一种三冗余架构 ETS 保护装置设计
扫描二维码
随时随地手机看文章
引 言
紧急跳闸系统(Emergency Trip System,ETS)保护装置是通用透平机械安全保护系统的重要组成部分,主要针对小型透平机械的保护需求,为用户提供纯凝(背压)机组、单抽(抽背)机组、拖动机组等类型机组的紧急跳闸保护功能。本文介绍一种采用三冗余架构实现的专用 ETS 保护装置设计,可用来取代传统由 PLC 组成的 ETS 保护系统。与传统 PLC 构成的紧急跳闸系统相比,本文设计的专用 ETS 保护装置具有以下明显优点 :
(1) 采用三冗余架构纯硬件逻辑设计,可靠性高 ;
(2) 响应迅速且有虚警判别机制,可用率高 ;
(3) 通用性强,提供可适配绝大多数工业环境的外部端子板,通过开放的总线通信接口可与任意 DCS 系统相连 ;
(4) 无需组态且各子模块采用热插拔设计,系统构建成本低,维护简单 ;
(5) 自带状态显示界面,系统状态显示直观、清晰、准确,使用方便。
1 整体设计框架
ETS 保护装置与分布式控制系统(Distributed Control System,DCS)、超速调速保护装置一起构成汽轮机组,具有控制与调节保护功能,整体系统框图如图 1 所示。
ETS 保护装置通过可自适配的端子板分别将外部离散量输入类型的跳机点信号送入 3 个冗余架构的 I/O 模块,每个 I/O 模块独立采集跳机点信号后进行异步两两通信,通过FPGA 硬件进行第一级三取二逻辑表决,通过各自模块上的离散量输出通道输出保护信号。3 个 I/O 模块的离散量输出通道交叉连接构成第二级三取二表决。经过两级表决后的离散量输出信号通过控制继电器逻辑单元(Relay Logic Unit, RLU)进而控制外部电磁阀,从而实现汽轮机紧急情况下的保护停车。此外,该装置还设计了通信模块,提供标准的Modbus,Profibus-DP 以及 RS 422/485 接口,将 ETS 保护装置现行状态和停机事件序列(Sequence of Event,SOE)上报至 DCS 系统或操作员站,以供停机后分析查找跳机原因, 前面板模块提供当前系统状态指示。
2 关键技术描述
ETS的技术核心在于高可靠性的表决机制,高可靠性跳机信号的采集和处理电路。本文选择 ETS保护装置中的表决机制构建、全自检隔离 DI采集方案、异步 DO输出自检机制 3 个关键技术进行描述。
2.1 表决机制构建
由于 ETS 在整个汽轮机控制与保护系统中处于特别重要的位置,因此其必须设计为容错系统,且具有高可用性。容错系统是指在系统的一个或多个组件出现错误时仍能保证系统整体运行安全性的技术 [1]。目前,已经有一些方法来保证系统的容错能力 [2],多系冗余就是其中一种 [3]。IEC61508 推荐了 5 种安全系统的结构,并计算了各种结构的可靠性,三取二是其中可靠性最高的一种 [4]。
本文系统采用两级三取二表决机制构成冗余系统。三个独立运行可热插拔的IOM模块通过周期为1ms的两两异步通信交换各自采集到的跳机信号,在内部逻辑中构成第一级逻辑表决机制。三个 IOM模块根据第一级逻辑表决结果,通过硬件接口输出跳机 / 不跳机信号,通过 6个 MOS管硬件结构搭成第二级表决机制。若两级跳机信号表决均通过,则 MOS 管输出驱动 RLU内部继电器,实现汽轮机停机保护。第一级逻辑表决机制如图 2所示,第二级逻辑表决机制如图 3 所示。
在第二级表决机制中,通过 6 个 MOS 管构成三取二表决机制。第二级 MOS 驱动控制信号 1 和控制信号 2 均来自第一级的表决结果。当任意两系或者两系以上输出 MOS 管控制信号后,24 V 冗余电源通过 2 个 MOS 管后可驱动 RLU 单元继电器,实现停机保护。
由于 ETS 系统需要在工业现场全天候实时进行停机保护,因此必须保证其高可用性。在三系板卡高自检率与可热插拔更换维修的基础上,设计降级判决机制,具体见表 1所列。
通过构建两级三取二表决机制语故障时的降级处理机制,可保证 ETS 保护装置的高任务可靠性,降低虚警率。
2.2 全自检隔离 DI 采集方案
工控系统的实际应用环境较为严苛,干扰因素较多。若DI 采集电路与外部信号直连,则易引入外部干扰,降低系统可靠性与稳定性,易出现误动作等故障。因此,本文选用光耦隔离器对外部信号与内部采集电路进行隔离,既能使输入信号无阻通过,同时又能抑制尖峰脉冲与各种噪声干扰。DI采集接口整体框架如图 4 所示。
2.3 异步 DO 输出自检机制
ETS 保护装置正常工作时,RLU 继电器原边线圈处于接通状态,MOS 管控制信号为高电平信号,但绝大部分时间不会进行紧急跳闸动作,即绝大多数时间不会断开表决MOS 的控制信号。为了既保证紧急跳闸时 DO 输出通道的可用性,又能实现对 DO 输出通道的周期自检,特设计一种基于表决 MOS 管的异步 DO 输出自检机制。
参照图 4,对 A 系 DO 输出自检方案进行分析。A 板的两个控制端自主发出自检脉冲,其中 A1 控制端每个 DO 自检周期发出 1 个脉冲,A2 控制端每个 DO 自检周期发出 3 个脉冲。在实际 DO 输出通道中,C1 与 A2 构成一个通道,系统刚刚上电时,A1 控制端与 C1 控制端发出脉冲的时间应一致,此时 A2 回读端在一个周期 T 内应回读到 4 个脉冲信号。而系统运行一段时间后,由于各板的晶振精度不一致或出现板卡拔插的情况,导致 C1 控制端与 A1 控制端不一致,即有可能发生 C1 控制发出的脉冲与 A2 自主发出的 3 个脉冲之一有重合,那么此时 A2 回读端一个周期 T 内应收到 3 个脉冲信号。自检过程如图 5 所示。
如果 DO 通道无故障,A2 回读端至少应接收到 3 个或 4 个脉冲信号,出现其他情况可判定是继电器输出控制通道出现了故障。另外,RLU 内大继电器典型的动作时间为 5 ms,因此将输出脉冲持续时间设置为 10 μs,自检周期间隔设置为 10 s,这样既可保证实现 DO 输出的自检,又可保证继电器线圈端能量不会累积,不会导致 RLU 大继电器误动作。
3 结 语
本文 ETS 保护系统装置采用多种新型独创技术,实现了高可靠性多余度汽轮机跳闸保护功能。在实际应用中,ETS保护装置运行稳定可靠,故障自检机制完备,通用性强,使用维护方便,适用于绝大多数 DCS 系统级应用。
下载文档
