电站三重冗余ETS的设计

冀树春，冀树芳

(1.国家能源集团神华神东电力有限责任公司技术研究院，陕西 西安 710065；2.神华神东电力有限责任公司郭家湾电厂，陕西 榆林 719408)

0 引言

汽轮机是火力发电厂三大主机中最重要的设备之一，而汽轮机紧急跳闸系统(emergency trip system，ETS)是保证汽轮机设备安全稳定运行的关键安全保护控制系统。根据DL/T 5428—2009《火力发电厂热工保护系统设计技术规定》5.3.1条，规定“炉和机保护系统可采用安全相关系统，也可采用其他可编程电子系统分布式控制系统或可编程逻辑控制器使用软逻辑，或采用继电器使用硬逻辑实现”[1]。当采用安全相关系统时，“宜采用机关认证的、符合GB/T 20438—2006和GB/T 21109—2007相关标准要求的、对应高要求或连续操作模式下安全完整性等级(safety integrity level,SIL)为SIL3标准”的系统[2-3]。安全相关系统价格高，同时相关外围的传感器、执行元件也必须采用安全认证产品，才能根据认证证书给出安全相关参数，进行ETS安全完整性等级设计并计算。而实际应用时，传感器、执行元件很少采用安全认证产品。因此，更多情况下，ETS采用的是未经过安全认证的设备，不符合DL/T 5428—2009的相关规定。所以，必须在设计上就满足安全仪表系统(safety instrumented system，SIS)(又称为安全联锁系统)的相关要求[4]。本文提出一种采用通用可编程逻辑控制器(programmable logical controller,PLC)，按照安全仪表方法设计主要功能，形成三重冗余(triple modular redundant，TMR)的ETS的设计方案。

1 安全仪表系统的部分概念与相关要求

GB/T 21109—2007《过程工业领域安全仪表系统的功能安全》是现行安全仪表系统的设计规范，在安全仪表系统的独立性、故障裕度、安全完整性等级等方面提出了相关要求。本文主要讨论ETS控制机柜设计的有关内容，对于现场传感器、执行元件等不作重点讨论。

1.1 安全失效分数

GB/T 21109.1—2007的3.2.65.1条给出的安全失效分数定义是“导致安全失效或者可检测出的危险失效的装置总硬件随时失效率分数”，即可检测出的、导致安全功能失效的故障概率，与导致安全功能失效的故障概率的比值[3]。如果一套仪表的安全失效分数(safe failure fraction，SFF)为100%，即影响安全功能的全部故障均能检测出来，那么在其影响安全功能或导致安全功能失效之前，如果能及时报警并得以处理，则该系统是安全的。安全PLC系统的一般安全失效分数大于90%。这也是安全PLC系统之所以称为“安全”PLC系统的原因。

1.2 PLC的故障裕度

GB/T 21109.1—2007的11.4.2条给出了可编程电子(programmable electronics,PE)逻辑解算器的硬件故障裕度要求。PE逻辑解算器的最低硬件故障裕度如表1所示[3]。

表1 PE逻辑解算器的最低硬件故障裕度

表1中，SIL4主要针对A类安全硬件功能。B类安全硬件功能的SFF必须大于等于99%。

由表1可以看出，PE逻辑演算器的最低硬件故障裕度要求与系统的可检测SFF有关，不仅包括逻辑解算器的硬件，还包括软件。当采用PLC时，没有SFF的数据。但对于最低硬件故障裕度的要求，当采用安全PLC且安全失效分数大于90%时，故障裕度为1即达到SIL3的标准。当采用通用PLC时，由于其SFF一般小于90%，故其故障裕度必须有所增加才能达到SIL3标准。当故障失效分数为60%～90%时，PLC的故障裕度应为2，且至少应采用三重冗余的逻辑演算器，才能达到SIL3标准的故障裕度要求。

1.3 传感器、最终元件的故障裕度

GB/T 21109.1—2007的11.4.4条给出了以下传感器、最终元件和非PE逻辑解算器的硬件故障裕度要求[3]：①传感器、最终元件和非PE逻辑解算器的最低硬件故障裕度为0时，符合SIL1标准；②传感器、最终元件和非PE逻辑解算器的最低硬件故障裕度为1时，符合SIL2标准；③传感器、最终元件和非PE逻辑解算器的最低硬件故障裕度为2时，符合SIL3标准。

要想ETS达到SIL3标准，无论采用的传感器、最终元件和非PE逻辑解算器等设备的安全完整性等级有多高，其硬件故障裕度都是2，即至少要达到三重冗余，才能满足SIL3标准。这也是《防止电力生产重大事故的二十五项重点要求》(国能安全[2014]161号)9.4.3条要求“所有重要的主辅机保护都应采用‘三取二’的逻辑判断方式”的原因。同时，DL/T 5428—2009的5.3.6条、5.3.7条也对传感器硬件故障裕度作出了相应的规定[5]。

1.4 危险失效频率

传感器、PE或非PE逻辑解算器、最终元件的故障裕度满足GB/T 21109.1—2007的要求，并不意味着设计的ETS就满足了SIL3标准。该标准的9.2.4条，对要求操作模式和高要求或连续操作模式的安全仪表系统危险失效概率、频率进行了规定。对于ETS，应采用高要求或连续操作模式的要求。其中，安全仪表功能(safety instrumented function，SIF)危险失效频率也是影响ETS安全性的重要指标之一[3]。ETS的SIF危险失效频率如表2所示。

表2 SIF危险失效频率

设计的ETS不但要满足硬件冗余度的要求，而且各部件的危险失效频率也要满足相应等级仪表要求。根据GB/T 20438.6—2017《电气电子可编程电子安全相关系统的功能安全》，危险失效频率和仪表的平均故障前时间(mean time to failure,MTTF)、检测测试时间间隔(即检修周期)、平均恢复时间(mean time to repair,MTTR)以及诊断覆盖率(diagnostic coverage,DC)等参数有关[2]。总体来说，诊断覆盖率越高、检修测试周期越短、平均故障前时间越长，其危险失效频率越低。

2 三重冗余ETS的设计

ETS的硬件配置，除满足DL/T 5428—2009的5.3条的各项要求外，还要运用安全仪表设计的理念和GB/T 21109.1—2007设计思想，使设计的ETS在原则上符合安全仪表的各项要求[3]，从而进一步提高了安全性[6]。

2.1 电源系统设计

2.1.1 跳闸回路驱动电源

一般ETS的跳闸回路采用双通道(即A、B通道)四电磁阀结构。双通道四电磁阀失电跳闸回路如图1所示。由图1可知，A、B通道的驱动电源要与控制电源分开，直接取自电厂对应单元机组的不间断电源系统(uninterruptible power system,UPS)或直流电源盘，且两路电源取自不同的母线段。这种动力驱动电源与控制电源分开的设计方式可降低执行设备故障导致控制电源失电的风险，也更容易实现保护开关之间的级差配合。当跳闸回路驱动电源采用交流电源，且机组只有一套UPS电源装置时，另一路采用保安电源。当跳闸回路驱动电源采用直流电源，且只有一路直流电源时，则可采用经UPS电源变换后的浮地直流电源。每路电源保护开关容量应大于额定负荷的3倍以上，其特性曲线应满足驱动回路动作时冲击电流的要求。

图1 双通道四电磁阀失电跳闸回路示意图

在图1所示的跳闸回路中，AST1、AST3电磁阀可使用一路电源，AST2、AST4电磁阀应使用另一路电源，并保证从源头就没有共用同一路电源，以确保一路电源失电时，不会导致机组误跳闸。跳闸回路驱动电源平均故障前时间MTTF11(t11)延长100%[7]。

2.1.2 控制电源

ETS应设置至少两路电源，分别给三套冗余的直流电源装置供电，或者给能够接受两路电源的PLC系统供电。每路电源至用电负荷的回路中均应设置空气开关。其电源与跳闸回路驱动电源的要求一致，以保证控制电源与驱动电源之间完全分开[8]。冗余PLC的控制电源之间彼此独立。

控制电源回路如图2所示。

图2 控制电源回路示意图

电源的电压允许范围应满足PLC系统的最低、最高电压要求，各路电源失电时应能够发出报警，包括每个直流电源装置故障和单路交流电源失电等。检测装置的阀值，应至少比PLC系统允许的工作电源电压范围小10%。单路电源工作时，每套电源装置的裕量不应小于单路工作时的30%，最佳为50%。

图2中仅表示出两套PLC装置。其中，ETS的控制面板电源采用快速熔断器作为保护元件，而PLC装置采用电源空气开关作为保护元件，以降低控制面板回路对控制电源造成的风险。

这种采用冗余两路电源的三重冗余电源模块的控制电源，相比两路冗余电源的单路电源模块的控制电源，平均故障前时间MTTF12(t12)一般延长67%。

2.1.3 I/O电源

I/O电源作为ETS(PLC)的重要电源，也应确保其彼此独立、安全，并确保PLC的卡件故障、检测回路故障等限定在最小范围内，且每块卡件均应设置保护元件。如果可行，则应该对每个I/O通道设置保护元件。

对于大多数采用直流I/O电源系统的I/O卡件，为保证I/O电源安全，输入卡件建议采用拉出型电源装置。因为在灌入型接线方式中，I/O电源直接接至现场检测元件，一般电缆、元件等存在接地故障时将直接导致I/O电源失电。而在拉出型设计中，当发生一般电缆、元件等接地故障时，最多造成一个信号误发或故障。同时，应选用带有通道隔离二极管的卡件，或外配隔离二极管，以避免常开接点的I/O电源返回至故障回路或卡件。依照这样的设计，I/O电源平均故障前时间MTTF13(t13)延长88%(按最少的每块卡8通道计算)。则电源系统平均故障前时间MTTF1(t1)延长了85%左右，t1=(t11+t12+t13)÷3=(100%+67%+88%)÷3=85%。

2.2 跳闸回路设计

GE公司3取2表决模块接线如图3所示。

图3 GE公司3取2表决模块接线图

相比二重冗余的系统，三重冗余的ETS跳闸回路的设计相对简单。可采用表决模块，对三个PLC的跳闸输出进行3取2表决[9]。表决模块可采用通用的一体化模块，也可采用扩展继电器搭接。为保证其可靠性和简化回路，建议采用成熟的3取2表决模块。

对于图1所示的双通道四电磁阀的跳闸系统，可采用四个表决模块完成，每个表决模块带一个电磁阀。每个PLC的一个跳闸通道，分别接至一个表决模块。对于采用直流电源的跳闸系统，需在电磁阀电源两侧接入表决模块的跳闸接点。

图3中，两路24 V DC电源供电，三路跳闸开关量输入和反馈，三路固态继电器跳闸输出。

为进一步提高可靠性，每个电磁阀可采用两个表决模块并联控制，但输出的跳闸通道会增加一倍。通过查阅GB/T 20438.6—2017高要求模式或者连续操作模式的样表(表B.10～B.13)[2]，“3取2”“2取1”“2取2”“1取1”跳闸回路系统的每小时平均失效概率是逐渐增大的，即SIF越来越大、SIL逐渐降低。例如“3取2”“2取1”“1取1”(“2取2”相近)表决模块，在测试时间间隔为6个月和平均恢复时间为8 h时，每小时平均失效概率[2]如表3所示。

表3 每小时平均失效概率

表3中：λ为子系统中每个通道失效率(每小时)，一般为0.1×10-6、0.5×10-6、1×10-6、5×10-6、10×10-6、50×10-6；β为具有共同原因的、没有被检测到的失效分数，一般为2%、10%、20%；βD为具有共同原因的、已被诊断测试检测到的失效分数，一般为1%、5%、10%。所以，通过经典“3取2”表决模块完成的跳闸回路[10]，在其他外在因素相同的情况下，危险失效频率可以提高约一个级数。

2.3 监视检测系统设计

监视检测系统是否完善，直接影响安全仪表系统的SFF。完善的监视检测系统，可以增加对于故障裕度的要求。因此，对于安全仪表而言，监视检测系统是提高安全性的重要因素。

2.3.1 电源故障监视

电源监视系统应包括以下几个方面。

①每路电磁阀电源的监视。

②每个电源模块或PLC电源的监视。

③保护元件动作状态监视。

2.3.2 过程信号监视

过程输入信号采用一进三出形式的端子排，并接至每个PLC的输入卡件，即每个PLC接收全部的输入信号。因此，每个冗余信号都应与表决结果进行“异或”逻辑运算，当发现不一致(值为“1”)时应进行报警。对于过程开关量，应增加一定延时，以消除动作值允许误差内造成的误报警。

2.3.3 跳闸信号监视

每个跳闸信号以及表决模块的输出，均应反馈至PLC进行监视。除监视其彼此状态是否一致外，还应与ETS跳闸或复位状态进行比较，以便发现异常。如果I/O点数受限，对于失电跳闸的系统，可将图4中的表决模块反馈信号串联后，接至输入模块，以便监视任一PLC的跳闸动作情况。

2.3.4 首出和保护投退信号监视

GB/T 21109.1—2007的11.7.1.4条和DL/T 5428—2009的9.2条都对ETS的相关信号的监视作出了明确的规定。在GB/T 21109.1—2007标准中，要求ETS应提供以下关键信息。

①过程按既定顺序进行的情况(不涉及事件顺序记录)。

②已发生SIS动作指示(首出)。

③旁路一个保护功能的指示(投退)。

以下是已在前面描述过的功能信息[3]。

①已发生表决和/或故障处理退化时，自动动作的指示。

②传感器和最终元件的状况。

③影响安全的断电。

④故障诊断结果。

2.3.5 PLC故障监视

GB/T 21109.2—2007的附录E给出了开发安全配置的PE逻辑解算器的外配诊断程序的示例，主要用于没有或者不能向外部提供显著的故障警告输出的情形。在E.2中指出，外部看门狗定时器(external watch dog timer,EWDT)的实现方法是由PE逻辑解算器使用软件中的应用逻辑，发出周期性脉冲，输出到看门狗定时器或脉宽监视器。如果PLC没有故障监视接点输出，ETS采用扫描脉冲和外部看门狗定时器或脉冲监视器，是简便易行的方案。对于扫描脉冲输出通道，应采用固态继电器或其他半导体接点输出[3]。

电源故障、过程信号、跳闸信号、首出和保护投退信号的在线监视，以及PLC故障监视，提高了系统的诊断覆盖率和故障裕度要求，降低了SFF。

2.4 在线试验功能设计

对于ETS过程开关(即保护动作开关)在线试验功能设计，ETS应在逻辑上实现从输入到输出的在线试验，输入通道的在线试验，可设计为与输出通道同步进行。在线试验逻辑中，对于在线试验的过程开关、仪表以及跳闸通道的继电器、表决模块、液压系统等的反馈状态，应根据试验通道进行诊断，判断其有无异常。在线试验功能应设计试验允许判断条件，以确保机组不因在线试验而误跳闸，例如：①自动停机跳闸油压(automatic stop pressure,ASP)诊断异常；②跳闸继电器和表决模块诊断异常；③非试验通道诊断异常；④PLC、I/O及跳闸通道电源异常等。

这些在线试验和诊断功能提高了系统的硬件故障裕度要求和诊断覆盖率，也降低了安全失效分数。

2.5 ETS的响应时间设计

汽轮机作为高速旋转机械，对ETS响应时间提出了要求。GB/T 13399—2012《汽轮机安全监视装置技术条件》的3.4.7条：“对作为紧急停机处理的监视项目(3.2.2条中的b、c、i、j等)，从信号的发生到监视装置输出应限制在0.05 s时间范围内”[6]。DL/T 5428—2009的10.4.2条要求“对于超速保护通常要求的处理周期常为20～30 ms”。因此，跳闸输出通道包括表决模块的继电器，建议采用固态继电器，以便满足相关标准对于系统响应时间的要求，并进行验收测试。

3 结论

本文根据相关标准规范，参照安全仪表的设计理念，进行了三重冗余ETS的设计。三重冗余的ETS从软件和硬件的故障裕度要求、SFF、平均故障频率等方面大幅提高保护系统，简化跳闸回路，进一步提高可维护性，从而确保发电机组的安全运行。当然，国家标准GB/T 20438—2006和GB/T 21109—2007对于安全仪表的设计还有其他方面的要求。因此，按照本文设计的ETS，不一定能够达到SIL3标准，还需考虑PLC、电源和其他部件的选型，以及硬件平均故障频率、故障裕度和安全故障分数、检修测试周期和检查覆盖率等因素。