沈铁志,王丽丽

(神华福能发电有限责任公司，福建 泉州 362700)

0 引言

火电厂热工保护连锁回路的可靠性直接影响发电机组的安全、稳定运行。其信号选取的正确性、逻辑合理性至关重要。国内火力发电厂因热工保护连锁回路误动、拒动造成的事件，保护连锁信号选取不合理导致的不安全事件占很大比重。根据《2017年全国发电厂因热控系统故障统计分析与建议》统计，2016年及2017年，全国火力发电厂因热控系统故障导致机组非计划停运的事件中，由于控制系统软硬件、测量仪表、执行机构及线缆管路故障而引发连锁保护错误动作的案例数量超过了机组非计划停运总数量的70%，且2017年较2016年有较大增幅[1]。

《防止电力生产事故的二十五项重点要求》及火力发电厂热工自动化系统相关规程、行业标准等均对连锁信号的选取及处理提出了具体的要求；安全仪表系统(safety instrumented system，SIS)的概念也很早引入国内，要求在设计上采用多重冗余系统，提高系统的硬件故障裕度，使单一故障不会导致SIS功能丧失[2-3]。但在实际执行中，因设备条件及现场实际情况的原因导致未执行或降标准执行，冗余信号选取、组态策略不合理现象仍然存在。这些都是降低保护连锁装置可靠性的主要因素。对此，应采取恰当的措施，提高保护连锁回路的可靠性。

1 双冗余保护常见问题及改进方案

1.1 不合理的双冗余保护逻辑

火力发电厂常见辅机(如磨煤机、给水泵等)的轴承温度常规设计是安装双支测温元件进行温度监测。通常采用一个温度信号达到辅机的跳闸值，且另一温度信号达到报警值，辅机跳闸的保护逻辑。不合理的辅机轴承温度保护逻辑如图1所示。

图1 不合理的辅机轴承温度保护逻辑图

1.2 风险分析

从图1的逻辑关系可见，辅机温度保护设计双支温度元件的初衷是提高系统的硬件故障裕度。当两支测温元件工作正常时，逻辑结构能够实现要求的保护功能。但是，当其中任一支温度元件故障或测量值超限导致信号质量判断为坏质量时，保护逻辑的输出应是“0”，保护不动作。而若此时轴承实际温度已达到跳闸值，将会发生保护拒动，导致辅机轴承烧损。

虽然此辅机设备轴瓦采用了双支温度元件作为保护措施，但在实际逻辑中，却未起到提高设备可靠性的作用，与单支温度元件并没有区别。

1.3 改进方案

针对此辅机，改进后的辅机轴承温度保护逻辑如图2所示。

从图2可以看出，当任一温度信号质量判断为“坏质量”时，自动旁路此回路，以避免因单个元件的“坏质量”而屏蔽另一温度信号保护连锁的正常动作。此时，辅机的轴承温度保护由两个测温信号变成单一的测温信号保护，保护信号的冗余度降低，但未失去保护功能。

图2 改进后的辅机轴承温度保护逻辑图

2 模拟量信号三取中与三取二用法区别

长期以来，火电厂保护连锁用信号状态反馈装置大多采用开关量仪表。随着科技的进步，模拟量变送器精度、可靠性及控制器处理速度都有了大幅度提高；另外，运行人员能够实时监视模拟量仪表自身的工作状态，这是开关量仪表所不能比拟的优势。开关量仪表只能通过仪表在工的动作情况来判断仪表是否正常。因此，工业现场逐渐应用模拟量仪表取代开关量仪表作为保护信号。

通过实例验证分析可知，当三个模拟量信号质量判断正常时，模拟量三取中后阈值比较方式与模拟量阈值比较后三取二方式，实际输出的结果完全一致。

图3为不合理的三冗余表决逻辑组态，图4为正确的三冗余表决逻辑组态。

图3 不合理的三冗余表决逻辑组态

图4 正确的三冗余表决逻辑组态

对比图3、图4，两者之间的不同在于：模拟量三取中功能块，当其中一个信号出现“坏质量”时，通常的做法是输出值采用另外两个信号的平均值；而三取二功能块中，当其中一个模拟量信号出现“坏质量”时，另外两个信号采用二取一的方式(防止保护拒动)。

如某一工艺保护逻辑采用仪表1、仪表2、仪表3三个模拟量信号。其中：仪表1出现故障，其信号值变坏质量点；仪表2信号值高于设定值，仪表3信号值低于设定值。若采用图4的三取二逻辑组态方式，此时保护应动作，逻辑输出会触发连锁；若采用图3的三取中组态逻辑，此时输出状态取决于仪表2、仪表3信号值的平均值，保护不一定会动作，增加了保护连锁回路的拒动概率。

国家能源局《防止电力生产事故的二十五项重点要求》中9.4条“防止热工保护失灵”明确要求：“所有重要的主、辅机保护都应采用‘三取二’的逻辑判断方式，…，确因系统原因测点数量不够，应有防保护误动措施”。此处“三取二”不仅是开关量信号在控制器内部的运算形式，也包括模拟量信号的处理方式。许多项目组态设计没有认识到其中的差别，导致所有三信号冗余保护的机制全部采用三取中加阈值判断方式，实际上是存在隐患的。

3 三冗余保护常见问题及改进方案

模拟量信号三取二保护逻辑，因组态中细节部分设计不同，在保护策略上可能造成很大的差异，从而违背设计初衷。

3.1 传统三冗余保护逻辑使用中的问题

模拟量三取二保护逻辑一般配合信号质量判断完成信号选取输出。这种三冗余信号表决机制，实现的是在三个信号均正常的情况下，任意两个信号超出设定值，表决输出为“1”；否则输出为“0”。

某电厂辅机轴承温度保护信号采用如图5所示的强调防误动的三冗余保护逻辑。在正常运行中，该辅机设备轴瓦温度1变“坏质量”点后，轴瓦温度2、3因油脂恶化导致温度升高，温度2变化较快、反应及时，而温度3变化较慢。因现场采用了第一种方案的三取二逻辑，输出结果并未立即跳闸辅机，导致保护拒动将轴瓦烧损。

图5 强调防误动的三冗余保护逻辑图

3.2 风险分析

图5逻辑实现的功能是：当三个模拟量信号中出现一个“坏质量”点时，此路信号被置“0”；若使三取二功能块输出为“1”，则另外两个信号输出必须均为“1”，相当于此信号冗余机制变成了“二取二”，增加了保护拒动的概率。

对于模拟量信号“三取二”表决机制，还有强调防拒动的三冗余保护逻辑，如图6所示。

图6 强调防拒动的三冗余保护逻辑图

图6逻辑实现的功能是：当三个模拟量信号中出现一个“坏质量”点时，此路信号被置“1”，若使三取二功能块输出为“1”，则另外两个信号输出任一个为“1”，相当于此信号冗余机制变成了“二取一”，增加了保护误动的概率。

逻辑关系列真值表，计算可知两种方案的双冗余方式保护拒动、误动概率。“二取二”逻辑方案保护拒动概率75%；“二取一”逻辑方案保护误动概率75%。

这两种逻辑组态方案实现的功能，在模拟量信号“坏质量”时，输出结果可能是完全不一样的。“二取二”逻辑侧重防保护误动，但拒动概率较高；“二取一”逻辑强调防保护拒动，但误动率较高。故两种逻辑都是不完善的保护方案。其根源在于模拟量信号质量坏点后，从逻辑运算的角度却并未成为“坏质量”点，并参与了逻辑判断，因而得出不期望的结果。若不清楚这个区别，在逻辑组态中随意使用，会导致保护误动或拒动，系统可靠性降低。

实际上，在选用二取一或二取二方案时：应考虑是倾向于避免保护拒动还是保护误动、保护的是主机设备还是一般辅机设备；应针对现场实际情况进行选取保护连锁方案，而不是不加甄别地错误地采用某一种策略。

3.3 改进方案

3.3.1 方案一

通过对现有安全联锁系统的各个安全联锁功能(safety instrumented function，SIF)进行定量分析。对过保护的联锁，要降低保护误动概率；对保护不足的SIF，则要增加保护功能，降低保护拒动概率。对过程工业装置进行安全完整性等级(safety integrity level，SIL)评估后，既可以保证安全联锁系统的安全、可靠，又降低了保护误动频率[4]。

假设有三个冗余模拟量信号A、B、C，引入信号的报警值与跳闸值，基于以上逻辑组态设计方案的不足，进行如下改进。① 3个测点质量判断均正常时，三取二输出。② 3个测点中，仅1个为“坏质量”时，剩余2个测点采取一个报警与另一个跳闸值。③ 3个测点中，2个为坏点时，取剩余1个测点值单点输出。④ 3个测点中，3个均为坏点时，故障安全模式，逻辑输出应为“1”。

若采用变量逻辑运算表示，最终逻辑表达式为：

式中：Aq、Bq、Cq为信号A、B、C的质量状态，值为“1”时为“坏质量”点；A、B、C为信号A、B、C跳闸值输出状态；a、b、c为信号A、B、C报警值输出状态；F为整个表达式的输出逻辑值。

通过真值表计算保护误动及拒动的概率：误动概率PW=37.5%，拒动概率PJ=62.5%。

优化后的三冗余保护逻辑如图7所示。

图7 优化后的三冗余保护逻辑图

采用此种方案，三冗余信号中出现信号“坏质量”时，相比图5、图6的两种方案，保护拒动概率有一定程度的改善。

3.3.2 方案二

电力行业自动化技术委员会发布的《提高火电厂热工自动化系统可靠性的技术措施》第3.1条中要求：“所有重要主辅机保护信号应尽可能采用3个相互独立的一次测量元件和输入通道引入并通过‘三取二’的逻辑实现，不满足‘三取二’要求的经过专题论证可增加证实信号或改为II级报警”[5-8]。

一般工艺现场的工艺参数，测点之间大多数有一定的关联性。利用好这种关联性及参数之间的物理关系，也可以达到冗余信号故障时替代冗余信号的目的。

在控制系统设计中，对于同一参数的测量，控制系统与安全系统的传感器采用了不同的分离设计[9]。如主蒸汽压力、给水流量等参数测点，除了进入主要保护回路外，会单独设置一个用于过程调节的测点。另外，分别进入锅炉控制器、汽轮机控制器的同一类型测点，相互之间也具有很强的关联性。

不同类型测点，包括如转机轴向位移测点与轴系的振动、推力轴承的温度等测点，以及流量值与相应的介质压力测点等。利用这些参数与保护信号之间的关联性，明确它们之间的定性、定量关系。在保护信号测点发生故障时，这些辅助信号完全可以作为证实信号，起到提高连锁保护回路可靠性的作用。

保护误动、拒动风险性分析及可靠的保护连锁系统设计，既要考虑外部因素和子系统的工作状况对系统的影响，又要考虑偶然性测点故障因素[9]。热工保护的基本配置原则是“既要防止拒动，又要防止误动”，各种作用于主设备停运的热工保护，必须有防止因单一测点、回路故障而导致保护误动的技术措施。

综合以上分析，可将关联性测点信号引入连锁保护冗余信号表决回路，辅助进行保护动作判断。具体逻辑方案描述如下。

(1)信号A、B、C质量判断均正常时，无论是否采用证实信号，3个信号三取二输出。

(2)当未采用证实信号D，且信号A、B、C质量判断有1点为“坏质量”。①防拒动方案：剩余2个信号二取一输出。②防误动方案：剩余2个信号二取二输出。

(3)当采用证实信号D，且信号A、B、C质量判断有1点为“坏质量”。①证实信号D质量判断正常时：除坏质量点后剩余3个信号采取三取二逻辑输出。②证实信号D质量判断为“坏质量”：防拒动方案为剩余2个信号二取一输出；防误动方案为剩余2信号二取二输出。

(4)当未采用证实信号D，信号A、B、C质量判断有2点为“坏质量”。①防拒动方案：剩余1个信号达到动作值时输出为1。②防误动方案：剩余1个信号无论是否达到动作值输出均为0。

(5)当采用证实信号D，信号A、B、C质量判断有2点为“坏质量”。①证实信号D质量判断正常时，为防保护误动，剩余2个信号采取二取二输出。②证实信号D质量判断为“坏质量”：防拒动方案为剩余1个信号达到动作值时输出为1；防误动方案为剩余1个信号无论是否达到动作值输出均为0。

(6)信号A、B、C质量判断均为“坏质量”，无论是否采用证实信号。①采用防拒动方案时，保护动作。②采用防误动方案时，退出保护。

引入证实信号的三冗余保护逻辑如图8所示。

图8 引入证实信号的三冗余保护逻辑图

需要注意的是，证实信号只作为辅助判断条件，不应单独作为触发条件。

此种保护策略用户可根据应用的场合进行自由选择。因篇幅限制，不再具体描述。

4 结束语

综上分析，火力发电厂等工业控制领域选用保护连锁策略时，一定要综合考虑实际情况，对保护控制的对象进行研究。用户应根据保护连锁的影响范围和程度，选择避免保护拒动还是避免保护误动方案，切忌不加甄别地采用一种策略。

保护回路或逻辑的设计，在理想情况下，应按既能防止误动、又能防止拒动，即所占概率应分别为50%进行设计。当二者不能兼顾时，应以最接近理想方式并且以防止拒动为主。

单个测点作为保护设备的连锁保护信号不可避免时，应加入与此参数或被控对象相关的其他证实信号；保护用信号为二冗余方式时，重要设备或主机设备的保护应采取二取一方式避免保护拒动；其他辅机的保护采用二取二的方式以避免保护误动；重要设备的热工保护装置应采取三取二的信号组合方式，同时，必须增加模拟量质量判断及相应的处理策略。此外，建议分散控制系统(distributed control system,DCS)厂家或工业用户采用带有证实信号的连锁保护功能块，使保护连锁功能向智能化方向发展，提高安全仪表系统对复杂工况的适应性，更好地保障工艺系统的安全稳定运行。