陈  盈：杭州和利时自动化有限公司

    1  引言

    随着机组容量的不断增加，处理事故的过程更为复杂，热工保护装置也在不断发展和完善。近几年发展起来的以微处理器为核心的各种专用保护系统和大规模分散控制系统已使灭火保护系统的逻辑处理能力大为提高，功能大为增强。现代的专用灭火保护系统和分散控制系统中的锅炉灭火保护系统的数据处理能力已不是逻辑设计的限制因素，系统的控制逻辑可以设计成任何复杂程度。

    虽然DCS在电站控制领域覆盖面越来越广，DCS系统本身的可靠性以及故障预防处理越来越得到重视，尤其是DCS系统关键的冗余器件同时故障时，怎样保证机组安全性的问题越来越引起注意。

    一般系统卡件或控制器的故障采用软光字牌报警的方式通知运行人员采取相应措施。而对于重要控制、保护环节，如果冗余控制器均脱离双网且无法自恢复，则认定该控制器失效，造成控制器失效有多种可能原因，如失电、控制器死机、网络接口故障等，在此情况下，需要设计后备安全保护方案。

    2  MFT动作继电器跳闸回路的设计

    在DCS系统中，用于锅炉安全保护控制站（FSS）及其相关控制站（BCS）的重要控制器失效情况下，设计采取后备MFT保护措施是保证锅炉安全的重要手段。

    FSSS到主燃料跳闸MFT硬控制回路的输出，在锅炉保护设计工程设计中极为重要性，一般工程MFT均按照220VAC和220VDC两个硬回路设计，采取任一回路励磁跳闸的原则，MFT出口到每个硬回路按6个接点作三取二处理。MFT动作后应切断所有进入炉膛的燃料和产生其它的联动，硬MFT接点形式(常开、常闭)和数目应满足工程需要。包括切断燃油系统设备和制粉系统设备、一次风机、电除尘器、吹灰系统，以及到ETS系统和锅炉减温水总门、高压旁路系统的控制子系统等。

    直接MFT设计范围及相互关系如图1虚线所示部分：

 图1 MFT备用的逻辑关系

    在图1中，MFT跳闸回路的备用顺序（由高→低）依次为：紧急停炉按钮手动MFT  →  锅炉保护控制站（FSS）自动MFT  →  燃料基本控制站（BCS）正常状态下设备启/停控制及保护。

    考虑了DCS系统故障工况，按照上述备用关系设计了周全的安全保护措施，直接MFT跳闸回路完全由硬接线实现跳闸控制逻辑，跳闸功能确保机组在紧急工况下能切断所有燃料的供料设备，MFT硬跳闸回路的继电器和电源的电气设计原理如图2所示。

    在直接MFT设计中综合考虑了以下因素：

    2.1 电源安全性

    控制电源是整个DCS系统的生命线，重要电源发生故障，将直接影响保护逻辑和其他控制逻辑的正常工作。

    (1) 电源冗余

    MFT保护回路采用两路独立于DCS的DC220V（或DC110V）直流电源，二路电源通过二极管切换回路实现互为冗余，任何一路电源的故障不会影响系统的保护功能。本设计确保在一路电源故障时，自动、无扰切换到另一路。该电源由现场直接提供，在本回路中实现两路工作电源的自动投切。

图2 直接MFT硬跳闸回路图

    (2) 失电跳闸（报警）

    DCS系统中，锅炉安全保护（FSS）控制站采用双重冗余AC220V电源供电，当双路电源均失去时，直接触发MFT跳闸，保证机组安全，或根据实际情况确认条件，设计为其他安全动作方式。

    (3) 缺电报警

    无论DC220V（或DC110V）直流电源和AC220V交流电源中，任一路电源故障缺失情况下，均在CRT上报警显示。见图2电源监视继电器回路部分。

    2.2 信号可靠性

    凡涉及MFT跳闸信号采用三重冗余，开关量信号采用三取二处理，模拟量信号采用三取中处理，三重冗余信号分别从不同的卡件输入DCS系统。如炉膛压力保护三取二，锅炉炉膛压力保护采用六个压力开关，分别安装在锅炉左右侧边三台。三台炉膛正压开关，三台炉膛负压开关；变送器测量三级故障，一些重要变送器测量三级故障直接进入跳闸通道。变送器三级故障的意义是：①三个测量信号均无效；②一个测量信号无效，另两个测量信号偏差大；③三个测量信号均有效，两个测量信号偏差均大。

    由FSS控制站输出的MFT跳闸信号，先实现了“硬”三取二逻辑（参见MFT硬跳闸回路电气原理图中相应部分），经过MFT继电器回路，FSS系统输出的三路独立的信号分别取自FSS控制站不同的开关量输出卡件，如图3所示。

图3 FSS总体结构

    在DCS系统设计中，FSSS功能一般设置3对控制器，根据这3对控制器控制的配置情况，它们之间有硬接线信号传输，如火焰检测信号组合的判断、油(气)、煤燃料组合的判断等信号应通过硬接线完成。像送、引、一次风机、给水泵的状态信号几个子系统都需要，将每个辅机的运行、停止状态信号各取三付接点全部送到FSSS进行三取二处理，然后送到需要该信号的其它子系统(MCS、SCS)，这样可保证信号的一致性。

    总之，锅炉保护系统采用的“三取二”逻辑，是从每个信号的采集、逻辑判断到跳闸出口均为“三取二”。

    2.3 继电器可靠性

    (1) 继电器选型

    跳闸继电器选用的应是具有成功应用经验的优质产品，如OMRON继电器，在上述图2、3中采用的继电器分别是：

    Ry1....Ry12、Ry13、Ry17、Ry18、Ry19的型号为：MM2XP_DC220V；

    Ry20、Ry21、Ry21的型号为：MM2XP_DC24V；

    Ry1、Ry2的型号为：MM2XP_AC220V；

    其中，MFT跳闸出口继电器的输出接点容量为：220V DC 7.5A。

    (2) 冗余设计

    直接MFT跳闸总出口的两只继电器采用冗余设计（图2Ry13、Ry19继电器），分别接受来自主控台上一对MFT跳闸按钮和DCS输出（图3Ry20、Ry21、Ry22继电器）三取二的接点。

    其中，回路设了两个可靠的MFT手动按钮，一对按钮的各自两副接点两两串联后分别接至两只MFT跳闸出口继电器的跳闸闭合线圈。既可防误动，又可在紧急状况下保证锅炉安全停炉，如图2所示。

    2.4 保护动作安全性

    (1) MFT保持

    在逻辑回路中，采用了保护跳闸的动作保持设计，为此增加了保持继电器Ry18，如图2所示。当MFT 保护发生时，J18-C1、C2接点闭合，复归HD指示灯亮，使跳闸继电器Ry1~Ry12一直处于跳闸位置，保持动作的延续性，以防止意外出现，保证锅炉的安全。

    (2) MFT复归

    在主控台上，与保持相配用提供一付手动复归按钮PB；同时，DCS提供一路由FSS控制站来的“吹扫完成”信号输出到继电器跳闸回路中，作为自动“MFT复归”条件。当延时复位500ms脉冲的“吹扫完成”信号输出时，出口继电器Ry13、Ry19动作，J13_C1、J19_C1常闭触点断开，使继电器Ry18复位，复归指示灯HD熄灭，从而使继电器回路自动恢复保护功能，为下一次保护作初始化准备。吹扫完成后才能启用保护跳闸功能，这是对锅炉的安全保证措施。

    2.5 “动合型”/“动断型”的考量

    现在对锅炉继电器后被保护的设计过程，有些要求 “失电跳闸”，即：“失电安全”的意思。这种保护采用的是“反逻辑”设计思想，正常运行时所监控的设备接点闭合，产生逻辑“1”信号，动作设备得电打开；故障时所监控的设备接点打开，产生逻辑“0?保护动作，动作设备失电关闭，锅炉跳闸。这种设计目的是使系统在失电时，锅炉保护跳闸，保证机组的安全性。

    而在实际工程中，由于对电源已经做了充分的安全保障性的考虑和设计，所以一般跳闸继电器是采用“得电跳闸”方式。“失电跳闸”方式使跳闸继电器线圈长期带电工作，对继电器的工作寿命和弹簧触点工作的稳定性、可靠性存在不确定因素，值得质疑。同理，产生MFT的信号基本上是采用“动合型”方式。

    一般情况下，FSS控制站的MFT跳闸输出，同样要经过直接MFT回路的继电器出口执行，即FSS控制站的MFT跳闸动作输出与直接MFT跳闸共用同一出口的继电器。

    当故障发生后，为了能够提供准确的分析依据，直接MFT逻辑回路中，手动MFT按钮的一付节点一定要进S.O.E；AC电源监视信号，DC电源监视信号要同时进S.O.E；FSS控制站MFT输出信号要直接进S.O.E，不要中间继电器的接点转接信号，如果信号输入中间环节多，当通道定义为常闭接点输入时，系统误动作次数将会增加；当通道定义为常开接点输入时，将增大系统拒动的可能性。这些都会影响S.O.E.提供准确的事故线索。另一方面，信号输入中间环节多也增大了检修人员对其它系统的维护难度。

    3  结束语

    直接MFT是系统可靠性的后备保障手段，在设计中，还应根据机组的实际情况进行相应的应用设计。应该说，双冗余甚至三重冗余的设计考虑了卡件、电缆、传感器以及逻辑回路继电器的故障冗余，具有较高的可靠性，能达到较好的防误动、防拒动目的。

    虽然，保护安全系统基本上本着宁误动，勿拒动的设计原则，但是，随着冗余和保护系统的增多，在增加防