控制网

    赵  军（1968－）
男，高级工程师，山西保德人，从事电厂自动化技术应用研究。

摘要：火力发电厂汽轮机控制系统中的超速103%保护控制和超速110%保护跳机是机组紧急跳闸回路中一条重要分支，针对国华电力某台600MW机组发生超速保护误发事故，分析了汽轮机控制系统中逻辑运算功能块的排序问题以及运算周期对超速保护的影响，通过试验验证了运算周期和时序对选择功能块的影响。制定了改进措施，总结了事故教训，提出了逻辑设计中要注意的事项。

关键词：程序设计；超速保护；组态；周期；时序

Abstract: One important branch in turbine emergency trip system is 103%overspeed protection control & 110% overspeed protection trip in steam turbine electro-hydraulic control system In this paper, aiming at the 600MW unit of Guohua electric power, we analyze the sorting problem of the logic operation function blocks and the influence of computation period on the overspeed protection in the steam turbine control system. Through the experiments, it is demonstrated that operation cycle and time sequence have influences on the selection function block. Thus we make the improvement measures, summarize the lesson from the accident, and proposes the key issues in logical design.

Key words: program design；overspeed protection；configuration；cycle；time sequence

1 前言

    转动机械的转速测量与控制在自动控制领域品质要求很高，在火力电力厂汽轮机转速测量元件中，转速信号有三项主要指标：精度、稳定性、响应速度。火力电力厂汽轮机控制系统普遍采用数字电液控制系统(简称DEH)。数字控制系统中的模拟量/数字量转换周期、运算控制周期对转动机械系统中的控制误差和控制系统性能产生直接影响。超速103%保护控制信号(overspeed protection control，简称OPC)和超速110%保护跳机信号(overspeed protection trip，简称OPT)是汽轮机控制系统一个重要的功能，国内外大型机组DEH的OPC和OPT设计，强调可靠性和快速性及其与调节系统的协调关系。ABB集团ETSI公司汽轮机保护系统由3块TPS02模件及以电缆连接的单一TPSTU02终端单元组成，这些保护功能是独立于控制系统的数据总线和多功能处理器。中国电科院电研智深公司EDPF型DEH系统亦将测速、OPC和OPT逻辑处理功能集成在一块模件上，系统控制运算周期小于50ms；上海新华公司DEH－III A采用3块高速数字采样测速卡，OPC采用三选二，与基本控制分开，采用一套独立的硬件和软件；北京和利时公司DEH亦采用了专用的测速单元；北京太极通瑞公司TJDEH4000系统OPC的动作时间在20ms以下，OPC系统采用全冗余配置；哈汽厂开发的DEH系统控制周期亦在50ms以下[1]。

    在DEH中控制逻辑组态中，算法功能块是算法逻辑的基本元素，一定数量和种类的算法功能块在一定周期时间内完成部分具有相对独立的过程控制功能，这些算法功能块最终要编排处理顺序，每个算法功能块分配一个序号，称作算法时序。

    国华电力有9台600MW亚临界机组采用了某一类型的DEH设备，在某台机组发生超速保护误动作后，对跳机原因分析中发现导致超速保护误动的原因是功能块时序排列先后和超速保护逻辑运算处理周期太长的问题。

2 超速保护逻辑概述

    2007年国华某台600MW机组发生超速保护动作，经过现场SOE和历史趋势记录分析。发现机组跳闸后超速OPC和OPT还发了两次，同时对转速信号模拟量历史记录调阅，未发现超速现象，机组运行人员的监视也未发现超速现象，因此初步判断该保护属误动。

    该机组DEH结构采用两级控制单元结构，上级控制单元为慢速处理器，运算周期定义为200ms，下级控制单元为快速处理器，周期定义为6ms。I/O卡件也分为两类，一类为快速处理I/O模件,另一类为常规I/O模件。重要的转速信号通过快速处理I/O模件进行处理，硬件采样周期为2ms。

    设计将闭环控制、热应力计算以及对上通讯等任务放置在慢速处理器里处理，它与快速处理器和普通I/O卡件通过PROFIBUS总线连接，而将OPT、OPC等重要任务放置在快速处理器里处理，快速处理器与慢速处理器和快速处理I/O模件通过另一组PROFIBUS总线连接。

    机组OPC信号由DEH系统软件产生，OPT信号一路由DEH产生，另一路由ETS（汽轮机紧急跳闸系统）产生，DEH这路OPT保护信号由图1中产生模拟量信号判断是否大于110%而产生，它与ETS的OPT共同形成两道OPT，任意一路动作均会跳机，且两路保护的源不同，ETS的转速信号采自汽轮机8瓦，DEH的转速信号采自汽轮机前箱。

    OPT跳机的保护逻辑在快慢处理器内均做，最终回到快速处理器中汇总采用“或”逻辑算法输出。而慢速处理器中的转速模拟量信号的三选一结果送闭环控制，并给DCS发送。快速处理器中的三选一结果只用来判断OPT和OPC，如图1所示。

图1   机组OPT和OPC组态原理图

    图2为机组DEH中的转速三选一逻辑，该思想为西屋公司设计。在此逻辑中，三路选择采用的是“安全保证原则”，初始时刻，优选A通道，当A通道故障时才优选B，C是参考信号，该逻辑成立的前提是不允许两个探头故障长期运行，如果两个探头故障则立即跳机。在优选A的时候，B的故障不会造成信号选择功能块动作，当选择B后，一直要到B再次发生故障才会切换到A。模拟量切换判据由图2中的RS触发器产生。

    图2中，三个转速信号进行越上限和越下限判断，同时对转速信号两两偏差进行越限判断，三个“或”功能块输出即信号品质判据。

    若K值为RS触发器的输出值，

    则：Y=A，A正常，B故障，K=0
　 
    Y=B，B正常，A故障，K=1
　  
    A正常，B正常。Y保持

    图3给出了带有扰动分量的单个转速信号被逻辑处理页离散化采入，并触发切换信号K的过程。分析发现RS触发器功能块的处理顺序号小于图2中切换功能块的处理顺序号。这样在本周期处理过程中，切换功能块的A、B模拟量转速信号入口执行本周期采样进来的信号，判据K采用上一周期的结果，切换功能块进行切换运算时，如果此前被选中输出的A通道信号，在本周期已判断出超过3300rpm，但该判据结果未被切换功能块采用，而该超出3300rpm的模拟量信号正常通过切换功能块输出，导致超速信号触发。

    试验发现上述分析结果，在快速处理器中的超速判断逻辑结果中并没有出现，是因为快速处理器的处理周期为6ms，远小于慢速处理器的200ms，快速处理器采入的模拟量信号虽然超前了切换判据一个周期,但由于采样间隔短,且扰动信号变化仍带有一定速率，所以输出的有问题信号值还不足以触发OPC、OPT，在下一个周期切换功能块在选中的转速信号发生问题前是能够剔除该问题信号。这说明如果处理周期很短也可以掩盖此类问题。但前提是扰动信号的速率不是很快。

    时序排列问题是造成此次事故的根本原因，但逻辑设计不合理也是造成这次事故的因素。

    首先，快速处理器已经采用冗余配置，而设计又将该部分逻辑放在慢速处理器中。

    其次，依据DL/T656-2006《火力发电厂汽轮机控制系统验收测试规程》和DL/T996-2006《火力发电厂汽轮机电液控制系统技术条件》，分别要求采用软件系统的OPC、OPT处理周期应不大于50ms和20ms。而该设计中运算OPC、OPT的一路慢速处理器的处理周期设置为200ms。

    转速测量误发环节有2处：一处是就地转速信号有干扰，这可以通过示波器确认干扰是否存在，导致存在这种干扰的原因有磁阻传感器故障或转速信号屏蔽不良；另一处是前置放大器的转速整形、滤波、判断回路存在故障[2]。本次事故后经检测,就地5支磁阻传感器中,用在转速回路中的三只阻值分别为3200欧姆、605欧姆、155欧姆，均偏离正常值范围（120～140欧姆）。

4 试验论证

    为了验证上述分析，在国华公司同类另一台机组上，利用停机计划。首先修改原逻辑时序，对产生问题的局部逻辑进行时序调整，调整后编译在线下装,采用在转速通道前置放大器前甩线的方式,测试原逻辑是否发出OPT和OPC信号。其次，恢复原逻辑,测试原逻辑是否发出OPT和OPC信号。

    调整后实验结果表明，工程师站逻辑动态、所有转速实时趋势曲线、SOE、ETS首出记录均未见异常,从工程师站逻辑动态中可观察到转速通道此时切换正常,转速最终输出信号由A通道切换到B通道，恢复原逻辑。开始拔B转速探头，机组跳闸，工程师站逻辑动态未见异常,但B通道实时趋势记录有突增记录。

    在机组停机后,采用从硬通道加模拟转速信号的方法,再次对上述试验内容进行了检验,试验干扰方式采用加长信号和拔线干扰的方式。两类方式均证明原逻辑在单个通道扰动时,必定触发OPC、OPT信号,但一次未捕捉到ETS首发记忆、一次目测OPT输出继电器未动作，其它两次试验均正常；修改时序后逻辑在拔线扰动和加长电平信号扰动时，OPC、OPT输出和各环节均未见动作和异常。这说明有些频率极快的扰动,系统的事故追忆装置是捕捉不到的,但能触发保护动作。

    文献[3]记录了大唐湖南石门电厂2号机组因为时序问题引起的锅炉MFT，说明DCS系统内的时序问题确实能够造成关键逻辑误动作，正确分析和处理时序问题是DCS软件组态的一个重要步骤。

    在早期的梯形图逻辑设计中，时序问题本是一个很严格的环节，目前大多数DCS系统组态均采用了P&ID图（Process & Instrument Diagram，工艺和仪表流程图）界面，对功能块排序采用自动排列的原则，但要求将输出尽量放置在右侧，同时结合组态工程师从上向下安排逻辑的习惯，时序自动排列是从左到右、然后从上至下，因此通常是不会出现问题的，本次事故也说明了逻辑修改中，组态工程师未遵守该规则,特别是在执行插入、追加工作时很容易犯该错误。

5 改进方案和时序的应用

    通过上述分析和试验，确证了时序对选择功能块的影响是导致本次停机事故发生的根本原因。同时根据DL/T656-2006《火力发电厂汽轮机控制系统验收测试规程》要求：“重要信号的检测元件应为三取二(开关量)或三取中(模拟量)的冗余配置，采用去掉一个测量元件信号或一个测量元件输出端改变信号的方式，检查其冗余的可靠性”。按照问题发生的原因,只要修改时序即可解决问题，但参考两份规程的规定，以及投产机组的实际情况，新的超速逻辑进行了以下修改。

    首先，慢速处理器中的OPC、OPT结果不作为停机的分支，只保留快速处理器的结果，因为快速处理器已经是冗余设置,符合规程要求。且慢速处理器的处理速度慢，给结果增加了不安全环节；其次，采用真正意义上的三取二和三取中逻辑，这样能够避开时序问题,也遵守了规程，三取二逻辑直接采用输入信号进行高值判断，然后进行三取二运算，三取中也直接采用输入信号进行三取中运算，如图4所示；三，降低两两比较偏差大的门槛值到50rpm，使得切换动作尽量靠前。

图4 三取中运算原理图

6 结论

    本次停机事件得到了两点教训。首先为DL/T656-2006《火力发电厂汽轮机控制系统验收测试规程》提供了很好的案例，DEH逻辑设计中，开关量处理周期应设置到20ms以下，模拟量处理周期设置到50ms以下。重要信号的检测元件应为三取二(开关量)或三取中(模拟量)的冗余配置。

    在软件设计方面，所有采用判据的切换块、状态转换功能块（例如PID控制算法块），均应将判断逻辑的执行时序安排到算法逻辑前。

    随着超临界和超超临界技术的大范围应用，机组的参数越来越高，允许的控制调整范围也越窄，控制精度和可靠性要求提高，而DCS设备作为机组高度自动化中的龙头，其重要性越来越大，DCS系统从设计、制造、装配、组态、调试等环节应更加严格规范，在DCS组态设计过程中应该注意的环节须形成规范作业条款，DCS设备供货商在执行自身规则的同时要遵守国内法规和行业规程，以减少生产中的事故。

作者信息:

    赵  军（北京国华电力技术研究中心有限公司，北京  100601） 

    刘卫国 （浙江国华浙能发电有限责任公司，浙江  宁波  315612）
 
    杨洪波 （河北国华沧东发电有限责任公司，河北  沧州  061113） 

    尹武昌 （广东国华粤电台山发电有限公司，广东  台山  529228） 

参考文献

    [1] 田丰,张俊杰. 大型机组电超速保护装置综述[J]. 国际电力,2001,5(4)：13-18.

    [2] 庄力,姚峰. 汽轮机超速防护常见故障判断及预防对策[J].湖北电力,2003,27(4)：49-52.

    [3] 宋梅林. 时序问题引起锅炉MFT的分析与对策[J]. 湖南电力, 2005,25(5)：15-17.

    [4] 李萍,刘友宽. DCS内部模块实现的控制器处理周期测试新方法[J]. 云南电力技术,2006,34(4)：36-36.