒng)的實(shí)際應(yīng)用環(huán)境較為嚴(yán)苛，干擾因素較多。若DI采集電路與外部信號直連，則易引入外部干擾，降低系統(tǒng)可靠性與穩(wěn)定性，易出現(xiàn)誤動(dòng)作等故障。因此，本文選用光耦隔離器對外部信號與內(nèi)部采集電路進(jìn)行隔離，既能使輸入信號無阻通過，同時(shí)又能抑制尖峰脈沖與各種噪聲干擾。DI采集接口整體框架如圖4所示。

2.3 異步DO輸出自檢機(jī)制

ETS保護(hù)裝置正常工作時(shí)，RLU繼電器原邊線圈處于接通狀態(tài)，MOS管控制信號為高電平信號，但絕大部分時(shí)間不會(huì)進(jìn)行緊急跳閘動(dòng)作，即絕大多數(shù)時(shí)間不會(huì)斷開表決MOS的控制信號。為了既保證緊急跳閘時(shí)DO輸出通道的可用性，又能實(shí)現(xiàn)對DO輸出通道的周期自檢，特設(shè)計(jì)一種基于表決MOS管的異步DO輸出自檢機(jī)制。

參照圖4，對A系DO輸出自檢方案進(jìn)行分析。A板的兩個(gè)控制端自主發(fā)出自檢脈沖，其中A1控制端每個(gè)DO自檢周期發(fā)出1個(gè)脈沖，A2控制端每個(gè)DO自檢周期發(fā)出3個(gè)脈沖。在實(shí)際DO輸出通道中，C1與A2構(gòu)成一個(gè)通道，系統(tǒng)剛剛上電時(shí)，A1控制端與C1控制端發(fā)出脈沖的時(shí)間應(yīng)一致，此時(shí)A2回讀端在一個(gè)周期T內(nèi)應(yīng)回讀到4個(gè)脈沖信號。而系統(tǒng)運(yùn)行一段時(shí)間后，由于各板的晶振精度不一致或出現(xiàn)板卡拔插的情況，導(dǎo)致C1控制端與A1控制端不一致，即有可能發(fā)生C1控制發(fā)出的脈沖與A2自主發(fā)出的3個(gè)脈沖之一有重合，那么此時(shí)A2回讀端一個(gè)周期T內(nèi)應(yīng)收到3個(gè)脈沖信號。自檢過程如圖5所示。

如果DO通道無故障，A2回讀端至少應(yīng)接收到3個(gè)或4個(gè)脈沖信號，出現(xiàn)其他情況可判定是繼電器輸出控制通道出現(xiàn)了故障。另外，RLU內(nèi)大繼電器典型的動(dòng)作時(shí)間為5 ms，因此將輸出脈沖持續(xù)時(shí)間設(shè)置為10 μs，自檢周期間隔設(shè)置為10 s，這樣既可保證實(shí)現(xiàn)DO輸出的自檢，又可保證繼電器線圈端能量不會(huì)累積，不會(huì)導(dǎo)致RLU大繼電器誤動(dòng)作。

3 結(jié) 語

本文ETS保護(hù)系統(tǒng)裝置采用多種新型獨(dú)創(chuàng)技術(shù)，實(shí)現(xiàn)了高可靠性多余度汽輪機(jī)跳閘保護(hù)功能。在實(shí)際應(yīng)用中，ETS保護(hù)裝置運(yùn)行穩(wěn)定可靠，故障自檢機(jī)制完備，通用性強(qiáng)，使用維護(hù)方便，適用于絕大多數(shù)DCS系統(tǒng)級應(yīng)用。

參 考 文 獻(xiàn)

[1] CHEN L M ，AVIZIENIS A.N-version programming： afault tolerance approach to reliability of software operation[C].Proc.of the 8th Annual International Symposium on Fault Tolerant Computing，New York，USA：[s.n.]， 1978.

[2]涂雪紅，王強(qiáng)，張運(yùn)德.核電汽輪機(jī)三取二表決、四取二液壓遮斷保護(hù)裝置通道試驗(yàn)設(shè)計(jì)[J].東方汽輪機(jī)，2018（1）：56-59.

[3]鄭博.繼電保護(hù)裝置自動(dòng)測試系統(tǒng)設(shè)計(jì)[J].電子測試，2017（19）：15-16.

[4]王治國，于哲，篤峻.繼電保護(hù)裝置整機(jī)智能測試及其關(guān)鍵技術(shù)研究[J].計(jì)算技術(shù)與自動(dòng)化，2018，37（4）：21-26.

[5] BUTLER R W. The sure approach to reliability analysis[J].IEEE Trans.on reliability，1992，41（2）：210-218.

[6] ANDERSON T， LEE P A.Fault tolerance， principles and practice[M].[S.l.]：Springer-Verlag，1990.

[7] International electrotechnical commission.IEC 61508-1997 functional safety of electrical/electronicprogrammableelectronic safety-related systems[S].1997.

[8]白剛，賈新強(qiáng).PLC型DCS控制系統(tǒng)在自動(dòng)化生產(chǎn)線電子控制系統(tǒng)中的應(yīng)用[J].物聯(lián)網(wǎng)技術(shù)，2015，5（5）：78-79.

[9]王治國，陸靜，篤峻，等.一種智能電網(wǎng)保護(hù)裝置遠(yuǎn)程診斷系統(tǒng)研究[J].電力系統(tǒng)保護(hù)與控制，2017（20）：86-91.

[10]許宗光，文繼鋒，李彥.一種基于數(shù)據(jù)冗余校驗(yàn)的數(shù)字化變電站繼電保護(hù)裝置防誤方法[J].電力系統(tǒng)保護(hù)與控制，2018（5）：166-170.