影響熱工保護(hù)可靠性的常見(jiàn)錯(cuò)誤邏輯及改進(jìn)方法

沈鐵志

（神華福能發(fā)電有限責(zé)任公司，福建 泉州 362700）

0 引言

圖2 增加負(fù)荷軟開(kāi)關(guān)的機(jī)跳爐邏輯Fig.2 Turbine trip boiler logic with load soft switch added

火力發(fā)電廠(chǎng)熱工保護(hù)聯(lián)鎖的可靠性直接影響發(fā)電機(jī)組的安全、穩(wěn)定運(yùn)行。保護(hù)聯(lián)鎖邏輯和回路組態(tài)策略是否正確，決定保護(hù)邏輯是否能夠正確起作用?！斗乐闺娏ιa(chǎn)事故的二十五項(xiàng)重點(diǎn)要求》及電力行業(yè)熱工自動(dòng)化系統(tǒng)相關(guān)規(guī)程、標(biāo)準(zhǔn)等均對(duì)熱工保護(hù)邏輯、控制回路做出了具體的要求。但在各火電廠(chǎng)基建項(xiàng)目及后續(xù)技改中，因設(shè)備條件、技術(shù)人員的水平等原因經(jīng)常出現(xiàn)一些錯(cuò)誤、不合理的組態(tài)邏輯，造成了多起設(shè)備保護(hù)拒動(dòng)、誤動(dòng)的不安全事件。以下結(jié)合搜集的國(guó)內(nèi)火電機(jī)組實(shí)際保護(hù)邏輯，對(duì)經(jīng)常出現(xiàn)的保護(hù)問(wèn)題進(jìn)行分析，并提出解決辦法，希望能給行業(yè)內(nèi)兄弟電廠(chǎng)起到借鑒作用。

1 混淆輔助條件與并列條件

“與”門(mén)是控制邏輯中最常見(jiàn)的邏輯運(yùn)算功能塊，許多保護(hù)回路中都會(huì)使用此功能塊實(shí)現(xiàn)各種保護(hù)動(dòng)作的觸發(fā)條件的集成。但在使用中應(yīng)注意，“與”門(mén)表示的是各個(gè)判斷條件存在并列關(guān)系，使用中常用來(lái)組合輔助條件，若組態(tài)不合理將會(huì)帶來(lái)熱工保護(hù)回路的風(fēng)險(xiǎn)隱患。

1.1 案例及風(fēng)險(xiǎn)分析

某百萬(wàn)火力發(fā)電機(jī)組鍋爐MFT保護(hù)，其中一項(xiàng)保護(hù)為：機(jī)組負(fù)荷大于100MW時(shí)，汽輪機(jī)跳閘則觸發(fā)鍋爐MFT。其中，機(jī)組負(fù)荷信號(hào)采用網(wǎng)絡(luò)變量傳送?，F(xiàn)場(chǎng)DCS邏輯組態(tài)如圖1所示。

圖1所示的保護(hù)邏輯比較常見(jiàn)，從邏輯組態(tài)圖上看，能夠?qū)崿F(xiàn)保護(hù)原始設(shè)計(jì)的目的。但經(jīng)過(guò)認(rèn)真分析后，可以發(fā)現(xiàn)，此種邏輯組態(tài)存在隱患。當(dāng)機(jī)組負(fù)荷升高并大于等于100MW后，若此時(shí)負(fù)荷信號(hào)質(zhì)量出現(xiàn)問(wèn)題變壞點(diǎn)，則保護(hù)邏輯中此項(xiàng)條件自動(dòng)被屏蔽掉，若此時(shí)發(fā)生汽輪機(jī)跳閘，鍋爐也不會(huì)觸發(fā)MFT，發(fā)生保護(hù)拒動(dòng)事故。說(shuō)明此種機(jī)跳爐保護(hù)信號(hào)的選取不完善，其中負(fù)荷信號(hào)作為保護(hù)投退的輔助信號(hào)，其值達(dá)到目標(biāo)值100MW后，負(fù)荷信號(hào)質(zhì)量判斷結(jié)果不應(yīng)作為主保護(hù)動(dòng)作條件而觸發(fā)主保護(hù)動(dòng)作，即負(fù)荷信號(hào)不應(yīng)與保護(hù)主信號(hào)（汽輪機(jī)跳閘）為并列關(guān)系；另外，機(jī)組負(fù)荷信號(hào)取閾值100MW，未設(shè)置死區(qū)也會(huì)導(dǎo)致保護(hù)頻繁處于投退狀態(tài)。

1.2 改進(jìn)方法

根據(jù)此項(xiàng)保護(hù)最終的設(shè)計(jì)目的，分析現(xiàn)場(chǎng)保護(hù)邏輯存在的隱患原因后，可采用保護(hù)投退軟開(kāi)關(guān)控制方式改進(jìn)現(xiàn)場(chǎng)保護(hù)邏輯；同時(shí)，增加適當(dāng)?shù)呢?fù)荷信號(hào)死區(qū)以防止保護(hù)頻繁投退，保護(hù)邏輯設(shè)計(jì)如圖2所示。

圖2的邏輯組態(tài)設(shè)計(jì)完全能夠?qū)崿F(xiàn)要求的保護(hù)功能，并有以下特點(diǎn)：當(dāng)機(jī)組負(fù)荷大于100MW且負(fù)荷信號(hào)質(zhì)量正常時(shí)，RS觸發(fā)器置1，保護(hù)投入；當(dāng)機(jī)組負(fù)荷小于95MW且為好質(zhì)量時(shí)，RS觸發(fā)器復(fù)位，保護(hù)退出。其中，RS觸發(fā)器設(shè)置為S優(yōu)先方式。這種設(shè)計(jì)方式下，即便機(jī)組負(fù)荷信號(hào)質(zhì)量出現(xiàn)異常，因?yàn)镽S觸發(fā)器的鎖存功能已經(jīng)記憶了機(jī)組負(fù)荷升高至大于等于100MW，也不會(huì)因?yàn)榇诵盘?hào)質(zhì)量問(wèn)題導(dǎo)致機(jī)組主保護(hù)發(fā)生拒動(dòng)事故，增加的死區(qū)也能夠避免主保護(hù)處于頻繁投退狀態(tài)。

2 錯(cuò)誤處理雙重冗余信號(hào)

在發(fā)電廠(chǎng)各種主輔機(jī)設(shè)備中，因制造廠(chǎng)生產(chǎn)成本、空間條件以及對(duì)設(shè)備保護(hù)的重視程度不同等因素，在配置監(jiān)視保護(hù)儀表或傳感器時(shí)，同一被測(cè)參數(shù)經(jīng)常配置單臺(tái)或雙臺(tái)儀表。而雙重冗余信號(hào)保護(hù)雖然可靠性較單點(diǎn)高，但若邏輯回路設(shè)置不當(dāng)，則起不到雙重信號(hào)的作用，會(huì)給熱工保護(hù)回路埋下可靠性隱患。

2.1 案例及風(fēng)險(xiǎn)分析

某火力發(fā)電機(jī)組磨煤機(jī)行星齒輪箱輸入軸承安裝有兩支溫度元件，投產(chǎn)初期其設(shè)置的保護(hù)邏輯為：磨煤機(jī)行星齒輪箱任一輸入軸承溫度達(dá)到跳閘值（85℃）且另一輸入軸承溫度達(dá)到報(bào)警值（70℃），磨煤機(jī)跳閘，如圖3所示。

圖3磨煤機(jī)齒輪箱溫度跳閘保護(hù)存在的問(wèn)題是，當(dāng)兩支溫度元件中，任一溫度元件出現(xiàn)斷線(xiàn)、短路等異常導(dǎo)致的信號(hào)質(zhì)量壞點(diǎn)時(shí)，另外一支溫度元件檢測(cè)到軸承溫度高也不會(huì)跳閘磨煤機(jī)，導(dǎo)致磨煤機(jī)溫度高保護(hù)不起作用，保護(hù)拒動(dòng)。失去了配置兩支溫度元件提高可靠性的意義。

2.2 改進(jìn)方法

根據(jù)磨煤機(jī)齒輪箱溫度元件的實(shí)際配置情況以及保護(hù)功能要求，在不增加現(xiàn)場(chǎng)測(cè)點(diǎn)的情況下，對(duì)此保護(hù)邏輯進(jìn)行改進(jìn)優(yōu)化，使任一支溫度元件出現(xiàn)故障時(shí)，不影響另一溫度元件的保護(hù)作用，即：當(dāng)兩個(gè)信號(hào)均為好質(zhì)量時(shí)，按目前邏輯執(zhí)行；當(dāng)其中任一個(gè)信號(hào)壞質(zhì)量時(shí)，壞質(zhì)量信號(hào)自動(dòng)退出，保護(hù)控制方式自動(dòng)切換為單點(diǎn)方式。如圖4所示。

圖3 不完善的磨煤機(jī)軸承溫度保護(hù)邏輯Fig.3 Imperfect temperature protection logic of coal mill bearing

從圖4可知，無(wú)論哪支輸入軸承溫度出現(xiàn)故障，系統(tǒng)都能保證有一點(diǎn)溫度信號(hào)作為輔機(jī)保護(hù)磨煤機(jī)正常運(yùn)行。雖然單點(diǎn)信號(hào)不可靠，但在異常情況下能夠保留保護(hù)功能，給運(yùn)行、維護(hù)人員恢復(fù)故障預(yù)留時(shí)間，降低了磨煤機(jī)無(wú)保護(hù)導(dǎo)致燒瓦的可能性，有利于保護(hù)輔機(jī)設(shè)備安全運(yùn)行。

3 重要設(shè)備缺少防誤操作措施

《火力發(fā)電廠(chǎng)熱工控制系統(tǒng)設(shè)計(jì)技術(shù)規(guī)定》第6.2.6節(jié)規(guī)定：采用順序控制時(shí)，可根據(jù)被控對(duì)象的重要性考慮設(shè)置單個(gè)對(duì)象的操作手段。當(dāng)順序控制系統(tǒng)設(shè)置上位機(jī)時(shí)，運(yùn)行人員應(yīng)以CRT和鍵盤(pán)監(jiān)控每一個(gè)對(duì)象。應(yīng)考慮相應(yīng)的措施，以防運(yùn)行人員的誤操作。而實(shí)際應(yīng)用中，經(jīng)常出現(xiàn)缺少防誤操作的手段。

3.1 案例及風(fēng)險(xiǎn)分析

某火力發(fā)電機(jī)組，汽輪機(jī)真空泵入口氣動(dòng)門(mén)未設(shè)置開(kāi)、關(guān)允許條件，導(dǎo)致運(yùn)行中真空不穩(wěn)的情況下，運(yùn)行人員操作真空泵使真空進(jìn)一步降低。

機(jī)組運(yùn)行中，保護(hù)的優(yōu)先級(jí)要高于人員操作指令，以保證系統(tǒng)、設(shè)備能夠安全穩(wěn)定運(yùn)行。對(duì)于正常運(yùn)行的設(shè)備，除了故障等危及設(shè)備安全運(yùn)行的情況需要緊急停機(jī)外，也要規(guī)避不恰當(dāng)?shù)牟僮鲗?dǎo)致設(shè)備誤停帶來(lái)的穩(wěn)定性風(fēng)險(xiǎn)。如果運(yùn)行人員不慎操作真空泵，發(fā)出了錯(cuò)誤指令，將引發(fā)不安全事件，不能有效地防止由于誤操作而引發(fā)汽輪機(jī)跳閘。

3.2 改進(jìn)方法

圖4 改進(jìn)后的磨煤機(jī)軸承溫度保護(hù)邏輯Fig.4 Improved temperature protection logic of coal mill bearing

在此類(lèi)輔機(jī)設(shè)備的允許條件中增加關(guān)允許條件：“機(jī)組運(yùn)行中（或采用已掛閘狀態(tài)信號(hào)），至少一臺(tái)真空泵在運(yùn)行，并且運(yùn)行真空泵相對(duì)應(yīng)的入口蝶閥已打開(kāi)，且凝汽器真空正?！?，或者“機(jī)組已停止（可采用掛閘油壓消失狀態(tài)信號(hào)）”。增加允許開(kāi)條件：“本臺(tái)真空泵運(yùn)行，并且真空泵入口氣動(dòng)門(mén)后真空度滿(mǎn)足要求（聯(lián)鎖開(kāi)入口氣動(dòng)門(mén)的定值）”或者“機(jī)組已停止（可采用掛閘油壓消失狀態(tài)信號(hào)）”。這樣改進(jìn)后，就能有效避免運(yùn)行人員的誤操作帶來(lái)的風(fēng)險(xiǎn)。

4 設(shè)備原始情況造成的冗余度不足

長(zhǎng)期以來(lái)，火力發(fā)電廠(chǎng)只有針對(duì)主機(jī)保護(hù)信號(hào)通常要求采用“三取二”方式配置測(cè)點(diǎn)和邏輯，而《防止電力生產(chǎn)事故的二十五項(xiàng)重點(diǎn)要求》中9.4條對(duì)“防止熱工保護(hù)失靈”做出了明確規(guī)定：“所有重要的主、輔機(jī)保護(hù)都應(yīng)采用‘三取二’的邏輯判斷方式，保護(hù)信號(hào)應(yīng)遵循從取樣點(diǎn)到輸入模件全程相對(duì)獨(dú)立的原則”[1]，這項(xiàng)要求對(duì)基建階段的電廠(chǎng)比較容易實(shí)施，但對(duì)已投產(chǎn)機(jī)組實(shí)現(xiàn)起來(lái)可能就比較困難。因此，根據(jù)電力行業(yè)自動(dòng)化技術(shù)委員會(huì)發(fā)布的《提高火電廠(chǎng)熱工自動(dòng)化系統(tǒng)可靠性的技術(shù)措施》第3.1條中要求：“不滿(mǎn)足‘三取二’要求的經(jīng)過(guò)專(zhuān)題論證可增加證實(shí)信號(hào)或改為II級(jí)報(bào)警”[2-5]，可通過(guò)增加證實(shí)信號(hào)方式提高保護(hù)完善性。

4.1 案例及風(fēng)險(xiǎn)分析

某百萬(wàn)機(jī)組電廠(chǎng)，基建期鍋爐送風(fēng)機(jī)電氣開(kāi)關(guān)側(cè)只提供一對(duì)開(kāi)關(guān)量接點(diǎn)信號(hào)，即“送風(fēng)機(jī)運(yùn)行”與“送風(fēng)機(jī)停運(yùn)”信號(hào)，無(wú)法提供三對(duì)接點(diǎn)。在鍋爐MFT保護(hù)中，送風(fēng)機(jī)停運(yùn)信號(hào)由電氣開(kāi)關(guān)柜送來(lái)的一個(gè)“送風(fēng)機(jī)運(yùn)行”繼電器接點(diǎn)信號(hào)取反形成，兩臺(tái)送風(fēng)機(jī)全停保護(hù)均為單點(diǎn)判斷方式。如圖5所示。

因單點(diǎn)保護(hù)的不可靠性，機(jī)組正常運(yùn)行中，很容易因送風(fēng)機(jī)電氣開(kāi)關(guān)接點(diǎn)故障出現(xiàn)保護(hù)誤動(dòng)或拒動(dòng)等不安全事件。如送風(fēng)機(jī)A電氣開(kāi)關(guān)接點(diǎn)因故障而接點(diǎn)粘連，“運(yùn)行”信號(hào)接點(diǎn)始終保持閉合狀態(tài)，此時(shí)若送風(fēng)機(jī)B跳閘時(shí)，本應(yīng)觸發(fā)鍋爐MFT，但因接點(diǎn)故障，導(dǎo)致機(jī)組只是錯(cuò)誤地產(chǎn)生RB動(dòng)作指令，有可能釀成惡性事故。

圖5 不可靠的送風(fēng)機(jī)全停判斷邏輯Fig.5 Unreliable judgment logic for full stop of forced draft fan

4.2 改進(jìn)方法

因送風(fēng)機(jī)電氣開(kāi)關(guān)繼電器接點(diǎn)數(shù)量有限，送風(fēng)機(jī)運(yùn)行或停運(yùn)信號(hào)無(wú)法滿(mǎn)足“三取二”邏輯配置要求。因此，只能引用其他信號(hào)來(lái)表征送風(fēng)機(jī)停運(yùn)狀態(tài)。根據(jù)送風(fēng)機(jī)停運(yùn)狀態(tài)的特點(diǎn)，將送風(fēng)機(jī)電流信號(hào)、送風(fēng)機(jī)停運(yùn)狀態(tài)信號(hào)接入10號(hào)站中，在10號(hào)站中采用“運(yùn)行取反” “停運(yùn)”“電流閾值判斷”三信號(hào)進(jìn)行三取二冗余后，形成“送風(fēng)機(jī)停運(yùn)”的綜合判據(jù)，以此綜合判據(jù)，形成FSSS保護(hù)中“兩臺(tái)送風(fēng)機(jī)全?！碧l條件，從而提高機(jī)組主保護(hù)的可靠性。優(yōu)化后邏輯如圖6所示。

類(lèi)似于此種在基建期，設(shè)備生產(chǎn)廠(chǎng)家未提供足夠的測(cè)點(diǎn)的相對(duì)比較多。在機(jī)組日常運(yùn)行維護(hù)、計(jì)劃?rùn)z修過(guò)程中，應(yīng)考慮給予及時(shí)的技改，以解決保護(hù)條件冗余度問(wèn)題。有條件的可以通過(guò)增加或安裝同類(lèi)型測(cè)點(diǎn)的方式來(lái)解決。若現(xiàn)場(chǎng)條件不滿(mǎn)足，也要根據(jù)實(shí)際情況，增加保護(hù)觸發(fā)條件的佐證信號(hào)，以保證熱工保護(hù)能夠可靠動(dòng)作。類(lèi)似的情況，如有的引風(fēng)機(jī)汽輪機(jī)軸向位移大保護(hù)、給水泵汽輪機(jī)振動(dòng)大保護(hù)、輔機(jī)軸承溫度高保護(hù)等，多數(shù)采用兩個(gè)測(cè)點(diǎn)，甚至一個(gè)測(cè)點(diǎn)來(lái)作為保護(hù)是不安全的。應(yīng)根據(jù)實(shí)際情況選擇合理判據(jù)，設(shè)置組態(tài)安全可靠的保護(hù)回路。

5 合理使用延時(shí)功能塊，防止設(shè)備誤動(dòng)

在保護(hù)聯(lián)鎖控制邏輯回路中，經(jīng)常使用延時(shí)功能塊，一是起到計(jì)時(shí)判斷功能，另外也可作為過(guò)濾瞬時(shí)干擾信號(hào)功能。延時(shí)功能塊的合理使用，能夠有效避免設(shè)備保護(hù)誤動(dòng)。

5.1 案例及風(fēng)險(xiǎn)分析

某百萬(wàn)機(jī)組電廠(chǎng)，引風(fēng)機(jī)直流潤(rùn)滑油泵聯(lián)鎖中，兩臺(tái)交流潤(rùn)滑油泵全停的判據(jù)，僅采用每臺(tái)交流潤(rùn)滑油泵的停運(yùn)狀態(tài)作判據(jù)。另外，當(dāng)工作交流潤(rùn)滑油泵跳閘時(shí)，經(jīng)常出現(xiàn)備用交流滋潤(rùn)油泵和直流潤(rùn)滑油泵同時(shí)聯(lián)鎖啟動(dòng)的工況。

圖6 改進(jìn)后的送風(fēng)機(jī)全停判斷邏輯Fig.6 Improved judgment logic of full stop of forced draft fan

圖7 有缺陷的直流潤(rùn)滑油泵聯(lián)鎖邏輯Fig.7 Defective interlock logic of DC lubricating oil pump

當(dāng)兩臺(tái)交流潤(rùn)滑油泵開(kāi)關(guān)接點(diǎn)工作正常時(shí)，因一臺(tái)交流潤(rùn)滑油泵故障跳閘瞬間，另外一臺(tái)未啟動(dòng)時(shí)，邏輯運(yùn)算的結(jié)果是兩臺(tái)交流潤(rùn)滑油泵均停止，結(jié)果觸發(fā)聯(lián)鎖啟動(dòng)另一臺(tái)交流潤(rùn)滑油泵，同時(shí)啟動(dòng)直流潤(rùn)滑油泵，造成設(shè)備誤啟動(dòng)。另外，此種組態(tài)同樣存在單點(diǎn)保護(hù)的不可靠性。機(jī)組正常運(yùn)行中，如A交流潤(rùn)滑油泵電氣開(kāi)關(guān)接點(diǎn)因故障而接點(diǎn)粘連，“運(yùn)行”信號(hào)接點(diǎn)始終保持閉合狀態(tài)，此時(shí)若A交流潤(rùn)滑油泵跳閘時(shí)，本應(yīng)聯(lián)鎖啟動(dòng)B，但因接點(diǎn)故障，導(dǎo)致B交流油泵未啟動(dòng)。

5.2 改進(jìn)方法

保護(hù)誤動(dòng)、拒動(dòng)風(fēng)險(xiǎn)性分析及可靠的保護(hù)聯(lián)鎖系統(tǒng)設(shè)計(jì)，既要考慮外部因素和子系統(tǒng)的工作狀況對(duì)系統(tǒng)的影響，又要考慮偶然性測(cè)點(diǎn)故障因素[6]。熱工保護(hù)的基本配置原則是“既要防止拒動(dòng)，又要防止誤動(dòng)”，各種作用于主設(shè)備停運(yùn)的熱工保護(hù)，必須有防止因單一測(cè)點(diǎn)、回路故障而導(dǎo)致保護(hù)誤動(dòng)的技術(shù)措施[7]。

根據(jù)實(shí)際情況，在兩種交流潤(rùn)滑油泵全停判據(jù)的后面（與門(mén)的后面），加入2s延時(shí)。這樣，當(dāng)一臺(tái)交流潤(rùn)滑油泵跳閘后，2s內(nèi)若另一臺(tái)交流油泵啟動(dòng)成功，則不啟動(dòng)直流油泵；若2s內(nèi)未啟動(dòng)備用油泵，則啟動(dòng)直流油泵。另外，對(duì)每臺(tái)交流潤(rùn)滑油泵停運(yùn)狀態(tài)的判斷采用“運(yùn)行狀態(tài)取反或者停運(yùn)狀態(tài)”組合邏輯。如圖8所示。

圖8 改進(jìn)后的直流潤(rùn)滑油泵聯(lián)鎖邏輯Fig.8 Improved interlock logic of DC lubricating oil pump

6 結(jié)束語(yǔ)

綜上各個(gè)實(shí)際案例分析，火力發(fā)電廠(chǎng)等工業(yè)控制領(lǐng)域進(jìn)行保護(hù)聯(lián)鎖邏輯組態(tài)時(shí)，一定要對(duì)保護(hù)控制的聯(lián)鎖關(guān)系進(jìn)行認(rèn)真地分析。往往一個(gè)小的細(xì)節(jié)的疏忽，就可能影響保護(hù)聯(lián)鎖回路的正確動(dòng)作。保護(hù)回路或邏輯的設(shè)計(jì)，在理想情況下，應(yīng)按既能防止誤動(dòng)，又能防止拒動(dòng)進(jìn)行設(shè)計(jì)。當(dāng)二者不能兼顧時(shí)，應(yīng)視保護(hù)對(duì)象是主機(jī)還是輔機(jī)進(jìn)行合理設(shè)置組態(tài)。有條件的企業(yè)應(yīng)按照《防止電力生產(chǎn)事故的二十五項(xiàng)重點(diǎn)要求》（2014版）的要求配置信號(hào)測(cè)點(diǎn)，條件不具備的現(xiàn)場(chǎng)應(yīng)適度增加佐證冗余信號(hào)，起到提高聯(lián)鎖保護(hù)邏輯可靠性的作用。同時(shí)，在邏輯組態(tài)完成后，應(yīng)模擬各種條件測(cè)試保護(hù)邏輯動(dòng)作的正確性，以排查邏輯中存在的隱患。