火電廠ETS保護邏輯缺陷分析與處理

摘 要：ETS作為常規島重要的保護系統，為確保機組運行安全，其設計均采用冗余設計。本文提到的ETS系統在電源切換時，發出錯誤的機組跳閘信號。經過反復實驗和系統分析，發現其根本原因是冗余設計不合理帶來的。在出現的問題中暴露出冗余設計在保護中也不能確保萬無一失，恰恰是冗余設計中的這一部分，給系統安全引入了新的問題。

關鍵詞：ETS、PLC、邏輯、保護、誤動、冗余

0.引言

ETS作為常規島重要保護系統之一，在安裝調試過程中應多狀況和反復做可靠性驗證，要求做到保護動作及時并且不能誤動，使用前各種測試就顯得更為重要，只有在反復的驗證中才能確認該系統的可靠性和兼容性，才能提高設備的運行安全。

1.實驗過程

在一次電氣 UPS 電源切換實驗中，切換的后備電源發生故障，整個用電回路出現三四十秒的斷電，致使汽輪機保護裝置 ETS 主 PLC失電，在 UPS 電源恢復正常后，給 ETS 系統送電，此時 ETS 發出“機組跳閘”信號到 DCS 系統，DCS 系統根據邏輯設計關閉所有的抽汽電動門及抽汽逆止門，小汽輪機因此失去沖轉汽源而轉速下降，給水流量迅速下降，給水流量低保護動作，汽輪機跳閘，發電機解列。這里主要分析 ETS 系統主 PLC 送電時向 DCS 發出“機組跳閘”信號的原因和避免此類事故的解決措施。ETS復位部分原理如下：

說明：“Reset1”是掛閘按鈕輸入觸點，用于機組掛閘操作；

“TRIP1”是通道 1 跳閘，指通道 1 因某一條件動作而跳閘；

“TRIP2”是通道 2 跳閘，指通道 2 因某一條件動作而跳閘；

“AST1”到“AST4”是 4 個跳閘電磁閥的輸出信號；

“reset”是機組已掛閘信號；

“UNTRIP”是機組跳閘信號，它與“reset”信號相反。

機組正常運行狀況是，當 ETS 的 PLC 正常工作時，在無跳閘條件存在的情況下，機組未復位之前“TRIP1”、“TRIP2”為1。按下掛閘按鈕時 “Reset1” 1，電磁閥 AST1 和 AST3 帶電，“AST1”為 1 并保持，“AST3”由 0 變為 1，通道 1 復位；同理，電磁閥 AST2 和 AST4 帶電，通道 2 復位。機組的復位過程完成，已復位信號“reset”為 1，機組跳閘信號 “UNTRIP”消失，送到 DCS 的跳閘信號失去，抽汽逆止門和抽汽電動門可以打開，機組處正常運行狀態。

2.發出跳閘信號分析：

當 ETS 主 PLC 的 UPS 電源失去時，機組跳閘信號“UNTRIP”觸點因為 PLC 停止工作而處于打開狀態，這與 PLC 上電后在機組掛閘時的狀態一致，所以不會引起機組跳閘。當 PLC 上電時，雖然不存在跳閘條件，即“TRIP1”、 “TRIP2”均為 1，而掛閘按鈕“Reset”是脈沖信號，只有按復位按鈕才能為 1，默認情況下為 0，所以“AST1”、“AST2”、“AST3”、“AST4”狀態為 0。由于副PLC正常工作，已復位信號“reset”為1，當主PLC上電復位時，跳閘電磁閥得電正常工作，但是“reset”的常閉接點打開需要一點時間，已復位信號“reset”的常閉接點還未打開，跳閘繼電器得電，這樣主PLC上電的瞬間就發出跳閘信號“UNTRIP”為 1。由于 ETS 系統的副 PLC 工作正常，主副 PLC 的跳閘電磁閥輸出為并聯，故四個跳閘電磁閥仍然帶電，機組不跳閘。而主副 PLC 的機組跳閘信號“UNTRIP”觸點是并聯，所以在恢復送電的瞬間送出“機組跳閘信號”到 DCS 系統聯關抽汽逆止門和抽汽電動門。

3.實驗結論

ETS 系統 PLC 上電時的默認狀態應該為機組的當前狀態，但由于上電繼電器動作的時間有瞬間時差，如果機組正常運行，偶然性會發出跳閘信號。而且任一 PLC 都能送出“機組跳閘”信號到 DCS，這就是為什么主 PLC 的 UPS 電源消失后重新送電觸發機組跳閘信號的原因。而對于 ETS 系統的設計來說，由于主副 PLC 互為備用，主 PLC的失電和送電不應該影響副 PLC 的正常工作和輸出輸入狀態的變化，而且汽輪機也并沒有因為主 PLC 失電和送電而跳閘，最終的跳閘是因為機組大聯鎖動作所致，這次主 PLC 送出“機組跳閘”信號到 DCS 與 ETS 送出跳閘信號去跳閘汽輪機并不一致，也就是說這次主 PLC 不應發出“機組跳閘”信號，這是設計上的問題。

4. 解決方案研討：

為了合理解決問題，詳細討論了各種方案，比較優缺點，具體情況如下：

1）加裝繼電器，由信號“UNTRIP”觸發，經過繼電器的常閉接點送到 DCS。

優點：任一 PLC 的失電和送電不會誤發“UNTRIP”；

缺點：a、信號常帶電，容易誤動，b、加裝繼電器，增加故障點。

2）修改邏輯如下圖 2，即將“reset”的常閉接點改為常開，在 DCS 側將信號取“非”。

優點：任一 PLC 的失電和送電不會誤發“UNTRIP”；

缺點：信號常帶電，容易誤動。

3）將主副 PLC 送出的機組跳閘信號由并聯改為串聯。

優點：任一 PLC 的失電和送電不會誤發“UNTRIP”；

缺點：在 PLC 失電后要很及時地恢復電源，并按復位按鈕，使跳閘邏輯正常工作，不然會誤跳。這給運行和檢修人員帶來繁重的工作量，也不利于機組安全。

4）將主副 PLC 送出的機組跳閘信號由并聯改為串聯，加裝繼電器，由信號“UNTRIP”觸發，經過繼電器的常閉接點送到 DCS。

優點：任一 PLC 的失電和送電不會誤發“UNTRIP”；

缺點：加裝繼電器，增加故障點。

5）將 DCS 中用于聯鎖關閉抽汽電動門和抽汽逆止門的“機組跳閘”信號改由就地來的ETS 油壓開關實現，開關定值 6.89MPa，如果 ETS 油壓低于 6.89MPa，則機組跳閘，自然要求聯關抽汽電動門和抽汽逆止門。

優點：不影響 ETS 和 DCS 的所有已有功能的正常作用，任一 PLC 的失電和送電不會產生誤動信號；

缺點：精確校驗 ETS 油壓開關，并檢查接線可靠。

6）對邏輯進行修改，如下圖3。根據實驗結果分析，跳閘信號是在上電瞬間由于繼電器接點動作的時間差造成的，在跳閘信號后面增加一個延時相應的邏輯，設定延長響應時間為0.5秒，即在上電的初始狀態為0。TD正常工作后， 將過濾掉所有的干擾信號。因為此處邏輯只是做復位跳閘信號使用，不影響其他保護邏輯發出跳閘信號，因此加上0.5秒的延時不會對機組保護有任何影響，即防止了保護的誤動，當遇到故障時也不會使系統拒動。

5. 結論

總結以上方案的優缺點，最終采用方案六，即對復位邏輯進行修改，保護聯鎖功能完全實現，避免了因為 ETS 系統的電源故障而引起的誤動，保證了機組的安全穩定運行。所有擔任重要保護系統的設備，都是為確保機組運行安全而設計的，為了提高保護的可靠性，冗余設計是經常采用的措施。本文中的ETS系統有主副兩塊PLC在電源切換時，設計是由于忽略了系統上電恢復和繼電器帶點動作的微小時間差，而造成系統保護的誤動。像這樣隱蔽的缺陷設計還有不少，要想使我們的設備穩定運行，就要求我們進行多工況和反復實驗，及早發現缺陷，將其消除在萌芽狀態。

作者簡介：

王明先（1978-）男，武漢大學，儀控專業高級工程師。