基于事故安全设计的开关量输出控制单元

　　0 引言

　　在微机保护装置中，所有保护功能最终是通过开关量输出单元来控制断路器、隔离开关和继电器动作实现的，因此微机保护装置开关量输出电路的可靠性直接反映了微机保护系统的可靠性。对于开关量输出是否可靠的问题，作者认为应从3个方面来理解：开关量输出控制单元自身的可靠性;开关量输出控制单元是否正确执行CPU发出的正确指令;开关量输出控制单元是否拒绝执行CPU发出的错误指令，也就是说要求微机保护装置开关量输出控制单元必须识别CPU发出指令的正确与否。

　　微机保护装置已有20多年的发展历史，尽管从事保护装置研发的工作者在如何提高开关量输出控制单元自身可靠性和正确执行CPU发出的指令方面做了许多工作，但在开关量输出控制单元拒绝执行CPU发出的错误指令方面，据作者所知，目前仅有少数微机保护装置采取了一些非常简单的措施 (例如用2位CPU的输出端口控制1位开关量输出)来提高开关量输出的可靠性外，大多数装置几乎没有做任何处理。由于现场干扰的存在和器件可靠性方面的原因，微机保护装置和其他工业控制装置一样，它的CPU及外围单元不可能时刻工作在正常状态，仍然会发生某些异常事故。在这些异常事故中，CPU程序跑飞是发生频率最高的事故。目前微机保护装置和其他工业测控系统广泛采用的 Watchdog电路就是在CPU出现程序跑飞时，阻止事故进一步扩大而采取的常用方法。我们知道 Watchdog电路并不能保证CPU正常工作，它仅仅是在CPU程序跑飞一段时间后，试图通过复位方式将CPU恢复到正常工作状态，这段时间通常在 20ms～2s之间。在这段时间内，处于异常工作的 CPU至少可以执行数万条指令。而在这数万条异常指令中，什么样的情况都可能发生，如果此时CPU发出了开关操作指令，而开关量输出控制单元不加识别就执行的话，必然造成系统误动。对于电力系统来说，误动是一种非常严重的事故。因此在设计微机保护装置时，使其开关量输出控制单元具备事故安全功能是非常必要的。

　　1 事故安全设计

　　系统设计时，可以采取各种措施来提高可靠性，例如硬件方面采用冗余和容错技术，软件方面采用容错方案以及系统运行前和运行过程中不断自检[1] 。但不管采取什么措施，只能相对提高系统的可靠性，而不能根除故障。对于微机保护装置这样对可靠性要求非常高的系统，如果不采取适当的措施，一旦出现故障，其后果是十分严重的。如果我们在设计系统过程中，考虑到当系统出现故障时，使其输出锁定在某一特定安全值内，则这个系统是事故安全的，这种设计称为事故安全设计[2] 。对于微机保护装置开关量输出控制单元，事故安全可以理解为：当 CPU发生故障时，开关量输出控制单元使其输出锁定在CPU发生故障前的状态，以消除误动。