摘 要：ETS作为常规岛重要的保护系统，为确保机组运行安全，其设计均采用冗余设计。本文提到的ETS系统在电源切换时，发出错误的机组跳闸信号。经过反复实验和系统分析，发现其根本原因是冗余设计不合理带来的。在出现的问题中暴露出冗余设计在保护中也不能确保万无一失，恰恰是冗余设计中的这一部分，给系统安全引入了新的问题。

关键词：ETS、PLC、逻辑、保护、误动、冗余

0.引言

ETS作为常规岛重要保护系统之一，在安装调试过程中应多状况和反复做可靠性验证，要求做到保护动作及时并且不能误动，使用前各种测试就显得更为重要，只有在反复的验证中才能确认该系统的可靠性和兼容性，才能提高设备的运行安全。

1.实验过程

在一次电气 UPS 电源切换实验中，切换的后备电源发生故障，整个用电回路出现三四十秒的断电，致使汽轮机保护装置 ETS 主 PLC失电，在 UPS 电源恢复正常后，给 ETS 系统送电，此时 ETS 发出“机组跳闸”信号到 DCS 系统，DCS 系统根据逻辑设计关闭所有的抽汽电动门及抽汽逆止门，小汽轮机因此失去冲转汽源而转速下降，给水流量迅速下降，给水流量低保护动作，汽轮机跳闸，发电机解列。这里主要分析 ETS 系统主 PLC 送电时向 DCS 发出“机组跳闸”信号的原因和避免此类事故的解决措施。ETS复位部分原理如下：

说明：“Reset1”是挂闸按钮输入触点，用于机组挂闸操作；

“TRIP1”是通道 1 跳闸，指通道 1 因某一条件动作而跳闸；

“TRIP2”是通道 2 跳闸，指通道 2 因某一条件动作而跳闸；

“AST1”到“AST4”是 4 个跳闸电磁阀的输出信号；

“reset”是机组已挂闸信号；

“UNTRIP”是机组跳闸信号，它与“reset”信号相反。

机组正常运行状况是，当 ETS 的 PLC 正常工作时，在无跳闸条件存在的情况下，机组未复位之前“TRIP1”、“TRIP2”为1。按下挂闸按钮时 “Reset1” 1，电磁阀 AST1 和 AST3 带电，“AST1”为 1 并保持，“AST3”由 0 变为 1，通道 1 复位；同理，电磁阀 AST2 和 AST4 带电，通道 2 复位。机组的复位过程完成，已复位信号“reset”为 1，机组跳闸信号 “UNTRIP”消失，送到 DCS 的跳闸信号失去，抽汽逆止门和抽汽电动门可以打开，机组处正常运行状态。

2.发出跳闸信号分析：

当 ETS 主 PLC 的 UPS 电源失去时，机组跳闸信号“UNTRIP”触点因为 PLC 停止工作而处于打开状态，这与 PLC 上电后在机组挂闸时的状态一致，所以不会引起机组跳闸。当 PLC 上电时，虽然不存在跳闸条件，即“TRIP1”、 “TRIP2”均为 1，而挂闸按钮“Reset”是脉冲信号，只有按复位按钮才能为 1，默认情况下为 0，所以“AST1”、“AST2”、“AST3”、“AST4”状态为 0。由于副PLC正常工作，已复位信号“reset”为1，当主PLC上电复位时，跳闸电磁阀得电正常工作，但是“reset”的常闭接点打开需要一点时间，已复位信号“reset”的常闭接点还未打开，跳闸继电器得电，这样主PLC上电的瞬间就发出跳闸信号“UNTRIP”为 1。由于 ETS 系统的副 PLC 工作正常，主副 PLC 的跳闸电磁阀输出为并联，故四个跳闸电磁阀仍然带电，机组不跳闸。而主副 PLC 的机组跳闸信号“UNTRIP”触点是并联，所以在恢复送电的瞬间送出“机组跳闸信号”到 DCS 系统联关抽汽逆止门和抽汽电动门。

3.实验结论

ETS 系统 PLC 上电时的默认状态应该为机组的当前状态，但由于上电继电器动作的时间有瞬间时差，如果机组正常运行，偶然性会发出跳闸信号。而且任一 PLC 都能送出“机组跳闸”信号到 DCS，这就是为什么主 PLC 的 UPS 电源消失后重新送电触发机组跳闸信号的原因。而对于 ETS 系统的设计来说，由于主副 PLC 互为备用，主 PLC的失电和送电不应该影响副 PLC 的正常工作和输出输入状态的变化，而且汽轮机也并没有因为主 PLC 失电和送电而跳闸，最终的跳闸是因为机组大联锁动作所致，这次主 PLC 送出“机组跳闸”信号到 DCS 与 ETS 送出跳闸信号去跳闸汽轮机并不一致，也就是说这次主 PLC 不应发出“机组跳闸”信号，这是设计上的问题。

4. 解决方案研讨：

为了合理解决问题，详细讨论了各种方案，比较优缺点，具体情况如下：

1）加装继电器，由信号“UNTRIP”触发，经过继电器的常闭接点送到 DCS。

优点：任一 PLC 的失电和送电不会误发“UNTRIP”；

缺点：a、信号常带电，容易误动，b、加装继电器，增加故障点。

2）修改逻辑如下图 2，即将“reset”的常闭接点改为常开，在 DCS 侧将信号取“非”。

优点：任一 PLC 的失电和送电不会误发“UNTRIP”；

缺点：信号常带电，容易误动。

3）将主副 PLC 送出的机组跳闸信号由并联改为串联。

优点：任一 PLC 的失电和送电不会误发“UNTRIP”；

缺点：在 PLC 失电后要很及时地恢复电源，并按复位按钮，使跳闸逻辑正常工作，不然会误跳。这给运行和检修人员带来繁重的工作量，也不利于机组安全。

4）将主副 PLC 送出的机组跳闸信号由并联改为串联，加装继电器，由信号“UNTRIP”触发，经过继电器的常闭接点送到 DCS。

优点：任一 PLC 的失电和送电不会误发“UNTRIP”；

缺点：加装继电器，增加故障點。

5）将 DCS 中用于联锁关闭抽汽电动门和抽汽逆止门的“机组跳闸”信号改由就地来的ETS 油压开关实现，开关定值 6.89MPa，如果 ETS 油压低于 6.89MPa，则机组跳闸，自然要求联关抽汽电动门和抽汽逆止门。

优点：不影响 ETS 和 DCS 的所有已有功能的正常作用，任一 PLC 的失电和送电不会产生误动信号；

缺点：精确校验 ETS 油压开关，并检查接线可靠。

6）对逻辑进行修改，如下图3。根据实验结果分析，跳闸信号是在上电瞬间由于继电器接点动作的时间差造成的，在跳闸信号后面增加一个延时相应的逻辑，设定延长响应时间为0.5秒，即在上电的初始状态为0。TD正常工作后， 将过滤掉所有的干扰信号。因为此处逻辑只是做复位跳闸信号使用，不影响其他保护逻辑发出跳闸信号，因此加上0.5秒的延时不会对机组保护有任何影响，即防止了保护的误动，当遇到故障时也不会使系统拒动。

5. 结论

总结以上方案的优缺点，最终采用方案六，即对复位逻辑进行修改，保护联锁功能完全实现，避免了因为 ETS 系统的电源故障而引起的误动，保证了机组的安全稳定运行。所有担任重要保护系统的设备，都是为确保机组运行安全而设计的，为了提高保护的可靠性，冗余设计是经常采用的措施。本文中的ETS系统有主副两块PLC在电源切换时，设计是由于忽略了系统上电恢复和继电器带点动作的微小时间差，而造成系统保护的误动。像这样隐蔽的缺陷设计还有不少，要想使我们的设备稳定运行，就要求我们进行多工况和反复实验，及早发现缺陷，将其消除在萌芽状态。

作者简介：

王明先（1978-）男，武汉大学，仪控专业高级工程师。