浅析发电厂控制系统重要信号独立配置的重要性

2022-08-24张明明

设备管理与维修 2022年14期

张明明

（中国大唐集团科学技术研究院有限公司中南电力试验研究院，河南郑州 450052）

0 引言

随着燃煤发电机组自动化程度的日益提高，测量设备的可靠性直接决定着机组运行的安全性和可靠性。发电机组测量设备分布面广，涉及所有的主辅设备系统，微小的辅助设备故障时常会造成辅机的故障跳闸，进而联锁动作一系列相关设备，导致机组跳闸[1]。因此热工测量设备实现100%保护正确动作，不发生误动和拒动是长期艰巨的任务。火力发电机组分散控制系统（DCS）冗余配置和独立型配置体现的一个重点就是DCS 重要参数测点的配置，通过该方式可以确保控制和保护功能可靠。

以某机组为例，分析锅炉灭火信号配置不合理问题引发的机组非计划停机事件，并对相关设计进行优化改进。

1 事件概述

2017 年4 月19 日，某机组负荷388 MW 运行，锅炉燃烧稳定，各设备运行状态：主蒸汽压力18.48 MPa；锅炉给水自动控制系统在自动状态；燃料自动控制系统在自动状态；送风机自动控制系统在自动状态；一次风机自动控制系统在自动状态；引风机自动控制系统在自动状态；机组协调控制系统在自动状态；AGC 系统在自动状态；一次调频系统在自动状态；磨煤机A、B、C、E、F 处于运行状态，磨煤机D 处于备用状态；锅炉总风量为1300 t/h；锅炉炉膛负压为-32 Pa；燃料总量为170 t/h。

15：49：43，磨煤机E 因1 号、3 号角火检无火跳闸（控制逻辑设计：两个或两个以上燃烧器无火，延时3 s，磨煤机跳闸），如图1 所示。

图1 磨煤机E 火检状态

15：49：44，C 磨煤机因1 号、3 号火检无火跳闸，F 磨煤机因1 号、4 号角火检无火跳闸（图2）。

图2 磨煤机F 火检状态

15：50：23，磨煤机B 的2 号、3 号角火检无火，触发磨煤机B 跳闸。

15：50：32，磨煤机A 的1 号、4 号角火检无火，触发磨煤机A 跳闸，同时因为满足“全炉膛火焰丧失”的条件，触发锅炉MFT（Main Fuel Trip，主燃料跳闸）动作（图3）。

图3 故障前后磨煤机运行状态

2 事故分析

2.1 排查要点

采用信号的冗余配置是保证保护系统正确动作的重要措施之一，尤其是对重要的保护信号一定要避免单点保护配置[2]。在进行信号故障类排查时要着重检查系统是否实现信号冗余配置，从测点配置、信号传输电缆、动力电源配置、动力电缆、卡件通道等方面对存在的交叉共用部分进行重点排查。针对事故发生过程，具体排查要点如下：

（1）测点分配排查要点：应按危险分散的设计原则检查测点安装位置、传输电缆、供电电源和分配的卡件通道，避免共用部分故障造成冗余措施失效，尽量避免用于保护的测点集中同一位置进行安装布置，造成保护误动。对于交叉信号，例如热工与电气双向互送的保护信号，要对双方的信号源头、信号用途进行排查，尤其要对信号的接点类型进行检查确认，逻辑关系清晰明确，防止因防误动而造成设备保护的拒动。

（2）电源供电可靠性排查要点：配置的冗余动力电源要能够自动切换并且切换时间和波动在规定范围，电源切换装置的定期试验和定期维护记录要完备，禁止将自动切换装置的工作模式设置为自复位方式，失去电源切换装置的任何一路电源时或者切换装置每次动作时都应有相应的报警记录。冗余电源的来源禁止使用同一电源点。禁止直接并联互为备用的电源供电模块，以防一个电源模块出现故障时无法隔离故障设备。电源母线尽量设计环形的供电连接方式，避免出现断点时造成设备部分失电。

（3）DPU 控制器及I/O 通信卡件排查要点：当前绝大多数机组的DCS 系统配置的DPU 控制器均为一用一备的实时冗余设计，同时发生故障的可能很小，但应定期进行控制器的无扰切换试验，确认切换前后的稳定性，切换时间是否在正常范围，检查DPU 控制器的硬件和组态软件的版本一致，控制器下装组态逻辑的一致同步性。除相关规程中有特别要求的，保护的控制回路不应采用常闭节点的输出通道，防止在控制器复位时造成误动。对于DCS 系统交换机冗余配置检查，重点是检查交换机的网线插口牢固度和电源的完全冗余。为防止通信故障或延时造成保护的误动，需检查梳理网络通信点，确保机组重要保护信号采用硬接线方式到DCS 卡件，以防控制器之间的通信故障或网络通信故障造成误动。

（4）输入信号通道排查要点：检查保护测点的信号通道分散在不同I/O 卡件上，防止单个卡件损坏或掉电时，造成跳闸信号的误动。检查重要保护信号的卡件通道具备防止脉冲信号干扰功能，输入信号的通道配置独立的干接点。I/O 卡件的信号通道为弱电信号，检查确认与交流220 V 强电信号独立配置，接线端子的接线的DCS 信号与强电信号具备有效的隔离措施，DCS控制系统的I/O 卡件具备强电交流信号的滤波功能，防止误入的交流强电信号损坏I/O 卡件及信号误动。此外，DCS 传输信号不应与直流220V 电源配置在同一电缆，以防暂态电流的干扰造成信号误动。

（5）弱电信号故障排查要点：对于信号电缆尽量避免中间端子排的中转连接，定期检查接线的牢靠度，对于重要信号采用锡焊连接的方式，防止插头脱落和松动。

（6）电缆信号干扰隐患排查要点：检查信号传输电缆的屏蔽层及绝缘层良好，检查DCS 系统侧单端接地良好。对于传输距离较长的I/O 信号，重点检查DCS 侧220 V 直流驱动隔离继电器的配置，以防电缆内分布电容对传输信号产生干扰。

2.2 直接原因

本次事故过程中，磨煤机C、E、F 在2 s 内均因“磨煤机运行时，燃烧器2 个或2 个以上燃烧器火检无火”条件触发跳闸，造成锅炉内燃烧波动过大，引发磨煤机A、B 先后因火检无火跳闸，进而导致“全炉膛火焰丧失”条件触发，锅炉MFT 动作。

由于磨煤机跳闸时间间隔过短，运行人员未能进行相关紧急抢救操作。由此看出，磨煤机C、E、F 同时跳闸，是本次非停的直接原因。

2.3 根本原因

对磨煤机火检消失原因进一步检查分析，可得到：

（1）机组跳闸动作发生前之前，组各项运行参数均保持稳定，锅炉内燃烧状态均正常，因此判定磨煤机C、E、F 因锅炉燃烧波动大导致所有火检同时消失的证据不充分。

（2）经检查，磨煤机C、E、F、D（备用）和油层火检模拟量信号在15：49：43 同时变为坏质量，且其中多个火检信号装置发出故障信号。进一步检查锅炉所有火检的供电电源回路和信号回路，发现磨煤机C、D、E、F 及所有油层火检配置在同一个火检系统的通信链路上，磨煤机A、B 火检配置在另外一个火检系统的通信链路上。

根据现场火检配置情况及发出的故障信息，结合机组跳闸发生前火检信号波动情况，可以进一步认定：火检管理系统接地异常或强干扰信号进入通信链路，导致配置在同一链路上的磨煤机C、E、F 的火检信号同时发生坏质量故障。

3 信号配置优化措施

保证热工保护自动化设备的安全可靠性，可靠的设备和完善的逻辑设计是先决条件，有效的技术监督和管理是基础，持续的隐患排查治理和良好的维护是保证。在电力行业的多个规程制度中也有相应的要求：

（1）《防止电力生产事故的二十五项重点要求》第9.1.4 条规定[4]：“重要参数测点、参与机组或设备保护的测点应冗余配置，冗余I/O 测点应分配在不同模件上”。

（2）DL/T 1083—2008《火力发电厂分散控制系统技术条件》第5.2.1.15 要求[“5]对某些重要的关键参数，应采用三重冗余变送器测量”；第5.2.1.17 要求“对某些仅次于关键参数的重要参数，应采用双重冗余变送器测量”。

（3）DL/T 5428—2009《火力发电厂热工保护系统设计技术规定》第5.3.6 明确要求[“6]应冗余配置的主要开关量仪表应根据机组设备实际情况设置，至少应符合‘二取一’或‘三取一’……”。

根据相关标准及本次事故分析，可对该机组及类似进组进行三方面的优化：

（1）断开火检系统的串联通信链路，保证单个火检系统的独立性，提高火检信号的可靠性。并在机组停机期间，对火检系统的通信链路进行接地测试和抗干扰试验。

（2）对现场火检装置的接线柜进行密封性改造，并制定清洁维护计划，防止大量灰尘附着到电气回路上。

（3）在电源配置方面，火检供电电源配置的220 V 交流电源一路来自保安段，另一路来自厂用电，经转换器后提供给两只24 V 直流电源模块使用。两路直流电源并联后，同时为44 只火焰检测装置供电。这种电源配置方案，如果出现冗余电源切换时间过长或切换失败时，极易造成所有火检装置的失电，进而触发“全炉膛火焰丧失”条件，导致锅炉MFT 动作。

综上所述，需要对火检供电电源系统进行优化改造，在原有基础上新增一路电源接触器，实现冗余配置，一路设置保安段优先，另一路设置厂用电优先，分别同时为24 V 的直流电源模块供电。改造优化后，如果出现220 V 交流电源失去或单个接触器异常时，可以保证火检装置的24 V 直流电源正常，避免设备失电的风险。