一种三冗余架构ETS保护装置设计

任晓琨

摘 要：为实现对汽轮发电机组的安全保护，设计三冗余带表决机制的紧急跳闸保护系统ETS。采用全硬件加逻辑的方式进行设计，无需编程，通过搭配不同的接线端子板可适应绝大多数应用场合。通过与分布式控制系统DCS的系统联试，ETS工作稳定，反应速度快，任务可靠性高，故障自诊断覆盖率高，故障指示清晰准确，能够安全可靠地实现透平机械故障停机保护。

关键词：安全保护;装置互联;三冗余;表决机制;ETS;DCS

中图分类号：TP23 文献标识码：A 文章编号：2095-1302（2019）05-00-03

0 引 言

紧急跳闸系统（Emergency Trip System，ETS）保护装置是通用透平机械安全保护系统的重要组成部分，主要针对小型透平机械的保护需求，为用户提供纯凝（背压）机组、单抽（抽背）机组、拖动机组等类型机组的紧急跳闸保护功能。本文介绍一种采用三冗余架构实现的专用ETS保护装置设计，可用来取代传统由PLC组成的ETS保护系统。与传统PLC构成的紧急跳闸系统相比，本文设计的专用ETS保护装置具有以下明显优点：

（1）采用三冗余架构纯硬件逻辑设计，可靠性高;

（2）响应迅速且有虚警判别机制，可用率高;

（3）通用性强，提供可适配绝大多数工业环境的外部端子板，通过开放的总线通信接口可与任意DCS系统相连;

（4）无需组态且各子模块采用热插拔设计，系统构建成本低，维护简单;

（5）自带状态显示界面，系统状态显示直观、清晰、准确，使用方便。

1 整体设计框架

ETS保护装置与分布式控制系统（Distributed Control System，DCS）、超速调速保护装置一起构成汽轮机组，具有控制与调节保护功能，整体系统框图如图1所示。

ETS保护装置通过可自适配的端子板分别将外部离散量输入类型的跳机点信号送入3个冗余架构的I/O模块，每个I/O模块独立采集跳机点信号后进行异步两两通信，通过FPGA硬件进行第一级三取二逻辑表决，通过各自模块上的离散量输出通道输出保护信号。3个I/O模块的离散量输出通道交叉连接构成第二级三取二表决。经过两级表决后的离散量输出信号通过控制继电器逻辑单元（Relay Logic Unit，RLU）进而控制外部电磁阀，从而实现汽轮机紧急情况下的保护停车。此外，该装置还设计了通信模块，提供标准的Modbus，Profibus-DP以及RS 422/485接口，将ETS保护装置现行状态和停机事件序列（Sequence of Event，SOE）上报至DCS系统或操作员站，以供停机后分析查找跳机原因，前面板模块提供当前系统状态指示。

2 关键技术描述

ETS的技术核心在于高可靠性的表决机制，高可靠性跳机信号的采集和处理电路。本文选择ETS保护装置中的表决机制构建、全自检隔离DI采集方案、异步DO输出自检机制3个关键技术进行描述。

2.1 表决机制构建

由于ETS在整个汽轮机控制与保护系统中处于特别重要的位置，因此其必须设计为容错系统，且具有高可用性。容错系统是指在系统的一个或多个组件出现错误时仍能保证系统整体运行安全性的技术[1]。目前，已经有一些方法来保证系统的容错能力[2]，多系冗余就是其中一种[3]。IEC61508推荐了5种安全系统的结构，并计算了各种结构的可靠性，三取二是其中可靠性最高的一种[4]。

本文系统采用两级三取二表决机制构成冗余系统。三个独立运行可热插拔的IOM模块通过周期为1 ms的两两异步通信交换各自采集到的跳机信号，在内部逻辑中构成第一级逻辑表决机制。三个IOM模块根据第一级逻辑表决结果，通过硬件接口输出跳机/不跳机信号，通过6个MOS管硬件结构搭成第二级表决机制。若两级跳机信号表决均通过，则MOS管输出驱动RLU内部继电器，实现汽轮机停机保护。第一级逻辑表决机制如图2所示，第二级逻辑表决机制如图3所示。

在第二级表决机制中，通过6个MOS管构成三取二表决机制。第二级MOS驱动控制信号1和控制信号2均来自第一级的表决结果。当任意两系或者两系以上输出MOS管控制信号后，24 V冗余电源通过2个MOS管后可驱动RLU单元继电器，实现停机保护。

由于ETS系统需要在工业现场全天候实时进行停机保护，因此必须保证其高可用性。在三系板卡高自检率与可热插拔更换维修的基础上，设计降级判决机制，具体见表1所列。

通过构建两级三取二表决机制语故障时的降级处理机制，可保证ETS保护装置的高任务可靠性，降低虚警率。

2.2 全自检隔离DI采集方案

工控系统的实际应用环境较为严苛，干扰因素较多。若DI采集电路与外部信号直连，则易引入外部干扰，降低系统可靠性与稳定性，易出现误动作等故障。因此，本文选用光耦隔离器对外部信号与内部采集电路进行隔离，既能使输入信号无阻通过，同时又能抑制尖峰脉冲与各种噪声干扰。DI采集接口整体框架如图4所示。

2.3 異步DO输出自检机制

ETS保护装置正常工作时，RLU继电器原边线圈处于接通状态，MOS管控制信号为高电平信号，但绝大部分时间不会进行紧急跳闸动作，即绝大多数时间不会断开表决MOS的控制信号。为了既保证紧急跳闸时DO输出通道的可用性，又能实现对DO输出通道的周期自检，特设计一种基于表决MOS管的异步DO输出自检机制。

参照图4，对A系DO输出自检方案进行分析。A板的两个控制端自主发出自检脉冲，其中A1控制端每个DO自检周期发出1个脉冲，A2控制端每个DO自检周期发出3个脉冲。在实际DO输出通道中，C1与A2构成一个通道，系统刚刚上电时，A1控制端与C1控制端发出脉冲的时间应一致，此时A2回读端在一个周期T内应回读到4个脉冲信号。而系统运行一段时间后，由于各板的晶振精度不一致或出现板卡拔插的情况，导致C1控制端与A1控制端不一致，即有可能发生C1控制发出的脉冲与A2自主发出的3个脉冲之一有重合，那么此时A2回读端一个周期T内应收到3个脉冲信号。自检过程如图5所示。

如果DO通道无故障，A2回读端至少应接收到3个或4个脉沖信号，出现其他情况可判定是继电器输出控制通道出现了故障。另外，RLU内大继电器典型的动作时间为5 ms，因此将输出脉冲持续时间设置为10 μs，自检周期间隔设置为10 s，这样既可保证实现DO输出的自检，又可保证继电器线圈端能量不会累积，不会导致RLU大继电器误动作。

3 结 语

本文ETS保护系统装置采用多种新型独创技术，实现了高可靠性多余度汽轮机跳闸保护功能。在实际应用中，ETS保护装置运行稳定可靠，故障自检机制完备，通用性强，使用维护方便，适用于绝大多数DCS系统级应用。

参 考 文 献

[1] CHEN L M ，AVIZIENIS A.N-version programming： afault tolerance approach to reliability of software operation[C].Proc.of the 8th Annual International Symposium on Fault Tolerant Computing，New York，USA：[s.n.]， 1978.

[2]涂雪红，王强，张运德.核电汽轮机三取二表决、四取二液压遮断保护装置通道试验设计[J].东方汽轮机，2018（1）：56-59.

[3]郑博.继电保护装置自动测试系统设计[J].电子测试，2017（19）：15-16.

[4]王治国，于哲，笃峻.继电保护装置整机智能测试及其关键技术研究[J].计算技术与自动化，2018，37（4）：21-26.

[5] BUTLER R W. The sure approach to reliability analysis[J].IEEE Trans.on reliability，1992，41（2）：210-218.

[6] ANDERSON T， LEE P A.Fault tolerance， principles and practice[M].[S.l.]：Springer-Verlag，1990.

[7] International electrotechnical commission.IEC 61508-1997 functional safety of electrical/electronicprogrammableelectronic safety-related systems[S].1997.

[8]白刚，贾新强.PLC型DCS控制系统在自动化生产线电子控制系统中的应用[J].物联网技术，2015，5（5）：78-79.

[9]王治国，陆静，笃峻，等.一种智能电网保护装置远程诊断系统研究[J].电力系统保护与控制，2017（20）：86-91.

[10]许宗光，文继锋，李彦.一种基于数据冗余校验的数字化变电站继电保护装置防误方法[J].电力系统保护与控制，2018（5）：166-170.