火力發電廠熱控信號冗余保護典型問題與優化策略

沈鐵志,王麗麗

(神華福能發電有限責任公司，福建 泉州 362700)

0 引言

火電廠熱工保護連鎖回路的可靠性直接影響發電機組的安全、穩定運行。其信號選取的正確性、邏輯合理性至關重要。國內火力發電廠因熱工保護連鎖回路誤動、拒動造成的事件，保護連鎖信號選取不合理導致的不安全事件占很大比重。根據《2017年全國發電廠因熱控系統故障統計分析與建議》統計，2016年及2017年，全國火力發電廠因熱控系統故障導致機組非計劃停運的事件中，由于控制系統軟硬件、測量儀表、執行機構及線纜管路故障而引發連鎖保護錯誤動作的案例數量超過了機組非計劃停運總數量的70%，且2017年較2016年有較大增幅[1]。

《防止電力生產事故的二十五項重點要求》及火力發電廠熱工自動化系統相關規程、行業標準等均對連鎖信號的選取及處理提出了具體的要求；安全儀表系統(safety instrumented system，SIS)的概念也很早引入國內，要求在設計上采用多重冗余系統，提高系統的硬件故障裕度，使單一故障不會導致SIS功能喪失[2-3]。但在實際執行中，因設備條件及現場實際情況的原因導致未執行或降標準執行，冗余信號選取、組態策略不合理現象仍然存在。這些都是降低保護連鎖裝置可靠性的主要因素。對此，應采取恰當的措施，提高保護連鎖回路的可靠性。

1 雙冗余保護常見問題及改進方案

1.1 不合理的雙冗余保護邏輯

火力發電廠常見輔機(如磨煤機、給水泵等)的軸承溫度常規設計是安裝雙支測溫元件進行溫度監測。通常采用一個溫度信號達到輔機的跳閘值，且另一溫度信號達到報警值，輔機跳閘的保護邏輯。不合理的輔機軸承溫度保護邏輯如圖1所示。

圖1 不合理的輔機軸承溫度保護邏輯圖

1.2 風險分析

從圖1的邏輯關系可見，輔機溫度保護設計雙支溫度元件的初衷是提高系統的硬件故障裕度。當兩支測溫元件工作正常時，邏輯結構能夠實現要求的保護功能。但是，當其中任一支溫度元件故障或測量值超限導致信號質量判斷為壞質量時，保護邏輯的輸出應是“0”，保護不動作。而若此時軸承實際溫度已達到跳閘值，將會發生保護拒動，導致輔機軸承燒損。

雖然此輔機設備軸瓦采用了雙支溫度元件作為保護措施，但在實際邏輯中，卻未起到提高設備可靠性的作用，與單支溫度元件并沒有區別。

1.3 改進方案

針對此輔機，改進后的輔機軸承溫度保護邏輯如圖2所示。

從圖2可以看出，當任一溫度信號質量判斷為“壞質量”時，自動旁路此回路，以避免因單個元件的“壞質量”而屏蔽另一溫度信號保護連鎖的正常動作。此時，輔機的軸承溫度保護由兩個測溫信號變成單一的測溫信號保護，保護信號的冗余度降低，但未失去保護功能。

圖2 改進后的輔機軸承溫度保護邏輯圖

2 模擬量信號三取中與三取二用法區別

長期以來，火電廠保護連鎖用信號狀態反饋裝置大多采用開關量儀表。隨著科技的進步，模擬量變送器精度、可靠性及控制器處理速度都有了大幅度提高；另外，運行人員能夠實時監視模擬量儀表自身的工作狀態，這是開關量儀表所不能比擬的優勢。開關量儀表只能通過儀表在工的動作情況來判斷儀表是否正常。因此，工業現場逐漸應用模擬量儀表取代開關量儀表作為保護信號。

通過實例驗證分析可知，當三個模擬量信號質量判斷正常時，模擬量三取中后閾值比較方式與模擬量閾值比較后三取二方式，實際輸出的結果完全一致。

圖3為不合理的三冗余表決邏輯組態，圖4為正確的三冗余表決邏輯組態。

圖3 不合理的三冗余表決邏輯組態

圖4 正確的三冗余表決邏輯組態

對比圖3、圖4，兩者之間的不同在于：模擬量三取中功能塊，當其中一個信號出現“壞質量”時，通常的做法是輸出值采用另外兩個信號的平均值；而三取二功能塊中，當其中一個模擬量信號出現“壞質量”時，另外兩個信號采用二取一的方式(防止保護拒動)。

如某一工藝保護邏輯采用儀表1、儀表2、儀表3三個模擬量信號。其中：儀表1出現故障，其信號值變壞質量點；儀表2信號值高于設定值，儀表3信號值低于設定值。若采用圖4的三取二邏輯組態方式，此時保護應動作，邏輯輸出會觸發連鎖；若采用圖3的三取中組態邏輯，此時輸出狀態取決于儀表2、儀表3信號值的平均值，保護不一定會動作，增加了保護連鎖回路的拒動概率。

國家能源局《防止電力生產事故的二十五項重點要求》中9.4條“防止熱工保護失靈”明確要求：“所有重要的主、輔機保護都應采用‘三取二’的邏輯判斷方式，…，確因系統原因測點數量不夠，應有防保護誤動措施”。此處“三取二”不僅是開關量信號在控制器內部的運算形式，也包括模擬量信號的處理方式。許多項目組態設計沒有認識到其中的差別，導致所有三信號冗余保護的機制全部采用三取中加閾值判斷方式，實際上是存在隱患的。

3 三冗余保護常見問題及改進方案

模擬量信號三取二保護邏輯，因組態中細節部分設計不同，在保護策略上可能造成很大的差異，從而違背設計初衷。

3.1 傳統三冗余保護邏輯使用中的問題

模擬量三取二保護邏輯一般配合信號質量判斷完成信號選取輸出。這種三冗余信號表決機制，實現的是在三個信號均正常的情況下，任意兩個信號超出設定值，表決輸出為“1”；否則輸出為“0”。

某電廠輔機軸承溫度保護信號采用如圖5所示的強調防誤動的三冗余保護邏輯。在正常運行中，該輔機設備軸瓦溫度1變“壞質量”點后，軸瓦溫度2、3因油脂惡化導致溫度升高，溫度2變化較快、反應及時，而溫度3變化較慢。因現場采用了第一種方案的三取二邏輯，輸出結果并未立即跳閘輔機，導致保護拒動將軸瓦燒損。

圖5 強調防誤動的三冗余保護邏輯圖

3.2 風險分析

圖5邏輯實現的功能是：當三個模擬量信號中出現一個“壞質量”點時，此路信號被置“0”；若使三取二功能塊輸出為“1”，則另外兩個信號輸出必須均為“1”，相當于此信號冗余機制變成了“二取二”，增加了保護拒動的概率。

對于模擬量信號“三取二”表決機制，還有強調防拒動的三冗余保護邏輯，如圖6所示。

圖6 強調防拒動的三冗余保護邏輯圖

圖6邏輯實現的功能是：當三個模擬量信號中出現一個“壞質量”點時，此路信號被置“1”，若使三取二功能塊輸出為“1”，則另外兩個信號輸出任一個為“1”，相當于此信號冗余機制變成了“二取一”，增加了保護誤動的概率。

邏輯關系列真值表，計算可知兩種方案的雙冗余方式保護拒動、誤動概率。“二取二”邏輯方案保護拒動概率75%；“二取一”邏輯方案保護誤動概率75%。

這兩種邏輯組態方案實現的功能，在模擬量信號“壞質量”時，輸出結果可能是完全不一樣的。“二取二”邏輯側重防保護誤動，但拒動概率較高；“二取一”邏輯強調防保護拒動，但誤動率較高。故兩種邏輯都是不完善的保護方案。其根源在于模擬量信號質量壞點后，從邏輯運算的角度卻并未成為“壞質量”點，并參與了邏輯判斷，因而得出不期望的結果。若不清楚這個區別，在邏輯組態中隨意使用，會導致保護誤動或拒動，系統可靠性降低。

實際上，在選用二取一或二取二方案時：應考慮是傾向于避免保護拒動還是保護誤動、保護的是主機設備還是一般輔機設備；應針對現場實際情況進行選取保護連鎖方案，而不是不加甄別地錯誤地采用某一種策略。

3.3 改進方案

3.3.1 方案一

通過對現有安全聯鎖系統的各個安全聯鎖功能(safety instrumented function，SIF)進行定量分析。對過保護的聯鎖，要降低保護誤動概率；對保護不足的SIF，則要增加保護功能，降低保護拒動概率。對過程工業裝置進行安全完整性等級(safety integrity level，SIL)評估后，既可以保證安全聯鎖系統的安全、可靠，又降低了保護誤動頻率[4]。

假設有三個冗余模擬量信號A、B、C，引入信號的報警值與跳閘值，基于以上邏輯組態設計方案的不足，進行如下改進。① 3個測點質量判斷均正常時，三取二輸出。② 3個測點中，僅1個為“壞質量”時，剩余2個測點采取一個報警與另一個跳閘值。③ 3個測點中，2個為壞點時，取剩余1個測點值單點輸出。④ 3個測點中，3個均為壞點時，故障安全模式，邏輯輸出應為“1”。

若采用變量邏輯運算表示，最終邏輯表達式為：

式中：Aq、Bq、Cq為信號A、B、C的質量狀態，值為“1”時為“壞質量”點；A、B、C為信號A、B、C跳閘值輸出狀態；a、b、c為信號A、B、C報警值輸出狀態；F為整個表達式的輸出邏輯值。

通過真值表計算保護誤動及拒動的概率：誤動概率PW=37.5%，拒動概率PJ=62.5%。

優化后的三冗余保護邏輯如圖7所示。

圖7 優化后的三冗余保護邏輯圖

采用此種方案，三冗余信號中出現信號“壞質量”時，相比圖5、圖6的兩種方案，保護拒動概率有一定程度的改善。

3.3.2 方案二

電力行業自動化技術委員會發布的《提高火電廠熱工自動化系統可靠性的技術措施》第3.1條中要求：“所有重要主輔機保護信號應盡可能采用3個相互獨立的一次測量元件和輸入通道引入并通過‘三取二’的邏輯實現，不滿足‘三取二’要求的經過專題論證可增加證實信號或改為II級報警”[5-8]。

一般工藝現場的工藝參數，測點之間大多數有一定的關聯性。利用好這種關聯性及參數之間的物理關系，也可以達到冗余信號故障時替代冗余信號的目的。

在控制系統設計中，對于同一參數的測量，控制系統與安全系統的傳感器采用了不同的分離設計[9]。如主蒸汽壓力、給水流量等參數測點，除了進入主要保護回路外，會單獨設置一個用于過程調節的測點。另外，分別進入鍋爐控制器、汽輪機控制器的同一類型測點，相互之間也具有很強的關聯性。

不同類型測點，包括如轉機軸向位移測點與軸系的振動、推力軸承的溫度等測點，以及流量值與相應的介質壓力測點等。利用這些參數與保護信號之間的關聯性，明確它們之間的定性、定量關系。在保護信號測點發生故障時，這些輔助信號完全可以作為證實信號，起到提高連鎖保護回路可靠性的作用。

保護誤動、拒動風險性分析及可靠的保護連鎖系統設計，既要考慮外部因素和子系統的工作狀況對系統的影響，又要考慮偶然性測點故障因素[9]。熱工保護的基本配置原則是“既要防止拒動，又要防止誤動”，各種作用于主設備停運的熱工保護，必須有防止因單一測點、回路故障而導致保護誤動的技術措施。

綜合以上分析，可將關聯性測點信號引入連鎖保護冗余信號表決回路，輔助進行保護動作判斷。具體邏輯方案描述如下。

(1)信號A、B、C質量判斷均正常時，無論是否采用證實信號，3個信號三取二輸出。

(2)當未采用證實信號D，且信號A、B、C質量判斷有1點為“壞質量”。①防拒動方案：剩余2個信號二取一輸出。②防誤動方案：剩余2個信號二取二輸出。

(3)當采用證實信號D，且信號A、B、C質量判斷有1點為“壞質量”。①證實信號D質量判斷正常時：除壞質量點后剩余3個信號采取三取二邏輯輸出。②證實信號D質量判斷為“壞質量”：防拒動方案為剩余2個信號二取一輸出；防誤動方案為剩余2信號二取二輸出。

(4)當未采用證實信號D，信號A、B、C質量判斷有2點為“壞質量”。①防拒動方案：剩余1個信號達到動作值時輸出為1。②防誤動方案：剩余1個信號無論是否達到動作值輸出均為0。

(5)當采用證實信號D，信號A、B、C質量判斷有2點為“壞質量”。①證實信號D質量判斷正常時，為防保護誤動，剩余2個信號采取二取二輸出。②證實信號D質量判斷為“壞質量”：防拒動方案為剩余1個信號達到動作值時輸出為1；防誤動方案為剩余1個信號無論是否達到動作值輸出均為0。

(6)信號A、B、C質量判斷均為“壞質量”，無論是否采用證實信號。①采用防拒動方案時，保護動作。②采用防誤動方案時，退出保護。

引入證實信號的三冗余保護邏輯如圖8所示。

圖8 引入證實信號的三冗余保護邏輯圖

需要注意的是，證實信號只作為輔助判斷條件，不應單獨作為觸發條件。

此種保護策略用戶可根據應用的場合進行自由選擇。因篇幅限制，不再具體描述。

4 結束語

綜上分析，火力發電廠等工業控制領域選用保護連鎖策略時，一定要綜合考慮實際情況，對保護控制的對象進行研究。用戶應根據保護連鎖的影響范圍和程度，選擇避免保護拒動還是避免保護誤動方案，切忌不加甄別地采用一種策略。

保護回路或邏輯的設計，在理想情況下，應按既能防止誤動、又能防止拒動，即所占概率應分別為50%進行設計。當二者不能兼顧時，應以最接近理想方式并且以防止拒動為主。

單個測點作為保護設備的連鎖保護信號不可避免時，應加入與此參數或被控對象相關的其他證實信號；保護用信號為二冗余方式時，重要設備或主機設備的保護應采取二取一方式避免保護拒動；其他輔機的保護采用二取二的方式以避免保護誤動；重要設備的熱工保護裝置應采取三取二的信號組合方式，同時，必須增加模擬量質量判斷及相應的處理策略。此外，建議分散控制系統(distributed control system,DCS)廠家或工業用戶采用帶有證實信號的連鎖保護功能塊，使保護連鎖功能向智能化方向發展，提高安全儀表系統對復雜工況的適應性，更好地保障工藝系統的安全穩定運行。