TRICON+I/A在火電廠FSS中的應用

錢 林

(上海福克斯波羅有限公司，上海 200331)

TRICON+I/A在火電廠FSS中的應用

錢 林

(上海福克斯波羅有限公司，上海 200331)

隨著儀表和控制技術的發展，功能安全系統越來越被人們所關注。作為提高系統安全可靠性的一種設計方案，上海福克斯波羅有限公司的I/A Series分散控制系統(DCS)中引入了TRICON系統。通過介紹TRICON的特性，分析了鍋爐安全系統(FSS)在I/A系統設計中的應用現狀，闡述了FSS應用TRICON+I/A組合控制的設計思路，并對TRICON+I/A的實施方案進行了實例解析。TRICON+I/A組合控制的爐膛安全監控系統(FSSS)方案，實現了控制功能和功能安全的分隔，優化了原有I/A系統的FSSS方案，使系統向功能安全系統發展跨進了一步。TRICON+I/A組合控制，實現了二者的優勢互補，很好地平衡了誤動和拒動關系，增加了系統安全可靠性。該FSSS設計組合既考慮了系統安全性，也兼顧了項目的經濟合理性。該方案已在印度多個項目中得到成功應用。實踐表明了方案的可行性和安全可靠性，為TRICON在國內火電廠FSS的設計應用提供了借鑒。

火電廠； TRICON； 三重冗余； 功能安全； 分散控制系統； FSS； FSSS； 組合控制

0 引言

隨著儀表和控制技術的發展，國際電工委員會(IEC)發布了功能安全基礎標準IEC 61508，并且提出了安全完整性等級(safety integrity level,SIL)概念。用于實現安全保護功能的系統設計理念發生了變化，從故障安全擴展到功能安全。功能安全系統以系統功能的可靠執行來保證安全，防止安全相關系統或設備的功能失效所導致的風險[1]。我國發布了《電氣/電子/可編程電子安全相關系統的功能安全》和《過程工業領域安全儀表系統的功能安全》規范書。目前，該標準已廣泛應用于國內石油、化工等過程工業，在火電廠鍋爐保護方面的應用也日益受到重視。

自2008年起，在承接印度火電廠DCS系統項目時，技術協議中明確規定：對于鍋爐安全系統(fuel safety system，FSS)，應滿足至少采用三重冗余化配置的故障安全系統，所供應的FSS控制器產品必須遵循國際相關標準制造，并通過國際權威機構TüV認證。TRICONEX公司旗下的TRICON系統是一種現代化、可編程的過程控制器，它具備三重組合式冗余(triple modular redundant，TMR)結構，可提供先進的系統控制[2]。于是，上海福克斯波羅有限公司在I/A Series分散控制系統(簡稱I/A系統)中引入了TRICON系統，作為提高系統安全可靠性的一種設計方案，以滿足合同需求。本文主要通過闡述TRICON特性，探討TRICON+I/A控制組合在火電廠FSS的應用與發展。

1 TRICON系統的主要特性

1.1 三重組合冗余結構

TRICON系統包含三重組合化的主處理器，每個模塊都有三個獨立的分電路。該系統具備了三個獨立回路并行工作的功能，以及自診斷功能，可降低單一功能失效導致的風險，提高信號的準確性、可靠性[3]。三重組合冗余結構如圖1所示。

圖1 三重組合冗余結構示意圖

由圖1可知，輸入模件內部由A、B、C三個完全相同的支路組成。三個主處理器MPA/MPB/MPC各自獨立執行控制程序，每個系統支路獨立地執行控制程序，并與其他兩個支路并行工作；在同一個周期內通過TriBUS高速總線進行表決和同步，以識別、補償控制系統的錯誤，并采取糾正措施。每個組件箱內均配雙重電源和I/O模塊。主處理器經I/O BUS把控制程序所產生的輸出發送給輸出模件，由輸出模件進行表決，并將表決結果傳送到輸出端子。對于輸出模件而言，其內部還特設反饋電路，可測試來自輸出終端的環回路數據，提供信息、檢查結果，并給出最優選的有效輸出。

1.2 強大的容錯、糾錯能力

TRICON的三重冗余微處理器，提高了系統的硬件故障裕度；智能I/O模塊的“表決機制”，提高了全面的故障自診斷能力[4]。TRICON超強的自檢、自校功能，減輕了主處理器的工作負荷，提高了控制器及其控制過程的可用性。

1.3 良好的可擴展性

TRICON提供多種通信接口，以滿足多種通信方式，并可支持遠程I/O模件。主處理器通過通信總線將數據傳輸給通信模件，再由通信模件將數據發送至其他設備，并由專用的通信卡無縫接入DCS系統[5]。

TCM卡通信連接示意圖如圖2所示。

圖2 TCM卡通信連接示意圖

1.4 國際權威機構認證

TRICON系統具有TüV AK6級證書，符合德國技術監督局的DIN標準，滿足AK5、AK6及SIL3要求(應用于緊急停車、火災檢測、環境、健康等領域)[6]。

1.5 良好的在線維護

TRICON系統可支持“熱插備件”模件，供I/O模件在線維修和應急時使用。

1.6 適應多種編程語言

TRICON系統基于Windows 的TriStation 1131程序平臺進行控制邏輯的開發，并支持離線仿真。軟件組態可執行四種程序語言：功能模塊程序語言(function block diagram，FBD)、梯形圖程序語言(ladder diagram，LD)、結構語言(structured text，ST)、因果矩陣程序語言(cause and effect matrix，CEM)。

由于TMR是硬件層面的，單個設備連上接線端后，三重冗余的系統工作由TRICON自行管理，所以TRICON編程組態只需一組軟件，不會增加工作量。

2 FSS在 I/A系統的應用現狀

爐膛安全監控系統(furnace safeguard supervisory system，FSSS)是電廠DCS安全控制的重要組成部分。它由FSS和燃燒器控制系統(burner control system，BCS)兩部分組成。BCS的功能是在鍋爐整個運行的各個階段，對燃燒器的啟動、停止進行自動控制，同時對燃燒過程的運行工況進行連續監控。而FSS的功能主要是當運行出現異常工況時，快速切斷燃料，以防止爐膛內積聚燃料而引起的爆燃和設備損壞[7]。

由于FSS的鍋爐保護級別較高，因此在項目設計中，其通常采用獨立的控制器。但是，控制器不分控制功能和保護功能，均采用同類型的控制器。I/A分散控制系統和絕大部分DCS系統一樣，采用硬件的冗余配置(控制器、電源模件、通信總線以及I/O模件的冗余)的方法來提高系統的安全、可靠性[1]。由于投資成本的原因，國內機組的鍋爐保護系統極少會采用專門的安全相關系統。

自國際電工委員會發布了功能安全基礎標準IEC 61508以來，整個DCS系統安全功能越來越被人們重視。三重冗余的TRICON控制系統，已廣泛應用于國內化工[6,8]、核電[9]系統；在火電廠汽機跳閘保護系統中的應用也越來越多；國外火電廠FSS也有不少應用采用了TRICON+I/A控制組合。

3 TRICON+ I/A組合的設計思路

從TRICON的特性出發，結合工程的實際情況，兼顧設備的先進性和系統安全性、經濟性等方面，在設計中重點考慮以下幾個思路。

(1)考慮可靠性優先的原則，提高功能安全功能。

①TRICON的硬件三重冗余結構提供了超強容錯的能力。該系統具備自診斷、自修正能力，無需啟動其他的設備或功能來消除或降低風險，使高安全性、高可用性得到保障。

②TRICON的智能模塊和I/O模塊的表決機制，消除了因硬件故障造成的事故跳閘。

③采用I/A系統的順序控制和連續調節聯合監控，可預防事故的發生，實現了鍋爐正常控制和聯鎖保護；采用程序管理，可滿足工藝安全需求。

(2)考慮符合實際的可操作性和經濟合理原則。

常規的鍋爐安全系統FSS包含爐膛吹掃、油泄漏試驗、主燃料跳閘(main fuel trip，MFT)這三大功能。由于FSS邏輯信號大多數是經DCS運算后產生的，全部功能由TRICON實現，會使得TRICON與I/A間往來的輸入、輸出信號比較多，邏輯處理比較凌亂，造成投資、改造成本上升。

設計考慮TRICON+I/A組合優勢互補，分析FSS的三大功能：MFT對于信號處理的要求比較高，當MFT跳閘條件出現時，需作快速響應并將節點輸出到驅動設備。TRICON系統具有冗余容錯及快速響應的特質，在快速響應上有優勢且無需人工干預，故把MFT功能納入TRICON實施。

而I/A系統具有綜合運算、數據處理、操作顯示、完善人機界面等方面的優勢，爐膛吹掃功能和油泄漏試驗都需要人工判斷、確認后才可啟動，并由人機界面操作顯示。故把油系統泄漏試驗和鍋爐爐膛吹掃這兩個主要功能納入I/A系統，使整個系統控制功能獨立于功能安全系統。

三重冗余的TRICON實現MFT的邏輯，使MFT功能獨立于I/A邏輯控制，一旦事件條件信號觸發，可實現急速響應，不設人為斷點，減少了人為誤動因素和錯誤操作概率；TRICON+I/A組合控制，綜合考慮了經濟性和功能合理性，既符合目前的市場狀況，又可提升系統總體的可用性。

(3)考慮符合設計規范、國家標準，滿足合同需求。

①按照印度方的技術協議，規定鍋爐保護系統FSS需要采用三重冗余化配置的故障安全系統。引入TRICON系統三重冗余結構的可編程控制器，并具有和I/A系統完整融合的優勢，且具備TüV認證，可以滿足客戶合同需求。

②考慮設計規范要求，重要保護信號必須采用冗余，信號跨控制器傳遞需采用硬接線連接。所以，TRICON系統與I/A系統之間的保護信號，在采用硬接線連接邏輯信號傳輸時，信號均采用三個輸入、三個輸出的冗余配置。它們之間采用以太網通信方式進行邏輯軟信號的傳輸，并通過TRICON專用通信模塊(高級通信模件ACM)與I/A系統實現通信。由ACM通信卡連接I/A系統的通信口，作為DCS通信上的一個節點，把TRICON系統的數據與診斷信息傳遞給DCS，實現TRICON和 I/A系統的無縫接入[10]。

4 TRICON+I/A組合的應用實例

本文以印度某項目660 MW燃煤電站工程的分散控制系統為例，這也是第一個實際投入TRICON+I/A組合應用的項目。此項目鍋爐采用上海鍋爐廠生產的超臨界壓力參數直流爐、四角切圓、一次再熱、平衡通風、露天布置、固態排渣、全懸吊結構Π型布置。32只直流式的煤燃燒器分8層布置于爐膛四角，爐膛以切圓的方式燃燒。整個鍋爐采用5層油(1層輕油、4層重油)燃燒器、8層煤粉燃燒器。點火方式為輕油點火，點燃重油和煤粉，在鍋爐不投煤僅燃油的情況下，輕油可達10%鍋爐最大負荷，重油可達到25%鍋爐最大負荷。

此項目規定：鍋爐爐膛FSSS的燃燒器控制系統部分，控制處理器應單獨冗余配置，FSS部分采用TüV認證的SIL-3安全系統。根據合同需求，考慮控制功能和功能安全的分隔[10]以及項目成本，FSSS的核心邏輯MFT選用了三重冗余的TRICON系統來實施，其他邏輯由I/A系統來實現，以符合機組整個系統的安全性，實現安全、可靠的運行。以下主要闡述TRICON+I/A組合控制的FSS應用實例。

4.1 FSSS的方案配置

4.1.1 硬件配置

FSSS在I/A系統DCS配有5對控制器，該系統共占用10個機柜。在TRICON配有1對控制器，采用1個機柜。

I/A+TRICON組合的控制器分布如下。①CP100A控制器：分配有A、B磨煤機、給煤機及相關設備；AB層油設備。②CP100B控制器：分配有C、D磨煤機、給煤機及相關設備；CD層油設備。③CP100C控制器：分配有E、F磨煤機、給煤機及相關設備；EF層油設備；火檢風機B。④CP100D控制器：分配有G、H磨煤機、給煤機及相關設備；GH層油設備；密封風機B。⑤CP100E控制器：分配有MFT首出顯示點；爐膛吹掃，有系統泄漏試驗相關點；火檢風機A、密封風機B；BC層輕油設備；還含有爐側SOE點。⑥TRICON的控制器：單獨完成MFT邏輯。

4.1.2 軟件配置

FSSS包含BCS和FSS兩大塊。其中BCS功能由I/A系統完成，同常規設計，在此不作贅述；而燃料安全系統FSS涵蓋的功能，由TRICON+I/A完成。

FSSS控制功能分配如圖3所示。

圖3 FSSS控制功能分配示意圖

4.2 由I/A實施爐膛吹掃功能

鍋爐爐膛吹掃條件如下：①無觸發MFT的條件信號；②全爐膛無火焰；③至少各一臺送、引風機運行；④空預器運行；⑤一次風機全停；⑥燃油快關閥關；⑦所有油燃燒器油角閥關；⑧所有磨煤機和給煤機停；⑨30%<總風量<40%；⑩磨冷熱風門及出口閥全關；開二次風門至吹掃位。

當滿足爐膛吹掃條件后，I/A系統的控制邏輯會自動設置風門吹掃位：①開二次風門至吹掃位；②關閉SOFA擋板；③置燃燒器水平位；④至二次風擋板開最大后切手動。

滿足鍋爐吹掃條件后，運行人員可按需操作，按下“啟動吹掃”按鈕，發“吹掃指令”，開始5 min的吹掃計時。在這期間內若發生MFT觸發信號或吹掃條件不滿足現象，系統會認為“吹掃中斷”，計時“清零”；否則，吹掃計時5 min之后，系統發出“吹掃完成”信號，自動復位MFT。在泄漏試驗未被旁路情況下，延時10 s后，自動進行輕油泄漏試驗和重油泄漏試驗。

4.3 由I/A實施油泄漏試驗功能

4.3.1 油泄漏試驗允許條件

油泄漏試驗允許條件如下：①所有油燃燒器油角閥關；②進油母管壓力允許；③總風量>30%；④無觸發MFT的條件信號；⑤所有火焰檢測無火。

4.3.2 采用I/A順控塊實現油泄漏試驗

油泄漏試驗過程為：開進油快關閥，開回油快關閥，開調節閥，對油管路充油60 s，關回油快關閥。若在 60 s內, 油母管壓力沒有達到設定值，即充油失敗，試驗中斷；否則為母管充油成功，關進油快關閥。然后，泄漏試驗開始計時3 min，監視進油快關閥后油壓變化，若3 min前、后的油壓壓差變化大于設定值，即說明油管路有泄漏，試驗失敗；否則，開回油閥，讓油管路卸油，直到進油快關閥后壓力開關低動作，關回油閥。再次開始3 min計時試驗，監視進油快關閥后油壓變化過程。若3 min前、后油壓壓差大于設定值，說明進油快關閥有泄漏，試驗失敗；否則，整個泄漏試驗成功。此外，當運行人員確認油系統無泄漏情況時，可以人工旁路泄漏試驗。

4.4 I/A+TRICON的MFT方案

TRICON+I/A組合的MFT方案：在TRICON控制系統中，設計有MFT跳閘邏輯，以及MFT跳閘原因的首出記憶。本設計方案以失電跳來完成保護功能。此外，控制臺上設有手動MFT，以備應急操作。此印度項目具體的MFT信號傳遞如圖4所示。

圖4 MFT信號傳遞示意圖

當任一個MFT條件出現時，TRICON系統對輸入信號作三重冗余運算處理后，會快速觸發MFT動作，并產生首出跳閘記憶信號；然后，進入TRICON輸出模件，并經三取二表決機制后，將結果信號輸出給I/A系統作為SOE信號，同時把MFT觸發信號輸出給MFT繼電器柜；最后，將3個MFT信號輸出給MFT繼電器柜。TRICON系統還把MFT跳閘首出信號輸出給I/A系統，以實現MFT首出、SOE及報警顯示功能。

對于MFT信號的復位，設計了自動復位功能。在I/A系統中，當鍋爐爐膛吹掃條件滿足后，運行人員可以根據運行需求，人工啟動爐膛吹掃邏輯；當爐膛吹掃完成后，I/A系統會輸出“自動復位MFT信號”給TRICON柜和MFT繼電器柜，實現復位MFT信號。

4.5 TRICON+I/A間的信號處理

此項目中，I/A系統涉及MFT聯鎖動作的部分，均采用雙重信號控制，即TRICON送來的MFT信號硬接線信號或TRICON+I/A間通信的MFT信號，以確保MFT信號可用性。下面分別以開關量“爐膛壓力過低信號”、模擬量“送風風量<25%”為例，解析I/A與TRICON系統間的信號傳遞處理過程。①若MFT觸發條件信號原信號為開關量信號：如爐膛壓力過低，信號從現場直接接入TRICON，其取自現場壓力的3個開關信號，并分別進入TRICON的3塊輸入卡，經輸入模件表決處理，在主處理器中分別進行三重冗余自檢糾錯處理；輸入表決后，再經MFT邏輯運算，向MFT繼電器柜以硬接線方式輸出3個觸發MFT的驅動信號；同時，將MFT信號送I/A系統作SOE點，并作首出記憶顯示和報警。②若MFT條件信號的原信號為模擬量信號(如送風風量<25%)：AI信號來自現場，接入I/A系統，經MCS信號運算或補償處理后，轉成3個硬接線開關量的DO輸出信號，作為MFT跳閘條件之一，分別發送給TRICON柜和I/A系統FSSS機柜，再進行邏輯運算。而在I/A系統FSSS保護邏輯需用此風量信號時，采用雙重信號控制：一路信號取自TRICON以硬接線方式輸出的信號；另一路信號取自MCS轉換來的信號。

5 結束語

本文所研究的TRICON+I/A組合控制的FSS方案，實現了控制功能和功能安全的分隔；充分發揮了TRICON和I/A系統的各自所長；很好地平衡了系統誤動和拒動關系；兼顧了項目的經濟合理性，提高了系統安全可靠性；完善優化了原有的I/A系統FSS方案，推動了TRICON系統在火電廠FSS的設計應用，使TRICON+I/A組合控制向功能安全系統發展邁進了一步。此方案在2010—2016年間，已成功應用于印度火電廠20多套機組上，多年運行實踐證明了該方案的可行性和安全可靠性。該方案為TRICON在國內火電廠FSS的設計應用提供了借鑒。

[1] 李成.IEC61508功能安全標準在電廠安全系統設計中的研究與應用[D].上海:上海交通大學,2010.

[2] 徐彩霞，許江濤，邊瑞波.TRICON控制系統在大型機組的應用與研究[J].自動化與儀器儀表，2011(3):6-8.

[3] 劉華.安全儀表系統在鍋爐保護中的設計與實現[J].自動化儀表,2016,37(11):58-65.

[4] 黃文君,何偉挺,邊俊.安全儀表系統的功能安全設計[J].自動化儀表,2010,31(7):75-78.

[5] 黃軍政,楊權文,王曉春,等.CS3000和Tricon系統的Modbus通信探討[J].自動化儀表,2013,34(6):83-85.

[6] 鄭偉智,張禮兵,劉靜波,等.核電站安全級DCS應用軟件設計過程淺析[J].自動化儀表,2014,35(2):53-57.

[7] 李鐵華.200MW機組FSSS監控系統及程控點火研究與應用[D].天津:天津大學,2008.

[8] 劉思潮,劉嵐松,李銀軒.機動車安全性能檢測線控制系統的研究與設計[J].自動化儀表,2010,31(1):61-64.

[9] 王釗.功能模塊的設計與應用研究[J].自動化儀表,2015,36(11):4-7.

[10]焦歡歡,馬曉晨.Tricon系統在方福項目反應堆保護中的應用[J].工業控制計算機,2012,25(1):59-59.

Application of TRICON+I/A in FSS of Coal-Fired Power Plant

QIAN Lin

(Shanghai Foxboro Co.,Ltd.,Shanghai 200331,China)

With the development of instrumentation and control technology, the functional safety system has been paid more and more attention.As a design scheme for improving the reliability of the system safety, TRICON system is intergrated into the I/A Series distributed control system (DCS) of Shanghai Foxboro Co., Ltd.Through introducing the characteristics of TRICON, the current application status of FSS in the I/A system design is analyzed, and the design concept of applying TRICON + I/A in FSS is described, the implementation examples of TRICON+I/A are also analyzed.The FSSS scheme controlled by TRICON+I/A realizes the separation of the control functions and functional safety, and improves and optimizes the original I/A controlled FSSS scheme, this makes the system take a step forward to the development of functional safety system.The combination control of TRICON+I/A achieves the complementary advantages of both, the relationship between the misoperation and refusal-action is well balanced, and the reliability of the system safety is further increased.The system safety and the economic rationality are taken into consideration in this design combination of FSSS.This scheme has been successfully applied in several projects in India.The practice shows that the scheme is feasible, safe and reliable, and it has also provided certain reference for the application of TRICON in FSS design of domestic coal-fired power plant.

Coal-fired power plant； TRICON; TMR; Function safety; DCS; FSS; FSSS; Combination control

錢林(1963—)，女，學士，工程師，主要從事火電廠熱工自控標準化設計應用和FSSS、SCS應用設計工作。 E-mail：qianlin_3@126.com。

TH7；TP39

A

10.16086/j.cnki.issn1000-0380.201706009

修改稿收到日期:2017-04-16