摘要：DCS在電站控制領(lǐng)域覆蓋面越來(lái)越廣，DCS系統(tǒng)本身的可靠性以及故障預(yù)防處理越來(lái)越得到重視，尤其是DCS系統(tǒng)關(guān)鍵的冗余器件同時(shí)故障時(shí)，怎樣保證機(jī)組安全性的問(wèn)題越來(lái)越引起注意。對(duì)于重要控制、保護(hù)環(huán)節(jié)，如果冗余控制器均脫離雙網(wǎng)且無(wú)法自恢復(fù)，則認(rèn)定該控制器失效，造成控制器失效有多種可能原因，如失電、控制器死機(jī)、網(wǎng)絡(luò)接口故障等，在此情況下，需要設(shè)計(jì)后備安全保護(hù)方案。

       一、引言
　　
　　隨著機(jī)組容量的不斷增加，處理事故的過(guò)程更為復(fù)雜，熱工保護(hù)裝置也在不斷發(fā)展和完善。近幾年發(fā)展起來(lái)的以微處理器為核心的各種保護(hù)系統(tǒng)和大規(guī)模分散控制系統(tǒng)已使滅火保護(hù)系統(tǒng)的邏輯處理能力大為提高，功能大為增強(qiáng)。現(xiàn)代的滅火保護(hù)系統(tǒng)和分散控制系統(tǒng)中的鍋爐滅火保護(hù)系統(tǒng)的數(shù)據(jù)處理能力已不是邏輯設(shè)計(jì)的限制因素，系統(tǒng)的控制邏輯可以設(shè)計(jì)成任何復(fù)雜程度。
　　
　　雖然DCS在電站控制領(lǐng)域覆蓋面越來(lái)越廣，DCS系統(tǒng)本身的可靠性以及故障預(yù)防處理越來(lái)越得到重視，尤其是DCS系統(tǒng)關(guān)鍵的冗余器件同時(shí)故障時(shí)，怎樣保證機(jī)組安全性的問(wèn)題越來(lái)越引起注意。
　　
　　一般系統(tǒng)卡件或控制器的故障采用軟光字牌報(bào)警的方式通知運(yùn)行人員采取相應(yīng)措施。而對(duì)于重要控制、保護(hù)環(huán)節(jié)，如果冗余控制器均脫離雙網(wǎng)且無(wú)法自恢復(fù)，則認(rèn)定該控制器失效，造成控制器失效有多種可能原因，如失電、控制器死機(jī)、網(wǎng)絡(luò)接口故障等，在此情況下，需要設(shè)計(jì)后備安全保護(hù)方案。
　　
　　二、MFT動(dòng)作繼電器跳閘回路的設(shè)計(jì)
　　
　　在DCS系統(tǒng)中，用于鍋爐安全保護(hù)控制站（FSS）及其相關(guān)控制站（BCS）的重要控制器失效情況下，設(shè)計(jì)采取后備MFT保護(hù)措施是保證鍋爐安全的重要手段。
　　
　　FSSS到主燃料跳閘MFT硬控制回路的輸出，在鍋爐保護(hù)設(shè)計(jì)工程設(shè)計(jì)中極為重要性，一般工程MFT均按照220VAC和220VDC兩個(gè)硬回路設(shè)計(jì)，采取任一回路勵(lì)磁跳閘的原則，MFT出口到每個(gè)硬回路按6個(gè)接點(diǎn)作三取二處理。MFT動(dòng)作后應(yīng)切斷所有進(jìn)入爐膛的燃料和產(chǎn)生其它的聯(lián)動(dòng)，硬MFT接點(diǎn)形式（常開(kāi)、常閉）和數(shù)目應(yīng)滿(mǎn)足工程需要。包括切斷燃油系統(tǒng)設(shè)備和制粉系統(tǒng)設(shè)備、一次風(fēng)機(jī)、電除塵器、吹灰系統(tǒng)，以及到ETS系統(tǒng)和鍋爐減溫水總門(mén)、高壓旁路系統(tǒng)的控制子系統(tǒng)等。
　　
　　直接MFT設(shè)計(jì)范圍及相互關(guān)系，如圖1虛線(xiàn)所示部分。　　
　　在圖1中，MFT跳閘回路的備用順序（由高→低）依次為：緊急停爐按鈕手動(dòng)MFT→鍋爐保護(hù)控制站（FSS）自動(dòng)MFT→燃料基本控制站（BCS）正常狀態(tài)下設(shè)備啟/?？刂萍氨Ｗo(hù)。
　　
　　考慮了DCS系統(tǒng)故障工況，按照上述備用關(guān)系設(shè)計(jì)了周全的安全保護(hù)措施，直接MFT跳閘回路*由硬接線(xiàn)實(shí)現(xiàn)跳閘控制邏輯，跳閘功能確保機(jī)組在緊急工況下能切斷所有燃料的供料設(shè)備，MFT硬跳閘回路的繼電器和電源的電氣設(shè)計(jì)原理如圖2所示。
　　
　　在直接MFT設(shè)計(jì)中綜合考慮了以下因素。
　　
　　2.1電源安全性
　　
　　控制電源是整個(gè)DCS系統(tǒng)的生命線(xiàn)，重要電源發(fā)生故障，將直接影響保護(hù)邏輯和其他控制邏輯的正常工作。
　　
　　（1）電源冗余
　　
　　MFT保護(hù)回路采用兩路獨(dú)立于DCS的DC220V（或DC110V）直流電源，二路電源通過(guò)二極管切換回路實(shí)現(xiàn)互為冗余，任何一路電源的故障不會(huì)影響系統(tǒng)的保護(hù)功能。本設(shè)計(jì)確保在一路電源故障時(shí)，自動(dòng)、無(wú)擾切換到另一路。該電源由現(xiàn)場(chǎng)直接提供，在本回路中實(shí)現(xiàn)兩路工作電源的自動(dòng)投切。
　　
　　（2）失電跳閘（報(bào)警）
　　
　　DCS系統(tǒng)中，鍋爐安全保護(hù)（FSS）控制站采用雙重冗余AC220V電源供電，當(dāng)雙路電源均失去時(shí)，直接觸發(fā)MFT跳閘，保證機(jī)組安全，或根據(jù)實(shí)際情況確認(rèn)條件，設(shè)計(jì)為其他安全動(dòng)作方式。
　　
　　（3）缺電報(bào)警
　　
　　無(wú)論DC220V（或DC110V）直流電源和AC220V交流電源中，任一路電源故障缺失情況下，均在CRT上報(bào)警顯示。見(jiàn)圖2電源監(jiān)視繼電器回路部分。　　
　　2.2信號(hào)可靠性
　　
　　凡涉及MFT跳閘信號(hào)采用三重冗余，開(kāi)關(guān)量信號(hào)采用三取二處理，模擬量信號(hào)采用三取中處理，三重冗余信號(hào)分別從不同的卡件輸入DCS系統(tǒng)。如爐膛壓力保護(hù)三取二，鍋爐爐膛壓力保護(hù)采用六個(gè)壓力開(kāi)關(guān)，分別安裝在鍋爐左右側(cè)邊三臺(tái)。三臺(tái)爐膛正壓開(kāi)關(guān)，三臺(tái)爐膛負(fù)壓開(kāi)關(guān)；變送器測(cè)量三級(jí)故障，一些重要變送器測(cè)量三級(jí)故障直接進(jìn)入跳閘通道。變送器三級(jí)故障的意義是：①三個(gè)測(cè)量信號(hào)均無(wú)效；②一個(gè)測(cè)量信號(hào)無(wú)效，另兩個(gè)測(cè)量信號(hào)偏差大；③三個(gè)測(cè)量信號(hào)均有效，兩個(gè)測(cè)量信號(hào)偏差均大。
　　
　　由FSS控制站輸出的MFT跳閘信號(hào)，先實(shí)現(xiàn)了“硬”三取二邏輯（參見(jiàn)MFT硬跳閘回路電氣原理圖中相應(yīng)部分），經(jīng)過(guò)MFT繼電器回路，F(xiàn)SS系統(tǒng)輸出的三路獨(dú)立的信號(hào)分別取自FSS控制站不同的開(kāi)關(guān)量輸出卡件，如圖3所示。　　
　　在DCS系統(tǒng)設(shè)計(jì)中，F(xiàn)SSS功能一般設(shè)置3對(duì)控制器，根據(jù)這3對(duì)控制器控制的配置情況，它們之間有硬接線(xiàn)信號(hào)傳輸，如火焰檢測(cè)信號(hào)組合的判斷、油（氣）、煤燃料組合的判斷等信號(hào)應(yīng)通過(guò)硬接線(xiàn)完成。像送、引、一次風(fēng)機(jī)、給水泵的狀態(tài)信號(hào)幾個(gè)子系統(tǒng)都需要，將每個(gè)輔機(jī)的運(yùn)行、停止?fàn)顟B(tài)信號(hào)各取三付接點(diǎn)全部送到FSSS進(jìn)行三取二處理，然后送到需要該信號(hào)的其它子系統(tǒng)（MCS、SCS），這樣可保證信號(hào)的一致性。
　　
　　總之，鍋爐保護(hù)系統(tǒng)采用的“三取二”邏輯，是從每個(gè)信號(hào)的采集、邏輯判斷到跳閘出口均為“三取二”。
　　
　　2.3繼電器可靠性
　　
　?。?）繼電器選型
　　
　　跳閘繼電器選用的應(yīng)是具有成功應(yīng)用經(jīng)驗(yàn)的產(chǎn)品，如OMRON繼電器，在上述圖2、3中采用的繼電器分別是：
　　
　　Ry1....Ry12、Ry13、Ry17、Ry18、Ry19的型號(hào)為：MM2XP_DC220V；
　　
　　Ry20、Ry21、Ry21的型號(hào)為：MM2XP_DC24V；
　　
　　Ry1、Ry2的型號(hào)為：MM2XP_AC220V；
　　
　　其中，MFT跳閘出口繼電器的輸出接點(diǎn)容量為：220VDC7.。
　　
　?。?）冗余設(shè)計(jì)
　　
　　直接MFT跳閘總出口的兩只繼電器采用冗余設(shè)計(jì)（圖2Ry13、Ry19繼電器），分別接受來(lái)自主控臺(tái)上一對(duì)MFT跳閘按鈕和DCS輸出（圖3Ry20、Ry21、Ry22繼電器）三取二的接點(diǎn)。
　　
　　其中，回路設(shè)了兩個(gè)可靠的MFT手動(dòng)按鈕，一對(duì)按鈕的各自?xún)筛苯狱c(diǎn)兩兩串聯(lián)后分別接至兩只MFT跳閘出口繼電器的跳閘閉合線(xiàn)圈。既可防誤動(dòng)，又可在緊急狀況下保證鍋爐安全停爐。
　　
　　2.4保護(hù)動(dòng)作安全性
　　
　?。?）MFT保持
　　
　　在邏輯回路中，采用了保護(hù)跳閘的動(dòng)作保持設(shè)計(jì)，為此增加了保持繼電器Ry18，如圖2所示。當(dāng)MFT保護(hù)發(fā)生時(shí)，J18-C1、C2接點(diǎn)閉合，復(fù)歸HD指示燈亮，使跳閘繼電器Ry1~Ry12一直處于跳閘位置，保持動(dòng)作的延續(xù)性，以防止意外出現(xiàn)，保證鍋爐的安全。
　　
　　（2）MFT復(fù)歸
　　
　　在主控臺(tái)上，與保持相配用提供一付手動(dòng)復(fù)歸按鈕PB；同時(shí)，DCS提供一路由FSS控制站來(lái)的“吹掃完成”信號(hào)輸出到繼電器跳閘回路中，作為自動(dòng)“MFT復(fù)歸”條件。當(dāng)延時(shí)復(fù)位500ms脈沖的“吹掃完成”信號(hào)輸出時(shí)，出口繼電器Ry13、Ry19動(dòng)作，J13_C1、J19_C1常閉觸點(diǎn)斷開(kāi)，使繼電器Ry18復(fù)位，復(fù)歸指示燈HD熄滅，從而使繼電器回路自動(dòng)恢復(fù)保護(hù)功能，為下一次保護(hù)作初始化準(zhǔn)備。吹掃完成后才能啟用保護(hù)跳閘功能，這是對(duì)鍋爐的安全保證措施。
　　
　　2.5“動(dòng)合型”/“動(dòng)斷型”的考量
　　
　　現(xiàn)在對(duì)鍋爐繼電器后被保護(hù)的設(shè)計(jì)過(guò)程，有些要求“失電跳閘”，即：“失電安全”的意思。這種保護(hù)采用的是“反邏輯”設(shè)計(jì)思想，正常運(yùn)行時(shí)所監(jiān)控的設(shè)備接點(diǎn)閉合，產(chǎn)生邏輯“1”信號(hào)，動(dòng)作設(shè)備得電打開(kāi)；故障時(shí)所監(jiān)控的設(shè)備接點(diǎn)打開(kāi)，產(chǎn)生邏輯“0?保護(hù)動(dòng)作，動(dòng)作設(shè)備失電關(guān)閉，鍋爐跳閘。這種設(shè)計(jì)目的是使系統(tǒng)在失電時(shí)，鍋爐保護(hù)跳閘，保證機(jī)組的安全性。
　　
　　而在實(shí)際工程中，由于對(duì)電源已經(jīng)做了充分的安全保障性的考慮和設(shè)計(jì)，所以一般跳閘繼電器是采用“得電跳閘”方式。“失電跳閘”方式使跳閘繼電器線(xiàn)圈長(zhǎng)期帶電工作，對(duì)繼電器的工作壽命和彈簧觸點(diǎn)工作的穩(wěn)定性、可靠性存在不確定因素，值得質(zhì)疑。同理，產(chǎn)生MFT的信號(hào)基本上是采用“動(dòng)合型”方式。
　　
　　一般情況下，F(xiàn)SS控制站的MFT跳閘輸出，同樣要經(jīng)過(guò)直接MFT回路的繼電器出口執(zhí)行，即FSS控制站的MFT跳閘動(dòng)作輸出與直接MFT跳閘共用同一出口的繼電器。
　　
　　當(dāng)故障發(fā)生后，為了能夠提供準(zhǔn)確的分析依據(jù)，直接MFT邏輯回路中，手動(dòng)MFT按鈕的一付節(jié)點(diǎn)一定要進(jìn)S.O.E；AC電源監(jiān)視信號(hào)，DC電源監(jiān)視信號(hào)要同時(shí)進(jìn)S.O.E；FSS控制站MFT輸出信號(hào)要直接進(jìn)S.O.E，不要中間繼電器的接點(diǎn)轉(zhuǎn)接信號(hào)，如果信號(hào)輸入中間環(huán)節(jié)多，當(dāng)通道定義為常閉接點(diǎn)輸入時(shí)，系統(tǒng)誤動(dòng)作次數(shù)將會(huì)增加；當(dāng)通道定義為常開(kāi)接點(diǎn)輸入時(shí)，將增大系統(tǒng)拒動(dòng)的可能性。這些都會(huì)影響S.O.E.提供準(zhǔn)確的事故線(xiàn)索。另一方面，信號(hào)輸入中間環(huán)節(jié)多也增大了檢修人員對(duì)其它系統(tǒng)的維護(hù)難度。