一種三冗余架構(gòu) ETS 保護裝置設(shè)計
引 言
緊急跳閘系統(tǒng)(Emergency Trip System,ETS)保護裝置是通用透平機械安全保護系統(tǒng)的重要組成部分,主要針對小型透平機械的保護需求,為用戶提供純凝(背壓)機組、單抽(抽背)機組、拖動機組等類型機組的緊急跳閘保護功能。本文介紹一種采用三冗余架構(gòu)實現(xiàn)的專用 ETS 保護裝置設(shè)計,可用來取代傳統(tǒng)由 PLC 組成的 ETS 保護系統(tǒng)。與傳統(tǒng) PLC 構(gòu)成的緊急跳閘系統(tǒng)相比,本文設(shè)計的專用 ETS 保護裝置具有以下明顯優(yōu)點 :
(1) 采用三冗余架構(gòu)純硬件邏輯設(shè)計,可靠性高 ;
(2) 響應(yīng)迅速且有虛警判別機制,可用率高 ;
(3) 通用性強,提供可適配絕大多數(shù)工業(yè)環(huán)境的外部端子板,通過開放的總線通信接口可與任意 DCS 系統(tǒng)相連 ;
(4) 無需組態(tài)且各子模塊采用熱插拔設(shè)計,系統(tǒng)構(gòu)建成本低,維護簡單 ;
(5) 自帶狀態(tài)顯示界面,系統(tǒng)狀態(tài)顯示直觀、清晰、準(zhǔn)確,使用方便。
1 整體設(shè)計框架
ETS 保護裝置與分布式控制系統(tǒng)(Distributed Control System,DCS)、超速調(diào)速保護裝置一起構(gòu)成汽輪機組,具有控制與調(diào)節(jié)保護功能,整體系統(tǒng)框圖如圖 1 所示。
ETS 保護裝置通過可自適配的端子板分別將外部離散量輸入類型的跳機點信號送入 3 個冗余架構(gòu)的 I/O 模塊,每個 I/O 模塊獨立采集跳機點信號后進(jìn)行異步兩兩通信,通過FPGA 硬件進(jìn)行第一級三取二邏輯表決,通過各自模塊上的離散量輸出通道輸出保護信號。3 個 I/O 模塊的離散量輸出通道交叉連接構(gòu)成第二級三取二表決。經(jīng)過兩級表決后的離散量輸出信號通過控制繼電器邏輯單元(Relay Logic Unit, RLU)進(jìn)而控制外部電磁閥,從而實現(xiàn)汽輪機緊急情況下的保護停車。此外,該裝置還設(shè)計了通信模塊,提供標(biāo)準(zhǔn)的Modbus,Profibus-DP 以及 RS 422/485 接口,將 ETS 保護裝置現(xiàn)行狀態(tài)和停機事件序列(Sequence of Event,SOE)上報至 DCS 系統(tǒng)或操作員站,以供停機后分析查找跳機原因, 前面板模塊提供當(dāng)前系統(tǒng)狀態(tài)指示。
2 關(guān)鍵技術(shù)描述
ETS的技術(shù)核心在于高可靠性的表決機制,高可靠性跳機信號的采集和處理電路。本文選擇 ETS保護裝置中的表決機制構(gòu)建、全自檢隔離 DI采集方案、異步 DO輸出自檢機制 3 個關(guān)鍵技術(shù)進(jìn)行描述。
2.1 表決機制構(gòu)建
由于 ETS 在整個汽輪機控制與保護系統(tǒng)中處于特別重要的位置,因此其必須設(shè)計為容錯系統(tǒng),且具有高可用性。容錯系統(tǒng)是指在系統(tǒng)的一個或多個組件出現(xiàn)錯誤時仍能保證系統(tǒng)整體運行安全性的技術(shù) [1]。目前,已經(jīng)有一些方法來保證系統(tǒng)的容錯能力 [2],多系冗余就是其中一種 [3]。IEC61508 推薦了 5 種安全系統(tǒng)的結(jié)構(gòu),并計算了各種結(jié)構(gòu)的可靠性,三取二是其中可靠性最高的一種 [4]。
本文系統(tǒng)采用兩級三取二表決機制構(gòu)成冗余系統(tǒng)。三個獨立運行可熱插拔的IOM模塊通過周期為1ms的兩兩異步通信交換各自采集到的跳機信號,在內(nèi)部邏輯中構(gòu)成第一級邏輯表決機制。三個 IOM模塊根據(jù)第一級邏輯表決結(jié)果,通過硬件接口輸出跳機 / 不跳機信號,通過 6個 MOS管硬件結(jié)構(gòu)搭成第二級表決機制。若兩級跳機信號表決均通過,則 MOS 管輸出驅(qū)動 RLU內(nèi)部繼電器,實現(xiàn)汽輪機停機保護。第一級邏輯表決機制如圖 2所示,第二級邏輯表決機制如圖 3 所示。
在第二級表決機制中,通過 6 個 MOS 管構(gòu)成三取二表決機制。第二級 MOS 驅(qū)動控制信號 1 和控制信號 2 均來自第一級的表決結(jié)果。當(dāng)任意兩系或者兩系以上輸出 MOS 管控制信號后,24 V 冗余電源通過 2 個 MOS 管后可驅(qū)動 RLU 單元繼電器,實現(xiàn)停機保護。
由于 ETS 系統(tǒng)需要在工業(yè)現(xiàn)場全天候?qū)崟r進(jìn)行停機保護,因此必須保證其高可用性。在三系板卡高自檢率與可熱插拔更換維修的基礎(chǔ)上,設(shè)計降級判決機制,具體見表 1所列。
通過構(gòu)建兩級三取二表決機制語故障時的降級處理機制,可保證 ETS 保護裝置的高任務(wù)可靠性,降低虛警率。
2.2 全自檢隔離 DI 采集方案
工控系統(tǒng)的實際應(yīng)用環(huán)境較為嚴(yán)苛,干擾因素較多。若DI 采集電路與外部信號直連,則易引入外部干擾,降低系統(tǒng)可靠性與穩(wěn)定性,易出現(xiàn)誤動作等故障。因此,本文選用光耦隔離器對外部信號與內(nèi)部采集電路進(jìn)行隔離,既能使輸入信號無阻通過,同時又能抑制尖峰脈沖與各種噪聲干擾。DI采集接口整體框架如圖 4 所示。
2.3 異步 DO 輸出自檢機制
ETS 保護裝置正常工作時,RLU 繼電器原邊線圈處于接通狀態(tài),MOS 管控制信號為高電平信號,但絕大部分時間不會進(jìn)行緊急跳閘動作,即絕大多數(shù)時間不會斷開表決MOS 的控制信號。為了既保證緊急跳閘時 DO 輸出通道的可用性,又能實現(xiàn)對 DO 輸出通道的周期自檢,特設(shè)計一種基于表決 MOS 管的異步 DO 輸出自檢機制。
參照圖 4,對 A 系 DO 輸出自檢方案進(jìn)行分析。A 板的兩個控制端自主發(fā)出自檢脈沖,其中 A1 控制端每個 DO 自檢周期發(fā)出 1 個脈沖,A2 控制端每個 DO 自檢周期發(fā)出 3 個脈沖。在實際 DO 輸出通道中,C1 與 A2 構(gòu)成一個通道,系統(tǒng)剛剛上電時,A1 控制端與 C1 控制端發(fā)出脈沖的時間應(yīng)一致,此時 A2 回讀端在一個周期 T 內(nèi)應(yīng)回讀到 4 個脈沖信號。而系統(tǒng)運行一段時間后,由于各板的晶振精度不一致或出現(xiàn)板卡拔插的情況,導(dǎo)致 C1 控制端與 A1 控制端不一致,即有可能發(fā)生 C1 控制發(fā)出的脈沖與 A2 自主發(fā)出的 3 個脈沖之一有重合,那么此時 A2 回讀端一個周期 T 內(nèi)應(yīng)收到 3 個脈沖信號。自檢過程如圖 5 所示。
如果 DO 通道無故障,A2 回讀端至少應(yīng)接收到 3 個或 4 個脈沖信號,出現(xiàn)其他情況可判定是繼電器輸出控制通道出現(xiàn)了故障。另外,RLU 內(nèi)大繼電器典型的動作時間為 5 ms,因此將輸出脈沖持續(xù)時間設(shè)置為 10 μs,自檢周期間隔設(shè)置為 10 s,這樣既可保證實現(xiàn) DO 輸出的自檢,又可保證繼電器線圈端能量不會累積,不會導(dǎo)致 RLU 大繼電器誤動作。
3 結(jié) 語
本文 ETS 保護系統(tǒng)裝置采用多種新型獨創(chuàng)技術(shù),實現(xiàn)了高可靠性多余度汽輪機跳閘保護功能。在實際應(yīng)用中,ETS保護裝置運行穩(wěn)定可靠,故障自檢機制完備,通用性強,使用維護方便,適用于絕大多數(shù) DCS 系統(tǒng)級應(yīng)用。