1、编者按:2007 年 4 月, 北方联合电力公司组织颁发了火力发电厂热工自动化系统安全技术指南 ,该指南由侯子良、侯云浩任主编,高新喜、张国斌、张秀霞和武斌参编,刘吉川和黄振江为编写顾问。本文摘引了该指南中的第四章内容。 4.1 总体配置 4.1.1 DCS 中的操作员站、控制器、实时数据服务器和通讯网络必须采用可靠的冗余配置。对于锅炉炉膛安全系统(FSS)、汽机数字电液控制系统(DEH)以及汽机紧急跳闸系统(ETS) 宜优先采用具有较完善安全措施的控制器。当 DCS 采用集中式实时数据服务器时,应采用提高冗余配置等增加系统可靠性的措施。 4.1.2 对于循环水泵、空冷系统的冷却水泵以及仪用空
2、压机等重要公用系统(或扩大单元系统) ,应按单元或分组纳入单元机组 DCS 中,以免因公用 DCS 故障而导致全厂或两台机组同时停止运行。不宜分开的次要公用部分则可配置在公用 DCS 中。 4.1.3 对于供汽、供热的电厂,当供汽、供热中断会造成用户较大损失和支付较多赔款时,应按一台锅炉和一台汽机为单元配置一套 DCS 的配置方式将全厂锅炉和汽机分组置于二套及以上 DCS 中,而不应将其全部集中于一套 DCS中。 4.1.4 电气自动同期系统( ASS) 、自动电压调节系统(AVR ) 、厂用电快速切换装置以及电气继电保护装置不应纳入 DCS。当 ETS 采用独立于 DCS 的 PLC 组成时
3、,应采用安全型 PLC 和安全系统配置,并满足 4.2.7、 4.4.2 和 4.4.5 的要求,当 ETS 纳入 DCS 时,应满足 4.1.1、4.2.7、4.4.2 和 4.4.5 的要求。 4.1.5 DCS 与 SIS(MIS )的接口必须按照火力发电厂厂级监控信息系统技术条件的要求,配置可靠的隔离措施,信号的传送应该是从 DCS 向 SIS(MIS )单向的。严禁将 DCS 与 SIS(MIS)以及上级公司的信息网络直接互联。严禁将全厂煤、灰、水公用控制系统通过网络与 DCS 互联,并将公用系统信息通过单元机组 DCS 上传至 SIS(MIS ) 。严禁将工业电视系统接入 DCS
4、网络。 4.1.6 应选择对电源波动不敏感(-15%,+20%) 的操作员站,否则其供电设计应满足 4.5.1 和 4.5.4 的要求。 4.1.7 当 DCS 只有单个时钟发生装置时,应有防止其发生故障而导致 DCS 失去时钟,进而造成操作员站和控制器站脱网事故的措施;当采用主、备时钟时应定期重启一次主、备时钟所在的工作站,以消除时钟累积误差。当 DCS 时钟通过GPS 自动校准时,应有防止 GPS 故障导致 DCS 时钟混乱而故障的措施。 4.1.8 DCS 响应时间应尽可能短,任何时候任何指令从操作员站发出到 DCS 输出不应大于 1 秒;从操作员站发出指令到开始执行并返回显示器上反应的
5、总时间不应大于 2 秒。 4.2 控制器配置 4.2.1 控制器宜按工艺系统功能区配置。重要的多台冗余或组合的辅机(辅助设备)应按下列原则配置,以确保一对控制器故障不会造成机组被迫停止运行: 1)送风机、引风机、一次风机、凝结水泵和循环水泵等两台冗余的重要辅机,以及 A、B 段厂用电应分别配置在不同的控制器中,但允许送风机和引风机等纵向组合在一个控制器中。 2)给水泵、磨煤机和油燃烧器等多台冗余或组合的重要设备应适当分组配置到几个控制器中。 4.2.2 为了减少一对控制器故障对模拟量控制系统失灵造成的影响,重要模拟量控制回路应适当分散配置,影响同一重要参数的控制回路应尽量配置在不同控制器中,例
6、如,主汽一级和二级减温控制系统、再热汽摆动火嘴和喷水控制系统、送风和引风控制系统等不宜配置在同一对控制器中。 4.2.3 控制器的配置必须严格遵循机组重要保护和控制分开配置的独立性原则。 4.2.4 DEH 控制器应按故障安全原则配置,当该控制器失电或故障时应自动停止机组运行。FSS 和 ETS 控制器在满足 4.4.2 要求的前提下,其跳闸输出可按带电动作的原则配置,否则也必须按故障安全原则配置。 DCS 控制器的组态应确保任何一对冗余控制器或其电源故障和故障后复位时,所有保护和控制信号的输出符合工艺处于安全状态的要求。 4.2.5 除 DEH 控制器外,当任何一对控制器故障时,为确保短时恢
7、复期间机组在稳定负荷能安全运行,除应按照 4.4 要求配置硬接线后备监控设备外,至少对下列重要安全参数,应在二对控制器中同时予以配置: 1)汽包水位(超临界压力机组除外) 2)主蒸汽压力 3)主蒸汽温度 4)再热蒸汽温度 5)炉膛压力 4.2.6 控制器的对数除满足 4.2.14.2.5 要求外,还应满足控制器在 4.2.7 规定的处理周期下处理器的最大负荷率不大于 60%的要求。 4.2.7 控制器的处理周期,对于一般模拟量控制回路应不大于 250ms,对于一般开关量控制回路应不大于 100ms。 DEH控制器的处理周期不应大于 50ms,在条件允许的情况下应将处理周期减少到 30ms,或另
8、设特殊模件处理其中要求快速响应的转速控制回路。 ETS 控制器的处理周期不应大于 30ms。 4.2.8 控制器 I/O 信号的配置必须按下列故障分散原则设计: 1)冗余的 I/O 信号必须分别配置在不同的 I/O 模件上。 2)二台互为冗余辅机各自控制回路的 I/O 信号必须分别配置在不同的 I/O 模件上,多台组合辅机(如给粉机)各自的I/O 信号也必须分组分散配置在几个 I/O 模件上,使一个 I/O 模件故障对机组安全稳定运行的影响尽可能小。 3)几个重要控制回路的 I/O 信号不应放置在同一个 I/O 模件上。 4.3 热工保护和报警 4.3.1 单元机组的锅炉、汽机和发电机之间应装
9、设下列跳闸保护: 1)锅炉故障发出总燃料跳闸(MFT)停炉信号时,应立即停止汽轮机运行 2)汽轮机故障停止运行和故障发电机解列时,在满足下列条件之一时,可以不联动停止锅炉运行,否则也应立即停止锅炉运行: a)机组具有 FCB 功能。 b)解列前汽机负荷小于3040%(视旁路容量而定) ,且旁路系统可以快速开启,投入工作。应采用汽机安全油压低( 三取二)表征汽轮机故障停运信号作为触发 MFT 停炉的信号。 3)汽机故障发出 ETS 停机信号,应立即关闭汽机主汽门,并应按 4.3.2 规定,通过逆功率信号解列发电机。 4)发电机内部故障解列时,应立即停止汽机的运行;发电机外部故障解列时,在满足下列
10、条件之一时,可以不联动停止汽机的运行,否则也应立即停止汽机的运行: a)机组具有 FCB 功能。 b)解列前汽机负荷小于 3040%(视旁路容量而定) ,且旁路系统可以快速开启,投入工作。 4.3.2 当汽机 ETS 发出跳机指令时,必须采用发电机逆功率信号作为最后判别主汽门确已关闭的依据去解列发电机。解列发电机逻辑应按下列原则设计: 1)当发电机出现逆功率信号时,经一定延时后解列发电机。 2)当汽机安全油低(二取一或三取二)且发电机出现逆功率信号,不经延时立即解列发电机。 4.3.3 对于汽机振动保护常误动、可靠性差以致该保护不能投入的机组,允许汽机振动大跳机的逻辑修改为:一个轴承振动达到事
11、故值,且相邻轴承任一振动达到报警值,经一定延时后应立即停机。逻辑修改后,当任一轴承振动达到事故值时,应有明显的声光报警,此时,运行人员应及时进行判别,除非明确断定是振动信号误发,否则运行人员应及时手动停机。 4.3.4 当 DCS 总电源消失时,必须直接通过 FSS 和 ETS 继电回路自动发出停炉和停机指令。 4.3.5 用于动作机组和主要辅机跳闸的输入信号必须直接通过相应保护控制器的输入模件接入。 4.3.6 为防止炉膛压力开关取样系统堵塞而导致保护拒动,除在 FSS 控制器中将三个炉膛压力开关信号,三取二发出 MFT 外,还应利用炉膛负压控制器中的三个炉膛压力变送器,转换成开关量信号,分
12、别通过各自的 I/O 通道发送到 FSS 控制器中经三取二运算同时发出 MFT 信号。 4.3.7 为防止由于主汽门行程开关信号不可靠导致抽汽逆止门关闭保护拒动或误动,关闭抽汽逆止门条件,对于两侧主汽门时可采用 22 方式,对于单侧主汽门时宜以汽机安全油压低(三取二)代替主汽门行程开关信号。 4.3.8 机组必须设置能快速关闭的至除氧器抽汽截止门和抽汽机组的可调整抽汽截止门,以防止抽汽倒流引起超速。 4.3.9 DCS 控制器发出至 MFT、ETS 和发电机跳闸系统(GTS)的执行部分继电回路的机组跳闸指令,应采用三重或 22 冗余,通过各自的输出模件发出至继电回路,并按三取二或 22 逻辑起
13、动跳闸继电器。 4.3.10 给水泵入口压力低解列给水泵的防止给水泵入口汽化的保护逻辑应为给水泵入口和除氧器之间的压差小于设定值,并延时一定时间后解列给水泵。压差值和延时设定值的大小应确保给水泵起动或突然增加给水的动态过程中不致造成保护误动,也不应造成给水泵入口汽化导致泵振动损坏 4.3.11 四角喷燃锅炉的中速磨煤机跳闸条件应为:A(B/C/D/E)层相邻两角或三角火焰丧失,且相邻层火焰和该层点火能源都丧失。 4.3.12 高压加热器解列应列入机组辅机故障减负荷(RB)的条件。RB 应确保不管机组脱硫系统投运与否均能使机组 RB 时不跳闸。 4.3.13 保护逻辑组态时,应精心配置逻辑页面和
14、正确的保护执行时序。要注意相关保护间的时间配合,防止由于取样管路、仪表和 DCS 处理周期引起的延迟以及延迟时间设置不当而导致二个保护动作时序不当。如由于发讯设备和取样管迟延不同,导致风机油压低一值起动备用油泵较慢,以致造成油压低二值动作使风机已经跳闸。 4.3.14 DCS 的报警应分级,下列信号应列入一级报警信号: 1)保护动作信号 2)主辅机事故跳闸信号 3)保护参数偏差大二值和三值信号 4)电源和气源丧失信号 5)保护参数坏质量信号 6)DCS 重要故障信号一级报警信号应显示在大屏幕显示器上,或特别指定的一台显示器上,并配置不同的声响。 4.3.15保护回路中不应设置供运行人员切、投保
15、护的任何操作设备。保护切投应经一定审批后可由热工自动化专业责任人员通过工程师站(对 DCS)或机柜内相应设施(对 PLC)进行。 4.4 硬接线设计和后备监控设备 4.4.1 硬接线设计和后备监控设备的配置必须满足下列工况下机组的短时安全运行或安全停机: 1)当DCS 总电源消失时,凭借后备监视和报警设备,通过硬接线回路,确保机组安全停止运行。 2)当 DCS操作员站显示器出现“黑屏” 或“死机”现象时,凭借后备监视和报警设备判别控制器工作状况,当断定控制器工作不正常或无法判别其工作正常与否时,运行人员可以通过后备操作设备,凭借后备监视和报警设备,通过硬接线回路,确保机组安全停止运行。 3)当
16、 DCS 操作员站显示器出现“黑屏”或“死机”现象时,凭借后备监视和报警设备明确断定涉及安全的主要控制器工作正常时,运行人员可借助后备监控设备能安全的维持机组在稳定负荷下短时运行,以提供迅速修复这类局部故障的机会,减少机组非计划停运所造成的损失。 4)当 DCS 的任何一对冗余的控制器( DEH 控制器除外)故障时,通过该控制器中的重要安全信号在其它控制器中的备份配置(4.2.5) ,以及必要的后备监控设备能安全的维持机组在稳定负荷下短时运行,以提供迅速修复这类局部故障的机会,减少机组非计划停运造成的损失。 4.4.2 锅炉总燃料跳闸(MFT) 、汽机紧急跳闸系统( ETS)和发电机解列系统(
17、GTS)的执行部分逻辑必须由独立于 DCS 的继电器逻辑回路组成。该回路设计必须满足下列基本要求: 1) 选用的继电器必须是经实践证明是安全可靠的,条件具备时应选用经权威机构认证的安全继电器。 2) 必须按故障安全的原则设计,当继电回路的电源消失时,自动停止机组运行(除 4.4.3 规定外) 。 3) DCS 发来的机组保护解列指令信号必须是三重冗余或 22 冗余的,以便在该回路中进行三取二或二路并串联(22)判别后发出执行指令。 4.4.3 当MFT、ETS 或 GTS 的执行部分分别采用二套完全独立的继电器逻辑回路,且分别直接由单元机组的两组蓄电池直流总电源柜供电时,主机组跳闸可按带电跳闸
18、的原则设计。 4.4.4 除 4.3.6 条规定外,所有用于触发跳闸的输入信号不允许通过安全等级较低的其它控制器处理后再通过通讯总线或 I/O 模件送至保护控制器,而必须直接通过输入模件送入相应保护控制器。但在响应时间满足要求的情况下,允许通过通讯方式从 FSS 控制器将上述信号传送到其它控制器。 4.4.5 至少下列触发机组跳闸的信号,必须直接接入MFT、ETS 和 GTS 的执行部分的继电器逻辑回路: 1) MFT FSS 发出的 MFT 指令 表征汽机跳闸的安全油压低信号(三取二) (包括反映负荷小于一定值的信号) 故障发电机解列信号(包括反映负荷小于一定值的信号) DCS 电源消失或
19、DEH 故障( 包括电源消失) 手动发出的 MFT 指令 2) ETS MFT 停炉信号 TSI 发来的超速信号 DEH 测速模件发来的超速信号 发电机内部和外部故障解列信号(包括反映负荷小于一定值的信号) DCS 电源消失或 DEH 故障(包括电源消失 ) 手动停机指令 3) GTS 表征汽机跳闸的安全油压低信号(三取二)。 发电机逆功率信号 手动解列发电机指令 4.4.6 单元机组保护发出的下列主、辅机跳闸指令不应通过或仅仅通过网络通讯方式传送,也不允许通过硬接线到另一个控制器处理后间接再去执行,而必须由相应保护或控制的控制器以及 MFT、ETS 和 GTS 的执行部分继电器逻辑回路输出信
20、号直接用硬接线接至相应执行端: 1)锅炉、汽机和发电机的跳闸指令 2)锅炉、汽机和发电机跳闸保护发出的跳闸给煤机、磨煤机(适用于直吹式制粉系统)/给粉机、排粉机(适用于中贮式制粉系统) 、切除油燃烧器,以及关闭过热器和再热器喷水截止阀和调节阀等的控制指令。 4.4.7 涉及 DCS 故障时必须确保不会拒动,否则会造成重大人身和设备伤害的下列保护和联锁必须设置独立于 DCS 的硬接线逻辑回路: 1)汽机或发电机跳闸关闭逆止门 2)润滑油压低联动交、直流油泵 3)脱硫系统进出口挡板和旁路挡板的闭锁 4.4.8 DCS 的后备监控设备必须是包括电源在内均独立于 DCS 的显示设备、报警装置和操作设备
21、。后备操作设备必须是硬接线的,并直接作用于 MFT、ETS 和 GTS 的执行部分继电器逻辑回路或被控设备的单个强电控制回路。后备操作设备的输出控制接点应由两个或三个常开接点冗余(三取二和二取一根据被控回路情况而定) ,以防止操作时拒动或误动。机组跳闸操作应设置确认按钮。该按钮输出应为二个常开接点,二取一冗余,以防止操作时拒动。 4.4.9 单元机组应配置下列 DCS 后备监视设备:1)锅炉汽包电接点水位表(必须是经实践证明安全可靠、全程测量准确) 2)锅炉炉膛火焰电视监视器 3)凝汽器真空表 4)汽轮发电机转速表 5)发电机功率表 4.4.10 单元机组应配置下列 DCS 后备操作设备: 1
22、)锅炉停炉(MFT ) 2)汽机跳闸 3)发电机解列 4)锅炉安全门(机械式除外) 5)汽包事故放水门 6)凝汽器真空破坏门 7)交流润滑油泵 8)直流润滑油泵 9)发电机灭磁 10)柴油机 4.4.11 后备报警装置是保证 DCS 故障时机组短时运行或停机过程中安全的主要判别手段,单元机组应按下列原则配置足够数量的报警信号: 1)主要安全参数达到值和值 2)机组跳闸和主要联动保护动作 3)主要电源和气源消失 4.5 电源、接线和抗干扰措施 4.5.1 DCS 必须有两路可靠的交流 220V 电源供电,其中至少必须有一路是 UPS 电源。当 DCS 对电源电压波动较敏感时,两路电源均宜采用 U
23、PS 电源。两路电源的切换时间应足够短,以确保电源故障切换时不会造成 DCS 扰动和故障。呼叫系统等重要性低、干扰大的系统不得接入 UPS 系统。 4.5.2 两台机组公用 DCS 电源应取自两台机组 DCS 的 UPS 电源。 4.5.3 循环水泵房和空冷系统等距离主厂房较远的远程控制站或 I/O 站应按单元设置来自不同厂用母线段的两路自动切换的可靠电源,其中一路应配置 UPS 电源。循环水泵出口阀的控制电磁阀等重要设备也应按单元有可靠的冗余电源。 4.5.4 DCS 内部供电应遵循下列原则: 1)对于电源波动敏感的操作员站,当不满足 4.5.1要求时,应合理配置供电方式以确保不会因电源波动
24、而导致全部操作员站同时失去。 2)控制器应采用双路交流 220V 供电,由各自电源装置转换成直流 24V(48V)再经整流器并联实现无扰切换;当采用交流220V 主、辅电源切换方式向控制器供电时,电源故障切换不应引起控制器故障或初始化,并确保控制器(包括 I/O 模件)正常连续工作。 3)每一个模拟变送器的供电回路、每一个数字量输入、输出模件都应有单独的熔断器或其它相应的保护措施。 4)当输入信号装设隔离器时,其电源应与该输入信号合用,当采用外供电源时,应采用冗余配置等适当方法以确保其安全等级水平与相应输入信号重要性相匹配。 4.5.5 MFT、ETS 和 GTS 等执行部分的继电器逻辑保护系
25、统必须有两路自动切换的可靠电源,或两路可靠电源分别供两套互相独立的冗余继电器逻辑回路。当保护电源采用厂用直流电源时,应有确保寻找接地故障时不造成保护误动的措施。 4.5.6 DCS 的两路总电源切换功能、独立于 DCS 的安全系统的两路电源切换功能以及要求切换速度快的备用电源切换功能不应纳入 DCS,而应采用硬接线逻辑回路,例如: 1)硬接线保护逻辑的供电回路 2)安全跳闸电磁阀的供电回路 3)给粉机或给煤机(直吹式制粉系统) 总电源回路 4) DCS 总电源回路 4.5.7 TSI 必须有两路交流 220V 电源供电,其中至少一路是 UPS 电源。必须采取措施确保电源电压波动值控制在 TSI
26、 装置正常工作范围内。 4.5.8 DCS 电磁兼容性(EMC)试验应包括静电放电抗扰度、射频电磁场辐射抗扰度、电快速瞬变脉冲群抗扰度、浪涌(冲击) 抗扰度、射频场感应的传导骚扰抗扰度以及工频磁场抗扰度等,试验应达到 GB/T 17626(IEC 61000-4)规定的级及以上等级要求,最低不允许低于级。 DCS 的工作环境不应有强电磁干扰,电子设备间不允许 380V 及以上动力电缆进入,也不允许 UPS 电源装置、电气开关柜和变频控制装置等电磁干扰较大的设备进入。应通过实际试验确认等离子点火器触发时不会引起 DCS 工作失常。 4.5.9 DCS 接地系统应严格遵守有关规程、规范和制造厂的技术要求。远程控制柜或 I/O 柜应就近独立接入电气接地网,并进行严格测试,确保接地满足要求。4.5.10 所有进入 DCS 的信号电缆必须采用质量合格的屏蔽电缆,屏蔽层应有良好的单端接地;后备硬手操设备线路的电缆应采用阻燃(C 级)电缆,控制和动力芯线不得合用一根电缆,冗余的电源间以及冗余的系统间不得合用电缆。在敷设电缆时,测量、控制电缆和动力电缆应分层布置。 4.5.11 所有与重要保护有关的就地元件、仪表、接线盒、端子排、电缆,以及机柜内电源端子排都应有明显的标志,并应在机柜内张贴重要保护端子接线简图以及电源开关用途标志名称。
