新版二十五项反措“9.5 防止保护系统失灵事故”单独对热工保护系统提出了要求,在2014版此部分内容同样有13条,但大部分内容都发生了变化。今天昌晖仪表对此进行对比分析,找出变化的原因和机理,供大家参考。
9.5.1 除特殊要求的设备外(如紧急停机电磁阀等),其他所有设备都应采用脉冲信号控制,防止分散控制系统失电导致停机停炉时,引起该类设备误停运,造成重要主设备或辅机的损坏。
2023版二十五项反措9.5.1条与2014版9.4.1条完全相同,这一条是对热工保护信号类型的表述。我们知道对于开关量动作信号分为保持信号和脉冲信号,而脉冲信号又分为长脉冲和短脉冲。一般情况下,反映设备状态的信号都是保持信号,状态发生变化后信号发生变化,比如某个设备的启停状态。而对于指令信号一般使用脉冲信号,设备的控制信号当然是一种指令信号,所以一般采用脉冲信号。但是对于紧急停机电磁阀等主保护信号,要求使用保持信号,以达到保护的安全性。
9.5.2 所有重要的主、辅机保护都应采用“三取二”、“四取二”等可靠的逻辑判断方式,保护信号应遵循从取样点到输入模件全程相对独立的原则,确因系统原因测点数量不够,应有防保护误动及拒动措施,保护信号供电亦应采用分路独立供电回路。
2023版二十五项反措9.5.2条是对2014版9.4.2的修订,2014版保护信号要求使用“三取二”的方式,而2023版修订为了“三取二”和“四取二”两种方式。其实在日常工作中我们也会经常用到“四取二”的逻辑保护,比如上面提到的停机电磁阀主流设计都是“四取二”,一些小型的工业汽轮机则是“三取二”。
另一个变化是要求在测点数量不够时,应有防止保护误动和拒动的措施,2014版只提到了保护误动。实际上,测点数量不够造成保护拒动的情况也存在,比如笔者在之前工作中遇到过两个DEH转速探头故障,但是由于品质判断信号没有发出,造成汽轮机转速异常升高的现象。在这种情况下,即便转速超过保护定值,DEH超速保护也不会发出。
这一条还调到了保护信号供电应采用分路独立信号,2014版未做规定。这一条是对保护信号独立性的一个重要补充,之前我们提保护信号独立性往往想到的是信号取样点的独立性,信号采集卡件的独立性,相关电源系统也需要独立布置。这里同样可以参考汽轮机停机电磁阀,作为保护的执行机构,一般也是独立的电源布置。
9.5.3 热工保护系统输出的指令应优先于其它任何类型指令。控制系统的控制器发出的机、炉跳闸信号及相应的动作回路应冗余配置,且应设计机组硬接线跳闸回路。机、炉主保护回路中不应设置供运行人员切(投)保护的任何操作手段。
2023版二十五项反措9.5.3条与2014版9.4.4条基本相同,但是描述更加确切。比如2014版说的是“分散控制系统的控制器发出的~~”修订为了“控制系统的控制器发出的~~”,比如单独配置的ETS系统就不能作为分散控制系统,所以这里描述更加精确。当然也提到了机组设置硬接线跳闸回路。需要说明的是,硬接线跳闸回路是完全独立于控制系统的,也就是说即便控制系统瘫痪掉,也要具备紧急停机、停炉的功能。之前在工作中遇到过润滑油控制系统单独设置有PLC控制器,而联启润滑油备用泵的硬接线需要经过控制器才能动作,这种设计也是危险的,大家可以自查一下自己家的系统是不是也有这样的设计。
9.5.4 汽轮机紧急跳闸系统应设计为失电动作,硬手操设备本身要有防止误操作、动作不可靠的措施。手动停炉、停机保护应具有独立于分散控制系统(或可编程逻辑控制器(PLC))装置的硬跳闸控制回路,配置有双通道四跳闸线圈汽轮机紧急跳闸系统的机组,应定期进行汽轮机紧急跳闸系统在线试验。
2023版二十五项反措9.5.4条与2014版9.4.8条基本相同,首先强调的是汽轮机跳闸系统设计为失电动作,2014版描述的是“继电器失电动作”。这一条是原则设计,不能因为任何理由改变。之前遇到某垃圾焚烧电厂“三取二”的电磁阀设计为得电动作,后来工作中因为电磁阀多次异常故障,领导要求改为得电动作。这种要求不仅愚蠢而且置机组安全于不顾,设计为得电动作,一旦电磁阀在长期运行中故障,在紧急情况下都无法停机,后果不堪设想。后面提出的保护装置的独立性原则,与上文我们举的润滑油系统的例子其实是一个道理,必须保证保护系统的完全独立和后备手段独立。
9.5.5 主机及主要辅机保护逻辑设计合理,符合工艺及控制要求,逻辑执行时序、相关保护的配合时间配置合理,防止由于取样延迟等时间参数设置不当而导致的保护失灵。
2023版二十五项反措9.5.5条与2014版8.4.10条相同。这一条强调的保护逻辑的合理性原则,包括逻辑时序和相关延时时间、脉冲时间等设置合理。可以举个简单的例子,如下图所示的保护逻辑,同样的延时2S,延时放在取三取二或者三取二后,其实效果会有很大差别。当延时2S在三取二前,如果信号时长不够2S,可以避免动作输出。如果延时2S在三取二后,当汽包水位高1时长1.5秒后消失,汽包水位高2持续,汽包水位高3在汽包水位高1触发的第1.5秒内触发,并且两个信号的时长和达到了2S,那么也会触发保护动作。而单独看两个信号其实都没达到保护动作的条件,所以设计就存在不合理之处。
9.5.6 重要辅机的“已启动”和“已停机”信号应真实反映辅机的启停状态,防止由于虚假信号造成机组跳闸。
2023版二十五项反措9.5.6条是新增,强调重要辅机的启停状态必须真实,这里需要注意的是设备的启停状态、设备电源的合分状态、设备变频器的启停状态,分别代表不同的意义。
9.5.7 对于重要被调量或主要保护、联锁有关的模拟量,如果需做温度、压力修正,引入修正计算的测点应做冗余配置,防止修正测点单点故障导致测量异常事故。如果冗余配置的修正测点发生故障,应做相应报警,模拟量调节系统应切手动。
2023版二十五项反措9.5.7条是新增,对参与保护的模拟量信号进行了单独规定。比较经典的案例是汽包的平衡容器测量水位,需要引入温压补偿,一般是汽包压力和汽包壁温,这里的温压信号就不能使用单测点,需要多个测点取平均后参与到水位的补偿计算中。
9.5.8 送风机、引风机、一次风机、空气预热器、给水泵、凝结水泵、真空泵、重要冷却水泵等、以及非母管制的循环水泵等多台组合或主/备运行重要辅机(辅助)设备的保护及控制功能,应分别配置在不同的控制器中。
2023版二十五项反措9.5.8条是新增,还是强调的保护信号的分散性原则,这里指的是参与保护的重要辅机控制要独立。之前的文章我们举过类似的例子,比如设计有五套制粉系统,要分别布置于不同的站点,避免一个站点故障引起多套制粉系统的跳闸。
9.5.9 重要辅机采用单台配置方式的机组(如单台给水泵、单台送风机、单台引风机、单台一次风机等),其入口门(挡板)、出口门(挡板)设备的全开、全关信号判断逻辑应增加工质特性信号判断(如流量、压力等信号),并对全开、全关状态进行光字报警,避免出现阀门全开、全关信号同时触发或阀门全开信号瞬间消失、全关信号同时出现等故障导致跳机。
2023版二十五项反措9.5.9条是新增,强调单台配置的重要辅机要避免保护误动的情况。比如某个挡板门的关闭会引起设备跳闸,如果挡板门的关闭状态使用的单信号,就会存在误动的可能。因此一般引入挡板门关闭状态、开状态取非、挡板门位置反馈<5%和相关流量信号限值等作为在最终的判断信号。如下图所示,需要注意的是,未必是单设备才能采取此类方式,一般我们在逻辑组态时,相关信号都采用这种方式。
9.5.10 机组和主要辅机跳闸的输入信号,通过硬接线直接接入对应保护单元的输入通道。不同系统间的重要联锁与控制信号,除通信连接外还应硬接线连接并冗余配置硬接线信号。
2023版二十五项反措9.5.10条是新增,是对辅机跳闸信号的规定。以引风机保护为例,如出口挡板关闭信号,直接以硬接线的方式进入DCS系统中,中间不做任何转换。不同系统间的重要联锁和控制信号,包括保护信号,比如汽轮机打闸信号去发电机,正常要配置冗余的硬接线信号。
9.5.11 涉及机组安全的重要设备(如汽轮机交流润滑油泵、汽动给水泵润滑油泵)应有独立于分散控制系统的硬接线操作回路。润滑油压力低信号应直接送入电气启动回路,确保在没有分散控制系统控制的情况下能够自动启动,保证汽机的安全。
2023版二十五项反措9.5.11条与2014版9.4.2条基本相同,与前文我们提到的9.5.3条其实类似,都是对于重要设备的硬接线手操手段的要求。这里单独举例了润滑油压力低信号直接送入到电气启动回路,避开相关DCS或者PLC等控制设备,前文昌晖仪表也提到过。
9.5.12 涉及机组保护的压力开关安装位置与取样点位置存在明显影响测量准确性的标高差时,应按照机组保护定值对压力开关动作值进行相应修正。
2023版二十五项反措9.5.12条是新增,提到了测点取样的规范性问题,如果却因客观因素存在一些准确性问题,需要进行相关的修正。
9.5.13 冗余控制器(包括电源)故障和故障后复位时,应采取必要措施,确认保护和控制信号的输出处于安全位置。
2023版二十五项反措9.5.13条是新增,是对近几年出现的冗余控制器故障问题进行了规定,尤其是电子设备出现故障时进行重启后会自动恢复的情况,基本恢复后正常,也要切换至备用状态或者更换。昌晖仪表查了一些资料,以2019年为例,中国自动化学会统计了当年发生的控制器故障造成的机组异常事故7起,甚至造成了机组跳闸,还是需要格外重视。
上述是2023版二十五项反措“9.5 防止保护系统失灵事故”的简单分析,保护系统失灵在行业内部属于重大问题,也是日常检修、维护的重要方面,涉及机炉电化热多个专业,需要引起格外重视。