引 言
緊急跳閘系統(Emergency Trip System,種冗裝置ETS)保護裝置是余架通用透平機械安全保護系統的重要組成部分,主要針對小型透平機械的保護保護需求,為用戶提供純凝(背壓)機組、單抽(抽背)機組、拖動機組等類型機組的緊急跳閘保護功能。本文介紹一種采用三冗余架構實現的專用 ETS 保護裝置設計,可用來取代傳統由 PLC 組成的 ETS 保護系統。與傳統 PLC 構成的緊急跳閘系統相比,本文設計的專用 ETS 保護裝置具有以下明顯優點 :
(1) 采用三冗余架構純硬件邏輯設計,可靠性高 ;
(2) 響應迅速且有虛警判別機制,可用率高 ;
(3) 通用性強,提供可適配絕大多數工業環境的外部端子板,通過開放的總線通信接口可與任意 DCS 系統相連 ;
(4) 無需組態且各子模塊采用熱插拔設計,系統構建成本低,維護簡單 ;
(5) 自帶狀態顯示界面,系統狀態顯示直觀、清晰、準確,使用方便。
1 整體設計框架
ETS 保護裝置與分布式控制系統(Distributed Control System,DCS)、超速調速保護裝置一起構成汽輪機組,具有控制與調節保護功能,整體系統框圖如圖 1 所示。
ETS 保護裝置通過可自適配的端子板分別將外部離散量輸入類型的跳機點信號送入 3 個冗余架構的 I/O 模塊,每個 I/O 模塊獨立采集跳機點信號后進行異步兩兩通信,通過FPGA 硬件進行第一級三取二邏輯表決,通過各自模塊上的離散量輸出通道輸出保護信號。3 個 I/O 模塊的離散量輸出通道交叉連接構成第二級三取二表決。經過兩級表決后的離散量輸出信號通過控制繼電器邏輯單元(Relay Logic Unit, RLU)進而控制外部電磁閥,從而實現汽輪機緊急情況下的保護停車。此外,該裝置還設計了通信模塊,提供標準的Modbus,Profibus-DP 以及 RS 422/485 接口,將 ETS 保護裝置現行狀態和停機事件序列(Sequence of Event,SOE)上報至 DCS 系統或操作員站,以供停機后分析查找跳機原因, 前面板模塊提供當前系統狀態指示。
2 關鍵技術描述
ETS的技術核心在于高可靠性的表決機制,高可靠性跳機信號的采集和處理電路。本文選擇 ETS保護裝置中的表決機制構建、全自檢隔離 DI采集方案、異步 DO輸出自檢機制 3 個關鍵技術進行描述。
2.1 表決機制構建
由于 ETS 在整個汽輪機控制與保護系統中處于特別重要的位置,因此其必須設計為容錯系統,且具有高可用性。容錯系統是指在系統的一個或多個組件出現錯誤時仍能保證系統整體運行安全性的技術 [1]。目前,已經有一些方法來保證系統的容錯能力 [2],多系冗余就是其中一種 [3]。IEC61508 推薦了 5 種安全系統的結構,并計算了各種結構的可靠性,三取二是其中可靠性最高的一種 [4]。
本文系統采用兩級三取二表決機制構成冗余系統。三個獨立運行可熱插拔的IOM模塊通過周期為1ms的兩兩異步通信交換各自采集到的跳機信號,在內部邏輯中構成第一級邏輯表決機制。三個 IOM模塊根據第一級邏輯表決結果,通過硬件接口輸出跳機 / 不跳機信號,通過 6個 MOS管硬件結構搭成第二級表決機制。若兩級跳機信號表決均通過,則 MOS 管輸出驅動 RLU內部繼電器,實現汽輪機停機保護。第一級邏輯表決機制如圖 2所示,第二級邏輯表決機制如圖 3 所示。
在第二級表決機制中,通過 6 個 MOS 管構成三取二表決機制。第二級 MOS 驅動控制信號 1 和控制信號 2 均來自第一級的表決結果。當任意兩系或者兩系以上輸出 MOS 管控制信號后,24 V 冗余電源通過 2 個 MOS 管后可驅動 RLU 單元繼電器,實現停機保護。
由于 ETS 系統需要在工業現場全天候實時進行停機保護,因此必須保證其高可用性。在三系板卡高自檢率與可熱插拔更換維修的基礎上,設計降級判決機制,具體見表 1所列。
通過構建兩級三取二表決機制語故障時的降級處理機制,可保證 ETS 保護裝置的高任務可靠性,降低虛警率。
2.2 全自檢隔離 DI 采集方案
工控系統的實際應用環境較為嚴苛,干擾因素較多。若DI 采集電路與外部信號直連,則易引入外部干擾,降低系統可靠性與穩定性,易出現誤動作等故障。因此,本文選用光耦隔離器對外部信號與內部采集電路進行隔離,既能使輸入信號無阻通過,同時又能抑制尖峰脈沖與各種噪聲干擾。DI采集接口整體框架如圖 4 所示。
2.3 異步 DO 輸出自檢機制
ETS 保護裝置正常工作時,RLU 繼電器原邊線圈處于接通狀態,MOS 管控制信號為高電平信號,但絕大部分時間不會進行緊急跳閘動作,即絕大多數時間不會斷開表決MOS 的控制信號。為了既保證緊急跳閘時 DO 輸出通道的可用性,又能實現對 DO 輸出通道的周期自檢,特設計一種基于表決 MOS 管的異步 DO 輸出自檢機制。
參照圖 4,對 A 系 DO 輸出自檢方案進行分析。A 板的兩個控制端自主發出自檢脈沖,其中 A1 控制端每個 DO 自檢周期發出 1 個脈沖,A2 控制端每個 DO 自檢周期發出 3 個脈沖。在實際 DO 輸出通道中,C1 與 A2 構成一個通道,系統剛剛上電時,A1 控制端與 C1 控制端發出脈沖的時間應一致,此時 A2 回讀端在一個周期 T 內應回讀到 4 個脈沖信號。而系統運行一段時間后,由于各板的晶振精度不一致或出現板卡拔插的情況,導致 C1 控制端與 A1 控制端不一致,即有可能發生 C1 控制發出的脈沖與 A2 自主發出的 3 個脈沖之一有重合,那么此時 A2 回讀端一個周期 T 內應收到 3 個脈沖信號。自檢過程如圖 5 所示。
如果 DO 通道無故障,A2 回讀端至少應接收到 3 個或 4 個脈沖信號,出現其他情況可判定是繼電器輸出控制通道出現了故障。另外,RLU 內大繼電器典型的動作時間為 5 ms,因此將輸出脈沖持續時間設置為 10 μs,自檢周期間隔設置為 10 s,這樣既可保證實現 DO 輸出的自檢,又可保證繼電器線圈端能量不會累積,不會導致 RLU 大繼電器誤動作。
3 結 語
本文 ETS 保護系統裝置采用多種新型獨創技術,實現了高可靠性多余度汽輪機跳閘保護功能。在實際應用中,ETS保護裝置運行穩定可靠,故障自檢機制完備,通用性強,使用維護方便,適用于絕大多數 DCS 系統級應用。
