沈铁志

（神华福能发电有限责任公司，福建 泉州 362700）

0 引言

图2 增加负荷软开关的机跳炉逻辑Fig.2 Turbine trip boiler logic with load soft switch added

火力发电厂热工保护联锁的可靠性直接影响发电机组的安全、稳定运行。保护联锁逻辑和回路组态策略是否正确，决定保护逻辑是否能够正确起作用。《防止电力生产事故的二十五项重点要求》及电力行业热工自动化系统相关规程、标准等均对热工保护逻辑、控制回路做出了具体的要求。但在各火电厂基建项目及后续技改中，因设备条件、技术人员的水平等原因经常出现一些错误、不合理的组态逻辑，造成了多起设备保护拒动、误动的不安全事件。以下结合搜集的国内火电机组实际保护逻辑，对经常出现的保护问题进行分析，并提出解决办法，希望能给行业内兄弟电厂起到借鉴作用。

1 混淆辅助条件与并列条件

“与”门是控制逻辑中最常见的逻辑运算功能块，许多保护回路中都会使用此功能块实现各种保护动作的触发条件的集成。但在使用中应注意，“与”门表示的是各个判断条件存在并列关系，使用中常用来组合辅助条件，若组态不合理将会带来热工保护回路的风险隐患。

1.1 案例及风险分析

某百万火力发电机组锅炉MFT保护，其中一项保护为：机组负荷大于100MW时，汽轮机跳闸则触发锅炉MFT。其中，机组负荷信号采用网络变量传送。现场DCS逻辑组态如图1所示。

图1所示的保护逻辑比较常见，从逻辑组态图上看，能够实现保护原始设计的目的。但经过认真分析后，可以发现，此种逻辑组态存在隐患。当机组负荷升高并大于等于100MW后，若此时负荷信号质量出现问题变坏点，则保护逻辑中此项条件自动被屏蔽掉，若此时发生汽轮机跳闸，锅炉也不会触发MFT，发生保护拒动事故。说明此种机跳炉保护信号的选取不完善，其中负荷信号作为保护投退的辅助信号，其值达到目标值100MW后，负荷信号质量判断结果不应作为主保护动作条件而触发主保护动作，即负荷信号不应与保护主信号（汽轮机跳闸）为并列关系；另外，机组负荷信号取阈值100MW，未设置死区也会导致保护频繁处于投退状态。

1.2 改进方法

根据此项保护最终的设计目的，分析现场保护逻辑存在的隐患原因后，可采用保护投退软开关控制方式改进现场保护逻辑；同时，增加适当的负荷信号死区以防止保护频繁投退，保护逻辑设计如图2所示。

图2的逻辑组态设计完全能够实现要求的保护功能，并有以下特点：当机组负荷大于100MW且负荷信号质量正常时，RS触发器置1，保护投入；当机组负荷小于95MW且为好质量时，RS触发器复位，保护退出。其中，RS触发器设置为S优先方式。这种设计方式下，即便机组负荷信号质量出现异常，因为RS触发器的锁存功能已经记忆了机组负荷升高至大于等于100MW，也不会因为此信号质量问题导致机组主保护发生拒动事故，增加的死区也能够避免主保护处于频繁投退状态。

2 错误处理双重冗余信号

在发电厂各种主辅机设备中，因制造厂生产成本、空间条件以及对设备保护的重视程度不同等因素，在配置监视保护仪表或传感器时，同一被测参数经常配置单台或双台仪表。而双重冗余信号保护虽然可靠性较单点高，但若逻辑回路设置不当，则起不到双重信号的作用，会给热工保护回路埋下可靠性隐患。

2.1 案例及风险分析

某火力发电机组磨煤机行星齿轮箱输入轴承安装有两支温度元件，投产初期其设置的保护逻辑为：磨煤机行星齿轮箱任一输入轴承温度达到跳闸值（85℃）且另一输入轴承温度达到报警值（70℃），磨煤机跳闸，如图3所示。

图3磨煤机齿轮箱温度跳闸保护存在的问题是，当两支温度元件中，任一温度元件出现断线、短路等异常导致的信号质量坏点时，另外一支温度元件检测到轴承温度高也不会跳闸磨煤机，导致磨煤机温度高保护不起作用，保护拒动。失去了配置两支温度元件提高可靠性的意义。

2.2 改进方法

根据磨煤机齿轮箱温度元件的实际配置情况以及保护功能要求，在不增加现场测点的情况下，对此保护逻辑进行改进优化，使任一支温度元件出现故障时，不影响另一温度元件的保护作用，即：当两个信号均为好质量时，按目前逻辑执行；当其中任一个信号坏质量时，坏质量信号自动退出，保护控制方式自动切换为单点方式。如图4所示。

图3 不完善的磨煤机轴承温度保护逻辑Fig.3 Imperfect temperature protection logic of coal mill bearing

从图4可知，无论哪支输入轴承温度出现故障，系统都能保证有一点温度信号作为辅机保护磨煤机正常运行。虽然单点信号不可靠，但在异常情况下能够保留保护功能，给运行、维护人员恢复故障预留时间，降低了磨煤机无保护导致烧瓦的可能性，有利于保护辅机设备安全运行。

3 重要设备缺少防误操作措施

《火力发电厂热工控制系统设计技术规定》第6.2.6节规定：采用顺序控制时，可根据被控对象的重要性考虑设置单个对象的操作手段。当顺序控制系统设置上位机时，运行人员应以CRT和键盘监控每一个对象。应考虑相应的措施，以防运行人员的误操作。而实际应用中，经常出现缺少防误操作的手段。

3.1 案例及风险分析

某火力发电机组，汽轮机真空泵入口气动门未设置开、关允许条件，导致运行中真空不稳的情况下，运行人员操作真空泵使真空进一步降低。

机组运行中，保护的优先级要高于人员操作指令，以保证系统、设备能够安全稳定运行。对于正常运行的设备，除了故障等危及设备安全运行的情况需要紧急停机外，也要规避不恰当的操作导致设备误停带来的稳定性风险。如果运行人员不慎操作真空泵，发出了错误指令，将引发不安全事件，不能有效地防止由于误操作而引发汽轮机跳闸。

3.2 改进方法

图4 改进后的磨煤机轴承温度保护逻辑Fig.4 Improved temperature protection logic of coal mill bearing

在此类辅机设备的允许条件中增加关允许条件：“机组运行中（或采用已挂闸状态信号），至少一台真空泵在运行，并且运行真空泵相对应的入口蝶阀已打开，且凝汽器真空正常”，或者“机组已停止（可采用挂闸油压消失状态信号）”。增加允许开条件：“本台真空泵运行，并且真空泵入口气动门后真空度满足要求（联锁开入口气动门的定值）”或者“机组已停止（可采用挂闸油压消失状态信号）”。这样改进后，就能有效避免运行人员的误操作带来的风险。

4 设备原始情况造成的冗余度不足

长期以来，火力发电厂只有针对主机保护信号通常要求采用“三取二”方式配置测点和逻辑，而《防止电力生产事故的二十五项重点要求》中9.4条对“防止热工保护失灵”做出了明确规定：“所有重要的主、辅机保护都应采用‘三取二’的逻辑判断方式，保护信号应遵循从取样点到输入模件全程相对独立的原则”[1]，这项要求对基建阶段的电厂比较容易实施，但对已投产机组实现起来可能就比较困难。因此，根据电力行业自动化技术委员会发布的《提高火电厂热工自动化系统可靠性的技术措施》第3.1条中要求：“不满足‘三取二’要求的经过专题论证可增加证实信号或改为II级报警”[2-5]，可通过增加证实信号方式提高保护完善性。

4.1 案例及风险分析

某百万机组电厂，基建期锅炉送风机电气开关侧只提供一对开关量接点信号，即“送风机运行”与“送风机停运”信号，无法提供三对接点。在锅炉MFT保护中，送风机停运信号由电气开关柜送来的一个“送风机运行”继电器接点信号取反形成，两台送风机全停保护均为单点判断方式。如图5所示。

因单点保护的不可靠性，机组正常运行中，很容易因送风机电气开关接点故障出现保护误动或拒动等不安全事件。如送风机A电气开关接点因故障而接点粘连，“运行”信号接点始终保持闭合状态，此时若送风机B跳闸时，本应触发锅炉MFT，但因接点故障，导致机组只是错误地产生RB动作指令，有可能酿成恶性事故。

图5 不可靠的送风机全停判断逻辑Fig.5 Unreliable judgment logic for full stop of forced draft fan

4.2 改进方法

因送风机电气开关继电器接点数量有限，送风机运行或停运信号无法满足“三取二”逻辑配置要求。因此，只能引用其他信号来表征送风机停运状态。根据送风机停运状态的特点，将送风机电流信号、送风机停运状态信号接入10号站中，在10号站中采用“运行取反” “停运”“电流阈值判断”三信号进行三取二冗余后，形成“送风机停运”的综合判据，以此综合判据，形成FSSS保护中“两台送风机全停”跳闸条件，从而提高机组主保护的可靠性。优化后逻辑如图6所示。

类似于此种在基建期，设备生产厂家未提供足够的测点的相对比较多。在机组日常运行维护、计划检修过程中，应考虑给予及时的技改，以解决保护条件冗余度问题。有条件的可以通过增加或安装同类型测点的方式来解决。若现场条件不满足，也要根据实际情况，增加保护触发条件的佐证信号，以保证热工保护能够可靠动作。类似的情况，如有的引风机汽轮机轴向位移大保护、给水泵汽轮机振动大保护、辅机轴承温度高保护等，多数采用两个测点，甚至一个测点来作为保护是不安全的。应根据实际情况选择合理判据，设置组态安全可靠的保护回路。

5 合理使用延时功能块，防止设备误动

在保护联锁控制逻辑回路中，经常使用延时功能块，一是起到计时判断功能，另外也可作为过滤瞬时干扰信号功能。延时功能块的合理使用，能够有效避免设备保护误动。

5.1 案例及风险分析

某百万机组电厂，引风机直流润滑油泵联锁中，两台交流润滑油泵全停的判据，仅采用每台交流润滑油泵的停运状态作判据。另外，当工作交流润滑油泵跳闸时，经常出现备用交流滋润油泵和直流润滑油泵同时联锁启动的工况。

图6 改进后的送风机全停判断逻辑Fig.6 Improved judgment logic of full stop of forced draft fan

图7 有缺陷的直流润滑油泵联锁逻辑Fig.7 Defective interlock logic of DC lubricating oil pump

当两台交流润滑油泵开关接点工作正常时，因一台交流润滑油泵故障跳闸瞬间，另外一台未启动时，逻辑运算的结果是两台交流润滑油泵均停止，结果触发联锁启动另一台交流润滑油泵，同时启动直流润滑油泵，造成设备误启动。另外，此种组态同样存在单点保护的不可靠性。机组正常运行中，如A交流润滑油泵电气开关接点因故障而接点粘连，“运行”信号接点始终保持闭合状态，此时若A交流润滑油泵跳闸时，本应联锁启动B，但因接点故障，导致B交流油泵未启动。

5.2 改进方法

保护误动、拒动风险性分析及可靠的保护联锁系统设计，既要考虑外部因素和子系统的工作状况对系统的影响，又要考虑偶然性测点故障因素[6]。热工保护的基本配置原则是“既要防止拒动，又要防止误动”，各种作用于主设备停运的热工保护，必须有防止因单一测点、回路故障而导致保护误动的技术措施[7]。

根据实际情况，在两种交流润滑油泵全停判据的后面（与门的后面），加入2s延时。这样，当一台交流润滑油泵跳闸后，2s内若另一台交流油泵启动成功，则不启动直流油泵；若2s内未启动备用油泵，则启动直流油泵。另外，对每台交流润滑油泵停运状态的判断采用“运行状态取反或者停运状态”组合逻辑。如图8所示。

图8 改进后的直流润滑油泵联锁逻辑Fig.8 Improved interlock logic of DC lubricating oil pump

6 结束语

综上各个实际案例分析，火力发电厂等工业控制领域进行保护联锁逻辑组态时，一定要对保护控制的联锁关系进行认真地分析。往往一个小的细节的疏忽，就可能影响保护联锁回路的正确动作。保护回路或逻辑的设计，在理想情况下，应按既能防止误动，又能防止拒动进行设计。当二者不能兼顾时，应视保护对象是主机还是辅机进行合理设置组态。有条件的企业应按照《防止电力生产事故的二十五项重点要求》（2014版）的要求配置信号测点，条件不具备的现场应适度增加佐证冗余信号，起到提高联锁保护逻辑可靠性的作用。同时，在逻辑组态完成后，应模拟各种条件测试保护逻辑动作的正确性，以排查逻辑中存在的隐患。