冀樹春，冀樹芳

(1.國(guó)家能源集團(tuán)神華神東電力有限責(zé)任公司技術(shù)研究院，陜西 西安 710065；2.神華神東電力有限責(zé)任公司郭家灣電廠，陜西 榆林 719408)

0 引言

汽輪機(jī)是火力發(fā)電廠三大主機(jī)中最重要的設(shè)備之一，而汽輪機(jī)緊急跳閘系統(tǒng)(emergency trip system，ETS)是保證汽輪機(jī)設(shè)備安全穩(wěn)定運(yùn)行的關(guān)鍵安全保護(hù)控制系統(tǒng)。根據(jù)DL/T 5428—2009《火力發(fā)電廠熱工保護(hù)系統(tǒng)設(shè)計(jì)技術(shù)規(guī)定》5.3.1條，規(guī)定“爐和機(jī)保護(hù)系統(tǒng)可采用安全相關(guān)系統(tǒng)，也可采用其他可編程電子系統(tǒng)分布式控制系統(tǒng)或可編程邏輯控制器使用軟邏輯，或采用繼電器使用硬邏輯實(shí)現(xiàn)”[1]。當(dāng)采用安全相關(guān)系統(tǒng)時(shí)，“宜采用機(jī)關(guān)認(rèn)證的、符合GB/T 20438—2006和GB/T 21109—2007相關(guān)標(biāo)準(zhǔn)要求的、對(duì)應(yīng)高要求或連續(xù)操作模式下安全完整性等級(jí)(safety integrity level,SIL)為SIL3標(biāo)準(zhǔn)”的系統(tǒng)[2-3]。安全相關(guān)系統(tǒng)價(jià)格高，同時(shí)相關(guān)外圍的傳感器、執(zhí)行元件也必須采用安全認(rèn)證產(chǎn)品，才能根據(jù)認(rèn)證證書給出安全相關(guān)參數(shù)，進(jìn)行ETS安全完整性等級(jí)設(shè)計(jì)并計(jì)算。而實(shí)際應(yīng)用時(shí)，傳感器、執(zhí)行元件很少采用安全認(rèn)證產(chǎn)品。因此，更多情況下，ETS采用的是未經(jīng)過安全認(rèn)證的設(shè)備，不符合DL/T 5428—2009的相關(guān)規(guī)定。所以，必須在設(shè)計(jì)上就滿足安全儀表系統(tǒng)(safety instrumented system，SIS)(又稱為安全聯(lián)鎖系統(tǒng))的相關(guān)要求[4]。本文提出一種采用通用可編程邏輯控制器(programmable logical controller,PLC)，按照安全儀表方法設(shè)計(jì)主要功能，形成三重冗余(triple modular redundant，TMR)的ETS的設(shè)計(jì)方案。

1 安全儀表系統(tǒng)的部分概念與相關(guān)要求

GB/T 21109—2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》是現(xiàn)行安全儀表系統(tǒng)的設(shè)計(jì)規(guī)范，在安全儀表系統(tǒng)的獨(dú)立性、故障裕度、安全完整性等級(jí)等方面提出了相關(guān)要求。本文主要討論ETS控制機(jī)柜設(shè)計(jì)的有關(guān)內(nèi)容，對(duì)于現(xiàn)場(chǎng)傳感器、執(zhí)行元件等不作重點(diǎn)討論。

1.1 安全失效分?jǐn)?shù)

GB/T 21109.1—2007的3.2.65.1條給出的安全失效分?jǐn)?shù)定義是“導(dǎo)致安全失效或者可檢測(cè)出的危險(xiǎn)失效的裝置總硬件隨時(shí)失效率分?jǐn)?shù)”，即可檢測(cè)出的、導(dǎo)致安全功能失效的故障概率，與導(dǎo)致安全功能失效的故障概率的比值[3]。如果一套儀表的安全失效分?jǐn)?shù)(safe failure fraction，SFF)為100%，即影響安全功能的全部故障均能檢測(cè)出來，那么在其影響安全功能或?qū)е掳踩δ苁е?，如果能及時(shí)報(bào)警并得以處理，則該系統(tǒng)是安全的。安全PLC系統(tǒng)的一般安全失效分?jǐn)?shù)大于90%。這也是安全PLC系統(tǒng)之所以稱為“安全”PLC系統(tǒng)的原因。

1.2 PLC的故障裕度

GB/T 21109.1—2007的11.4.2條給出了可編程電子(programmable electronics,PE)邏輯解算器的硬件故障裕度要求。PE邏輯解算器的最低硬件故障裕度如表1所示[3]。

表1 PE邏輯解算器的最低硬件故障裕度

表1中，SIL4主要針對(duì)A類安全硬件功能。B類安全硬件功能的SFF必須大于等于99%。

由表1可以看出，PE邏輯演算器的最低硬件故障裕度要求與系統(tǒng)的可檢測(cè)SFF有關(guān)，不僅包括邏輯解算器的硬件，還包括軟件。當(dāng)采用PLC時(shí)，沒有SFF的數(shù)據(jù)。但對(duì)于最低硬件故障裕度的要求，當(dāng)采用安全PLC且安全失效分?jǐn)?shù)大于90%時(shí)，故障裕度為1即達(dá)到SIL3的標(biāo)準(zhǔn)。當(dāng)采用通用PLC時(shí)，由于其SFF一般小于90%，故其故障裕度必須有所增加才能達(dá)到SIL3標(biāo)準(zhǔn)。當(dāng)故障失效分?jǐn)?shù)為60%～90%時(shí)，PLC的故障裕度應(yīng)為2，且至少應(yīng)采用三重冗余的邏輯演算器，才能達(dá)到SIL3標(biāo)準(zhǔn)的故障裕度要求。

1.3 傳感器、最終元件的故障裕度

GB/T 21109.1—2007的11.4.4條給出了以下傳感器、最終元件和非PE邏輯解算器的硬件故障裕度要求[3]：①傳感器、最終元件和非PE邏輯解算器的最低硬件故障裕度為0時(shí)，符合SIL1標(biāo)準(zhǔn)；②傳感器、最終元件和非PE邏輯解算器的最低硬件故障裕度為1時(shí)，符合SIL2標(biāo)準(zhǔn)；③傳感器、最終元件和非PE邏輯解算器的最低硬件故障裕度為2時(shí)，符合SIL3標(biāo)準(zhǔn)。

要想ETS達(dá)到SIL3標(biāo)準(zhǔn)，無論采用的傳感器、最終元件和非PE邏輯解算器等設(shè)備的安全完整性等級(jí)有多高，其硬件故障裕度都是2，即至少要達(dá)到三重冗余，才能滿足SIL3標(biāo)準(zhǔn)。這也是《防止電力生產(chǎn)重大事故的二十五項(xiàng)重點(diǎn)要求》(國(guó)能安全[2014]161號(hào))9.4.3條要求“所有重要的主輔機(jī)保護(hù)都應(yīng)采用‘三取二’的邏輯判斷方式”的原因。同時(shí)，DL/T 5428—2009的5.3.6條、5.3.7條也對(duì)傳感器硬件故障裕度作出了相應(yīng)的規(guī)定[5]。

1.4 危險(xiǎn)失效頻率

傳感器、PE或非PE邏輯解算器、最終元件的故障裕度滿足GB/T 21109.1—2007的要求，并不意味著設(shè)計(jì)的ETS就滿足了SIL3標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的9.2.4條，對(duì)要求操作模式和高要求或連續(xù)操作模式的安全儀表系統(tǒng)危險(xiǎn)失效概率、頻率進(jìn)行了規(guī)定。對(duì)于ETS，應(yīng)采用高要求或連續(xù)操作模式的要求。其中，安全儀表功能(safety instrumented function，SIF)危險(xiǎn)失效頻率也是影響ETS安全性的重要指標(biāo)之一[3]。ETS的SIF危險(xiǎn)失效頻率如表2所示。

表2 SIF危險(xiǎn)失效頻率

設(shè)計(jì)的ETS不但要滿足硬件冗余度的要求，而且各部件的危險(xiǎn)失效頻率也要滿足相應(yīng)等級(jí)儀表要求。根據(jù)GB/T 20438.6—2017《電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全》，危險(xiǎn)失效頻率和儀表的平均故障前時(shí)間(mean time to failure,MTTF)、檢測(cè)測(cè)試時(shí)間間隔(即檢修周期)、平均恢復(fù)時(shí)間(mean time to repair,MTTR)以及診斷覆蓋率(diagnostic coverage,DC)等參數(shù)有關(guān)[2]?？傮w來說，診斷覆蓋率越高、檢修測(cè)試周期越短、平均故障前時(shí)間越長(zhǎng)，其危險(xiǎn)失效頻率越低。

2 三重冗余ETS的設(shè)計(jì)

ETS的硬件配置，除滿足DL/T 5428—2009的5.3條的各項(xiàng)要求外，還要運(yùn)用安全儀表設(shè)計(jì)的理念和GB/T 21109.1—2007設(shè)計(jì)思想，使設(shè)計(jì)的ETS在原則上符合安全儀表的各項(xiàng)要求[3]，從而進(jìn)一步提高了安全性[6]。

2.1 電源系統(tǒng)設(shè)計(jì)

2.1.1 跳閘回路驅(qū)動(dòng)電源

一般ETS的跳閘回路采用雙通道(即A、B通道)四電磁閥結(jié)構(gòu)。雙通道四電磁閥失電跳閘回路如圖1所示。由圖1可知，A、B通道的驅(qū)動(dòng)電源要與控制電源分開，直接取自電廠對(duì)應(yīng)單元機(jī)組的不間斷電源系統(tǒng)(uninterruptible power system,UPS)或直流電源盤，且兩路電源取自不同的母線段。這種動(dòng)力驅(qū)動(dòng)電源與控制電源分開的設(shè)計(jì)方式可降低執(zhí)行設(shè)備故障導(dǎo)致控制電源失電的風(fēng)險(xiǎn)，也更容易實(shí)現(xiàn)保護(hù)開關(guān)之間的級(jí)差配合。當(dāng)跳閘回路驅(qū)動(dòng)電源采用交流電源，且機(jī)組只有一套UPS電源裝置時(shí)，另一路采用保安電源。當(dāng)跳閘回路驅(qū)動(dòng)電源采用直流電源，且只有一路直流電源時(shí)，則可采用經(jīng)UPS電源變換后的浮地直流電源。每路電源保護(hù)開關(guān)容量應(yīng)大于額定負(fù)荷的3倍以上，其特性曲線應(yīng)滿足驅(qū)動(dòng)回路動(dòng)作時(shí)沖擊電流的要求。

圖1 雙通道四電磁閥失電跳閘回路示意圖

在圖1所示的跳閘回路中，AST1、AST3電磁閥可使用一路電源，AST2、AST4電磁閥應(yīng)使用另一路電源，并保證從源頭就沒有共用同一路電源，以確保一路電源失電時(shí)，不會(huì)導(dǎo)致機(jī)組誤跳閘。跳閘回路驅(qū)動(dòng)電源平均故障前時(shí)間MTTF11(t11)延長(zhǎng)100%[7]。

2.1.2 控制電源

ETS應(yīng)設(shè)置至少兩路電源，分別給三套冗余的直流電源裝置供電，或者給能夠接受兩路電源的PLC系統(tǒng)供電。每路電源至用電負(fù)荷的回路中均應(yīng)設(shè)置空氣開關(guān)。其電源與跳閘回路驅(qū)動(dòng)電源的要求一致，以保證控制電源與驅(qū)動(dòng)電源之間完全分開[8]。冗余PLC的控制電源之間彼此獨(dú)立。

控制電源回路如圖2所示。

圖2 控制電源回路示意圖

電源的電壓允許范圍應(yīng)滿足PLC系統(tǒng)的最低、最高電壓要求，各路電源失電時(shí)應(yīng)能夠發(fā)出報(bào)警，包括每個(gè)直流電源裝置故障和單路交流電源失電等。檢測(cè)裝置的閥值，應(yīng)至少比PLC系統(tǒng)允許的工作電源電壓范圍小10%。單路電源工作時(shí)，每套電源裝置的裕量不應(yīng)小于單路工作時(shí)的30%，最佳為50%。

圖2中僅表示出兩套PLC裝置。其中，ETS的控制面板電源采用快速熔斷器作為保護(hù)元件，而PLC裝置采用電源空氣開關(guān)作為保護(hù)元件，以降低控制面板回路對(duì)控制電源造成的風(fēng)險(xiǎn)。

這種采用冗余兩路電源的三重冗余電源模塊的控制電源，相比兩路冗余電源的單路電源模塊的控制電源，平均故障前時(shí)間MTTF12(t12)一般延長(zhǎng)67%。

2.1.3 I/O電源

I/O電源作為ETS(PLC)的重要電源，也應(yīng)確保其彼此獨(dú)立、安全，并確保PLC的卡件故障、檢測(cè)回路故障等限定在最小范圍內(nèi)，且每塊卡件均應(yīng)設(shè)置保護(hù)元件。如果可行，則應(yīng)該對(duì)每個(gè)I/O通道設(shè)置保護(hù)元件。

對(duì)于大多數(shù)采用直流I/O電源系統(tǒng)的I/O卡件，為保證I/O電源安全，輸入卡件建議采用拉出型電源裝置。因?yàn)樵诠嗳胄徒泳€方式中，I/O電源直接接至現(xiàn)場(chǎng)檢測(cè)元件，一般電纜、元件等存在接地故障時(shí)將直接導(dǎo)致I/O電源失電。而在拉出型設(shè)計(jì)中，當(dāng)發(fā)生一般電纜、元件等接地故障時(shí)，最多造成一個(gè)信號(hào)誤發(fā)或故障。同時(shí)，應(yīng)選用帶有通道隔離二極管的卡件，或外配隔離二極管，以避免常開接點(diǎn)的I/O電源返回至故障回路或卡件。依照這樣的設(shè)計(jì)，I/O電源平均故障前時(shí)間MTTF13(t13)延長(zhǎng)88%(按最少的每塊卡8通道計(jì)算)。則電源系統(tǒng)平均故障前時(shí)間MTTF1(t1)延長(zhǎng)了85%左右，t1=(t11+t12+t13)÷3=(100%+67%+88%)÷3=85%。

2.2 跳閘回路設(shè)計(jì)

GE公司3取2表決模塊接線如圖3所示。

圖3 GE公司3取2表決模塊接線圖

相比二重冗余的系統(tǒng)，三重冗余的ETS跳閘回路的設(shè)計(jì)相對(duì)簡(jiǎn)單?？刹捎帽頉Q模塊，對(duì)三個(gè)PLC的跳閘輸出進(jìn)行3取2表決[9]。表決模塊可采用通用的一體化模塊，也可采用擴(kuò)展繼電器搭接。為保證其可靠性和簡(jiǎn)化回路，建議采用成熟的3取2表決模塊。

對(duì)于圖1所示的雙通道四電磁閥的跳閘系統(tǒng)，可采用四個(gè)表決模塊完成，每個(gè)表決模塊帶一個(gè)電磁閥。每個(gè)PLC的一個(gè)跳閘通道，分別接至一個(gè)表決模塊。對(duì)于采用直流電源的跳閘系統(tǒng)，需在電磁閥電源兩側(cè)接入表決模塊的跳閘接點(diǎn)。

圖3中，兩路24 V DC電源供電，三路跳閘開關(guān)量輸入和反饋，三路固態(tài)繼電器跳閘輸出。

為進(jìn)一步提高可靠性，每個(gè)電磁閥可采用兩個(gè)表決模塊并聯(lián)控制，但輸出的跳閘通道會(huì)增加一倍。通過查閱GB/T 20438.6—2017高要求模式或者連續(xù)操作模式的樣表(表B.10～B.13)[2]，“3取2”“2取1”“2取2”“1取1”跳閘回路系統(tǒng)的每小時(shí)平均失效概率是逐漸增大的，即SIF越來越大、SIL逐漸降低。例如“3取2”“2取1”“1取1”(“2取2”相近)表決模塊，在測(cè)試時(shí)間間隔為6個(gè)月和平均恢復(fù)時(shí)間為8 h時(shí)，每小時(shí)平均失效概率[2]如表3所示。

表3 每小時(shí)平均失效概率

表3中：λ為子系統(tǒng)中每個(gè)通道失效率(每小時(shí))，一般為0.1×10-6、0.5×10-6、1×10-6、5×10-6、10×10-6、50×10-6；β為具有共同原因的、沒有被檢測(cè)到的失效分?jǐn)?shù)，一般為2%、10%、20%；βD為具有共同原因的、已被診斷測(cè)試檢測(cè)到的失效分?jǐn)?shù)，一般為1%、5%、10%。所以，通過經(jīng)典“3取2”表決模塊完成的跳閘回路[10]，在其他外在因素相同的情況下，危險(xiǎn)失效頻率可以提高約一個(gè)級(jí)數(shù)。

2.3 監(jiān)視檢測(cè)系統(tǒng)設(shè)計(jì)

監(jiān)視檢測(cè)系統(tǒng)是否完善，直接影響安全儀表系統(tǒng)的SFF。完善的監(jiān)視檢測(cè)系統(tǒng)，可以增加對(duì)于故障裕度的要求。因此，對(duì)于安全儀表而言，監(jiān)視檢測(cè)系統(tǒng)是提高安全性的重要因素。

2.3.1 電源故障監(jiān)視

電源監(jiān)視系統(tǒng)應(yīng)包括以下幾個(gè)方面。

①每路電磁閥電源的監(jiān)視。

②每個(gè)電源模塊或PLC電源的監(jiān)視。

③保護(hù)元件動(dòng)作狀態(tài)監(jiān)視。

2.3.2 過程信號(hào)監(jiān)視

過程輸入信號(hào)采用一進(jìn)三出形式的端子排，并接至每個(gè)PLC的輸入卡件，即每個(gè)PLC接收全部的輸入信號(hào)。因此，每個(gè)冗余信號(hào)都應(yīng)與表決結(jié)果進(jìn)行“異或”邏輯運(yùn)算，當(dāng)發(fā)現(xiàn)不一致(值為“1”)時(shí)應(yīng)進(jìn)行報(bào)警。對(duì)于過程開關(guān)量，應(yīng)增加一定延時(shí)，以消除動(dòng)作值允許誤差內(nèi)造成的誤報(bào)警。

2.3.3 跳閘信號(hào)監(jiān)視

每個(gè)跳閘信號(hào)以及表決模塊的輸出，均應(yīng)反饋至PLC進(jìn)行監(jiān)視。除監(jiān)視其彼此狀態(tài)是否一致外，還應(yīng)與ETS跳閘或復(fù)位狀態(tài)進(jìn)行比較，以便發(fā)現(xiàn)異常。如果I/O點(diǎn)數(shù)受限，對(duì)于失電跳閘的系統(tǒng)，可將圖4中的表決模塊反饋信號(hào)串聯(lián)后，接至輸入模塊，以便監(jiān)視任一PLC的跳閘動(dòng)作情況。

2.3.4 首出和保護(hù)投退信號(hào)監(jiān)視

GB/T 21109.1—2007的11.7.1.4條和DL/T 5428—2009的9.2條都對(duì)ETS的相關(guān)信號(hào)的監(jiān)視作出了明確的規(guī)定。在GB/T 21109.1—2007標(biāo)準(zhǔn)中，要求ETS應(yīng)提供以下關(guān)鍵信息。

①過程按既定順序進(jìn)行的情況(不涉及事件順序記錄)。

②已發(fā)生SIS動(dòng)作指示(首出)。

③旁路一個(gè)保護(hù)功能的指示(投退)。

以下是已在前面描述過的功能信息[3]。

①已發(fā)生表決和/或故障處理退化時(shí)，自動(dòng)動(dòng)作的指示。

②傳感器和最終元件的狀況。

③影響安全的斷電。

④故障診斷結(jié)果。

2.3.5 PLC故障監(jiān)視

GB/T 21109.2—2007的附錄E給出了開發(fā)安全配置的PE邏輯解算器的外配診斷程序的示例，主要用于沒有或者不能向外部提供顯著的故障警告輸出的情形。在E.2中指出，外部看門狗定時(shí)器(external watch dog timer,EWDT)的實(shí)現(xiàn)方法是由PE邏輯解算器使用軟件中的應(yīng)用邏輯，發(fā)出周期性脈沖，輸出到看門狗定時(shí)器或脈寬監(jiān)視器。如果PLC沒有故障監(jiān)視接點(diǎn)輸出，ETS采用掃描脈沖和外部看門狗定時(shí)器或脈沖監(jiān)視器，是簡(jiǎn)便易行的方案。對(duì)于掃描脈沖輸出通道，應(yīng)采用固態(tài)繼電器或其他半導(dǎo)體接點(diǎn)輸出[3]。

電源故障、過程信號(hào)、跳閘信號(hào)、首出和保護(hù)投退信號(hào)的在線監(jiān)視，以及PLC故障監(jiān)視，提高了系統(tǒng)的診斷覆蓋率和故障裕度要求，降低了SFF。

2.4 在線試驗(yàn)功能設(shè)計(jì)

對(duì)于ETS過程開關(guān)(即保護(hù)動(dòng)作開關(guān))在線試驗(yàn)功能設(shè)計(jì)，ETS應(yīng)在邏輯上實(shí)現(xiàn)從輸入到輸出的在線試驗(yàn)，輸入通道的在線試驗(yàn)，可設(shè)計(jì)為與輸出通道同步進(jìn)行。在線試驗(yàn)邏輯中，對(duì)于在線試驗(yàn)的過程開關(guān)、儀表以及跳閘通道的繼電器、表決模塊、液壓系統(tǒng)等的反饋狀態(tài)，應(yīng)根據(jù)試驗(yàn)通道進(jìn)行診斷，判斷其有無異常。在線試驗(yàn)功能應(yīng)設(shè)計(jì)試驗(yàn)允許判斷條件，以確保機(jī)組不因在線試驗(yàn)而誤跳閘，例如：①自動(dòng)停機(jī)跳閘油壓(automatic stop pressure,ASP)診斷異常；②跳閘繼電器和表決模塊診斷異常；③非試驗(yàn)通道診斷異常；④PLC、I/O及跳閘通道電源異常等。

這些在線試驗(yàn)和診斷功能提高了系統(tǒng)的硬件故障裕度要求和診斷覆蓋率，也降低了安全失效分?jǐn)?shù)。

2.5 ETS的響應(yīng)時(shí)間設(shè)計(jì)

汽輪機(jī)作為高速旋轉(zhuǎn)機(jī)械，對(duì)ETS響應(yīng)時(shí)間提出了要求。GB/T 13399—2012《汽輪機(jī)安全監(jiān)視裝置技術(shù)條件》的3.4.7條：“對(duì)作為緊急停機(jī)處理的監(jiān)視項(xiàng)目(3.2.2條中的b、c、i、j等)，從信號(hào)的發(fā)生到監(jiān)視裝置輸出應(yīng)限制在0.05 s時(shí)間范圍內(nèi)”[6]。DL/T 5428—2009的10.4.2條要求“對(duì)于超速保護(hù)通常要求的處理周期常為20～30 ms”。因此，跳閘輸出通道包括表決模塊的繼電器，建議采用固態(tài)繼電器，以便滿足相關(guān)標(biāo)準(zhǔn)對(duì)于系統(tǒng)響應(yīng)時(shí)間的要求，并進(jìn)行驗(yàn)收測(cè)試。

3 結(jié)論

本文根據(jù)相關(guān)標(biāo)準(zhǔn)規(guī)范，參照安全儀表的設(shè)計(jì)理念，進(jìn)行了三重冗余ETS的設(shè)計(jì)。三重冗余的ETS從軟件和硬件的故障裕度要求、SFF、平均故障頻率等方面大幅提高保護(hù)系統(tǒng)，簡(jiǎn)化跳閘回路，進(jìn)一步提高可維護(hù)性，從而確保發(fā)電機(jī)組的安全運(yùn)行。當(dāng)然，國(guó)家標(biāo)準(zhǔn)GB/T 20438—2006和GB/T 21109—2007對(duì)于安全儀表的設(shè)計(jì)還有其他方面的要求。因此，按照本文設(shè)計(jì)的ETS，不一定能夠達(dá)到SIL3標(biāo)準(zhǔn)，還需考慮PLC、電源和其他部件的選型，以及硬件平均故障頻率、故障裕度和安全故障分?jǐn)?shù)、檢修測(cè)試周期和檢查覆蓋率等因素。