三种典型MFT控制回路可靠性探讨

三种典型MFT控制回路可靠性探讨 主燃料跳闸（MFT）保护是锅炉炉膛安全监控系统的主要组成部分，主燃料跳闸条件一旦形成，就会触发MFT紧急停炉，停机。MFT控制回路要遵循控制器故障安全型、继电器失电跳闸的原则，为保证该保护能正确动作，DCS厂家都配备自身特有的控制回路以防止保护误动、拒动的可能。在这些控制回路设计中，DCS厂家充分考虑和应用了冗余技术、容错技术、失电保护技术，以期MFT保护系统达到控制器故障安全型、继电器失电跳闸型两个要求。保护系统一般由保护信号输入回路、保护逻辑运算回路和保护输出动作回路三部分组成。本文主要讨论保护输出动作回路即继电器回路的可靠性，对西门子公司TELEPERM ME 系统、ABB 公司的Symphony系统，艾默生公司的Ovation系统这三套DCS系统的MFT控制回路进行介绍和可靠性分析。1 三种典型DCS系统MFT控制回路概况1.1 西门子公司TELEPERM ME系统 西门子公司TELEPERM ME 系统在国内早期300MW机组上应用较多，1995年投产的嘉兴电厂一期两台300MW 机组就是应用了这套DCS 系统。在该系统中一般的控制系统应用了AS220EA 自动系统，锅炉燃烧管理系统应用了具有高可用率的故障安全型保护系统AS220EHF。 AS220EHF系统在硬件上应用了其独特的“三取二”自检表决机制，保证单一设备故障发生时，不引起重大故障。AS220EH 系统中央单元有三个独立运行的CPU，它们随时同步执行命令，分别由三条对应的I/O 总线与扩展单元的I/O 层相连。对于开关量输入通道，将输入的现场信号接到三对输入端子上，通过三条I/O 输入通道输入到CPU，3 个CPU 同步运行， 用各自的中央表决器将自身的信号与其它两个CPU 发出的地址、数据和控制信号比较，取两个以上相同值为真值进行处理。若发生两个CPU 故障，则继电器输出模件的负载电压切换至关状态，系统停止运行。对于开关量输出通道， 三个CPU独立的计算结果分别通过各自的I/O总线送到I/O 表决模件，由表决模件取两个以上相同值为真值，输出到开关量输出模件。 保护输出动作回路中（见图一）采用了可测试的继电器输出模件，模件有l6 路带继电器的开关量输出，用于与继电器柜的硬线连接。其特点：继电器冗余：两个继电器输出在两个模件中实现，而这两个模件分配给不同的IO 总线表决器(即位于两层机架)。两种继电器：根据双通道控制的要求，必须同时使用A 型和B 型继电器。输出摸件的1 6通道中，前8 通道为A 型，后8 通道为B 型。单错安全性：两个继电器输出与继电器柜的驱动线圈串联，这样根据锅炉保护失电跳闸原则，一个继电器摸件的故障不影响驱动对象的安全关闭。 为保证系统的输出安全，整个逻辑为失电跳闸型，即应用反逻辑的设计思想， 正常状态下MFT信号常置”1”,送去保护输出动作回路中，使MFT驱动继电器常得电，一旦主燃料跳闸条件形成, MFT信号翻转为”0”,MFT驱动继电器失电，相应设备保护动作。1.2 ABB公司的Symphony系统 国内600MW 机组DCS系统使用ABB公司的Symphony系统较多，嘉兴电厂二期4 台600MW机组DCS系统使用的就是ABB公司的Symphony系统。MFT控制回路应用了锅炉保护继电器端子单元 BBPR01-1和 BBPR01-2，BBPR01-3。BBPR01-1端子板上有 A，B两组共 6路干接点数字输入。其中 A组的 3路MFT输入信号：D1-1，DI-2和 DI-3 来自 Symphony系统的输出模件，即MFT逻辑运算回路的判断结果；B组的 3路MFT 输入信号：D1-4，DI-5 和 DI-6 来自手动MFT 按钮。这两组输入信号分别通过三个继电器实现3 取 2 逻辑判断后去驱动一个MFT 判断继电器，该判断继电器的输出作为BBPR01-1 的输出信号。BBPR01-2 根据 BBPR01-1 的输出向现场扩展输出 16 路常开或常闭干接点数字信号。BBPR01-2的DO 输出是常开接点或是常闭接点决于16 个跨接器JP1JP16的设置。 正常无MFT信号触发情况下，BBPR01-1端子板上的两组共 6路干接点数字输入信号是闭合的。BBPR01-1 和BBPR01-2 端子板上所有继电器常带电，24V 电源直接取自电源装置，一旦有MFT 信号触发或系统失电，继电器动作，驱动相应现场设备动作。符合对继电器失电跳闸型的要求。二期#3、4机组使用了BBPR01-1和 BBPR01-2端子板，#5、6机组使用了BBPR01-2和 BBPR01-3端子板。区别在于#5、6 机组MFT3 取二逻辑是用硬接线回路组成的，BBPR01-3端子板上没有常开、常闭接点的跨接器，而是分别有接线端子供选用。1.3 艾默生公司的Ovation系统 目前，艾默生公司的Ovation系统在1000 机组上占有了很大份额，安徽凤台电厂2 台机组使用了该系统。Ovation系统设计有专门的跳闸继电器柜（见图三），DCS中逻辑运算判断后的MFT信号由DO模件送出三路到MFT硬线回路，MFT信号3 取2 逻辑是用硬接线回路组成。手动MFT信号采用2取2 方式驱动MFT动作继电器，DCS柜电源失去也采用2 取2方式驱动MFT动作继电器，以确保DCS 失电时保护正确动作。该系统采用了冗余的MFT 控制回路，两路控制回路任一路动作，相关设备保护回路就会起作用。2 可靠性分析 AS220EHF系统采用CPU的三重冗余，MFT动作继电器的双通道控制防止保护误动，采用反逻辑思想，使MFT动作继电器无论是软件故障还是硬件故障都能实现失电保护动作防止保护拒动的可能。在这个系统中区别于其它系统的还有一个特点MFT 信号3 取2 判断由CPU 直接完成， MFT信号形成之后DO 模件输出信号到驱动继电器后直接控制相关设备。 MFT 控制回路中没有专门设计的MFT继电器单元或扩展继电器,，此回路简单可靠。 Symphony系统中MFT保护继电器端子回路的设计是没有问题的，它起到了失电跳闸的作用， 3取二逻辑也满足防拒动、防误动的要求。问题在于来自Symphony系统的三个MFT输入信号上，这三个信号正常时要求是常闭接点。正常情况下MFT逻辑在控制器中通过运算判别，逻辑结果是“0”，逻辑结果分三路由DO模件通过DO端子板NTROO2上常闭继电器输出三个闭合信号给锅炉保护继电器端子回路。 图中驱动DO 常闭继电器的24V 电源来自DO 端子板，正常情况DO 常闭继电器是不激励的。 在这个回路中可以看出存在以下隐含的安全问题：1）正常情况常闭继电器是不激励的，即使24V 电源失去，送出的常闭接点依然闭合，锅炉保护继电器端子回路不会动作，无法达到继电器失电跳闸型要求。2）拔去预制电缆或预制电缆接触不好，断开DO 模件和DO 端子板的连接，送出的常闭接点依然闭合，锅炉保护继电器端子回路不会动作。3）拔去DO 模件，送出的常闭接点依然闭合，锅炉保护继电器端子回路不会动作。4）拔去控制器模件，送出的常闭接点依然闭合，锅炉保护继电器端子回路不会动作，无法达到控制器故障安全型要求。5）由于MFT 回路是正逻辑，即使硬件回路都正常，但是软件中如逻辑信号有断线存在，正常时也是无法发现的。 Ovation系统中用硬接线回路组成MFT信号3取2逻辑, 采用冗余的MFT控制回路以防止保护的误动和拒动,回路简单可靠,但是由于也是采用了正逻辑的设计思想，控制回路中MFT 动作继电器平时是不激励的，存在MFT动作继电器拒动的风险。由于MFT动作继电器的控制电源是DC110V，回路中只考虑了DCS电源失去的失电措施，但忽略了控制电源DC110V失去的保护措施。 为了防止单一信号的拒动或误动，在保护回路中广泛采用了3 取2 的容错技术。但是在没有采用三重冗余CPU的系统中，为了达到容错目的，具有3 取2 功能的保护输出回路部件较多、回路复杂，反而平添出了出错的环节。从对Symphony系统和Ovation系统保护输出动作回路的分析中我们看到3 取2之后的MFT判别继电器还是一个，还是将风险集中到了一个点上，存在单一设备引起拒动或误动的可能。因而采用三重冗余CPU，MFT动作继电器双通道控制的一体化控制回路是我们的首选，事实上除了西门子的AS220EHF系统，日立的H5000M 系统也有专门的三重冗余CPU，继电器3 取2 通道控制的一体化控制回路。下面列表描述三个系统的保护输出动作回路对故障的反应情况：故障类型AS220EHF 系统Symphony 系统Ovation 系统控制器故障控制器3 取2 故障，继电器输出模件失电，保护回路动作继电器输出模件正常工作， 保护回路不动作继电器输出模件正常工作， 保护回路不动作DO 模件故障或拔出任一继电器输出模件故障， 保护回路动作送出的常闭接点依然闭合， 保护回路不动作送出的常闭接点依然闭合， 保护回路不动作因是反逻辑，只要有断正常时逻辑信号为“0”，有正常时逻辑信号为“0”， 逻辑信号有断线点MFT 信号回路结果为断点时，逻辑信号仍为“0”, 有断点时，逻辑信号仍为“0”， 保护回路动作保护回路不动作“0”, 保护回路不动作3 提高可靠性的措施 AS220EHF系统应用至今安全可靠，没有进行任何的改进。Symphony系统的原设计中磨煤机，给煤机，一次风机的跳闸继电器正常时是不激励的，起不到失电保护的作用，嘉兴电厂二期四台机组对以上设备的跳闸回路都进行了改进。省内使用Symphony 系统的某电厂，曾发生MFT 的两块BRC皆故障而MFT保护回路没有动作的异常。 为了保证MFT回路的高效安全动作，MFT控制回路应考虑以下几条措施的实施：1）逻辑设计中应采用反逻辑的设计思想，MFT判断结果使用反逻辑，逻辑结果“1”表征正常情况，逻辑结果“0”表征MFT触发。2）DCS中逻辑判断后输出的MFT信号，在DO 模件中的继电器应使用常开继电器。3）在专门的MFT继电器回路中，MFT动作继电器在正常情况下应常带电。4）MFT扩展继电器在正常情况下应常带电，扩展继电器扩展继电器电源应取自DCS系统。5）磨煤机，给煤机，一次风机的跳闸继电器正常时应常带电，以保证失电时能正确将制粉系统切除。跳闸继电器原理图六如下： 这样就能作到MFT控制回路从软件到硬