鄒見效，徐紅兵，張正遷

(電子科技大學(xué)自動化工程學(xué)院 成都 611731)

汽輪機危急跳閘系統(tǒng)(ETS)用于監(jiān)控對機組安全有重大影響的參數(shù)，當(dāng)這些參數(shù)超過安全限值時，發(fā)送出緊急停車信號，避免危險擴散造成巨大損失，對于生產(chǎn)裝置的安全、穩(wěn)定、高效運行具有重要意義[1-2]。隨著工業(yè)技術(shù)的發(fā)展，現(xiàn)代汽輪機的安全保護系統(tǒng)對可靠性的要求越來越高。提高系統(tǒng)可靠性有采用高可靠性的元器件和采用余度技術(shù)兩種途徑。在一定條件下，元器件的可靠性指標(biāo)是一定的，提高系統(tǒng)可靠性的潛力有限。余度技術(shù)包含硬件冗余、軟件冗余、時間冗余和信息冗余。硬件冗余又可分為被動冗余、主動冗余和混合冗余。由于硬件容錯系統(tǒng)是在總線級進行數(shù)據(jù)比較和表決，而軟件容錯則在系統(tǒng)級實現(xiàn)容錯，在實時控制系統(tǒng)領(lǐng)域，采用硬件容錯比軟件容錯更為可靠[3-5]。

為達到較高的可靠性，現(xiàn)代汽輪機安全保護系統(tǒng)多采用雙機冗余備份或三冗余。通常情況下三重冗余系統(tǒng)只能實現(xiàn)一次故障工作、二次故障安全。針對ETS系統(tǒng)結(jié)構(gòu)特點，本文提出了一種三重冗余容錯方案。

1 系統(tǒng)原理

根據(jù)《火電廠設(shè)計技術(shù)規(guī)程》(DL5000-2000)，ETS接收來自汽輪發(fā)電機組TSI系統(tǒng)、鍋爐FSSS系統(tǒng)及其他系統(tǒng)的報警和停機信號，進行邏輯處理后，輸出跳閘信號至跳閘電磁閥，跳閘電磁閥卸掉保安系統(tǒng)的保安油，使汽輪機的主汽閥和調(diào)節(jié)閥迅速關(guān)閉，完成汽輪機跳閘的功能。ETS是汽輪機組控制系統(tǒng)中負(fù)責(zé)汽輪機危急跳閘的控制單元，安全、可靠地執(zhí)行跳閘指令是ETS系統(tǒng)要考慮的重要指標(biāo)[2]。本文采用三重化冗余容錯的思想提高系統(tǒng)的可靠性和安全性：(1) 系統(tǒng)能夠自動檢測并隔離各組成模塊及通道故障；(2) 允許在不中斷系統(tǒng)運行的情況下對其實施維修和更換部件。

系統(tǒng)主要包含智能輸入模塊、主控制器、總線控制器和智能輸出模塊。傳輸總線采用帶隔離的、滿足CAN 2.0B規(guī)范的高速CAN總線。在本文系統(tǒng)中，CAN總線也采用三重化的冗余配置，分為用α、β、γ來表示。系統(tǒng)通過3組獨立的輸入模塊采集外部汽輪機組報警和停機信號，通過總線控制器匯總到主控制器中。3個獨立的主控制器分別通過3個總線控制器與3條冗余總線相連。通過對3個輸入模塊采集的信號進行3取2表決，并屏蔽故障通道數(shù)據(jù)，主控制器利用輸入表決結(jié)果進行邏輯運算，得到輸出跳閘信號。構(gòu)成H型表決器的4個輸出模塊各自都能夠通過系統(tǒng)總線得到3個主控制器對本模塊的輸出結(jié)果，并對結(jié)果進行軟件表決。系統(tǒng)輸出使用H型結(jié)構(gòu)實現(xiàn)最終結(jié)果的硬件表決。

通過在線通道內(nèi)自監(jiān)測、通道間互監(jiān)測及通道同步策略得到系統(tǒng)的故障表及數(shù)據(jù)偏差報告。利用預(yù)設(shè)的表決適應(yīng)方案在表決時對故障模塊、故障點進行屏蔽處理，從而實現(xiàn)系統(tǒng)高可靠的冗余容錯。通過故障-安全比較器和故障-安全電路可保障系統(tǒng)的故障-安全性。系統(tǒng)原理框圖如圖1所示。

圖1 三重冗余系統(tǒng)原理框圖

2 三重冗余系統(tǒng)冗余容錯策略

2.1 信號表決

三重冗余ETS系統(tǒng)共設(shè)置了輸入表決面、輸出表決面和H型表決器表決面：(1) 輸入表決面采用軟件在主控制器中實現(xiàn)，用于對輸入采集數(shù)據(jù)的進行3取2表決；(2) 輸出表決面采用軟件在輸出模塊中實現(xiàn)，用于對來自3個主控制器的運算結(jié)果進行3取2表決；(3) H型結(jié)構(gòu)利用4個輸出模塊共同構(gòu)成硬件的3取2表決器，可進一步提高輸出的可靠性。表決面的設(shè)置如圖2所示。

前兩個表決面處的表決數(shù)據(jù)通信通過總線控制器轉(zhuǎn)發(fā)數(shù)據(jù)實現(xiàn)。3個主控制器分別連接3個總線控制器，通過總線控制器實現(xiàn)表決數(shù)據(jù)的轉(zhuǎn)發(fā)。為防止硬件表決器發(fā)生故障而引發(fā)不安全的結(jié)果，將最終輸出反饋回主控制器，再一次對輸出與主控制器的運算結(jié)果進行對比驗證。通過3個表決面的設(shè)立和反饋驗證的功能，系統(tǒng)的每一個部分都得到了監(jiān)控，屏蔽了大部分器件失效時引發(fā)事故的可能，保證了系統(tǒng)的安全。

表決適應(yīng)方案主要有3-2-0和3-2-1-0兩種。其中，“3”表示3路數(shù)據(jù)均有效，采用的表決機制為完整的3取2表決方案；“2”表示僅有兩路數(shù)據(jù)有效，此時采用可預(yù)先設(shè)定的“雙重化缺省值”替代無效的那一路數(shù)據(jù)進行3取2表決；“1”表示僅有一路有效。在3-2-1-0表決適應(yīng)方案中，采用唯一有效路作為最終結(jié)果，不再進行表決比較；而在3-2-0表決適應(yīng)方案中，則采用“默認(rèn)缺省值”作為最終結(jié)果。默認(rèn)缺省值可根據(jù)系統(tǒng)要求設(shè)定為安全值或是保持前一狀態(tài)；“0”表示3路全部無效，不進行任何比較，此時，直接采用默認(rèn)缺省值作為最終結(jié)果。

圖2 表決面設(shè)置示意圖

2.2 系統(tǒng)故障檢測與自測試

能否實時準(zhǔn)確地檢測出系統(tǒng)故障并對故障進行隔離是系統(tǒng)冗余容錯設(shè)計的關(guān)鍵。系統(tǒng)采用模塊通信故障檢測和模塊內(nèi)通道自測的故障檢測方案。

(1) 模塊通信故障檢測：系統(tǒng)中3個主控制器都必須實時準(zhǔn)確地了解整個系統(tǒng)各模塊的通信故障，以便作出正確的處理。在三重冗余ETS系統(tǒng)中，利用心跳檢測[6]的方法檢測總線上輸入、輸出模塊和總線控制器的通信故障，及時地通過總線控制器把故障信息傳達給主控制器。

(2) 模塊內(nèi)部通道自測試：自測試包含智能輸入、輸出模塊和主控制器的自測試。每一個主處理器輪流控制自測試程序。主控制器執(zhí)行輸入、輸出自測試后，再把自測試控制命令傳給下一個主控制器。輸入/輸出自測試能夠檢查模塊內(nèi)部采集/輸出通道的單點故障。

2.3 主控制器同步

冗余系統(tǒng)要求通道間始終運行同一任務(wù)，僅允許有限偏差。對于上電初始或是模塊維修更換，在同步過程中，新上電的主控制器初始化后，首先判斷有無其他正常的主控制器在線，通過相連的總線控制器獲取另兩個主控制器的狀態(tài)。若檢測到其他主控制器在線，則通過總線控制器向其發(fā)送同步請求，并通過總線控制器之間的數(shù)據(jù)轉(zhuǎn)發(fā)實現(xiàn)主控制器之間的數(shù)據(jù)和狀態(tài)同步。

2.4 故障處理

3通道間采用主動并列運行、分機余度形式。當(dāng)系統(tǒng)模塊出現(xiàn)通信故障時，直接屏蔽該模塊的功能；若出現(xiàn)模塊自測試故障，則屏蔽其相應(yīng)通道的數(shù)據(jù)。通過3-2-1-0表決適應(yīng)性方案，當(dāng)系統(tǒng)出現(xiàn)一次故障、二次故障后，系統(tǒng)隔離故障部分，故障部分變?yōu)槎喽?、單余度工作，由于采用分機余度形式，其他部分不受影響；當(dāng)系統(tǒng)出現(xiàn)3次故障時，系統(tǒng)則變?yōu)榘踩珣B(tài)。

3 系統(tǒng)可靠性評估及調(diào)試

系統(tǒng)可靠性是指系統(tǒng)在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定功能的能力?？煽啃允且粋€定性的概念，而實際工作中往往需要用可靠度定量地表現(xiàn)可靠性的高低?？煽慷仁侵赶到y(tǒng)在初始時刻(t=0)時可靠度為1的條件下，在0～t時間內(nèi)正常工作的概率。由于系統(tǒng)是冗余系統(tǒng)，系統(tǒng)發(fā)生故障是余度性能降級的動態(tài)過程，利用馬爾可夫過程理論能夠?qū)τ喽认到y(tǒng)進行精確的可靠性建模分析，較為真實地描述系統(tǒng)的實際工作過程。

3.1 H型表決器可靠性分析

由圖1可知，H型表決器由兩個源模塊(A,B)和兩個漏模塊(C,D)組成。漏模塊D受控于源型模塊A和B，其邏輯表達式為D=A&B。系統(tǒng)輸出要為有效，必須同時有一個源模塊和一個漏模塊輸出為“真”。表1為H型表決器的真值表，通過真值表可知，H型表決器實現(xiàn)了輸出模塊A、B、C的3取2表決。由其工作原理可知，H型表決器可靠性關(guān)系為：

表1 輸出模塊真值

假設(shè)H型表決器中源型和漏型輸出模塊的可靠度相同，并且設(shè)為R，則H型表決器可靠度為：

3.2 單模系統(tǒng)可靠性建模

單模系統(tǒng)由一個輸入模塊、一個主控制器和一個輸出模塊組成，如圖3所示。

圖3 單模系統(tǒng)結(jié)構(gòu)框圖

假設(shè)輸入模塊、主控制器和輸出模塊的失效率分別為λIN、λMC和λOUT；系統(tǒng)的修復(fù)率為μ?？傻玫絾文Ｏ到y(tǒng)的馬爾可夫狀態(tài)轉(zhuǎn)移圖如圖4所示。

圖4 單模系統(tǒng)馬爾可夫模型

其中，P0代表系統(tǒng)的完好狀態(tài)，PF代表系統(tǒng)失效的狀態(tài)，當(dāng)單模系統(tǒng)中任何一個模塊失效，則整個系統(tǒng)失效。Pi(t)(i=0,F)表示時刻t系統(tǒng)處于Pi狀態(tài)的概率，Pi(t+1)(i=0,F)表示時刻t的下一時刻系統(tǒng)處于Pi狀態(tài)的概率。

3.1 三重冗余系統(tǒng)可靠性建模

為了方便討論及建模，把H型表決器作為一個部件來考慮，可得如圖5所示系統(tǒng)邏輯框圖。

系統(tǒng)工作狀態(tài)劃分為工作態(tài)、安全態(tài)和故障態(tài)。工作態(tài)指系統(tǒng)正常工作；安全態(tài)指系統(tǒng)輸出一個預(yù)設(shè)的安全狀態(tài)；故障態(tài)指系統(tǒng)輸出不受控制。假設(shè)系統(tǒng)的表決適應(yīng)方案采用3-2-1-0，在同一時刻只有一個模塊失效。當(dāng)輸入模塊或主控制器全部失效而H型表決器有效時，根據(jù)3-2-1-0的表決適應(yīng)方案，系統(tǒng)將輸出預(yù)設(shè)的安全值，系統(tǒng)處于安全狀態(tài)。當(dāng)H型表決器失效時，則整個系統(tǒng)失效。定義輸入模塊的失效率為λIN，主控制器的失效率為λMC，H型表決器的失效率為λH，系統(tǒng)的修復(fù)率為μ。經(jīng)過修復(fù)，可使系統(tǒng)恢復(fù)到最初狀態(tài)。

圖5 三冗余系統(tǒng)可靠性邏輯框圖

為了表述方便，下文使用IN代表輸入模塊，MC代表主控制器，H代表H型輸出結(jié)構(gòu)模塊。系統(tǒng)處于完好狀態(tài)時，有3個輸入模塊、3個主控模塊和H型模塊處于工作狀態(tài)，以(3IN,3MC,H)表示。系統(tǒng)的馬爾可夫模型狀態(tài)圖如圖6所示。

其狀態(tài)可描述為：

(1) 狀態(tài)P1(3IN,3MC,H)表示系統(tǒng)的完好狀態(tài)；

(2) 狀態(tài)P2(3IN,2MC,H)表示系統(tǒng)有1個主控制器失效，2個主控制器有效，輸出模塊對2個主控制器的輸出數(shù)據(jù)及一個雙重化缺省值進行3取2表決；

(3) 狀態(tài)P3(2IN,3MC,H)表示系統(tǒng)有1個輸入模塊失效，主控制器對2個輸入模塊的數(shù)據(jù)以及一個雙重化缺省值進行3取2表決；

(4) 狀態(tài)P4(IN,3MC,H)表示系統(tǒng)有2個輸入模塊失效，1個輸入模塊有效，系統(tǒng)使用3-2-1-0表決適應(yīng)方案，直接使用該有效輸入模塊的值；

(5) 狀態(tài)P5(3IN,MC,H)表示只有1個主控制器正常工作。系統(tǒng)直接使用該有效主控制器的輸出值；

(6) 狀態(tài)P6(2IN,2MC,H)表示有1個輸入模塊和1個主控制器失效，主控制器采用雙重化缺省值與2個輸入數(shù)據(jù)進行3取2表決，輸出模塊對2個主控制器的輸出數(shù)據(jù)以及一個雙重化缺省值進行3取2表決；

(7) 狀態(tài)P7(IN,2MC,H)表示有1個輸入模塊和2個主控制器有效，主控制器使用唯一有效的輸入模塊的值進行運算；

(8) 狀態(tài)P8(2IN,MC,H)表示只有2個輸入模塊和1個主控制器有效，輸出表決時使用唯一有效的主控制器的輸出值；

(9) 狀態(tài)P9(IN,MC,H)表示只有1個輸入模塊和1個主控制器有效，系統(tǒng)相當(dāng)于單機模式，不進行表決，直接使用有效路的值作為輸出結(jié)果；

圖6 三冗余系統(tǒng)的馬爾可夫模型

(10) 狀態(tài)PS表示系統(tǒng)處于安全態(tài)，輸入模塊或主控制器全部無效但H型表決器有效時，根據(jù)3-2-1-0的表決適應(yīng)方案，系統(tǒng)輸出預(yù)設(shè)的安全值，為安全狀態(tài)。

(11) 狀態(tài)PF表示系統(tǒng)處于故障態(tài)，H型表決器無效時輸出無法受系統(tǒng)控制，系統(tǒng)處于故障狀態(tài)。

設(shè)Pi(t)(i=0,1,2,…,F)表示時刻t系統(tǒng)處于Pi狀態(tài)的概率。由控制器馬爾可夫模型和全概率公式可得控制器馬爾可夫模型方程組：

對于微分方程組，其初始條件為t=0時，所有模塊均完好，故有：

3.4 系統(tǒng)仿真與分析

對可靠性方案的評價往往要涉及系統(tǒng)部件的可靠性數(shù)據(jù)，而這些數(shù)據(jù)在設(shè)計階段不易獲得?？梢允褂霉烙嫷臄?shù)據(jù)來進行分析，但必須保證各個方案評價中使用的數(shù)據(jù)具備可比性。針對汽輪機組的工業(yè)應(yīng)用場合，并參考文獻[7-9]對模塊故障率的假設(shè)，在ETS系統(tǒng)的可靠性仿真中，假設(shè)輸入模塊的故障率為4E-6，主控制器的故障率為2E-6，輸出模塊的故障率為4E-6。由H型結(jié)構(gòu)的可靠度表達式2R2–R4可知，H型的故障率為1E-9。在相同的具有可比性的條件下，對三重冗余系統(tǒng)和單模系統(tǒng)進行可靠性仿真。

由于可靠度與系統(tǒng)的修復(fù)率無關(guān)，把系統(tǒng)的修復(fù)率μ設(shè)為0。從圖7的可靠度曲線可見，到300 000小時(約34年)后，三重冗余系統(tǒng)的可靠度還高達0.6，在相同的模塊故障率條件下，三重冗余系統(tǒng)的可靠度遠大于單模系統(tǒng)的可靠度。

圖7 三重冗余與單模系統(tǒng)可靠度

假設(shè)整個系統(tǒng)的修復(fù)率μ為0.01，對三重冗余系統(tǒng)和單模系統(tǒng)的安全度進行仿真，如圖8所示，三重冗余系統(tǒng)的安全度接近1，單模系統(tǒng)的安全度收斂于0.999。

通過對各部分采用三重化冗余配置，加入輸入、輸出和H型表決面，完成了輸入采集、輸入表決、輸出計算和輸出表決的三重化冗余處理，在相同的故障率和修復(fù)率下，使其可靠度和安全度大大提高，能夠滿足汽輪機組安全保護系統(tǒng)的高可靠性的要求。

3.5 系統(tǒng)調(diào)試

三重冗余ETS系統(tǒng)采用模塊化設(shè)計，通過背板方式互聯(lián)，背板間通過總線級聯(lián)，機柜配備雙重化冗余一體化電源(220 VAC、24 VDC)。系統(tǒng)邏輯采用某300 MW汽輪機發(fā)電機組ETS系統(tǒng)邏輯，采用梯形圖編程實現(xiàn)并運行于主控制器中。為方便系統(tǒng)調(diào)試，設(shè)計了模擬試驗盤，可檢查通道的動作情況并有相對應(yīng)的指示燈。模擬盤還設(shè)計了主機復(fù)位、通道投切、電超速試驗隔離、等調(diào)試功能。通過反復(fù)的汽輪機信號采集，主控制器表決、輸出表決及H型驅(qū)動、輸入/輸出內(nèi)部通道自測試及模塊通信故障檢測等方面的測試，驗證了系統(tǒng)的功能性。并且經(jīng)過長時間通電試驗，系統(tǒng)運行良好，其穩(wěn)定性得到證明。

圖8 三重冗余與單模系統(tǒng)安全度

4 結(jié) 論

針對汽輪機組對安全保護裝置ETS系統(tǒng)結(jié)構(gòu)特點，提出一種三重冗余容錯方案，通過選擇合理的余度配置和管理方案、完善的模塊自測試和故障監(jiān)控措施，實現(xiàn)了二次故障工作，三次故障安全，以較少余度實現(xiàn)較高的容錯能力?？紤]可維修條件下及不同部件不同失效率的情況下，建立三重冗余系統(tǒng)和單模系統(tǒng)的Markov可靠性模型，利用MATLAB對系統(tǒng)可靠度和安全度進行仿真，從理論仿真上驗證了三重冗余系統(tǒng)比單模系統(tǒng)有更高的安全性和更高的可靠性?，F(xiàn)場調(diào)試和長時間通電實驗，證明了系統(tǒng)應(yīng)用于汽輪機組安全保護裝置的功能性和穩(wěn)定性。其冗余容錯設(shè)計符合汽輪機安全保護系統(tǒng)高可靠性和高安全性的要求。

[1] 何湘杰, 張 靜. PLC在汽輪機ETS系統(tǒng)中的應(yīng)用研究[J].汽輪機技術(shù), 2005, 47(3): 225-226.HE Xiang-jie, ZHANG Jing. Study on application of PLC to ETS system of steam turbine[J]. Steam Turbine Technology,2005, 47(3): 225-226

[2] 吳天一, 王 兵, 崔旭東, 等. ETS系統(tǒng)在24 MW汽輪機的應(yīng)用實現(xiàn)[J]. 石油化工自動化, 2007, (??)2: 23-25.WU Tian-yi, WANG Bing, CUI Xu-dong, et al. The application of ETS system in the 24 MW turbine set[J].Automation in Petro-chemical Industry, 2007, (??)2: 23-25.

[3] BOLDUC L P. X-33 redundancy management system[J].Aerospace and electronic systems magazine (IEEE), 2001,16(5): 23-28.

[4] CHEN Guang-yu, HUANG Xi-zi, TANG Xiao-wo. Analysis of phased-mission system reliability and importance with imperfect coverage[J]. Journal of Electronic Science and Technology of China, 2005, 3(2): 182-186.

[5] 靳紅濤, 焦宗夏, 王少萍, 等. 高可靠三余度數(shù)字式作動器控制器設(shè)計與實現(xiàn)[J]. 北京航空航天大學(xué)學(xué)報, 2006,32(5): 548-552.JIN Hong-tao, JIAO Zong-xia, WANG Shao-ping. Design and realization of high reliability tri-redundancy digital actuator controller[J]. Journal of Beijing University of Aeronautics and Astronautics, 2006, 32(5): 548-552.

[6] 尹康凱, 王明偉, 李善平. 高可用性集群中多個節(jié)點的心跳模型研究[J]. 計算機工程, 2005, 31(15): 102-106.YIN Kang-kai, WANG Ming-wei, LI Shan-ping. Study of multi-node heartbeat model used in HA Cluster[J].Computer Engineering, 2005, 31(15): 102-106.

[7] KIM H, JEON Hyung-Joon, LEE Key-seo, et al. The design and evaluation of all voting triple modular redundancy system[C]//Proceeding Annual Reliability and Maintainability Symposium, Seattle. Wadhington,USA:IEIE,2002: 439-444.

[8] DHILLON B S, SUBRAMANIAN P. Reliability analysis of triple modular computer systems with redundant voters and restricted maintenance[J]. Journal of Quality in Maintenance Engineering, 2001,7(2): 151-164.

[9] 王鴻欣, 崔光照, 楊 揚. 基于三模冗余結(jié)構(gòu)的列車監(jiān)控記錄系統(tǒng)[J]. 汕頭大學(xué)學(xué)報(自然科學(xué)版), 2007, 22(4):41-45.

WANG Hong-xin, CUI Guang-zhao, YANG Yang.Research of monitoring and recording system based on tmr structures[J]. Journal of Shantou University (Natural Science), 2007, 22(4): 41-45.