三种典型MFT控制回路可靠性探讨主燃料跳闸(MFT )保护是锅炉炉膛安全监控系统的主要组成部分, 主燃料跳闸条件一旦形成,就会触发MFT紧急停炉,停机MFT控制回路要遵循控制器故障安全型、继电器失电跳 闸的原则,为保证该保护能正确动作, DCS厂家都配备自身特有的控制回路以防止保护误动、拒动的可能在这些控制回路设计中, DCS厂家充分考虑和应用了冗余技术、容错技术、失电保护技术,以期MFT保护系统达到控制器故障安全型、继电器失电跳闸型两个要求保护系统 一般由保护信号输入回路、保护逻辑运算回路和保护输出动作回路三部分组成本文 主要讨论保护输出动作回路即继电器回路的可靠性, 对西门子公司TELEPERM ME 系统、ABB公司的Symphony系统,艾默生公司的Ovation系统这三套DCS系统的MFT控制回路进行介绍和可 靠性分析1三种典型DCS系统MFT控制回路概况1.1西门子公司TELEPERM ME系统西门子公司TELEPERM ME 系统在国内早期300MW机组上应用较多,1995年投产的嘉兴 电厂一期两台300MW机组就是应用了这套 DCS系统在该系统中一般的控制系统应用了 AS220EA自动系统,锅炉燃烧管理系统应用了具有高可用率的故障安全型保护系统AS220EHF。
AS220EHF系统在硬件上应用了其独特的“三取二”自检表决机制,保证单一设备故障发 生时,不引起重大故障AS220EH系统中央单元有三个独立运行的 CPU,它们随时同步执行命令,分别由三条对应的I/O总线与扩展单元的I/O层相连对于开关量输入通道,将输入的现 场信号接到三对输入端子上,通过三条 I/O输入通道输入到CPU,3个CPU同步运行, 用各自的中央表决器将自身的信号与其它两个 CPU发出的地址、数据和控制信号比较, 取两个以上相同值为真值进行处理若发生两个 CPU故障,则继电器输出模件的负载电压切换至关状态,系统停止运行对于开关量输出通道, 三个CPU独立的计算结果分别通过各自的 I/O总线送到I/O表决模件,由表决模件取两个以上相同值为真值,输出到开关量输出模件保护输出动作回路中(见图一)采用了可测试的继电器输出模件,模件有 16路带继电器的开关量输出,用于与继电器柜的硬线连接其特点:继电器冗余:两个继电器输出在两个模件 中实现,而这两个模件分配给不同的 I/O总线表决器(即位于两层机架)两种继电器:根据双通道控制的要求,必须同时使用 A型和B型继电器输出摸件的1 6通道中,前8通道为A型, 后8通道为B型。
单错安全性:两个继电器输出与继电器柜的驱动线圈串联,这样根据锅炉保 护失电跳闸原则,一个继电器摸件的故障不影响驱动对象的安全关闭继电器输出模件国一:AS2 20EHF条统保护输岀动佶卩1路为保证系统的输出安全,整个逻辑为失电跳闸型,即应用反逻辑的设计思想, 正常状态下MFT信号常置” 1”,送去保护输出动作回路中,使 MFT驱动继电器常得电,一旦主燃料跳闸条 件形成,MFT信号翻转为” 0” ,MFT驱动继电器失电,相应设备保护动作1.2 ABB公司的Symphony系统国内600MW 机组DCS系统使用ABB公司的Symphony系统较多,嘉兴电厂二期 4台 600MW机组DCS系统使用的就是 ABB公司的Symphony系统MFT控制回路应用了锅炉保护继 电器端子单元 BBPR01-1和 BBPR01-2,BBPR01-3BBPR01-1端子板上有 A,B两组共 6路干 接点数字输入其中 A组的3路MFT输入信号:D1-1,DI-2和DI-3来自Symphony系统的输出模件,即MFT逻辑运算回路的判断结果; B组的3路 MFT输入信号:D1-4,DI-5和DI-6来自手动MFT按钮。
这两组输入信号分别通过三个继电器实现 3取2逻辑判断后去驱动一个MFT判断继电器,该判断继电器的输出作为 BBPR01-1的输出信号BBPR01-2根据BBPR01-1的输出向现场扩展输出 16路常开或常闭干接点数字信号 BBPR01-2的DO输出是常开接点或是常闭接点决于 16个跨接器JP1~JP16的设置•U 让:TE 控";t i-x?-'■ irn设寿A-.:. - il *BVPR0I-2Synnphony系统保护输出动f 1冋路正常无MFT信号触发情况下,BBPR01-1端子板上的两组共 6路干接点数字输入信号是闭 合的BBPR01-1和BBPR01-2端子板上所有继电器常带电, 24V电源直接取自电源装置,一旦有MFT信号触发或系统失电, 继电器动作,驱动相应现场设备动作 符合对继电器失电跳闸型的要求二期#3、4机组使用了 BBPR01-1和BBPR01-2端子板,#5、6机组使用了 BBPR01-2 和BBPR01-3端子板区别在于#5、6机组MFT3取二逻辑是用硬接线回路组成的, BBPR01-3端子板上没有常开、常闭接点的跨接器,而是分别有接线端子供选用1.3艾默生公司的Ovation系统目前,艾默生公司的Ovation系统在1000机组上占有了很大份额,安徽凤台电厂 2台机组使用了该系统。
Ovation系统设计有专门的跳闸继电器柜(见图三), DCS中逻辑运算判断后的MFT信号由DO模件送出三路到MFT硬线回路,MFT信号3取2逻辑是用硬接线回路组成 手动MFT信号采用2取2方式驱动MFT动作继电器,DCS柜电源失去也采用2取2方式驱动MFT动作 继电器,以确保DCS失电时保护正确动作该系统采用了冗余的 MFT控制回路,两路控制回路任一路动作,相关设备保护回路就会起作用HI—r「m*=B爲桁它;««■** A3T I—■作時E二责制2ZAL3E123CFT1Il口:吕主电算声E-HI―-已"和同二11 门 ||11□tfT4)柞I (Cl) (Cl-—II II—□TT Jifp: (Cl'|T I I—MTI I ■!图三 Oviitim系统跳闸继电器原理图2可靠性分析AS220EHF系统采用CPU的三重冗余,MFT动作继电器的双通道控制防止保护误动,采 用反逻辑思想,使 MFT动作继电器无论是软件故障还是硬件故障都能实现失电保护动作防止保 护拒动的可能在这个系统中区别于其它系统的还有一个特点 MFT信号3取2判断由CPU直接完成,MFT信号形成之后DO模件输出信号到驱动继电器后直接控制相关设备。
MFT控制回路中没有专门设计的 MFT继电器单元或扩展继电器,,此回路简单可靠Symphony系统中MFT保护继电器端子回路的设计是没有问题的,它起到了失电跳闸的作 用,3取二逻辑也满足防拒动、防误动的要求问题在于来自 Symphony系统的三个MFT输入信号上,这三个信号正常时要求是常闭接点正常情况下 MFT逻辑在控制器中通过运算判别,逻辑结果是“ 0”,逻辑结果分三路由 DO模件通过DO端子板NTROO2上常闭继电器输出三个闭合 信号给锅炉保护继电器端子回路图中驱动DO常闭继电器的24V电源来自DO端子板,正常情况 DO常闭继电器是不激励 的在这个回路中可以看出存在以下隐含的安全问题:1) 正常情况常闭继电器是不激励的,即使 24V电源失去,送出的常闭接点依然闭合,锅炉保 护继电器端子回路不会动作,无法达到继电器失电跳闸型要求2) 拔去预制电缆或预制电缆接触不好,断开 DO模件和DO端子板的连接,送出的常闭接点依 然闭合,锅炉保护继电器端子回路不会动作3) 拔去DO模件,送出的常闭接点依然闭合,锅炉保护继电器端子回路不会动作4) 拔去控制器模件,送出的常闭接点依然闭合,锅炉保护继电器端子回路不会动作,无法达到 控制器故障安全型要求。
5) 由于MFT回路是正逻辑,即使硬件回路都正常,但是软件中如逻辑信号有断线存在,正常 时也是无法发现的Ovation系统中用硬接线回路组成 MFT信号3取2逻辑,采用冗余的MFT控制回路以防止保护 的误动和拒动,回路简单可靠,但是由于也是采用了正逻辑的设计思想,控制回路中 MFT动作继电器平时是不激励的,存在 MFT动作继电器拒动的风险由于 MFT动作继电器的控制电源是 DC110 V,回路中只考虑了 DCS电源失去的失电措施,但忽略了控制电源 DC110V失去的保护措施为了防止单一信号的拒动或误动, 在保护回路中广泛采用了 3取2的容错技术但是在没有采用三重冗余CPU的系统中,为了达到容错目的, 具有3取2功能的保护输出回路部件较多、 回路复杂,反而平添出了出错的环节 从对Symphony系统和Ovation系统保护输出动作回路的分 析中我们看到3取2之后的MFT判别继电器还是一个, 还是将风险集中到了一个点上, 存在单一设备引起拒动或误动的可能因而采用三重冗余 CPU,MFT动作继电器双通道控制的一体化控制回路是我们的首选,事实上除了西门子的 AS220EHF系统,日立的H5000M系统也有专门的三重冗余CPU,继电器3取2通道控制的一体化控制回路。
下面列表描述三个系统的保护输出动作回路对故障的反应情况:故障类型AS220EHF 系统Symphony 系统Ovation 系统控制器故障控制器3取2故障,继 电器输出模件失电,保 护回路动作继电器输岀模件正常工作, 保护回路不动作继电器输岀模件正常工 作,保护回路不动作DO模件故障或拔岀任一继电器输岀模件故 障,保护回路动作送岀的常闭接点依然闭合, 保护回路不动作送岀的常闭接点依然闭 合,保护回路不动作逻辑信号有断线因是反逻辑,只要有断 点MFT信号回路结果为“0,”保护回路动作正常时逻辑信号为 0”,有 断点时,逻辑信号仍为 0”, 保护回路不动作正常时逻辑信号为 0 ”, 有断点时,逻辑信号仍为“ 0”保护回路不动作3提高可靠性的措施AS220EHF系统应用至今安全可靠, 没有进行任何的改进Symphony系统的原设计中磨煤机,给煤机,一次风机的跳闸继电器正常时是不激励的,起不到失电保护的作用,嘉兴电厂二 期四台机组对以上设备的跳闸回路都进行了改进省内使用 Symphony系统的某电厂,曾发生MFT的两块BRC皆故障而MFT保护回路没有动作的异常为了保证MFT回路的高效安全动作, MFT控制回路应考虑以下几条措施的实施:1) 逻辑设计中应采用反逻辑的设计思想, MFT判断结果使用反逻辑,逻辑结果“ 1 ”表征正常情况,逻辑结果“ 0”表征MFT触发。
2) DCS中逻辑判断后输出的 MFT信号,在DO模件中的继电器应使用常开继电器3) 在专门的MFT继电器回路中,MFT动作继电器在正常情况下应常带电4) MFT扩展继电器在正常情况下应常带电,扩展继电器扩展继电器电源应取自 DCS系统5) 磨煤机,给煤机,一次风机的跳闸继电器正常时应常带电,以保证失电时能正确将制粉系统 切除跳闸继电器原理图六如下:作,达到故障安全的要求无论是模件失电、 DO 端子板失电还是锅炉保护继电器端子单元失 电,MFT控制回路都能安全动作,达到失电动作的要求4 结语主燃料跳闸 (MFT) 保护是一个非常重要的保护系统,在这个保护控制回路中我们要从软件 上和硬件上齐全考虑,设计时注意逻辑判断、 I/O 设置、动作继电器动断、动合触点布置等每 个环节都要保证逻辑系统失电时,能使其。