摘要:电厂DCS控制系统三大品牌:艾默生公司的Ovation系统、ABB公司的Symphony系统,西门子公司Teleperm me系统这三套DCS系统的MFT控制回路进行介绍和可靠性分析,针对存在的问题提出解决的措施。
关键词:DCS;MFT;控制;可靠性;措施
主燃料跳闸(MFT)保护是锅炉炉膛安全监控系统的主要组成部分,主燃料跳闸条件一旦形成,就会触发MFT紧急停炉,停机。MFT控制回路要遵循控制器故障安全型、继电器失电跳闸的原则,为保证该保护能正确动作,DCS厂家都配备自身特有的控制回路以防止保护误动、拒动的可能。在这些控制回路设计中,DCS厂家充分考虑和应用了冗余技术、容错技术、失电保护技术,以期MFT保护系统达到控制器故障安全型、继电器失电跳闸型两个要求。
保护系统一般由保护信号输入回路、保护逻辑运算回路和保护输出动作回路三部分组成。本文主要讨论保护输出动作回路即继电器回路的可靠性,对艾默生公司的Ovation系统、ABB公司的Symphony系统,西门子公司Teleperm me系统这三套DCS系统的MFT控制回路进行介绍和可靠性分析。
1电厂DCS控制系统MFT控制回路概况
1.1艾默生公司的Ovation系统
目前,我公司承建的EPC项目菲律宾美萨美斯3x135MWCFB燃煤电厂机组就是使用的艾默生公司的Ovation系统。
Ovation系统设计有专门的跳闸继电器柜,DCS中逻辑运算判断后的MFT信号由DO模件送出三路到MFT硬线回路,MFT信号3取2逻辑是用硬接线回路组成。手动MFT信号采用2取2方式驱动MFT动作继电器,DCS柜电源失去也采用2取2方式驱动MFT动作继电器,以确保DCS失电时保护正确动作。该系统采用了冗余的MFT控制回路,两路控制回路任一路动作,相关设备保护回路就会起作用。
1.2ABB公司Symphony系统
国内600MW机组DCS系统使用ABB的Symphony系统较多,河北国华黄骅一期600MW机组DCS系统使用的就是ABB的Symphony系统。MFT控制回路应用了锅炉保护继电器端子单元BBPR01-1和BBPR01-2,BBPR01-3。
BBPR01-1端子板上有A、B两组共6路干接点数字输入。其中A组的3路MFT输入信号:D1-1,DI-2和DI-3来自Symphony系统的输出模件,即MFT逻辑运算回路的判断结果;B组的3路MFT输入信号:D1-4,DI-5和DI-6来自手动MFT按钮。这两组输入信号分别通过三个继电器实现3取2逻辑判断后去驱动一个MFT判断继电器,该判断继电器的输出作为BBPR01-1的输出信号。BBPR01-2根据BBPR01-1的输出向现场扩展输出16路常开或常闭干接点数字信号。BBPR01-2的DO输出是常开接点或是常闭接点取绝于16个跨接器JP1~JP16的设置。
正常无MFT信号触发情况下,BBPR01-1端子板上的两组共6路干接点数字输入信号是闭合的。BBPR01-1和BBPR01-2端子板上所有继电器常带电,24V电源直接取自电源装置,一旦有MFT信号触发或系统失电,继电器动作,驱动相应现场设备动作。符合对继电器失电跳闸型的要求。
黄骅一期1、2#机组使用了BBPR01-1和BBPR01-2端子板,3、4#机组使用了BBPR01-2和BBPR01-3端子板。区别在于3、4#机组MFT3取2逻辑是用硬接线回路组成的,BBPR01-3端子板上没有常开、常闭接点的跨接器,而是分别有接线端子供选用。
1.3西门子公司TELEPERMME系统
西门子公司TELEPERMME系统在国内早期300MW机组上应用较多,该系统中一般的控制系统应用了AS220EA自动系统,锅炉燃烧管理系统应用了具有高可用率的故障安全型保护系统AS220EHF。
AS220EHF系统在硬件上应用了其独特的“三取二”自检表决机制,保证单一设备故障发生时,不引起重大故障。AS220EH系统中央单元有三个独立运行的CPU,它们随时同步执行命令,分别由三条对应的I/O总线与扩展单元的I/O层相连。对于开关量输入通道,将输入的现场信号接到三对输入端子上,通过三条I/O输入通道输入到CPU,3个CPU同步运行,用各自的中央表决器将自身的信号与其它两个CPU发出的地址、数据和控制信号比较,取两个以上相同值为真值进行处理。若发生两个CPU故障,则继电器输出模件的负载电压切换至关状态,系统停止运行。对于开关量输出通道,三个CPU独立的计算结果分别通过各自的I/O总线送到I/O表决模件,由表决模件取两个以上相同值为真值,输出到开关量输出模件。
保护输出动作回路中采用了可测试的继电器输出模件,模件有l6路带继电器的开关量输出,用于与继电器柜的硬线连接。其特点:继电器冗余:两个继电器输出在两个模件中实现,而这两个模件分配给不同的I/O总线表决器(即位于两层机架)。两种继电器:根据双通道控制的要求,必须同时使用A型和B型继电器。输出摸件的16通道中,前8通道为A型,后8通道为B型。单错安全性:两个继电器输出与继电器柜的驱动线圈串联,这样根据锅炉保护失电跳闸原则,一个继电器摸件的故障不影响驱动对象的安全关闭。
为保证系统的输出安全,整个逻辑为失电跳闸型,即应用反逻辑的设计思想,正常状态下MFT信号常置”1”,送去保护输出动作回路中,使MFT驱动继电器常得电,一旦主燃料跳闸条件形成,MFT信号翻转为”0”,MFT驱动继电器失电,相应设备保护动作。
2可靠性分析
AS220EHF系统采用CPU的三重冗余,MFT动作继电器的双通道控制防止保护误动,采用反逻辑思想,使MFT动作继电器无论是软件故障还是硬件故障都能实现失电保护动作防止保护拒动的可能。在这个系统中区别于其它系统的还有一个特点MFT信号3取2判断由CPU直接完成,MFT信号形成之后DO模件输出信号到驱动继电器后直接控制相关设备。MFT控制回路中没有专门设计的MFT继电器单元或扩展继电器,此回路简单可靠。
Symphony系统中MFT保护继电器端子回路的设计是没有问题的,它起到了失电跳闸的作用,3取2逻辑也满足防拒动、防误动的要求。问题在于来自Symphony系统的三个MFT输入信号上,这三个信号正常时要求是常闭接点。正常情况下MFT逻辑在控制器中通过运算判别,逻辑结果是“0”,逻辑结果分三路由DO模件通过DO端子板NTROO2上常闭继电器输出三个闭合信号给锅炉保护继电器端子回路。
驱动DO常闭继电器的24V电源来自DO端子板,正常情况DO常闭继电器是不激励的。在这个回路中可以看出存在以下隐含的安全问题:
1)正常情况常闭继电器是不激励的,即使24V电源失去,送出的常闭接点依然闭合,锅炉保护继电器端子回路不会动作,无法达到继电器失电跳闸型要求。
2)拔去预制电缆或预制电缆接触不好,断开DO模件和DO端子板的连接,送出的常闭接点依然闭合,锅炉保护继电器端子回路不会动作。
3)拔去DO模件,送出的常闭接点依然闭合,锅炉保护继电器端子回路不会动作。
4)拔去控制器模件,送出的常闭接点依然闭合,锅炉保护继电器端子回路不会动作,无法达到控制器故障安全型要求。
5)由于MFT回路是正逻辑,即使硬件回路都正常,但是软件中如逻辑信号有断线存在,正常时也是无法发现的。
Ovation系统中用硬接线回路组成MFT信号3取2逻辑,采用冗余的MFT控制回路以防止保护的误动和拒动,回路简单可靠,但是由于也是采用了正逻辑的设计思想,控制回路中MFT动作继电器平时是不激励的,存在MFT动作继电器拒动的风险。由于MFT动作继电器的控制电源是DC110V,回路中只考虑了DCS电源失去的失电措施,但忽略了控制电源DC110V失去的保护措施。
为了防止单一信号的拒动或误动,在保护回路中广泛采用了3取2的容错技术。但是在没有采用三重冗余CPU的系统中,为了达到容错目的,具有3取2功能的保护输出回路部件较多、回路复杂,反而平添出了出错的环节。从对Symphony系统和Ovation系统保护输出动作回路的分析中我们看到3取2之后的MFT判别继电器还是一个,还是将风险集中到了一个点上,存在单一设备引起拒动或误动的可能。因而采用三重冗余CPU,MFT动作继电器双通道控制的一体化控制回路是我们的首选,事实上除了西门子的AS220EHF系统,日立的H5000M系统也有专门的三重冗余CPU,继电器3取2通道控制的一体化控制回路。
下面列表描述三个系统的保护输出动作回路对故障的反应情况:
3提高可靠性的措施
AS220EHF系统应用至今安全可靠,没有进行任何的改进。Symphony系统的原设计中磨煤机、给煤机、一次风机的跳闸继电器正常时是不激励的,起不到失电保护的作用,国内某机组对以上设备的跳闸回路都进行了改进。而国内使用Symphony系统的某电厂,曾发生MFT的两块BRC皆故障而MFT保护回路没有动作的异常。
为了保证MFT回路的高效安全动作,MFT控制回路应考虑以下几条措施的实施:
1)逻辑设计中应采用反逻辑的设计思想,MFT判断结果使用反逻辑,逻辑结果“1”表征正常情况,逻辑结果“0”表征MFT触发。
2)DCS中逻辑判断后输出的MFT信号,在DO模件中的继电器应使用常开继电器。
3)在专门的MFT继电器回路中,MFT动作继电器在正常情况下应常带电。
4)MFT扩展继电器在正常情况下应常带电,扩展继电器扩展继电器电源应取自DCS系统。
5)磨煤机,给煤机,一次风机的跳闸继电器正常时应常带电,以保证失电时能正确将制粉系统切除。
表1
这样就能做到MFT控制回路从软件到硬件的任一环节故障出错,MFT控制回路都能安全动作达到故障安全的要求。无论是模件失电、DO端子板失电还是锅炉保护继电器端子单元失电,MFT控制回路都能安全动作,达到失电动作的要求。
4结语
主燃料跳闸(MFT)保护是一个非常重要的保护系统,在这个保护控制回路中我们要从软件上和硬件上齐全考虑,设计时注意逻辑判断、I/O设置、动作继电器动断、动合触点布置等每个环节都要保证逻辑系统失电时,能使其所控制的设备处于安全状态,确保机组处于安全运行工作状态。
论文作者:王丽媛
论文发表刊物:《电力设备》2018年第26期
论文发表时间:2019/1/16
标签:回路论文; 继电器论文; 系统论文; 动作论文; 信号论文; 逻辑论文; 接点论文; 《电力设备》2018年第26期论文;