汽轮机危急跳闸系统(ETS)是汽轮机保护最重要的一环，它是汽轮机电跳闸的出口，其运行安全与否直接影响到汽轮机的安全运行。ETS监测汽轮机的一些重要参数，如:润滑油压力、凝汽器真空、汽机转速、转子振动、轴向位移等，当这些参数越限时，输出跳闸信号到跳闸电磁阀，跳闸电磁阀卸掉保安系统的保安油，使汽轮机的主汽阀和调节阀迅速关闭，完成汽轮机跳闸的功能，使汽轮机紧急停机，处于安全状态，以避免发生严重的后果。

汽轮机紧急跳闸系统是电厂重要的安全保护系统，系统的可靠性直接影响电厂机组的安全。由于ETS系统是确保机组安全运行的最后一道自动保护装置，因此，对系统的可靠性和快速性有非常高的要求。目前我国均已采用了以可编程控制器PLC控制取代继电器控制为核心组成的冗余配置的ETS系统。

ETS系统是采用两个互为主备运行的PLC代替继电器、由程序处理控制代替硬接线、I/O电平可与外部装置相连接以及结构易于扩展的工业检测、保护、控制设备。

目前我国ETS系统采用的PLC冗余方案主要有西门子S7-300/400软冗余与S7-400H硬冗余、施耐德的Quantum硬冗余、罗克韦尔的ControlLogix硬冗余和SLC500软冗余、ABB 的AC800M硬冗余等方案。

1 西门子冗余方案

1.1 西门子S7-300/400软冗余方案

软冗余方案是实现冗余功能的一种低成本解决方案，可以应用于对主备系统切换时间要求不高的控制系统中。其软件、硬件包括：

• 1套STEP7编程软件（V5.4）加软冗余软件包(V1.2)；
• 2套PLC控制器及I/O模块，可以是S7-300或S7-400系统；
• 3条通讯链路，主系统与从站通讯链路（PROFIBUS 1）、备用系统与从站通讯链路（PROFIBUS 2）、主系统与备用系统的数据同步通讯链路（MPI 或 PROFIBUS 或 Ethernet）；
• 若干个ET200M从站，每个从站包括2个IM153-2接口模块和若干个I/O模块；
• 除此之外，还需要一些相关的附件，用于编程和上位机监控的PC-Adapter（连接在计算机串口）或CP5611（插在主板上的PCI槽上）或CP5511（插在笔记本的PCMIA槽里）、PROFIBUS电缆、PROFIBUS总线链接器等就可以组成一套完整的软冗余系统。

在软冗余系统进行工作时，A、B控制系统（处理器，通讯、I/O）独立运行，由主系统的PLC掌握对ET200从站中的I/O控制权。A、B系统中的PLC程序由非冗余用户程序段和冗余用户程序段组成，主系统PLC执行全部的用户程序，备用系统PLC只执行非冗余用户程序段，而跳过冗余用户程序段。

A路与B路CPU的程序需在OB1或OB35里调用FB 101 ‘SWR_ZYK’ 功能块，FB101块中封装了冗余功能的程序段，实现冗余功能。调用FB101时，你可以在线地读出RETURN_VAL参数的数值,如果为0，说明冗余链接正常。

在OB100里调用FC100 ‘SWR_START’块进行软冗余的初始化，用户需要在其中定义冗余部分的数据区，该数据区可以包括：一个过程映象区，一个定时器区，一个计数器区，一个位地址区和一个数据块区，S7-300同步的最大数据量为8 kBytes，S7-400同步的最大数据量64kBytes。在OB86里调用FC102 ‘SWR_DIAG’块进行软冗余的诊断，导致主从站通讯出错时CPU不会发生停机。

下载程序时A路与B路程序必须分别下载，下载完成后当CPU的RUN指示灯亮和仅一个ET200M模块的ACT指示灯亮，而CPU和ET200M模块无SF或BUSF灯闪烁，即代表该软冗余系统已正常工作。

1.2 西门子S7-400H硬冗余系统方案

该方案采用西门子S7—400H冗余的PLC控制系统，S7-400H系列PLC是西门子公司专为高端应用场合设计的冗余系统，采用双机热备的硬件冗余机制，其工作电源、通信网络设备、CPU、操作站均为冗余设置，一旦主系统发生故障，能够自动无缝切换到热备用系统，实现平稳的Master—Reserve转换，使整个系统可以容错运行．从而避免了传统的单机系统因故障停机而造成损失，大大增强了系统的稳定性和可靠性。

S7-400H 是容错自动化系统，只有在其它措施配合下控制安全相关过程时才需要使用。S7-400H的容错性是通过两个并行的中央控制器实现的，它们的CPU通过光纤连接，并通过冗余的PROFIBUS-DP线路对冗余I/O进行控制。每个CPU 需要两个同步模块，通过光缆成对连接。

两个冗余的S7-400H CPU 之间的通讯使用同步模块。在发生错误时，将会出现一个无扰动的控制传输，即未受影响的热备设备将在中断处继续执行而不丢失任何信息。

标准S7-400 系统的设计和编程规则也适用于S7-400H。就用户程序的执行而言，S7-400H 的运行方式与标准系统完全相同。操作系统的集成同步功能会自动在后台执行，无需在用户程序中组态这些功能。在冗余操作中，用户程序会在两个CPU 上冗余地存储并由事件驱动同步执行。但我们提供了多个用来优化程序的块，用以改善其对因更新等操作而导致的任何周期延长情况的响应。

除S7-400和S7-400H系统中支持的块外，S7-400H 软件还另外提供了可用来影响冗余功能的块。通过STEP 7在用户程序中使用SFC 51“RDSYSST”执行该查询。使用OB 70- I/O 冗余错误与OB 72-CPU 冗余错误等组织块来响应S7-400H 的冗余错误。可以使用SFC 90 "H_CTRL"禁止主站CPU 上的链接、禁止主站CPU 上的更新和删除、恢复或立即启动周期性自检的测试组件三种方式影响容错系统。

下载用户程序至CPU0，将CPU0 的模式选择器开关设为RUN，然后再设置CPU1 上开关，以启动S7-400H自动化系统。CPU 执行暖启动，并调用OB 100。结果CPU0 作为主CPU 启动，CPU1 作为备用CPU 启动。 链接并更新备用CPU后，S7-400H 处于冗余模式并执行用户程序。当CPU0与CPU1的RUN指示灯亮， INTF、EXTF、 BUSF1 和BUSF2 、IFM1F 、IFM2F和REDF指示灯都熄灭后，S7-400H冗余系统已正常工作。

2 施耐德的Quantum硬冗余方案

施耐德Quantum硬冗余系统（Modicon Quantum热备系统）需要在两个底板上配有相同的硬件、软件和固件。其中一个控制器(PLC) 作为主控制器，另一个控制器作为备用控制器。在每个扫描周期后主控制器都要对备用控制器进行更新。主控制器和备用控制器经常通信，对整个系统的健康状况进行监控。

如果主控制器故障，备用控制器会在一个扫描周期内代替主控制器起控制作用。主控制器执行应用程序，控制RIO，在每次扫描（程序周期）之后更新备用控制器。如果主控制器故障，备用控制器在一个扫描周期内将起控制作用。

Modicon Quantum热备系统是由Concept软件、配备热备套件、电源和远程I/O(RIO)等组成。经济型热备套件140由两只CPU、两只电源、两只热备模块140 CHS 11000组成。在热备控制站A和B上可以配备一套经济型热备套件和各配一只RIO通讯模块140 CRP 93200，在远程站配备了RIO适配器140 CRA 93200，外加电缆与分离器的连接可组成一套经济型的热备系统。

现在的Modicon Quantum控制器使用Concept软件，最多能传送应用数据约128Kb，包括已定位数据(在状态RAM中)和非定位数据。为传送非定位数据，系统必须使用状态RAM中一部分3x区域。施耐德电气选择这种方法是为了与现有的CHS 选项模块(140 CHS 11000)相兼容。

因此，有必要进行折衷：非定位数据越多，状态RAM就越少，反之亦然。在Concept软件中，CPU的“Configuration Extension”在“984 Hot Standby”选项选择后并确认。下载程序至一路PLC，下载完成后可按住另一路的热备模块140 CHS 11000上的Update按钮后完成程序自动传送。当除了“READY”、“Com Act”和“RUN”指示灯亮并不闪烁等，通过试验正常可得出该热备系统已正常工作。

3 罗克韦尔冗余方案

3.1 罗克韦尔的ControlLogix硬冗余方案

ControlLogix冗余系统硬件结构由两个完全一样的控制器框架组成，每个ControlLogix冗余系统框架中控制器模块、通信模块和SRM模块。两个框架尺寸完全相同，模块一模一样，插放位置也一模一样，控制器中的程序也一模一样。两个控制器框架之间，完全靠系统冗余模块SRM来完成同步和数据的交换。

进入同步状态的主机控制器，自动地传送备份数据到辅机控制器，这些数据无须用户挑选和编程，只要在主机控制器中被程序运行时刷新过的数据，都会通过交叉装载传送到辅机控制器，传送的数据量可以非常大。

控制器通过与SRM的连接，得知自己是主机控制器还是辅机控制器，从而决定是传送数据还是接收数据。这些完全不需要用户的介入，系统自动获取、自动判断、自动传送。两个控制器的同步运行和大量数据的复制，使得输出得到无扰切换。

在成对的冗余框架中，首先上电的框架成为主机框架，后上电的框架作为辅机框架，并建立与主机控制器的同步。当出现主机控制器所在框架掉电、拔插主机框架上的任何模块、控制器程序发生主要故障、断开CNBR模块上的ControlNet分接器或电缆等情况都会发生冗余切换。

冗余系统中，主控制器框架和从控制器框架上各个模块的版本必须严格一致，并到达到要求的版本号，否则无法正常工作。当版本不一致时，在通讯软件RSLinx中可能无法看到从控制器框架上的处理器，同时，从控制器框架的处理器状态指示灯(OK灯)变为红色长亮。因此，一般系统在第一次上电时，需要进行固件升级。升级工作需要使用Rockwell的固件升级软ControlFLASH，。

升级完毕后，主从控制器框架都重新上电，使用RSLogix5000将程序下载到主处理器中，然通过切换将程序自动备份至从处理器，最后通过软件RSNetWorx for ControlNet对网络进行规划。检查处理器RUN、I/O、RS232、OK指示灯绿色稳定和BAT指示灯灭，通过试验正常可得出该热备系统已正常工作。

3.2 罗克韦尔的SLC500软冗余方案

SLC的冗余可以采用两个CPU机架，通过HSSL链路连接各自的1747-BSN冗余远程IO模块，并挂接RIO链路即可。其作用如下：主CPU控制远程IO，后备处理器也接收同样的实时控制数据，数据同步通过HSSL实现，以便后备处理器按实时数据不断更新，当主处理器出现故障时，系统自动切换到后备处理器以接管控制，从而为用户提供事实上不中断的运行功能。

SLC500软冗余系统的主从机架完全相同，每个机架上安装有一个CPU和一个BSN模块，其中一对配对的BSN与远程IO上的 1747-ASB远程I/O适配器模块实现冗余的RIO数据通讯。一个冗余SLC500系统最多支持8对BSN模块，亦即最多可接8个RIO通讯链路，每个RIO链最多1024点I/O，因此一个SLC500冗余系统最多可有8192点I/O。

SLC500的热备系统由1747-BSN构成，可以在Remote I/O、DH+和RS-232/485网络进行系统数据的备份。当在Remote I/O网络上进行热备的时候，1747-BSN具有和1747-SN模块完全相同的功能，只是在远程扫描器的基础上增加了数据备份的能力。

系统中，一个1747-BSN模块处于主系统框架中，另外一个1747-BSN模块处于备用系统框架中，都通过RIO链路与远程框架的1747-ASB模块相连。在热备系统中，主系统框架和备用系统框架中都不插I/O模块。

在系统运行时，主系统中的控制器通过背板将数据传递到本地框架的BSN模块中，然后主系统中的BSN模块通过HSSL链路将数据传递到备用系统中的BSN模块中。在备用系统框架中，BSN模块再将接受到的数据通过背板传递到备用系统的控制器中，数据就是以这样的方式完成在热备系统中的备份。

当主系统发生故障的时候，热备系统进行切换，以使备用系统中的控制器接管主系统的控制器来控制远程框架的模块运行。这个切换的速度是很快的（一般在50ms之内便完成切换），以致于在主系统发生故障的时候，处于远程框架的输出还没有发生变化，备用系统已经代替出现故障的主系统运行了。

SLC500软冗余系统的主处理器框架在电源故障或掉电、处理器主要故障、BSN模块故障（包括RIO链的通讯超时）、处理器没有处于RUN运行状态情况下会发生主从的切换。通常主从切换的时间在50ms＋1个完整的程序扫描时间，假如主处理器的DH+地址为N,则从机为N+1，当发生主从切换时，处理器会发生地址的交换，这样我们在编程软件上始终访问的逻辑上的主处理器。处理器之间的数据同步靠同步子程序来实现，主处理器把需要同步的信息传送到BSN的数据交换区，从处理器则从该交换区读取这些数据。

使用RSLogix5000将程序下载到两个处理器中，注意1747-BSN和1747-ASB的DIP开关拔码必须与程序中的组态和I/O位置一致。当1747-BSN模块的PRI（只有一个站亮代表主站）、SEC（只有一个站亮代表从站）、RIO绿色稳定、HSSL绿色闪烁、ERR与 FLT都熄灭和1747-ASB模块的COMM亮、FAULT熄灭、状态显示RUN后，代表RIO链路正常通讯。在RIO正常通讯后，处理器RUN亮稳定、HSSL绿色闪烁、FLT与BATT都熄灭、DH+或RS232亮稳定后即SLC500软冗余系统已正常工作。

4 ABB 的AC800M硬冗余方案

AC800M控制器是导轨安装式的模块化控制器家族，模块包括CPU、通讯模块、电源模块及附件。CPU模块以内存不同，是否支持冗余分成几类。每个CPU上有两个以太网口用于连接操作站，工程师站管理站或高级应用。两个以太网口可设置为冗余，用于提高系统可利用率。控制器配置了两个RS232口，调试工具或与外部设备或系统进行通信。

ABB 的AC800M硬冗余配置是采用两个AC800M冗余CPU PM861AK02，两个冗余的CPU 通过专用的电缆.CEX与RCU 链路来同步数据。CEX电缆TK850连接两个CPU 使得它们在同一个高速数据总线上, RCU电缆TK851连接两个CPU进行冗余数据和信息交换。每个CPU的TX/RX光纤接口通过双塑料光纤TK811连接至各自的模块总线光纤接收器TB840A的接口，在TB840A后面挂接I/O模块。

对控制的冗余组态分两步：在控制器上设定IP地址以及冗余地址获取规则；在编程软件CCB5.0程序里面设置为冗余控制器，并指定CN2的IP地址。通过ABB提供的ipconfig程序可以很方便的设定控制器的IP地址。

通过ipconfig程序完成冗余控制器的设定，同时在CCB5.0里设置为add redundant unit。通过CCB5.0软件在程序中Access Variables里建变量，将name和path对应起来就可以了将要这些变量在切换后不会丢失。下载用户程序至主CPU，按下主CPU的INIT按钮，就能自动将程序备份至从CPU。

当处理器的F指示灯熄灭、R & P& B三个绿色指示灯亮、TX & RX黄色指示灯亮、仅一只处理器的PRIM亮、两只处理器DUAL黄色指示灯亮，表明该系统已正常工作。

5 结语

上述介绍的四种类型的PLC组成的冗余系统是国内目前应用比较广泛且成熟的冗余方案，我公司应用这些冗余方案制造一套包括电源冗余、处理器冗余、I/O冗余、通讯冗余构成的PLC冗余系统和低压电器元件、操作盘或人机界面等组成的一套完整的ETS控制系统。我公司生产的ETS产品已在全国各大小火力发电厂、生物垃圾发电厂、节能余热发电等项目应用成熟，上述方案在电力行业中的可靠性、安全性已得到大量的验证，为国内汽轮机运行提供安全保护典范。

（编自《电气技术》，原文标题为“几种PLC在ETS系统的冗余方案介绍”，作者为周亚松。）