淺析發電廠控制系統重要信號獨立配置的重要性

張明明

（中國大唐集團科學技術研究院有限公司中南電力試驗研究院，河南鄭州 450052）

0 引言

隨著燃煤發電機組自動化程度的日益提高，測量設備的可靠性直接決定著機組運行的安全性和可靠性。發電機組測量設備分布面廣，涉及所有的主輔設備系統，微小的輔助設備故障時常會造成輔機的故障跳閘，進而聯鎖動作一系列相關設備，導致機組跳閘[1]。因此熱工測量設備實現100%保護正確動作，不發生誤動和拒動是長期艱巨的任務。火力發電機組分散控制系統（DCS）冗余配置和獨立型配置體現的一個重點就是DCS 重要參數測點的配置，通過該方式可以確保控制和保護功能可靠。

以某機組為例，分析鍋爐滅火信號配置不合理問題引發的機組非計劃停機事件，并對相關設計進行優化改進。

1 事件概述

2017 年4 月19 日，某機組負荷388 MW 運行，鍋爐燃燒穩定，各設備運行狀態：主蒸汽壓力18.48 MPa；鍋爐給水自動控制系統在自動狀態；燃料自動控制系統在自動狀態；送風機自動控制系統在自動狀態；一次風機自動控制系統在自動狀態；引風機自動控制系統在自動狀態；機組協調控制系統在自動狀態；AGC 系統在自動狀態；一次調頻系統在自動狀態；磨煤機A、B、C、E、F 處于運行狀態，磨煤機D 處于備用狀態；鍋爐總風量為1300 t/h；鍋爐爐膛負壓為-32 Pa；燃料總量為170 t/h。

15：49：43，磨煤機E 因1 號、3 號角火檢無火跳閘（控制邏輯設計：兩個或兩個以上燃燒器無火，延時3 s，磨煤機跳閘），如圖1 所示。

圖1 磨煤機E 火檢狀態

15：49：44，C 磨煤機因1 號、3 號火檢無火跳閘，F 磨煤機因1 號、4 號角火檢無火跳閘（圖2）。

圖2 磨煤機F 火檢狀態

15：50：23，磨煤機B 的2 號、3 號角火檢無火，觸發磨煤機B 跳閘。

15：50：32，磨煤機A 的1 號、4 號角火檢無火，觸發磨煤機A 跳閘，同時因為滿足“全爐膛火焰喪失”的條件，觸發鍋爐MFT（Main Fuel Trip，主燃料跳閘）動作（圖3）。

圖3 故障前后磨煤機運行狀態

2 事故分析

2.1 排查要點

采用信號的冗余配置是保證保護系統正確動作的重要措施之一，尤其是對重要的保護信號一定要避免單點保護配置[2]。在進行信號故障類排查時要著重檢查系統是否實現信號冗余配置，從測點配置、信號傳輸電纜、動力電源配置、動力電纜、卡件通道等方面對存在的交叉共用部分進行重點排查。針對事故發生過程，具體排查要點如下：

（1）測點分配排查要點：應按危險分散的設計原則檢查測點安裝位置、傳輸電纜、供電電源和分配的卡件通道，避免共用部分故障造成冗余措施失效，盡量避免用于保護的測點集中同一位置進行安裝布置，造成保護誤動。對于交叉信號，例如熱工與電氣雙向互送的保護信號，要對雙方的信號源頭、信號用途進行排查，尤其要對信號的接點類型進行檢查確認，邏輯關系清晰明確，防止因防誤動而造成設備保護的拒動。

（2）電源供電可靠性排查要點：配置的冗余動力電源要能夠自動切換并且切換時間和波動在規定范圍，電源切換裝置的定期試驗和定期維護記錄要完備，禁止將自動切換裝置的工作模式設置為自復位方式，失去電源切換裝置的任何一路電源時或者切換裝置每次動作時都應有相應的報警記錄。冗余電源的來源禁止使用同一電源點。禁止直接并聯互為備用的電源供電模塊，以防一個電源模塊出現故障時無法隔離故障設備。電源母線盡量設計環形的供電連接方式，避免出現斷點時造成設備部分失電。

（3）DPU 控制器及I/O 通信卡件排查要點：當前絕大多數機組的DCS 系統配置的DPU 控制器均為一用一備的實時冗余設計，同時發生故障的可能很小，但應定期進行控制器的無擾切換試驗，確認切換前后的穩定性，切換時間是否在正常范圍，檢查DPU 控制器的硬件和組態軟件的版本一致，控制器下裝組態邏輯的一致同步性。除相關規程中有特別要求的，保護的控制回路不應采用常閉節點的輸出通道，防止在控制器復位時造成誤動。對于DCS 系統交換機冗余配置檢查，重點是檢查交換機的網線插口牢固度和電源的完全冗余。為防止通信故障或延時造成保護的誤動，需檢查梳理網絡通信點，確保機組重要保護信號采用硬接線方式到DCS 卡件，以防控制器之間的通信故障或網絡通信故障造成誤動。

（4）輸入信號通道排查要點：檢查保護測點的信號通道分散在不同I/O 卡件上，防止單個卡件損壞或掉電時，造成跳閘信號的誤動。檢查重要保護信號的卡件通道具備防止脈沖信號干擾功能，輸入信號的通道配置獨立的干接點。I/O 卡件的信號通道為弱電信號，檢查確認與交流220 V 強電信號獨立配置，接線端子的接線的DCS 信號與強電信號具備有效的隔離措施，DCS控制系統的I/O 卡件具備強電交流信號的濾波功能，防止誤入的交流強電信號損壞I/O 卡件及信號誤動。此外，DCS 傳輸信號不應與直流220V 電源配置在同一電纜，以防暫態電流的干擾造成信號誤動。

（5）弱電信號故障排查要點：對于信號電纜盡量避免中間端子排的中轉連接，定期檢查接線的牢靠度，對于重要信號采用錫焊連接的方式，防止插頭脫落和松動。

（6）電纜信號干擾隱患排查要點：檢查信號傳輸電纜的屏蔽層及絕緣層良好，檢查DCS 系統側單端接地良好。對于傳輸距離較長的I/O 信號，重點檢查DCS 側220 V 直流驅動隔離繼電器的配置，以防電纜內分布電容對傳輸信號產生干擾。

2.2 直接原因

本次事故過程中，磨煤機C、E、F 在2 s 內均因“磨煤機運行時，燃燒器2 個或2 個以上燃燒器火檢無火”條件觸發跳閘，造成鍋爐內燃燒波動過大，引發磨煤機A、B 先后因火檢無火跳閘，進而導致“全爐膛火焰喪失”條件觸發，鍋爐MFT 動作。

由于磨煤機跳閘時間間隔過短，運行人員未能進行相關緊急搶救操作。由此看出，磨煤機C、E、F 同時跳閘，是本次非停的直接原因。

2.3 根本原因

對磨煤機火檢消失原因進一步檢查分析，可得到：

（1）機組跳閘動作發生前之前，組各項運行參數均保持穩定，鍋爐內燃燒狀態均正常，因此判定磨煤機C、E、F 因鍋爐燃燒波動大導致所有火檢同時消失的證據不充分。

（2）經檢查，磨煤機C、E、F、D（備用）和油層火檢模擬量信號在15：49：43 同時變為壞質量，且其中多個火檢信號裝置發出故障信號。進一步檢查鍋爐所有火檢的供電電源回路和信號回路，發現磨煤機C、D、E、F 及所有油層火檢配置在同一個火檢系統的通信鏈路上，磨煤機A、B 火檢配置在另外一個火檢系統的通信鏈路上。

根據現場火檢配置情況及發出的故障信息，結合機組跳閘發生前火檢信號波動情況，可以進一步認定：火檢管理系統接地異常或強干擾信號進入通信鏈路，導致配置在同一鏈路上的磨煤機C、E、F 的火檢信號同時發生壞質量故障。

3 信號配置優化措施

保證熱工保護自動化設備的安全可靠性，可靠的設備和完善的邏輯設計是先決條件，有效的技術監督和管理是基礎，持續的隱患排查治理和良好的維護是保證。在電力行業的多個規程制度中也有相應的要求：

（1）《防止電力生產事故的二十五項重點要求》第9.1.4 條規定[4]：“重要參數測點、參與機組或設備保護的測點應冗余配置，冗余I/O 測點應分配在不同模件上”。

（2）DL/T 1083—2008《火力發電廠分散控制系統技術條件》第5.2.1.15 要求[“5]對某些重要的關鍵參數，應采用三重冗余變送器測量”；第5.2.1.17 要求“對某些僅次于關鍵參數的重要參數，應采用雙重冗余變送器測量”。

（3）DL/T 5428—2009《火力發電廠熱工保護系統設計技術規定》第5.3.6 明確要求[“6]應冗余配置的主要開關量儀表應根據機組設備實際情況設置，至少應符合‘二取一’或‘三取一’……”。

根據相關標準及本次事故分析，可對該機組及類似進組進行三方面的優化：

（1）斷開火檢系統的串聯通信鏈路，保證單個火檢系統的獨立性，提高火檢信號的可靠性。并在機組停機期間，對火檢系統的通信鏈路進行接地測試和抗干擾試驗。

（2）對現場火檢裝置的接線柜進行密封性改造，并制定清潔維護計劃，防止大量灰塵附著到電氣回路上。

（3）在電源配置方面，火檢供電電源配置的220 V 交流電源一路來自保安段，另一路來自廠用電，經轉換器后提供給兩只24 V 直流電源模塊使用。兩路直流電源并聯后，同時為44 只火焰檢測裝置供電。這種電源配置方案，如果出現冗余電源切換時間過長或切換失敗時，極易造成所有火檢裝置的失電，進而觸發“全爐膛火焰喪失”條件，導致鍋爐MFT 動作。

綜上所述，需要對火檢供電電源系統進行優化改造，在原有基礎上新增一路電源接觸器，實現冗余配置，一路設置保安段優先，另一路設置廠用電優先，分別同時為24 V 的直流電源模塊供電。改造優化后，如果出現220 V 交流電源失去或單個接觸器異常時，可以保證火檢裝置的24 V 直流電源正常，避免設備失電的風險。

4 結語

通過事故機組跳閘原因綜合分析得出，熱工測點的獨立冗余配置在機組運行中非常重要，直接關系到生產的安全性和經濟性，合理的配置能夠明顯降低因測點故障導致的邏輯誤動概率。