獨立于DEH系統的三重冗余OPC功能設計

冀樹春

(國家能源集團國神技術研究院，陜西 西安 710065)

0 引言

汽輪機發電機是高速旋轉設備，其超速限制(overspeed protection control，OPC)系統是防止汽輪機超速、保證發電機組安全運行的重要安全控制系統。OPC系統功能一般包含在數字電液(digital electric hydraulic，DEH)調節系統中。DL/T1055-2007《發電廠汽輪機、水輪機技術監督導則》5.1.19條要求“超速保護限制系統宜與DEH在設計上分開，采用獨立的硬件和軟件實現”[1]；DL/T338-2010《并網運行汽輪機調節系統技術監督導則》5.8條要求“為防止汽輪機超速應設計OPC功能，快速關閉調節汽門而機組不停機，并采用獨立的軟件和硬件實現”[2]。由此可見，汽輪機OPC系統應獨立于DEH系統。獨立的OPC系統主要是指OPC控制應不完全依賴于DEH系統的硬件和軟件，且不能與DEH系統集成的OPC系統功能相沖突。所以，研究一種采用通用緊急停機裝置(emergency stop device，ESD)設計的OPC系統裝置非常必要。它既能彌補DEH系統沒有獨立硬件的OPC系統裝置缺點，又能滿足相關技術監督標準規程導則等要求，使汽輪發電機運行更安全、可靠。

1 OPC系統的相關概念

DL/T996-2006《火力發電廠汽輪機電液控制系統技術條件》5.3.1.1條，規定了汽輪機的OPC系統的四個功能。

①轉速達到103%額定轉速(overspeed protection，OS)。

②負荷大于30%(再熱機組)、發電機解列(load drop anticipator，LDA)。

③汽機轉子加速度大于或等于設定值(acceleration overspeed protection，ACC )。

④汽輪機機械功率與發電機有功功率不平衡(power load unbalance，PLU)。

DL/T996-2006的5.3.1.2條和5.3.1.3條指出，前兩項為OPC系統的基本條件，后兩項為可選條件。ACC和PLU既可作為超速限制條件，又可作為閥門快控(fast valve action，FVA)的判斷依據[3]。

1.1 OPC系統的OS功能

DL/T996-2006的8.10.3條指出：“當機組轉速達到103%額定轉速時,OPC電磁閥動作，關閉調速汽門，負荷給定自動置零，系統切為轉速控制。當機組轉速低于102%額定轉速時，OPC電磁閥恢復，維持機組在額定轉速3 000 r/min下運行”[3]。也就是說，OPC系統OS功能的動作轉速為3 090 r/min，恢復轉速為3 060 r/min，死區為30 r/min。當DEH系統正常時，則DEH系統切換為轉速控制。

1.2 OPC系統的LDA功能

DL/T996-2006的8.10.2條指出：“當汽輪機負荷大于30%額定負荷(再熱機組)、并確認發電機出口開關跳閘時，OPC電磁閥動作，關閉調速汽門；負荷給定自動置零，系統切為轉速控制；OPC電磁閥延時恢復，維持機組在額定轉速3 000 r/min下穩定運行”[3]。也就是說，LDA功能需要同時滿足“汽輪機負荷大于30%的信號”與“發電機解列信號”兩個條件。LDA動作信號為脈沖信號，調速汽門關閉后，系統切為轉速控制。根據轉速再控制調速汽門開度，維持機組在額定轉速3 000 r/min。

1.3 OPC系統的ACC功能

DL/T996-2006的8.10.4條指出:“當汽機轉子加速度大于或等于設定值、并確認發電機出口開關在合閘狀態時，OPC電磁閥動作，迅速關閉中壓調節汽門(或高中壓調節汽門)，實現閥門快控FVA，OPC電磁閥延時恢復開啟調節汽門，接帶負荷”；“當發電機出口開關跳閘時，迅速關閉高、中壓調節汽門，OPC電磁閥延時恢復，維持汽機在3 000 r/min下穩定運行”[3]。

也就是說，ACC功能分為機組并網和解列兩種情況。機組并網情況的動作，稱作FVA。FVA功能的投入以及相關定值，按照DL/T338-2010的5.6條“應根據電網要求及機組本身實際情況決定調節汽門是否具有快控FVA功能”[2]，但其不影響OPC系統的硬件選型。機組解列情況下的ACC功能，與LDA功能大同小異，ACC的動作信號同樣為脈沖信號。

1.4 OPC系統的PLU功能

DL/T996-2006的8.10.5條指出：“當汽輪機機械功率與發電機有功功率不平衡、并確認發電機出口開關在合閘狀態時，OPC電磁閥動作，迅速關閉中壓調節汽門(或高、中壓調節汽門)，實現閥門快控FVA，OPC電磁閥延時恢復開啟調節汽門，接帶負荷”；“當發電機出口開關跳閘時，迅速關閉高、中壓調節汽門，OPC電磁閥延時恢復，維持機組在3 000 r/min下穩定運行”；“非再熱機組可采用調節級后壓力代表汽輪機機械功率，中間再熱機組可采用中壓調節汽門后壓力代表汽輪機機械功率”[3]。

由此可知，PLU的動作邏輯與ACC功能基本一致，也同樣分為并網情況下FVA和非并網情況下的OPC兩種。同樣，無論采用哪個參數代表機械功率，都不影響OPC系統的硬件選型。

2 獨立OPC系統參數分析

2.1 OPC系統I/O信號設計分析

由第1節可知，按照《防止電力生產事故的二十五項重點要求》(國能安全[2014]161號)以及DL/T1055-2007、DL/T338-2010、DL/T996-2006等相關標準規程導則冗余配置要求，采用“3取2”獨立取源、冗余配置的原則，OPC系統主要輸入信號至少應該設計如下。

①轉速信號，3個脈沖量。

②機械功率信號，3個模擬量。

③發電機有功功率信號，3個模擬量。

④發電機解列或并網信號，3個開關量，并分別對應反饋至DEH、聯關伺服卡、報警、事故記憶事件順序記錄(sequence of event,SOE)系統。

⑤超速試驗(OS解除或投入)信號，1個開關量。

⑥LDA解除或投入信號，1個開關量。

⑦ACC解除或投入信號，1個開關量。

⑧PLU除或投入信號，1個開關量。

OPC系統主要輸出信號應該設計如下。

①OPC動作反饋至DEH系統信號，3個開關量。

②OPC動作表決信號或動作信號，單通道3個開關量；如采用雙通道冗余設計，則6個開關量。

③OPC動作報警信號，1個開關量，并分別反饋至DEH、DCS、SOE。

如采用安全完整性等級符合SIL3標準的裝置，由于其I/O取樣和電源互相獨立，不允許互聯共用信號，還需增加相應信號I/O點。

2.2 OPC系統軟件功能邏輯算法設計

同樣，由第1節可知，OPC系統裝置的軟件應至少支持“與(and)”、“或(or)”、“非(no)”、“異或(xor)”等邏輯運算，支持“三重冗余(TMR)”、“閥值檢測(Threshold detection)”、“延時(delay)”、“脈沖(pulse)”等軟件邏輯，支持“加(+)”、“減(-)”、“折線函數[f(x)]”等數學運算；同時，還需支持轉速測量和加速度計算，并滿足輸入頻率信號范圍的算法要求。

2.3 OPC系統可靠性要求

獨立的OPC系統裝置，作為DEH系統的OPC邏輯功能的后備手段，必須具有高穩定性、高可靠性，且至少應滿足雙路電源輸入、輸入通道隔離和輸出通道隔離、容錯技術、性能檢測和預警、故障和檢測診斷、故障報警及屏蔽技術等要求。

2.4 OPC系統實時性要求

OPC動作響應時間應滿足DL/T996-2006的6.8條“對于超速保護跳閘( overspeed protection trip，OPT)和超速限制OPC無專用模件的系統。為滿足超速保護OPT和超速限制OPC的響應速度，宜采用獨立的控制器，其工作周期應不大于20 ms”[3]。DL/T656-2016《火力發電廠汽輪機控制及保護系統驗收測試規程》5.10.3條“對于無專用模件完成超速保護跳閘OPT和超速保護控制OPC功能的系統，宜采用獨立的控制器，其處理周期不應大于20 ms”的要求[4]。同時，OPC動作的響應時間應滿足GB/T30372-2013《火力發電廠分散控制系統驗收導則》5.9.3條“采用硬件的OPC動作回路的響應時間應不大于20 ms，采用軟件系統的OPC處理周期應不大于50 ms”的要求[5]。

因此，作為通用的OPC系統，采用軟件處理器完成OPC功能比較合適，軟件處理器可方便地通過組態適應任何機組情況。而選擇OPC處理器硬件的掃描周期應小于20 ms，處理周期不應大于50 ms。

3 獨立OPC系統設計

OPC系統首先要硬件可靠，其次I/O配置和軟件功能、掃描周期等要滿足特定OPC系統需要。針對OPC系統的通用要求，以Woodward公司的數學增加型超速保護系統(total protection system，TPS)裝置為例進行設計。

3.1 OPC系統硬件選型可靠性設計

Woodward公司的數學增加型TPS為滿足安全儀表IEC61508 SIL3標準的ESD裝置[6]，常用于小型機械的緊急停機系統。該裝置具有三個冗余的獨立模塊，支持三重冗余(triple modular redundant，TMR)的三重表決邏輯；每個模塊支持“兩路高壓交流電源”或“一路高壓交流、一路低壓直流電源”；支持IRIG-B格式的時間同步信號；支持內部I/O電源；支持轉速6～32 kHz信號，精度±0.04%，加速度精度±1%；支持轉速通道尋循環測試。該裝置I/O檢測卡件電源獨立。

3.2 OPC系統I/O模件配置設計

Woodwar的TPS系統每個模塊可提供1個轉速專用輸入通道，13個AI/DI通用輸入通道(其中10個通道可組態)，5個固態繼電器輸出通道(其中3個通道可組態)，1個模擬量輸出通道；支持模件內、模件間三重冗余邏輯[7]。對于OPC系統裝置應用設計，根據2.1節的I/O信號參數分析結果，該OPC系統裝置的I/O信號及模塊預分配如表1所示。

表1 OPC系統的I/O信號及模塊預分配表

由表1可知：轉速和負荷合用一塊模件1，發電機解列信號每塊輸入模件的一個輸入信號對應四個輸出信號給DEH系統、關聯伺服卡、報警、SOE。

3.3 OPC系統軟件功能設計

采用增強型TPS，其處理器必須具有較強的數學運算能力，至少需要支持的邏輯、數學等運算類型和相應數量。OPC的TPS軟件算法模塊數量如表2所示。其中，轉速信號和加速度信號三重冗余是共享冗余，其他模擬量信號可在其模塊內冗余、也可共享冗余。OPC系統裝置支持事件記錄功能，包括超速和加速度事件、跳閘事件、報警事件、自定義的其他事件等信息。

表2 OPC的TPS軟件算法模塊數量

3.4 OPC系統響應時間設計

OPC系統響應時間應在4～19 ms之間。這是因為具體響應時間取決于是否應用三取二表決邏輯、轉速信號頻率和設定點，以及是否應用轉速三重冗余管理模塊等因素。在滿足OPC系統技術指標的相關標準規范下，采用三取二表決邏輯和轉速三重冗余管理模塊設計。

3.5 獨立OPC系統邏輯設計

在無獨立OPC系統裝置的DEH系統中，增加獨立OPC保護功能。其邏輯回路應與DEH系統的OPC軟件邏輯保持一致，這里不贅述。其中，ACC和PLU功能采用轉速和額定轉速的偏差，與轉子加速度值、負荷偏差值聯合作用的方法實現，即ACC、PLU保護的設定值按照轉速和額定轉速的偏差修正OPC動作設定值，以便更好地預防汽輪機超速，并防止該超速保護誤動。

轉速信號、負荷信號、功率信號可采用共享三重冗余邏輯，也可采用單一邏輯和三重冗余表決模塊的形式。對于發電機解列(并網)信號，每個模塊引入三個信號后三重冗余，也可每個模塊各引入一個信號，采用共享冗余的方式。本設計采用轉速信號、負荷信號共享三重冗余邏輯，解列(并網)信號采用1個模塊各引入一個信號的共享冗余方式，形成共享三重冗余、雙道通跳閘回路OPC系統裝置。

按照TPS裝置的手冊，對于表決模塊，采用共享或非共享三重冗余模塊后的轉速、轉子加速度、負荷和功率信號，進行OPC邏輯運算的系統，可以不配置三重冗余表決模塊。該OPC系統采用共享三重冗余表決模塊設計。

Woodwar增強型TPS系統邏輯組態采用填表形式，首先畫出邏輯圖并為相關模塊編號；然后按照邏輯圖順序填入相關功能中相應序號模塊的輸入、輸出和參數。如果配置了圖形組態軟工具(graphical configuration software tools，GCT)[7]，則可采用圖形化組態軟件進行邏輯功能狀態，下裝到相應模塊中。

3.6 獨立OPC系統示意圖

采用內部表決模塊的共享三重冗余、雙道通跳閘OPC系統設計[8]如圖1所示。如果OPC電磁閥采用直流電源，則跳閘回路需要正、負極同時切斷。另外，可以選用不帶表決模塊的TPS裝置，通過另外配置兩個三重冗余表決模塊(三個輸入、三個以上輸出)實現。每個表決模塊有兩個輸出：一個用于控制OPC電磁閥，另一個作為硬件邏輯聯鎖使伺服卡輸出到零。而反饋至DEH邏輯的OPC動作信號，也可以采用其他可編程輸出串聯后實現。

圖1 OPC系統設計示意圖

外部配置三重冗余表決模塊時，宜選用固態繼電器輸出，以保證OPC系統響應時間符合要求。如果表決模塊需要電源，應配置為雙電源輸入。三重冗余表決模塊[9]如圖2所示。該模塊具有兩路24 VDC輸入，三路獨立的表決信號輸入，三路表決輸入信號的反饋，三路獨立的固態繼電器表決輸出。

圖2 三重冗余表決模塊示意圖

4 獨立OPC系統可靠性分析

對第3節設計的獨立OPC系統可靠性進行初步定量分析。獨立OPC系統可靠性是指系統在規定條件下和規定時間內完成規定功能的能力。可靠性是定性的概念，在實際工作中往往用可靠度來定量地具體表現可靠性的高低。而可靠度是系統在初始時刻(t=0)時可靠度為1的條件下，在0～t時間內正常工作的概率，用R(t)表示[10]。設n個模塊組成的串聯系統的可靠度Rc(t)為：

(1)

設n個模塊組成的并聯系統可靠度Rb(t)為：

(2)

如圖1所示，由串聯單元、并聯單元組合而成的混合邏輯結構的三重冗余輸入、兩重冗余表決、雙道通跳閘的獨立OPC系統，可靠性度計算如下。

假設輸入模塊、輸出模塊的可靠度相同，設為Rio(t)，三重冗余表決可靠度為Rv(t)，雙道通跳閘可靠度為Rz(t)。由圖1可知，獨立OPC系統的可靠度由輸入部分、主控三重冗余表決部分和輸出部分串聯形成，則輸入部分的可靠度Rin(t)由式(2)可得：

Rin(t)=1-[1-Rio(t)]3

主控兩個三重冗余表決部分的可靠度Rmc(t)由式(2)可得：

Rmc(t)=1-[1-Rv(t)]2

因為輸出部分由兩個輸出模塊控制雙道通跳閘回路組成，所以輸出部分的可靠度Rout(t)由式(1)、式(2)可得：

Rout(t)=[1-(1-Rio(t)]2[1-(1-Rz(t)]2

獨立OPC系統的總可靠性度R(t)為：

R(t)=Rin(t)Rmc(t)Rout(t)

(3)

每個輸入模塊、輸出模塊、三重冗余表決塊、雙道通跳閘回路等部分的可靠性都是概率事件，無精確數據。但在方案比較中，可以采用可靠性評估中的估算數據進行理論分析。假如設計的該獨立OPC系統的輸入/輸出I/O模塊可靠度Rio(t)為0.990，三重冗余表決可靠度Rv(t)為0.998，雙道通跳閘可靠度Rz(t)為0.995，通過式(3)計算該獨立OPC系統的可靠度為：

R(t)=0.999 87

(4)

如果不采用冗余設計，則由輸入/輸出模塊、三重冗余表決塊和單跳閘回路串聯組成的OPC系統的可靠度Rd(t)為：

Rd(t)=[Rio(t)]2Rv(t)Rz(t)=0.977

(5)

由式(4)、式(5)可見，在相同硬件及其可靠性估值環境下，設計的三重冗余OPC系統比單模回路OPC系統可靠性大幅提高。

5 結束語

通過對OPC保護功能和技術參數及配置的相關行業標準規范條款的闡述，確認了研究和設計DEH系統的獨立硬件OPC保護裝置的必要性。開展OPC系統的功能完整性、保護動作的及時性和準確性、保護的冗余和容錯性等技術層面的研究，選用Woodward公司的滿足安全儀表IEC 61508 SIL3標準的數學增加型ESD裝置和通用三重冗余表決模塊，進行獨立于DEH系統的硬件OPC系統裝置設計。分析評估研究成果證明，獨立于DEH系統的三重冗余OPC系統裝置比獨立于DEH系統的單回路OPC系統裝置可靠性高。所以，研究、設計的該OPC系統裝置，可以彌補沒有獨立硬件OPC功能的DEH系統的不足，滿足相關國家標準、行業規程規范要求，使汽輪發電機的保護控制更完善和可靠。另外，由于個別標準、規程、導則對汽輪機OPC保護功能的邏輯回路要求條款不統一，加上不同專業人員對汽輪機OPC保護功能相關規程條款理解程度及角度不同，使電站關于OPC保護的設計在每個工程中也不盡相同。該OPC保護裝置系統的設計對于規范熱控設計也有著重要意義。