MACH2控制保护系统冗余性研究及其可用性分析

【摘要】本文全面分析了换流站的控制保护系统的冗余性结构，并以三常直流所采用的MACH2系统为例，详细介绍了该系统控制保护的冗余结构及其冗余特性的具体实现，最后通过建立合理的控制保护设备故障数学模型，计算出了冗余系统的可靠性远远高于非冗余的控制保护系统。

【关键词】MACH2；冗余；故障

1.引言

MACH2(Modular advanced control HVDC&SVC 2nd edition)系统称为超高压直流以及输电以及静态无功补偿第二代模块化高级控制系统，是ABB公司开发的用于输电工程的一种控制保护系统。MACH2系统是一种基于软件和硬件的开发平台，也是一种适用于直流输电的控制保护系统。MACH2系统采用基于PC的技术方案，其硬件系统以多处理器的工业PC作为主计算机，通过PCI总线扩展高性能设备控制模板构成。该方案具有处理速度高、功能强大和PC系列标准设备易于功能扩展，以及可以得到第三方丰富的资源支持等特点。控制保护系统与现场设备的接口采用光纤介质的CAN、TDM和HDLC等高性能现场总线，使系统具有可靠性高、组态灵活，整个系统表现为基于网络的分布式结构。软件采用图形化编程和调试工具，界面友好、程序可读性高，修改、调试和维护方便，效率高[1]。系统采用完全冗余配置并具有完备的自检功能，极大地提高了系统的可靠性和可用率。

本文以三常直流为例详细介绍三常直流的控制保护系统的分层结构，并以ABB公司的MACH2直流控制保护系统为例，来对直流控制保护系统的冗余性做深入分析，并通过计算得出了这种分层设计的冗余控制保护系统可以显著的提高直流控制保护系统的可靠性。

2.MACH2 系统冗余性分析

MACH2系统包括冗余的ACP，AFP和PCP主机。对于用CAN和TDM总线相互连接的主机，分布式I/O和子系统，总线均采用冗余配置。下面将分别对这些MACH2系统的冗余特性展开深入探讨。

2.1 分布式I/O系统的冗余

冗余的ACP，AFP，或PCP系统的接口是安放在独立的屏柜内的远方或分布式I/O系统，这些屏柜按距离和设计要求或靠近相关的主回路设备或在中央控制室里。为了避免任何可能的干扰，设备的不同层场总线连接采用光缆[2]。

分布式I/O系统包括交流场(ACP和AFT)I/O、直流场(DFT)I/O、交流滤波器保护(AFP)I/O、换流变压器(TFT)I/O、平波电抗器(SRCI)I/O。分布式I/O系统完全冗余，且通过两个双重化现场总线连接到上一级层。不同于ACP、AFP或PCP系统，双重分布式I/O系统总处于运行状态，即双通道运行。对I/O系统，所有主回路的测量传感器这样连接，即每个I/O系统从独立的互感器线圈引入测量量。如果只有一个线圈，应将它连接到两个系统中，确保运行时一个I/O系统的输入回路出现问题时，不影响其他I/O系统的工作。

I/O的测量通道一直处于被监测中。如果检测到异常将发出报警，可能的话切换到另一系统(是否切换由故障严重程度决定)。

类似于测量通道，对分布式I/O系统，所有进、出开关场的开关量均被联接到两个冗余系统中。从主设备出来，两个I/O系统始终处于运行状态。例如，到断路器的跳闸信号，正常时会被两个系统同时执行。

2.2 分布式子系统的冗余

分布式子系统与分布式I/O系统使用相同的硬件，唯一不同的是子系统有自己的控制或保护功能。控制保护功能被下放到子系统中，就意味着在A、B子系统间必须有自己的切换逻辑和交叉的通讯通道。在这系统层进行切换不会影响其它系统，如PCP系统。

分布式子系统通讯接口原理图如图1所示。

由于系统间的距离很短，系统间交叉连接的现场总线采用电气连接（CAN4）。CAN4是独立的，并且不出柜体。它与I/O机箱背板的CAN1(和CAN2)电气隔离。桥的功能在PS832板中用软件实现。

2.3 CAN总线的冗余

在冗余的PCP，ACP 和AFP系统中，CAN总线被用作I/O控制总线。这些总线彼此间完全隔离。PCP系统总线数据被冗余配置的双CAN总线处理，见图2。这种配置中，分布式I/O系统被联接到各自控制柜[3]。这样可以实现任何保护动作的双重跳闸通道。因此，在完成保护启动的切换后，双跳闸通道总是有效。切换只在主计算机层产生，分布式I/O系统总处于运行状态。

在CAN网络系统中，任何一个应用程序（CAN网络节点的软件功能）都能方便地与另一应用程序通讯，只要简单使用信号发送和接受软件功能块。

现场总线的运行情况也受故障监测系统的监视，通过连续的读写系统中单独的节点来发现故障。发现故障时，产生报警并切换到备用系统。

2.4 TDM总线的冗余

MACH2系统中的TDM总线是单向总线类型，用于高速传输测量信号。两个数字处理器的端口按点对点的方式联接(DSP-DSP联接)。类似于CAN总线一样，该总线采用双重化以实现冗余，见图3。这里远方或分布式I/O 的A和B相应连接到A和B柜[4]。

3.可靠性分析

对MACH2这样一个复杂的HVDC控制保护系统做出完整的可用性分析是很困难的。为了完成可用性分析，需进行一些假设，这些假设是建立在该领域的大量经验的基础上。下面以三常直流为例通过计算来分析MACH2的冗余性配置对系统可靠运行的意义。

3.1 故障模式可用分析

HVDC极控制保护设备可分为三个主要模块：极控制和保护(PCP柜)、阀控制(VCA，VCB，VCC)、分布式I/O系统(包括双极相关I/O)。

1）主极控制和保护

极控制和保护A和B是双重柜。每个PCP有两个主计算机。控制和保护装置1(P1)，保护装置2(P2)。P1和P2柜通常启动切换作为第一操作。滤波器保护、换流变压器中的一些保护，总是运行状态。

两个PCP单元之一在运行状态，另一个备用。如果运行系统出现故障，备用被切入。每个单元都有切换功能。无公用设备，除了两单元之间的交叉联接总线。如果这些总线故障，只失去备用系统，HVDC系统的运行不受影响。

有些保护在两个PCP系统中都运行，它们独立于两个PCP系统的运行状态。就是说对这些保护之一的测量系统故障，有理论上的误跳闸风险。这种误跳几率从运行实际中得到是小于0.4*10-6f/h，比如，从站运行统计已有2,500,000运行小时无误跳纪录[5]。

双极设备的保护分布在极层，例如包括在P1的保护只跳自己极。就是说双极保护对该种保护无误跳风险(如果存在双极)。

2）阀控制

阀控制位于三个柜中。每个阀组有一个控制单元。控制单元的核心元件被双重化，且和PCP的切换是统一的。光发送和接收，及一些供电设备无需双重化，但他们满足单元故障时不会影响运行(单元指晶闸管和它的光发送和接收，及一些供电设备)。因此，在阀控的非双重化部分，系统故障的概率按计算可减少到0.05*λ。

3）I/O系统

在控制保护中，直流场终端(DFT)，变压器保护的I/O、滤波器保护的I/O都是双重化的冗余配置。

4）未被发现的软件错误

尽管采取了种种措施，未被发现的软件错误不可避免。基于运行经验，并通过计算，可能最大的双极跳闸概率是在试运行后的第一个三年内出现。软件错误只会发生一次，纠正后不再出现，因此造成的不可用性会逐年递减。PCP系统未被发现的软件错误而导致强迫停运的概率是0.33次跳闸/每年(37.7*10-6次/小时)。

3.2 计算

下面将根据上面分析的MACH2系统冗余结构来计算出这种冗余结构的可靠性，为了方便计算事先对一些板卡及主机的故障率做出一些合理的假设，建立相应的系统故障数学模型。表1将平均故障时间(MTBF)按回路和工控机的不同类型作出不同假设[6]。

根据表1假设，结合三常直流控制保护主机及I/O板卡的实际配置情况可以大致估算出每种不同设备的故障率，同时假设测量设备故障率是40%，则有表2。

维修时间r=平均维修时间(MTTR)+维护时间=(1+2)h=3小时。

以上便建立了完整的换流站控制保护设备可靠性分析数学模型，根据以上模型下面将分别计算出单系统和冗余系统的可靠性，并做出分析比较。下面将分别以换流变或滤波器保护以及极控制保护为例来进行可靠性计算。

1）换流变保护及滤波器保护可用性分析：

换流站的换流变保护及滤波器保护均配置在保护主机之内，除保护主机内部故障会导致保护不可用外，与保护主机相连的保护I/O板卡及保护主机上运行的软件发生故障均会导致换流变保护及滤波器保护不可用，图4为单系统换流变及滤波器保护可用的必备条件框图。

由图4及表2可以计算出但系统保护的故障率。

λTFP/AFP=λP+λPIO+λUse

=(14.16*10-6)+ (37.7*10-6)

=51.86*10-6(次/小时)= 0.45(次/年)

由故障率与维修时间可以推得单系统保护的年不可用时间为：

λTFP/AFP*r=0.45*3=13.5(小时/年)

图5为双系统冗余配置的换流变及滤波器保护，由上图计算出的冗余配置保护的故障率为：

λTFP/AFP=[2*(λP+λPIO)2] +λUse

=(0.0004* 10-6)+(37.7*10-6)

=37.7004*10-6(次/小时)

=0.3302(次/年)

推得双系统冗余配置的换流变及滤波器保护年不可用时间为：

λTFP/AFP*r=0.3302*3

=0.9906(小时/年)

2）极控制保护、阀控和I/O系统可用性分析：

图6是以三常直流控制保护的实际情况画出的极控保护、阀控及I/O系统可用条件关系图，通过该图可以清晰的看到三常直流的控制保护系统是双重化冗余配置的，根据上图可以计算出该系统的可用性为：

λC&P=[2*(λC&P+λVCIO +λDFT+λTFT+λCCP IO)2]+λUse

=(0.023*10-6)+(37.7*10-6)

=37.723*10-6(次/小时)

=0.3305(次/年)

其不可用时间为：

λC&P*r=0.3305*3=0.9915(小时/年)

若系统为单系统，即相当于图9中的B系统不可用则可计算出故障率为：

λC&P=λC&P+λVC IO+λDFT+λTFT+λCCPIO +λUse

=(194.8*10-6)+(37.7*10-6)

=232.5 *10-6(次/小时)

=2.03(次/年)

其不可用时间为：

λC&P*r=2.03*3=6.09(小时/年)

对上面的计算结果进行汇总见表3。

表3可以看出双系统控制保护相对于单系统控制保护的可靠性有了大幅提高，这对电力系统的稳定运行有着重要意义。

4.总结与展望

本文对三常直流的控制软件中的冗余性进行了分析，详细介绍了整个控制保护系统的分层结构，并通过深入分析和计算证明了冗余系统的可靠性。

由于作者能力和时间有限，文中难免会存在一些不足之处，有待进一步的改进和完善。本文只是对控制保护设备的冗余配置做了简单的可靠性分析，还有许多工作有待进一步的深入。本文中介绍的控制保护系统仅仅以ABB公司的MACH2系统为例，没能全面的介绍目前直流系统所采用的控制保护系统，另外，本文没能更深一步的对MACH2系统做进一步研究，对整个MACH2系统的细节还介绍的不够全面。因此，研究控制保护软件的工作还要继续深入。

参考文献

[1]国家电网公司编.三峡－常州±500kV直流输电工程-换流站[M].中国电力出版社,2004.

[2]K-G Danlelsson.Software Overview Diagram Zhengping Converter Station[E].ABB Group.2001.

[3]K-G Danlelsson.CAN Bus Overview Diagram Zhengping Converter Station[E].ABB Group.2001.

[4]K-G Danlelsson.TDM Bus Overview Diagram Zhengping Converter Station[E].ABB Group.2001.

[5]任震,武娟,陈丽芳.高压直流输电可靠性性评估的等效模型[J].电力系统自动化,1999(09).

[6]陈永进,任震,梁振升等.高压直流输电系统可靠性评估的容量模型研究[J].电网技术,2005,29(10).

作者简介：

俞晓冬（1976―），工程师，现供职于湖北省电力公司检修分公司，研究方向：直流输电技术。

王丽丽（1981―），硕士，现供职于三峡电力职业技术学院，研究方向：电力设备状态检修。

戴迪（1983―），硕士，现供职于湖北省电力公司检修分公司，研究方向：电力系统在线监测。