钱 林
(上海福克斯波罗有限公司,上海 200331)
TRICON+I/A在火电厂FSS中的应用
钱 林
(上海福克斯波罗有限公司,上海 200331)
随着仪表和控制技术的发展,功能安全系统越来越被人们所关注。作为提高系统安全可靠性的一种设计方案,上海福克斯波罗有限公司的I/A Series分散控制系统(DCS)中引入了TRICON系统。通过介绍TRICON的特性,分析了锅炉安全系统(FSS)在I/A系统设计中的应用现状,阐述了FSS应用TRICON+I/A组合控制的设计思路,并对TRICON+I/A的实施方案进行了实例解析。TRICON+I/A组合控制的炉膛安全监控系统(FSSS)方案,实现了控制功能和功能安全的分隔,优化了原有I/A系统的FSSS方案,使系统向功能安全系统发展跨进了一步。TRICON+I/A组合控制,实现了二者的优势互补,很好地平衡了误动和拒动关系,增加了系统安全可靠性。该FSSS设计组合既考虑了系统安全性,也兼顾了项目的经济合理性。该方案已在印度多个项目中得到成功应用。实践表明了方案的可行性和安全可靠性,为TRICON在国内火电厂FSS的设计应用提供了借鉴。
火电厂; TRICON; 三重冗余; 功能安全; 分散控制系统; FSS; FSSS; 组合控制
随着仪表和控制技术的发展,国际电工委员会(IEC)发布了功能安全基础标准IEC 61508,并且提出了安全完整性等级(safety integrity level,SIL)概念。用于实现安全保护功能的系统设计理念发生了变化,从故障安全扩展到功能安全。功能安全系统以系统功能的可靠执行来保证安全,防止安全相关系统或设备的功能失效所导致的风险[1]。我国发布了《电气/电子/可编程电子安全相关系统的功能安全》和《过程工业领域安全仪表系统的功能安全》规范书。目前,该标准已广泛应用于国内石油、化工等过程工业,在火电厂锅炉保护方面的应用也日益受到重视。
自2008年起,在承接印度火电厂DCS系统项目时,技术协议中明确规定:对于锅炉安全系统(fuel safety system,FSS),应满足至少采用三重冗余化配置的故障安全系统,所供应的FSS控制器产品必须遵循国际相关标准制造,并通过国际权威机构TüV认证。TRICONEX公司旗下的TRICON系统是一种现代化、可编程的过程控制器,它具备三重组合式冗余(triple modular redundant,TMR)结构,可提供先进的系统控制[2]。于是,上海福克斯波罗有限公司在I/A Series分散控制系统(简称I/A系统)中引入了TRICON系统,作为提高系统安全可靠性的一种设计方案,以满足合同需求。本文主要通过阐述TRICON特性,探讨TRICON+I/A控制组合在火电厂FSS的应用与发展。
1.1 三重组合冗余结构
TRICON系统包含三重组合化的主处理器,每个模块都有三个独立的分电路。该系统具备了三个独立回路并行工作的功能,以及自诊断功能,可降低单一功能失效导致的风险,提高信号的准确性、可靠性[3]。三重组合冗余结构如图1所示。
图1 三重组合冗余结构示意图
由图1可知,输入模件内部由A、B、C三个完全相同的支路组成。三个主处理器MPA/MPB/MPC各自独立执行控制程序,每个系统支路独立地执行控制程序,并与其他两个支路并行工作;在同一个周期内通过TriBUS高速总线进行表决和同步,以识别、补偿控制系统的错误,并采取纠正措施。每个组件箱内均配双重电源和I/O模块。主处理器经I/O BUS把控制程序所产生的输出发送给输出模件,由输出模件进行表决,并将表决结果传送到输出端子。对于输出模件而言,其内部还特设反馈电路,可测试来自输出终端的环回路数据,提供信息、检查结果,并给出最优选的有效输出。
1.2 强大的容错、纠错能力
TRICON的三重冗余微处理器,提高了系统的硬件故障裕度;智能I/O模块的“表决机制”,提高了全面的故障自诊断能力[4]。TRICON超强的自检、自校功能,减轻了主处理器的工作负荷,提高了控制器及其控制过程的可用性。
1.3 良好的可扩展性
TRICON提供多种通信接口,以满足多种通信方式,并可支持远程I/O模件。主处理器通过通信总线将数据传输给通信模件,再由通信模件将数据发送至其他设备,并由专用的通信卡无缝接入DCS系统[5]。
TCM卡通信连接示意图如图2所示。
图2 TCM卡通信连接示意图
1.4 国际权威机构认证
TRICON系统具有TüV AK6级证书,符合德国技术监督局的DIN标准,满足AK5、AK6及SIL3要求(应用于紧急停车、火灾检测、环境、健康等领域)[6]。
1.5 良好的在线维护
TRICON系统可支持“热插备件”模件,供I/O模件在线维修和应急时使用。
1.6 适应多种编程语言
TRICON系统基于Windows 的TriStation 1131程序平台进行控制逻辑的开发,并支持离线仿真。软件组态可执行四种程序语言:功能模块程序语言(function block diagram,FBD)、梯形图程序语言(ladder diagram,LD)、结构语言(structured text,ST)、因果矩阵程序语言(cause and effect matrix,CEM)。
由于TMR是硬件层面的,单个设备连上接线端后,三重冗余的系统工作由TRICON自行管理,所以TRICON编程组态只需一组软件,不会增加工作量。
炉膛安全监控系统(furnace safeguard supervisory system,FSSS)是电厂DCS安全控制的重要组成部分。它由FSS和燃烧器控制系统(burner control system,BCS)两部分组成。BCS的功能是在锅炉整个运行的各个阶段,对燃烧器的启动、停止进行自动控制,同时对燃烧过程的运行工况进行连续监控。而FSS的功能主要是当运行出现异常工况时,快速切断燃料,以防止炉膛内积聚燃料而引起的爆燃和设备损坏[7]。
由于FSS的锅炉保护级别较高,因此在项目设计中,其通常采用独立的控制器。但是,控制器不分控制功能和保护功能,均采用同类型的控制器。I/A分散控制系统和绝大部分DCS系统一样,采用硬件的冗余配置(控制器、电源模件、通信总线以及I/O模件的冗余)的方法来提高系统的安全、可靠性[1]。由于投资成本的原因,国内机组的锅炉保护系统极少会采用专门的安全相关系统。
自国际电工委员会发布了功能安全基础标准IEC 61508以来,整个DCS系统安全功能越来越被人们重视。三重冗余的TRICON控制系统,已广泛应用于国内化工[6,8]、核电[9]系统;在火电厂汽机跳闸保护系统中的应用也越来越多;国外火电厂FSS也有不少应用采用了TRICON+I/A控制组合。
从TRICON的特性出发,结合工程的实际情况,兼顾设备的先进性和系统安全性、经济性等方面,在设计中重点考虑以下几个思路。
(1)考虑可靠性优先的原则,提高功能安全功能。
①TRICON的硬件三重冗余结构提供了超强容错的能力。该系统具备自诊断、自修正能力,无需启动其他的设备或功能来消除或降低风险,使高安全性、高可用性得到保障。
②TRICON的智能模块和I/O模块的表决机制,消除了因硬件故障造成的事故跳闸。
③采用I/A系统的顺序控制和连续调节联合监控,可预防事故的发生,实现了锅炉正常控制和联锁保护;采用程序管理,可满足工艺安全需求。
(2)考虑符合实际的可操作性和经济合理原则。
常规的锅炉安全系统FSS包含炉膛吹扫、油泄漏试验、主燃料跳闸(main fuel trip,MFT)这三大功能。由于FSS逻辑信号大多数是经DCS运算后产生的,全部功能由TRICON实现,会使得TRICON与I/A间往来的输入、输出信号比较多,逻辑处理比较凌乱,造成投资、改造成本上升。
设计考虑TRICON+I/A组合优势互补,分析FSS的三大功能:MFT对于信号处理的要求比较高,当MFT跳闸条件出现时,需作快速响应并将节点输出到驱动设备。TRICON系统具有冗余容错及快速响应的特质,在快速响应上有优势且无需人工干预,故把MFT功能纳入TRICON实施。
而I/A系统具有综合运算、数据处理、操作显示、完善人机界面等方面的优势,炉膛吹扫功能和油泄漏试验都需要人工判断、确认后才可启动,并由人机界面操作显示。故把油系统泄漏试验和锅炉炉膛吹扫这两个主要功能纳入I/A系统,使整个系统控制功能独立于功能安全系统。
三重冗余的TRICON实现MFT的逻辑,使MFT功能独立于I/A逻辑控制,一旦事件条件信号触发,可实现急速响应,不设人为断点,减少了人为误动因素和错误操作概率;TRICON+I/A组合控制,综合考虑了经济性和功能合理性,既符合目前的市场状况,又可提升系统总体的可用性。
(3)考虑符合设计规范、国家标准,满足合同需求。
①按照印度方的技术协议,规定锅炉保护系统FSS需要采用三重冗余化配置的故障安全系统。引入TRICON系统三重冗余结构的可编程控制器,并具有和I/A系统完整融合的优势,且具备TüV认证,可以满足客户合同需求。
②考虑设计规范要求,重要保护信号必须采用冗余,信号跨控制器传递需采用硬接线连接。所以,TRICON系统与I/A系统之间的保护信号,在采用硬接线连接逻辑信号传输时,信号均采用三个输入、三个输出的冗余配置。它们之间采用以太网通信方式进行逻辑软信号的传输,并通过TRICON专用通信模块(高级通信模件ACM)与I/A系统实现通信。由ACM通信卡连接I/A系统的通信口,作为DCS通信上的一个节点,把TRICON系统的数据与诊断信息传递给DCS,实现TRICON和 I/A系统的无缝接入[10]。
本文以印度某项目660 MW燃煤电站工程的分散控制系统为例,这也是第一个实际投入TRICON+I/A组合应用的项目。此项目锅炉采用上海锅炉厂生产的超临界压力参数直流炉、四角切圆、一次再热、平衡通风、露天布置、固态排渣、全悬吊结构Π型布置。32只直流式的煤燃烧器分8层布置于炉膛四角,炉膛以切圆的方式燃烧。整个锅炉采用5层油(1层轻油、4层重油)燃烧器、8层煤粉燃烧器。点火方式为轻油点火,点燃重油和煤粉,在锅炉不投煤仅燃油的情况下,轻油可达10%锅炉最大负荷,重油可达到25%锅炉最大负荷。
此项目规定:锅炉炉膛FSSS的燃烧器控制系统部分,控制处理器应单独冗余配置,FSS部分采用TüV认证的SIL-3安全系统。根据合同需求,考虑控制功能和功能安全的分隔[10]以及项目成本,FSSS的核心逻辑MFT选用了三重冗余的TRICON系统来实施,其他逻辑由I/A系统来实现,以符合机组整个系统的安全性,实现安全、可靠的运行。以下主要阐述TRICON+I/A组合控制的FSS应用实例。
4.1 FSSS的方案配置
4.1.1 硬件配置
FSSS在I/A系统DCS配有5对控制器,该系统共占用10个机柜。在TRICON配有1对控制器,采用1个机柜。
I/A+TRICON组合的控制器分布如下。①CP100A控制器:分配有A、B磨煤机、给煤机及相关设备;AB层油设备。②CP100B控制器:分配有C、D磨煤机、给煤机及相关设备;CD层油设备。③CP100C控制器:分配有E、F磨煤机、给煤机及相关设备;EF层油设备;火检风机B。④CP100D控制器:分配有G、H磨煤机、给煤机及相关设备;GH层油设备;密封风机B。⑤CP100E控制器:分配有MFT首出显示点;炉膛吹扫,有系统泄漏试验相关点;火检风机A、密封风机B;BC层轻油设备;还含有炉侧SOE点。⑥TRICON的控制器:单独完成MFT逻辑。
4.1.2 软件配置
FSSS包含BCS和FSS两大块。其中BCS功能由I/A系统完成,同常规设计,在此不作赘述;而燃料安全系统FSS涵盖的功能,由TRICON+I/A完成。
FSSS控制功能分配如图3所示。
图3 FSSS控制功能分配示意图
4.2 由I/A实施炉膛吹扫功能
锅炉炉膛吹扫条件如下:①无触发MFT的条件信号;②全炉膛无火焰;③至少各一台送、引风机运行;④空预器运行;⑤一次风机全停;⑥燃油快关阀关;⑦所有油燃烧器油角阀关;⑧所有磨煤机和给煤机停;⑨30%<总风量<40%;⑩磨冷热风门及出口阀全关;开二次风门至吹扫位。
当满足炉膛吹扫条件后,I/A系统的控制逻辑会自动设置风门吹扫位:①开二次风门至吹扫位;②关闭SOFA挡板;③置燃烧器水平位;④至二次风挡板开最大后切手动。
满足锅炉吹扫条件后,运行人员可按需操作,按下“启动吹扫”按钮,发“吹扫指令”,开始5 min的吹扫计时。在这期间内若发生MFT触发信号或吹扫条件不满足现象,系统会认为“吹扫中断”,计时“清零”;否则,吹扫计时5 min之后,系统发出“吹扫完成”信号,自动复位MFT。在泄漏试验未被旁路情况下,延时10 s后,自动进行轻油泄漏试验和重油泄漏试验。
4.3 由I/A实施油泄漏试验功能
4.3.1 油泄漏试验允许条件
油泄漏试验允许条件如下:①所有油燃烧器油角阀关;②进油母管压力允许;③总风量>30%;④无触发MFT的条件信号;⑤所有火焰检测无火。
4.3.2 采用I/A顺控块实现油泄漏试验
油泄漏试验过程为:开进油快关阀,开回油快关阀,开调节阀,对油管路充油60 s,关回油快关阀。若在 60 s内, 油母管压力没有达到设定值,即充油失败,试验中断;否则为母管充油成功,关进油快关阀。然后,泄漏试验开始计时3 min,监视进油快关阀后油压变化,若3 min前、后的油压压差变化大于设定值,即说明油管路有泄漏,试验失败;否则,开回油阀,让油管路卸油,直到进油快关阀后压力开关低动作,关回油阀。再次开始3 min计时试验,监视进油快关阀后油压变化过程。若3 min前、后油压压差大于设定值,说明进油快关阀有泄漏,试验失败;否则,整个泄漏试验成功。此外,当运行人员确认油系统无泄漏情况时,可以人工旁路泄漏试验。
4.4 I/A+TRICON的MFT方案
TRICON+I/A组合的MFT方案:在TRICON控制系统中,设计有MFT跳闸逻辑,以及MFT跳闸原因的首出记忆。本设计方案以失电跳来完成保护功能。此外,控制台上设有手动MFT,以备应急操作。此印度项目具体的MFT信号传递如图4所示。
图4 MFT信号传递示意图
当任一个MFT条件出现时,TRICON系统对输入信号作三重冗余运算处理后,会快速触发MFT动作,并产生首出跳闸记忆信号;然后,进入TRICON输出模件,并经三取二表决机制后,将结果信号输出给I/A系统作为SOE信号,同时把MFT触发信号输出给MFT继电器柜;最后,将3个MFT信号输出给MFT继电器柜。TRICON系统还把MFT跳闸首出信号输出给I/A系统,以实现MFT首出、SOE及报警显示功能。
对于MFT信号的复位,设计了自动复位功能。在I/A系统中,当锅炉炉膛吹扫条件满足后,运行人员可以根据运行需求,人工启动炉膛吹扫逻辑;当炉膛吹扫完成后,I/A系统会输出“自动复位MFT信号”给TRICON柜和MFT继电器柜,实现复位MFT信号。
4.5 TRICON+I/A间的信号处理
此项目中,I/A系统涉及MFT联锁动作的部分,均采用双重信号控制,即TRICON送来的MFT信号硬接线信号或TRICON+I/A间通信的MFT信号,以确保MFT信号可用性。下面分别以开关量“炉膛压力过低信号”、模拟量“送风风量<25%”为例,解析I/A与TRICON系统间的信号传递处理过程。①若MFT触发条件信号原信号为开关量信号:如炉膛压力过低,信号从现场直接接入TRICON,其取自现场压力的3个开关信号,并分别进入TRICON的3块输入卡,经输入模件表决处理,在主处理器中分别进行三重冗余自检纠错处理;输入表决后,再经MFT逻辑运算,向MFT继电器柜以硬接线方式输出3个触发MFT的驱动信号;同时,将MFT信号送I/A系统作SOE点,并作首出记忆显示和报警。②若MFT条件信号的原信号为模拟量信号(如送风风量<25%):AI信号来自现场,接入I/A系统,经MCS信号运算或补偿处理后,转成3个硬接线开关量的DO输出信号,作为MFT跳闸条件之一,分别发送给TRICON柜和I/A系统FSSS机柜,再进行逻辑运算。而在I/A系统FSSS保护逻辑需用此风量信号时,采用双重信号控制:一路信号取自TRICON以硬接线方式输出的信号;另一路信号取自MCS转换来的信号。
本文所研究的TRICON+I/A组合控制的FSS方案,实现了控制功能和功能安全的分隔;充分发挥了TRICON和I/A系统的各自所长;很好地平衡了系统误动和拒动关系;兼顾了项目的经济合理性,提高了系统安全可靠性;完善优化了原有的I/A系统FSS方案,推动了TRICON系统在火电厂FSS的设计应用,使TRICON+I/A组合控制向功能安全系统发展迈进了一步。此方案在2010—2016年间,已成功应用于印度火电厂20多套机组上,多年运行实践证明了该方案的可行性和安全可靠性。该方案为TRICON在国内火电厂FSS的设计应用提供了借鉴。
[1] 李成.IEC61508功能安全标准在电厂安全系统设计中的研究与应用[D].上海:上海交通大学,2010.
[2] 徐彩霞,许江涛,边瑞波.TRICON控制系统在大型机组的应用与研究[J].自动化与仪器仪表,2011(3):6-8.
[3] 刘华.安全仪表系统在锅炉保护中的设计与实现[J].自动化仪表,2016,37(11):58-65.
[4] 黄文君,何伟挺,边俊.安全仪表系统的功能安全设计[J].自动化仪表,2010,31(7):75-78.
[5] 黄军政,杨权文,王晓春,等.CS3000和Tricon系统的Modbus通信探讨[J].自动化仪表,2013,34(6):83-85.
[6] 郑伟智,张礼兵,刘静波,等.核电站安全级DCS应用软件设计过程浅析[J].自动化仪表,2014,35(2):53-57.
[7] 李铁华.200MW机组FSSS监控系统及程控点火研究与应用[D].天津:天津大学,2008.
[8] 刘思潮,刘岚松,李银轩.机动车安全性能检测线控制系统的研究与设计[J].自动化仪表,2010,31(1):61-64.
[9] 王钊.功能模块的设计与应用研究[J].自动化仪表,2015,36(11):4-7.
[10]焦欢欢,马晓晨.Tricon系统在方福项目反应堆保护中的应用[J].工业控制计算机,2012,25(1):59-59.
Application of TRICON+I/A in FSS of Coal-Fired Power Plant
QIAN Lin
(Shanghai Foxboro Co.,Ltd.,Shanghai 200331,China)
With the development of instrumentation and control technology, the functional safety system has been paid more and more attention.As a design scheme for improving the reliability of the system safety, TRICON system is intergrated into the I/A Series distributed control system (DCS) of Shanghai Foxboro Co., Ltd.Through introducing the characteristics of TRICON, the current application status of FSS in the I/A system design is analyzed, and the design concept of applying TRICON + I/A in FSS is described, the implementation examples of TRICON+I/A are also analyzed.The FSSS scheme controlled by TRICON+I/A realizes the separation of the control functions and functional safety, and improves and optimizes the original I/A controlled FSSS scheme, this makes the system take a step forward to the development of functional safety system.The combination control of TRICON+I/A achieves the complementary advantages of both, the relationship between the misoperation and refusal-action is well balanced, and the reliability of the system safety is further increased.The system safety and the economic rationality are taken into consideration in this design combination of FSSS.This scheme has been successfully applied in several projects in India.The practice shows that the scheme is feasible, safe and reliable, and it has also provided certain reference for the application of TRICON in FSS design of domestic coal-fired power plant.
Coal-fired power plant; TRICON; TMR; Function safety; DCS; FSS; FSSS; Combination control
钱林(1963—),女,学士,工程师,主要从事火电厂热工自控标准化设计应用和FSSS、SCS应用设计工作。 E-mail:qianlin_3@126.com。
TH7;TP39
A
10.16086/j.cnki.issn1000-0380.201706009
修改稿收到日期:2017-04-16