提高OVATION 控制系统维护可靠性的分析与预控措施

邵程安，郭 勇

（浙江浙能温州发电有限公司，浙江 温州 325600）

0 引言

浙江浙能温州发电厂四期为“上大压小”工程，关停现有的2 台135 MW 机组，并利用浙江省内关停的其它小火电机组发电容量，新建2 台660 MW 超超临界燃煤发电机组，同步建设烟气脱硫、脱硝装置。

机组DCS（分散控制系统）采用上海艾默生过程控制有限公司的OVATION 系统，利用当前最新的分布式、全局型相关数据库完成对系统的组态[1]。全局分布式数据库将功能分散到多个可并行运行的独立站点，而非集中到一个中央处理器上，不因其他时间的干扰而影响系统性能。OVATION 系统包含许多通过高速以太网相互连接的工作站，每个站都能接收数据，并在其他站需要的时候传输数据。

温州发电厂四期8 号、7 号机组于2015 年底和2016 年初相继投产使用。运行期间，OVATION系统运行稳定，控制性能良好；人机交互界面友好，易于运行操作和日常维护；硬件设备可靠性高，故障率低；系统开放度较高，易于上手。但是尽管如此，在正常运行期间，还是出现了几次因细节不完善而导致的异常事件，对生产安全产生了不小的影响。以下分析其原因和可能产生的后果，并提出相应的解决方案，从而提高控制系统的可靠性。

1 DCS 配置情况

1.1 系统概览

温州发电厂7 号、8 号机组的控制分别由2 套DCS 实现，公用系统设置DCS 公用网[2]。单元机组DCS 从功能上可分为以下子系统：MCS（模拟量控制系统）、FSSS（炉膛安全监控系统）、SCS（顺序控制系统）、DAS（数据采集系统）、ECS（电气控制系统）、BPC（旁路控制）、MEH（小汽轮机电液控制系统）、DEH（汽轮机数字电液控制系统）。同时将锅炉吹灰器控制、除渣系统控制、SCR（烟气脱硝）控制区、脱硫控制等纳入机组DCS。除此之外，本工程中也应用了总线控制技术[3]，包括DP 总线和FF 总线。

1.2 网络结构

OVATION 系统网络采用Fast Ethernet 网拓扑结构[4]，并采用冗余方式工作，网络硬件目前采用交换机作为网络的通信设备。网络传输速度为100 Mbps/s，每条网络上最多挂254 个节点[5]。网络结构如图1 所示。

图1 DCS 网络结构

以8 号机组为例，单元机组系统分布在主机侧和脱硫侧，包括服务器、历史站、OPC 服务器、工程师站、操作员站及控制柜等。控制柜内的控制器采用冗余1：1 配置，并严格遵循机组重要保护[6]和控制分开配置的独立性原则，以防止一对控制器故障导致机组被迫停运事故的发生。

2 维护过程中的不足及应对措施

2.1 交叉参考不完全[7]

（1）故障现象。2018 年3 月11 日06：23，机组运行正常，工程师站值班人员接运行通知8 号炉脱硝稀释风流量异常波动，需先强制稀释风流量低跳脱硝保护。由于不熟悉逻辑，值班人员在通过交叉参考功能寻找需强制位置时，只强制了稀释风流量低跳电加热保护和稀释风流量低尿素溶液喷射器系统自动停保护。08：28，8 号炉脱硝所有喷枪隔离阀关闭，喷枪撤出，导致脱硝系统退出运行。

（2）原因分析。在检查稀释风流量低撤出脱硝逻辑后发现，“稀释风流量”这一点在2 处使用：第一处是开8 号炉尿素计量分配装置计量隔离阀许可，第二处是稀释风流量低关8 号炉尿素计量分配装置计量隔离阀。但不论是从其他逻辑图中交叉参考到该逻辑页面，还是直接在画面中对点进入逻辑页，均只能显示交叉到第一处，无法交叉至第二处。进一步分析后发现，在OVATION 系统的交叉参考功能中，交叉参考时只能显示这一点在哪一页使用，但不显示在这页中使用了几处。如果一个点在一页内作为输入在多处使用，则只能连接至功能块执行顺序靠前的那一处。在日常维护中，这种情况极易造成强制时出现遗漏，严重影响机组安全运行。

（3）解决方法。在强制重要保护信号时，应该通过OVATION 中的Control Logic-Navigator（控制逻辑导航）工具进行确认是否有遗漏。以炉膛压力PT2710-SEL 为例，主要操作如下：

在逻辑页中， 对需要强制的点选择“Point Search”（点搜索），打开Control Logic Navigator，此时显示该点在9 张逻辑页中使用，每一页展开之后显示出该点直接连接了多少个功能块。在本例中，该点连接了5 个功能块：LOWMON，HIGMON，SMOOTH，TRANSFER 以及SUM。而通过交叉参考只能连接到LOWMON 和HIGMON，则表明在本逻辑页中还有其他处使用该点，另一处正连接了SMOOTH，TRANSFER 和SUM。通过这种方法就找出了所有的使用之处。此方法对模拟量点和打包点同样适用。

（4）预控措施。在对重要信号进行强制时，除了使用该方法防止强制遗漏之外，更应该在以下两方面从根本上减少此类事故的发生：第一是热控人员加强学习，提升自身的专业技能，特别是提高对重要保护逻辑的熟悉度；第二是在逻辑组态时，当一个点作为输入在一页逻辑中需连接至多处时，尽量从一个输入功能块引出，如果必须使用多个输入功能块，则根据重要性合理设置执行顺序。

2.2 未接地导致设备故障[8]

（1）故障现象。在集控室的网络柜内安装了OVATION 光电转换器框架EMC1600，分别连接至公用网络柜和8 号机组网络柜，通过框架内的光电转换器实现信号的远距离传输。在机组投产后的一年内，连接至8 号机组网络柜的3 个光电转换器发生故障的频率比较高，故障导致相应设备离线。

（2）原因分析。用万用表检测发现，该框架对地有100 V 交流电压。进一步检查发现，该光电转换器电源接线设计为电源切换装置ATS-空气开关ACB-转接端子TB2-EMC1600，而在经过空气开关ACB 时，只接了火线和零线，地线[9]并未接，从而导致EMC1600 外壳带电，引起光电转换器故障。

（3）处理方法。在转接端子TB2 处将EMC1600电源线中的地线引出，连接到机柜的接地端子[10]，框架的电压随即消失。光电转换器之后也再未发生此类故障。

（4）预控措施。在实际应用中，无论是信号接地还是保护接地[11]，都应该保证可靠的接线，防止因此造成的设备、信号故障。

2.3 在线修改量程功能不完善

（1）故障现象。OVATION 系统可通过Sensor calibrate（传感器校正）工具在线修改模拟量信号量程。但由于其功能不完善，在修改时会产生以下问题：在Sensor calibrate 中输入需修改点的KKS码并回车的同时，该点便被扫描切除，变为坏质量，若该坏质量在逻辑中传递，可能导致下行算法中的M/A 站切至手动，即可能撤出某些主要设备的自动进而撤出AGC（自动发电控制），从而影响电网的安全稳定；改完成后，Point information（点信息）[12]内的显示量程并不会发生变化。

以量程为0～2.5 kPa 的4-20 mA 模拟量信号为例，在线将量程从0～2.5 kPa 改为0～100 kPa之后，其Maximum Scale Value（量程终点值）中的显示量程上限仍然为2.5。这极易使检修人员产生误判，影响机组安全。

（2）原因分析。OVATION 系统内部设置了在线修改量程时，将被修改点扫描切除并置该点为坏质量，以防止因修改过程中发生的数值变化而导致自动控制异常。同时，由于在线修改量程实际上是修改控制器[13，17-18]中的转换系数，并不会反向计算其显示量程并向数据库同步， 而Point information 显示的正是数据库内的显示量程。

（3）解决方法。在修改量程之前，应该对点质量进行强制，避免坏质量的传递。同时，在查询模拟量点的量程时， 不能只看Maximum Scale Value 和Minimum Scale Value（量程始点值）上的显示量程，更应该看其Conversion Coefficient 即转换系数。上述例子中，转换系数为6 250 和-25。因为4-20 mA 信号的转换是线性转换，其转换公式如下：

式中：Y 为实际量程；X 为现场来的4-20 mA 信号。

计算时需将X 信号单位转换成A，再将信号上限X=0.02 A 代入式（1）得出实际量程上限为100。

（4）预控措施。在机组运行期间应尽量避免在线修改量程。如必须修改，应提前强制信号点质量，防止坏质量的传递。同时在查询模拟量点的量程时，应通过转换系数确定其实际量程。

2.4 执行顺序设置不当

（1）故障现象。7 号机组运行过程中，曾发生因引风机B 跳闸而导致机组RB（辅机故障减负荷）动作的事故。按照逻辑设置，机组RB 过程中，在跳闸磨煤机的同时，应自动投运A 和F 层油枪用以稳燃[14]。但在RB 过程中油层并未自动投运，只能由运行人员手动投入A 层、F 层油枪。

（2）原因分析。RB 后自动投油控制逻辑如图2 所示，需以下3 个条件同时满足才能触发：RB去FSSS 跳磨投油；对应层磨煤机运行；磨煤机运行台数大于3。RB 发生时a 信号从0 变成1，c信号从1 变成0，由于a 信号功能块的执行顺序是24，c 信号功能块执行顺序是22。根据DCS 系统组态执行原则[15]，一个执行周期内按功能块执行顺序从小到大扫描读取数据[16]，条件c 先不满足，从而“与”门条件不满足，导致A 层、F 层油枪未自动投运。

（3）处理方法。 如图3 所示，将RB 去FSSS跳磨投油信号执行顺序调至磨煤机运行台数大于3 信号之前，保证逻辑的合理性。

图2 跳磨投油部分逻辑

图3 修改后的功能块执行顺序

（4）预控措施。在逻辑组态的过程中，应该根据信号的重要性以及实际应用时逻辑的合理性正确地设置各功能块的执行顺序，以防止设备的误动和拒动。

3 结语

随着发电厂机组向高参数、大容量、高自动化水平方向的发展，对DCS 控制系统的要求也越来越高。而DCS 系统经过近半个世纪的发展，也已经逐渐成为一项成熟的工程技术，其复杂程度也日益提高。DCS 系统像是整个发电厂的“神经中枢”，一旦发生故障，就会关系到整个机组的安全生产。因此，在DCS 系统功能不断增加的同时，也应该从完善维护细节、提升维护水平上提高整个系统的可靠性，只有在生产设计、基建安装和日常维护过程中更加注意对细节的把控，才能保证机组安全可靠地运行。