分散控制系统设计和配置

1、分散控制系统设计和配置发表时间:2007-9-19作者:侯子良 侯云浩摘要:编者按:2007年4月, 北方联合电力公司组织颁发了火力发电厂热工自动化系统安全技术指南,该指南由侯子良侯云浩任主编,高新喜张国斌张秀霞和武斌参编,刘吉川和黄振江为编写顾问本文摘引了该指南中的第四章内容4.1总体配置 4.1.1 DCS中的操作员站控制器实时数据服务器和通讯网络必须采用可靠的冗余配置对于锅炉炉膛安全系统(FSS)汽机数字电液控制系统(DEH)以及汽机紧急跳闸系统(ETS)宜优先采用具有较完善安全措施的控制器当DCS采用集中式实时数据服务器时,应采用提高冗余配置等增加系统可靠性的措施4.1.2对于循环水泵

2、空冷系统的冷却水泵以及仪用空压机等重要公用系统(或扩大单元系统),应按单元或分组纳入单元机组DCS中,以免因公用DCS故障而导致全厂或两台机组同时停止运行不宜分开的次要公用部分则可配置在公用DCS中4.1.3对于供汽供热的电厂,当供汽供热中断会造成用户较大损失和支付较多赔款时,应按一台锅炉和一台汽机为单元配置一套DCS的配置方式将全厂锅炉和汽机分组置于二套及以上DCS中,而不应将其全部集中于一套DCS中4.1.4电气自动同期系统(ASS)自动电压调节系统(AVR)厂用电快速切换装置以及电气继电保护装置不应纳入DCS当ETS采用独立于DCS的PLC组成时,应采用安全型PLC和安全系统配置,并满足

3、4.2.74.4.2和4.4.5的要求,当ETS纳入DCS时,应满足4.1.14.2.74.4.2和4.4.5的要求 4.1.5 DCS与SIS(MIS)的接口必须按照火力发电厂厂级监控信息系统技术条件的要求,配置可靠的隔离措施,信号的传送应该是从DCS向SIS(MIS)单向的严禁将DCS与SIS(MIS)以及上级公司的信息网络直接互联严禁将全厂煤灰水公用控制系统通过网络与DCS互联,并将公用系统信息通过单元机组DCS上传至SIS(MIS)严禁将工业电视系统接入DCS网络的要求 4.1.7 当DCS只有单个时钟发生装置时,应有防止其发生故障而导致DCS失去时钟,进而造成操作员站和控制器站脱网事

4、故的措施;当采用主备时钟时应定期重启一次主备时钟所在的工作站,以消除时钟累积误差当DCS时钟通过GPS自动校准时,应有防止GPS故障导致DCS时钟混乱而故障的措施4.1.8 DCS响应时间应尽可能短,任何时候任何指令从操作员站发出到DCS输出不应大于1秒;从操作员站发出指令到开始执行并返回显示器上反应的总时间不应大于2秒4.2 控制器配置 4.2.1控制器宜按工艺系统功能区配置重要的多台冗余或组合的辅机(辅助设备)应按下列原则配置,以确保一对控制器故障不会造成机组被迫停止运行:z 送风机引风机一次风机凝结水泵和循环水泵等两台冗余的重要辅机,以及AB段厂用电应分别配置在不同的控制器中,但允许送风

5、机和引风机等纵向组合在一个控制器中z 给水泵磨煤机和油燃烧器等多台冗余或组合的重要设备应适当分组配置到几个控制器中4.2.2为了减少一对控制器故障对模拟量控制系统失灵造成的影响,重要模拟量控制回路应适当分散配置,影响同一重要参数的控制回路应尽量配置在不同控制器中,例如,主汽一级和二级减温控制系统再热汽摆动火嘴和喷水控制系统送风和引风控制系统等不宜配置在同一对控制器中4.2.3控制器的配置必须严格遵循机组重要保护和控制分开配置的独立性原则4.2.4 DEH控制器应按故障安全原则配置,当该控制器失电或故障时应自动停止机组运行FSS和ETS控制器在满足4.4.2要求的前提下,其跳闸输出可按带电动作的

6、原则配置,否则也必须按故障安全原则配置DCS控制器的组态应确保任何一对冗余控制器或其电源故障和故障后复位时,所有保护和控制信号的输出符合工艺处于安全状态的要求4.2.5除DEH控制器外,当任何一对控制器故障时,为确保短时恢复期间机组在稳定负荷能安全运行,除应按照4.4要求配置硬接线后备监控设备外,至少对下列重要安全参数,应在二对控制器中同时予以配置:1)汽包水位(超临界压力机组除外)2)主蒸汽压力3)主蒸汽温度4)再热蒸汽温度5)炉膛压力4.2.6控制器的对数除满足4.2.14.2.5要求外,还应满足控制器在4.2.7规定的处理周期下处理器的最大负荷率不大于60%的要求 4.2.7控制器的处理

7、周期,对于一般模拟量控制回路应不大于250ms,对于一般开关量控制回路应不大于100msDEH控制器的处理周期不应大于50ms,在条件允许的情况下应将处理周期减少到30ms,或另设特殊模件处理其中要求快速响应的转速控制回路ETS控制器的处理周期不应大于30ms4.2.8控制器I/O信号的配置必须按下列故障分散原则设计:1)冗余的I/O信号必须分别配置在不同的I/O模件上2)二台互为冗余辅机各自控制回路的I/O信号必须分别配置在不同的I/O模件上,多台组合辅机(如给粉机)各自的I/O信号也必须分组分散配置在几个I/O模件上,使一个I/O模件故障对机组安全稳定运行的影响尽可能小3)几个重要控制回路

8、的I/O信号不应放置在同一个I/O模件上4.3 热工保护和报警 4.3.1单元机组的锅炉汽机和发电机之间应装设下列跳闸保护:1)锅炉故障发出总燃料跳闸(MFT)停炉信号时,应立即停止汽轮机运行2)汽轮机故障停止运行和故障发电机解列时,在满足下列条件之一时,可以不联动停止锅炉运行,否则也应立即停止锅炉运行:a)机组具有FCB功能b)解列前汽机负荷小于3040%(视旁路容量而定),且旁路系统可以快速开启,投入工作 应采用汽机安全油压低(三取二)表征汽轮机故障停运信号作为触发MFT停炉的信号3)汽机故障发出ETS停机信号,应立即关闭汽机主汽门,并应按4.3.2规定,通过逆功率信号解列发电机4)发电机

9、内部故障解列时,应立即停止汽机的运行;发电机外部故障解列时,在满足下列条件之一时,可以不联动停止汽机的运行,否则也应立即停止汽机的运行:a)机组具有FCB功能b)解列前汽机负荷小于3040%(视旁路容量而定),且旁路系统可以快速开启,投入工作4.3.2当汽机ETS发出跳机指令时,必须采用发电机逆功率信号作为最后判别主汽门确已关闭的依据去解列发电机解列发电机逻辑应按下列原则设计:1)当发电机出现逆功率信号时,经一定延时后解列发电机2)当汽机安全油低(二取一或三取二)且发电机出现逆功率信号,不经延时立即解列发电机 4.3.3对于汽机振动保护常误动可靠性差以致该保护不能投入的机组,允许汽机振动大跳机

10、的逻辑修改为:一个轴承振动达到事故值,且相邻轴承任一振动达到报警值,经一定延时后应立即停机逻辑修改后,当任一轴承振动达到事故值时,应有明显的声光报警,此时,运行人员应及时进行判别,除非明确断定是振动信号误发,否则运行人员应及时手动停机4.3.4当DCS总电源消失时,必须直接通过FSS和ETS继电回路自动发出停炉和停机指令4.3.5用于动作机组和主要辅机跳闸的输入信号必须直接通过相应保护控制器的输入模件接入4.3.6为防止炉膛压力开关取样系统堵塞而导致保护拒动,除在FSS控制器中将三个炉膛压力开关信号,三取二发出MFT外,还应利用炉膛负压控制器中的三个炉膛压力变送器,转换成开关量信号,分别通过各

11、自的I/O通道发送到FSS控制器中经三取二运算同时发出MFT信号4.3.7为防止由于主汽门行程开关信号不可靠导致抽汽逆止门关闭保护拒动或误动,关闭抽汽逆止门条件,对于两侧主汽门时可采用2×2方式,对于单侧主汽门时宜以汽机安全油压低(三取二)代替主汽门行程开关信号4.3.8 机组必须设置能快速关闭的至除氧器抽汽截止门和抽汽机组的可调整抽汽截止门,以防止抽汽倒流引起超速4.3.9 DCS控制器发出至MFTETS和发电机跳闸系统(GTS)的执行部分继电回路的机组跳闸指令,应采用三重或2×2冗余,通过各自的输出模件发出至继电回路,并按三取二或2×2逻辑起动跳闸继电器4.3

12、.10给水泵入口压力低解列给水泵的防止给水泵入口汽化的保护逻辑应为给水泵入口和除氧器之间的压差小于设定值,并延时一定时间后解列给水泵压差值和延时设定值的大小应确保给水泵起动或突然增加给水的动态过程中不致造成保护误动,也不应造成给水泵入口汽化导致泵振动损坏4.3.11四角喷燃锅炉的中速磨煤机跳闸条件应为:A(B/C/D/E)层相邻两角或三角火焰丧失,且相邻层火焰和该层点火能源都丧失4.3.12高压加热器解列应列入机组辅机故障减负荷(RB)的条件RB应确保不管机组脱硫系统投运与否均能使机组RB时不跳闸 4.3.13保护逻辑组态时,应精心配置逻辑页面和正确的保护执行时序要注意相关保护间的时间配合,防

13、止由于取样管路仪表和DCS处理周期引起的延迟以及延迟时间设置不当而导致二个保护动作时序不当如由于发讯设备和取样管迟延不同,导致风机油压低一值起动备用油泵较慢,以致造成油压低二值动作使风机已经跳闸4.3.14 DCS的报警应分级,下列信号应列入一级报警信号:1)保护动作信号2)主辅机事故跳闸信号3)保护参数偏差大二值和三值信号4)电源和气源丧失信号5)保护参数坏质量信号6)DCS重要故障信号一级报警信号应显示在大屏幕显示器上,或特别指定的一台显示器上,并配置不同的声响4.3.15保护回路中不应设置供运行人员切投保护的任何操作设备保护切投应经一定审批后可由热工自动化专业责任人员通过工程师站(对DC

14、S)或机柜内相应设施(对PLC)进行4.4 硬接线设计和后备监控设备4.4.1硬接线设计和后备监控设备的配置必须满足下列工况下机组的短时安全运行或安全停机:1)当DCS总电源消失时,凭借后备监视和报警设备,通过硬接线回路,确保机组安全停止运行2)当DCS操作员站显示器出现“黑屏”或“死机”现象时,凭借后备监视和报警设备判别控制器工作状况,当断定控制器工作不正常或无法判别其工作正常与否时,运行人员可以通过后备操作设备,凭借后备监视和报警设备,通过硬接线回路,确保机组安全停止运行3)当DCS操作员站显示器出现“黑屏”或“死机”现象时,凭借后备监视和报警设备明确断定涉及安全的主要控制器工作正常时,运

15、行人员可借助后备监控设备能安全的维持机组在稳定负荷下短时运行,以提供迅速修复这类局部故障的机会,减少机组非计划停运所造成的损失4)当DCS的任何一对冗余的控制器(DEH控制器除外)故障时,通过该控制器中的重要安全信号在其它控制器中的备份配置(4.2.5),以及必要的后备监控设备能安全的维持机组在稳定负荷下短时运行,以提供迅速修复这类局部故障的机会,减少机组非计划停运造成的损失 4.4.2锅炉总燃料跳闸(MFT)汽机紧急跳闸系统(ETS)和发电机解列系统(GTS)的执行部分逻辑必须由独立于DCS的继电器逻辑回路组成该回路设计必须满足下列基本要求:1) 选用的继电器必须是经实践证明是安全可靠的,条

16、件具备时应选用经权威机构认证的安全继电器2) 必须按故障安全的原则设计,当继电回路的电源消失时,自动停止机组运行(除4.4.3规定外)3) DCS发来的机组保护解列指令信号必须是三重冗余或2×2冗余的,以便在该回路中进行三取二或二路并串联(2×2)判别后发出执行指令4.4.3当MFTETS或GTS的执行部分分别采用二套完全独立的继电器逻辑回路,且分别直接由单元机组的两组蓄电池直流总电源柜供电时,主机组跳闸可按带电跳闸的原则设计4.4.4除4.3.6条规定外,所有用于触发跳闸的输入信号不允许通过安全等级较低的其它控制器处理后再通过通讯总线或I/O模件送至保护控制器,而必须直接

17、通过输入模件送入相应保护控制器但在响应时间满足要求的情况下,允许通过通讯方式从FSS控制器将上述信号传送到其它控制器4.4.5至少下列触发机组跳闸的信号,必须直接接入MFTETS和GTS的执行部分的继电器逻辑回路:1) MFT FSS发出的MFT指令 表征汽机跳闸的安全油压低信号(三取二) (包括反映负荷小于一定值的信号) 故障发电机解列信号(包括反映负荷小于一定值的信号) DCS电源消失或DEH故障(包括电源消失) 手动发出的MFT指令2) ETS MFT停炉信号 TSI发来的超速信号 DEH测速模件发来的超速信号 发电机内部和外部故障解列信号(包括反映负荷小于一定值的信号) DCS电源消失

18、或DEH故障(包括电源消失) 手动停机指令3) GTS 表征汽机跳闸的安全油压低信号(三取二) 发电机逆功率信号 手动解列发电机指令 4.4.6单元机组保护发出的下列主辅机跳闸指令不应通过或仅仅通过网络通讯方式传送,也不允许通过硬接线到另一个控制器处理后间接再去执行,而必须由相应保护或控制的控制器以及MFTETS和GTS的执行部分继电器逻辑回路输出信号直接用硬接线接至相应执行端:1)锅炉汽机和发电机的跳闸指令2)锅炉汽机和发电机跳闸保护发出的跳闸给煤机磨煤机(适用于直吹式制粉系统)/给粉机排粉机(适用于中贮式制粉系统)切除油燃烧器,以及关闭过热器和再热器喷水截止阀和调节阀等的控制指令4.4.7

19、涉及DCS故障时必须确保不会拒动,否则会造成重大人身和设备伤害的下列保护和联锁必须设置独立于DCS的硬接线逻辑回路:1)汽机或发电机跳闸关闭逆止门2)润滑油压低联动交直流油泵3)脱硫系统进出口挡板和旁路挡板的闭锁4.4.8 DCS的后备监控设备必须是包括电源在内均独立于DCS的显示设备报警装置和操作设备后备操作设备必须是硬接线的,并直接作用于MFTETS和GTS的执行部分继电器逻辑回路或被控设备的单个强电控制回路后备操作设备的输出控制接点应由两个或三个常开接点冗余(三取二和二取一根据被控回路情况而定),以防止操作时拒动或误动机组跳闸操作应设置确认按钮该按钮输出应为二个常开接点,二取一冗余,以防

20、止操作时拒动4.4.9单元机组应配置下列DCS后备监视设备:1)锅炉汽包电接点水位表(必须是经实践证明安全可靠全程测量准确)2)锅炉炉膛火焰电视监视器3)凝汽器真空表4)汽轮发电机转速表5)发电机功率表 4.4.10 单元机组应配置下列DCS后备操作设备:1)锅炉停炉(MFT)2)汽机跳闸3)发电机解列4)锅炉安全门(机械式除外)5)汽包事故放水门6)凝汽器真空破坏门7)交流润滑油泵8)直流润滑油泵9)发电机灭磁10)柴油机4.4.11 后备报警装置是保证DCS故障时机组短时运行或停机过程中安全的主要判别手段,单元机组应按下列原则配置足够数量的报警信号:1)主要安全参数达到值和值2)机组跳闸和

21、主要联动保护动作3)主要电源和气源消失4.5 电源接线和抗干扰措施4.5.1 DCS必须有两路可靠的交流220V电源供电,其中至少必须有一路是UPS电源当DCS对电源电压波动较敏感时,两路电源均宜采用UPS电源两路电源的切换时间应足够短,以确保电源故障切换时不会造成DCS扰动和故障呼叫系统等重要性低干扰大的系统不得接入UPS系统4.5.2 两台机组公用DCS电源应取自两台机组DCS的UPS电源4.5.3 循环水泵房和空冷系统等距离主厂房较远的远程控制站或I/O站应按单元设置来自不同厂用母线段的两路自动切换的可靠电源,其中一路应配置UPS电源循环水泵出口阀的控制电磁阀等重要设备也应按单元有可靠的

22、冗余电源4.5.4 DCS内部供电应遵循下列原则:1)对于电源波动敏感的操作员站,当不满足4.5.1要求时,应合理配置供电方式以确保不会因电源波动而导致全部操作员站同时失去2)控制器应采用双路交流220V供电,由各自电源装置转换成直流24V(48V)再经整流器并联实现无扰切换;当采用交流220V主辅电源切换方式向控制器供电时,电源故障切换不应引起控制器故障或初始化,并确保控制器(包括I/O模件)正常连续工作3)每一个模拟变送器的供电回路每一个数字量输入输出模件都应有单独的熔断器或其它相应的保护措施4)当输入信号装设隔离器时,其电源应与该输入信号合用,当采用外供电源时,应采用冗余配置等适当方法以确保其安全等级水平与相应输入信号重要性相匹配 4.5.5 MFTETS和GTS等执行部分的继电器逻辑保护系统必须有两路自动切换的可靠电源,或两路可靠电源分别供两套互相独立的冗余继电器逻辑回路当保护电源采用厂用直流电源时,应有