電站三重冗余ETS的設計

冀樹春，冀樹芳

(1.國家能源集團神華神東電力有限責任公司技術研究院，陜西 西安 710065；2.神華神東電力有限責任公司郭家灣電廠，陜西 榆林 719408)

0 引言

汽輪機是火力發電廠三大主機中最重要的設備之一，而汽輪機緊急跳閘系統(emergency trip system，ETS)是保證汽輪機設備安全穩定運行的關鍵安全保護控制系統。根據DL/T 5428—2009《火力發電廠熱工保護系統設計技術規定》5.3.1條，規定“爐和機保護系統可采用安全相關系統，也可采用其他可編程電子系統分布式控制系統或可編程邏輯控制器使用軟邏輯，或采用繼電器使用硬邏輯實現”[1]。當采用安全相關系統時，“宜采用機關認證的、符合GB/T 20438—2006和GB/T 21109—2007相關標準要求的、對應高要求或連續操作模式下安全完整性等級(safety integrity level,SIL)為SIL3標準”的系統[2-3]。安全相關系統價格高，同時相關外圍的傳感器、執行元件也必須采用安全認證產品，才能根據認證證書給出安全相關參數，進行ETS安全完整性等級設計并計算。而實際應用時，傳感器、執行元件很少采用安全認證產品。因此，更多情況下，ETS采用的是未經過安全認證的設備，不符合DL/T 5428—2009的相關規定。所以，必須在設計上就滿足安全儀表系統(safety instrumented system，SIS)(又稱為安全聯鎖系統)的相關要求[4]。本文提出一種采用通用可編程邏輯控制器(programmable logical controller,PLC)，按照安全儀表方法設計主要功能，形成三重冗余(triple modular redundant，TMR)的ETS的設計方案。

1 安全儀表系統的部分概念與相關要求

GB/T 21109—2007《過程工業領域安全儀表系統的功能安全》是現行安全儀表系統的設計規范，在安全儀表系統的獨立性、故障裕度、安全完整性等級等方面提出了相關要求。本文主要討論ETS控制機柜設計的有關內容，對于現場傳感器、執行元件等不作重點討論。

1.1 安全失效分數

GB/T 21109.1—2007的3.2.65.1條給出的安全失效分數定義是“導致安全失效或者可檢測出的危險失效的裝置總硬件隨時失效率分數”，即可檢測出的、導致安全功能失效的故障概率，與導致安全功能失效的故障概率的比值[3]。如果一套儀表的安全失效分數(safe failure fraction，SFF)為100%，即影響安全功能的全部故障均能檢測出來，那么在其影響安全功能或導致安全功能失效之前，如果能及時報警并得以處理，則該系統是安全的。安全PLC系統的一般安全失效分數大于90%。這也是安全PLC系統之所以稱為“安全”PLC系統的原因。

1.2 PLC的故障裕度

GB/T 21109.1—2007的11.4.2條給出了可編程電子(programmable electronics,PE)邏輯解算器的硬件故障裕度要求。PE邏輯解算器的最低硬件故障裕度如表1所示[3]。

表1 PE邏輯解算器的最低硬件故障裕度

表1中，SIL4主要針對A類安全硬件功能。B類安全硬件功能的SFF必須大于等于99%。

由表1可以看出，PE邏輯演算器的最低硬件故障裕度要求與系統的可檢測SFF有關，不僅包括邏輯解算器的硬件，還包括軟件。當采用PLC時，沒有SFF的數據。但對于最低硬件故障裕度的要求，當采用安全PLC且安全失效分數大于90%時，故障裕度為1即達到SIL3的標準。當采用通用PLC時，由于其SFF一般小于90%，故其故障裕度必須有所增加才能達到SIL3標準。當故障失效分數為60%～90%時，PLC的故障裕度應為2，且至少應采用三重冗余的邏輯演算器，才能達到SIL3標準的故障裕度要求。

1.3 傳感器、最終元件的故障裕度

GB/T 21109.1—2007的11.4.4條給出了以下傳感器、最終元件和非PE邏輯解算器的硬件故障裕度要求[3]：①傳感器、最終元件和非PE邏輯解算器的最低硬件故障裕度為0時，符合SIL1標準；②傳感器、最終元件和非PE邏輯解算器的最低硬件故障裕度為1時，符合SIL2標準；③傳感器、最終元件和非PE邏輯解算器的最低硬件故障裕度為2時，符合SIL3標準。

要想ETS達到SIL3標準，無論采用的傳感器、最終元件和非PE邏輯解算器等設備的安全完整性等級有多高，其硬件故障裕度都是2，即至少要達到三重冗余，才能滿足SIL3標準。這也是《防止電力生產重大事故的二十五項重點要求》(國能安全[2014]161號)9.4.3條要求“所有重要的主輔機保護都應采用‘三取二’的邏輯判斷方式”的原因。同時，DL/T 5428—2009的5.3.6條、5.3.7條也對傳感器硬件故障裕度作出了相應的規定[5]。

1.4 危險失效頻率

傳感器、PE或非PE邏輯解算器、最終元件的故障裕度滿足GB/T 21109.1—2007的要求，并不意味著設計的ETS就滿足了SIL3標準。該標準的9.2.4條，對要求操作模式和高要求或連續操作模式的安全儀表系統危險失效概率、頻率進行了規定。對于ETS，應采用高要求或連續操作模式的要求。其中，安全儀表功能(safety instrumented function，SIF)危險失效頻率也是影響ETS安全性的重要指標之一[3]。ETS的SIF危險失效頻率如表2所示。

表2 SIF危險失效頻率

設計的ETS不但要滿足硬件冗余度的要求，而且各部件的危險失效頻率也要滿足相應等級儀表要求。根據GB/T 20438.6—2017《電氣電子可編程電子安全相關系統的功能安全》，危險失效頻率和儀表的平均故障前時間(mean time to failure,MTTF)、檢測測試時間間隔(即檢修周期)、平均恢復時間(mean time to repair,MTTR)以及診斷覆蓋率(diagnostic coverage,DC)等參數有關[2]。總體來說，診斷覆蓋率越高、檢修測試周期越短、平均故障前時間越長，其危險失效頻率越低。

2 三重冗余ETS的設計

ETS的硬件配置，除滿足DL/T 5428—2009的5.3條的各項要求外，還要運用安全儀表設計的理念和GB/T 21109.1—2007設計思想，使設計的ETS在原則上符合安全儀表的各項要求[3]，從而進一步提高了安全性[6]。

2.1 電源系統設計

2.1.1 跳閘回路驅動電源

一般ETS的跳閘回路采用雙通道(即A、B通道)四電磁閥結構。雙通道四電磁閥失電跳閘回路如圖1所示。由圖1可知，A、B通道的驅動電源要與控制電源分開，直接取自電廠對應單元機組的不間斷電源系統(uninterruptible power system,UPS)或直流電源盤，且兩路電源取自不同的母線段。這種動力驅動電源與控制電源分開的設計方式可降低執行設備故障導致控制電源失電的風險，也更容易實現保護開關之間的級差配合。當跳閘回路驅動電源采用交流電源，且機組只有一套UPS電源裝置時，另一路采用保安電源。當跳閘回路驅動電源采用直流電源，且只有一路直流電源時，則可采用經UPS電源變換后的浮地直流電源。每路電源保護開關容量應大于額定負荷的3倍以上，其特性曲線應滿足驅動回路動作時沖擊電流的要求。

圖1 雙通道四電磁閥失電跳閘回路示意圖

在圖1所示的跳閘回路中，AST1、AST3電磁閥可使用一路電源，AST2、AST4電磁閥應使用另一路電源，并保證從源頭就沒有共用同一路電源，以確保一路電源失電時，不會導致機組誤跳閘。跳閘回路驅動電源平均故障前時間MTTF11(t11)延長100%[7]。

2.1.2 控制電源

ETS應設置至少兩路電源，分別給三套冗余的直流電源裝置供電，或者給能夠接受兩路電源的PLC系統供電。每路電源至用電負荷的回路中均應設置空氣開關。其電源與跳閘回路驅動電源的要求一致，以保證控制電源與驅動電源之間完全分開[8]。冗余PLC的控制電源之間彼此獨立。

控制電源回路如圖2所示。

圖2 控制電源回路示意圖

電源的電壓允許范圍應滿足PLC系統的最低、最高電壓要求，各路電源失電時應能夠發出報警，包括每個直流電源裝置故障和單路交流電源失電等。檢測裝置的閥值，應至少比PLC系統允許的工作電源電壓范圍小10%。單路電源工作時，每套電源裝置的裕量不應小于單路工作時的30%，最佳為50%。

圖2中僅表示出兩套PLC裝置。其中，ETS的控制面板電源采用快速熔斷器作為保護元件，而PLC裝置采用電源空氣開關作為保護元件，以降低控制面板回路對控制電源造成的風險。

這種采用冗余兩路電源的三重冗余電源模塊的控制電源，相比兩路冗余電源的單路電源模塊的控制電源，平均故障前時間MTTF12(t12)一般延長67%。

2.1.3 I/O電源

I/O電源作為ETS(PLC)的重要電源，也應確保其彼此獨立、安全，并確保PLC的卡件故障、檢測回路故障等限定在最小范圍內，且每塊卡件均應設置保護元件。如果可行，則應該對每個I/O通道設置保護元件。

對于大多數采用直流I/O電源系統的I/O卡件，為保證I/O電源安全，輸入卡件建議采用拉出型電源裝置。因為在灌入型接線方式中，I/O電源直接接至現場檢測元件，一般電纜、元件等存在接地故障時將直接導致I/O電源失電。而在拉出型設計中，當發生一般電纜、元件等接地故障時，最多造成一個信號誤發或故障。同時，應選用帶有通道隔離二極管的卡件，或外配隔離二極管，以避免常開接點的I/O電源返回至故障回路或卡件。依照這樣的設計，I/O電源平均故障前時間MTTF13(t13)延長88%(按最少的每塊卡8通道計算)。則電源系統平均故障前時間MTTF1(t1)延長了85%左右，t1=(t11+t12+t13)÷3=(100%+67%+88%)÷3=85%。

2.2 跳閘回路設計

GE公司3取2表決模塊接線如圖3所示。

圖3 GE公司3取2表決模塊接線圖

相比二重冗余的系統，三重冗余的ETS跳閘回路的設計相對簡單。可采用表決模塊，對三個PLC的跳閘輸出進行3取2表決[9]。表決模塊可采用通用的一體化模塊，也可采用擴展繼電器搭接。為保證其可靠性和簡化回路，建議采用成熟的3取2表決模塊。

對于圖1所示的雙通道四電磁閥的跳閘系統，可采用四個表決模塊完成，每個表決模塊帶一個電磁閥。每個PLC的一個跳閘通道，分別接至一個表決模塊。對于采用直流電源的跳閘系統，需在電磁閥電源兩側接入表決模塊的跳閘接點。

圖3中，兩路24 V DC電源供電，三路跳閘開關量輸入和反饋，三路固態繼電器跳閘輸出。

為進一步提高可靠性，每個電磁閥可采用兩個表決模塊并聯控制，但輸出的跳閘通道會增加一倍。通過查閱GB/T 20438.6—2017高要求模式或者連續操作模式的樣表(表B.10～B.13)[2]，“3取2”“2取1”“2取2”“1取1”跳閘回路系統的每小時平均失效概率是逐漸增大的，即SIF越來越大、SIL逐漸降低。例如“3取2”“2取1”“1取1”(“2取2”相近)表決模塊，在測試時間間隔為6個月和平均恢復時間為8 h時，每小時平均失效概率[2]如表3所示。

表3 每小時平均失效概率

表3中：λ為子系統中每個通道失效率(每小時)，一般為0.1×10-6、0.5×10-6、1×10-6、5×10-6、10×10-6、50×10-6；β為具有共同原因的、沒有被檢測到的失效分數，一般為2%、10%、20%；βD為具有共同原因的、已被診斷測試檢測到的失效分數，一般為1%、5%、10%。所以，通過經典“3取2”表決模塊完成的跳閘回路[10]，在其他外在因素相同的情況下，危險失效頻率可以提高約一個級數。

2.3 監視檢測系統設計

監視檢測系統是否完善，直接影響安全儀表系統的SFF。完善的監視檢測系統，可以增加對于故障裕度的要求。因此，對于安全儀表而言，監視檢測系統是提高安全性的重要因素。

2.3.1 電源故障監視

電源監視系統應包括以下幾個方面。

①每路電磁閥電源的監視。

②每個電源模塊或PLC電源的監視。

③保護元件動作狀態監視。

2.3.2 過程信號監視

過程輸入信號采用一進三出形式的端子排，并接至每個PLC的輸入卡件，即每個PLC接收全部的輸入信號。因此，每個冗余信號都應與表決結果進行“異或”邏輯運算，當發現不一致(值為“1”)時應進行報警。對于過程開關量，應增加一定延時，以消除動作值允許誤差內造成的誤報警。

2.3.3 跳閘信號監視

每個跳閘信號以及表決模塊的輸出，均應反饋至PLC進行監視。除監視其彼此狀態是否一致外，還應與ETS跳閘或復位狀態進行比較，以便發現異常。如果I/O點數受限，對于失電跳閘的系統，可將圖4中的表決模塊反饋信號串聯后，接至輸入模塊，以便監視任一PLC的跳閘動作情況。

2.3.4 首出和保護投退信號監視

GB/T 21109.1—2007的11.7.1.4條和DL/T 5428—2009的9.2條都對ETS的相關信號的監視作出了明確的規定。在GB/T 21109.1—2007標準中，要求ETS應提供以下關鍵信息。

①過程按既定順序進行的情況(不涉及事件順序記錄)。

②已發生SIS動作指示(首出)。

③旁路一個保護功能的指示(投退)。

以下是已在前面描述過的功能信息[3]。

①已發生表決和/或故障處理退化時，自動動作的指示。

②傳感器和最終元件的狀況。

③影響安全的斷電。

④故障診斷結果。

2.3.5 PLC故障監視

GB/T 21109.2—2007的附錄E給出了開發安全配置的PE邏輯解算器的外配診斷程序的示例，主要用于沒有或者不能向外部提供顯著的故障警告輸出的情形。在E.2中指出，外部看門狗定時器(external watch dog timer,EWDT)的實現方法是由PE邏輯解算器使用軟件中的應用邏輯，發出周期性脈沖，輸出到看門狗定時器或脈寬監視器。如果PLC沒有故障監視接點輸出，ETS采用掃描脈沖和外部看門狗定時器或脈沖監視器，是簡便易行的方案。對于掃描脈沖輸出通道，應采用固態繼電器或其他半導體接點輸出[3]。

電源故障、過程信號、跳閘信號、首出和保護投退信號的在線監視，以及PLC故障監視，提高了系統的診斷覆蓋率和故障裕度要求，降低了SFF。

2.4 在線試驗功能設計

對于ETS過程開關(即保護動作開關)在線試驗功能設計，ETS應在邏輯上實現從輸入到輸出的在線試驗，輸入通道的在線試驗，可設計為與輸出通道同步進行。在線試驗邏輯中，對于在線試驗的過程開關、儀表以及跳閘通道的繼電器、表決模塊、液壓系統等的反饋狀態，應根據試驗通道進行診斷，判斷其有無異常。在線試驗功能應設計試驗允許判斷條件，以確保機組不因在線試驗而誤跳閘，例如：①自動停機跳閘油壓(automatic stop pressure,ASP)診斷異常；②跳閘繼電器和表決模塊診斷異常；③非試驗通道診斷異常；④PLC、I/O及跳閘通道電源異常等。

這些在線試驗和診斷功能提高了系統的硬件故障裕度要求和診斷覆蓋率，也降低了安全失效分數。

2.5 ETS的響應時間設計

汽輪機作為高速旋轉機械，對ETS響應時間提出了要求。GB/T 13399—2012《汽輪機安全監視裝置技術條件》的3.4.7條：“對作為緊急停機處理的監視項目(3.2.2條中的b、c、i、j等)，從信號的發生到監視裝置輸出應限制在0.05 s時間范圍內”[6]。DL/T 5428—2009的10.4.2條要求“對于超速保護通常要求的處理周期常為20～30 ms”。因此，跳閘輸出通道包括表決模塊的繼電器，建議采用固態繼電器，以便滿足相關標準對于系統響應時間的要求，并進行驗收測試。

3 結論

本文根據相關標準規范，參照安全儀表的設計理念，進行了三重冗余ETS的設計。三重冗余的ETS從軟件和硬件的故障裕度要求、SFF、平均故障頻率等方面大幅提高保護系統，簡化跳閘回路，進一步提高可維護性，從而確保發電機組的安全運行。當然，國家標準GB/T 20438—2006和GB/T 21109—2007對于安全儀表的設計還有其他方面的要求。因此，按照本文設計的ETS，不一定能夠達到SIL3標準，還需考慮PLC、電源和其他部件的選型，以及硬件平均故障頻率、故障裕度和安全故障分數、檢修測試周期和檢查覆蓋率等因素。