防止 DCS 软件事故之逻辑设计反事故措施

防止 DCS 软件事故之逻辑设计反事故措施

1.1 除特殊要求的设备外（如紧急停机电磁阀控制），其他所有设备都应采用脉冲信号控制，防止 DCS 失电导致停机停炉时，引起该类设备误停运，造成重要主设备或辅机的损坏。

1.2 跨系统/控制器传输的保护信号逻辑应遵循以下原则：

 a）跨系统/控制器模拟量信号三重化判断逻辑。先在模拟量信号输入的系统控制器中分别进行质量和高/低限值判断后，通过开关量输出（DO）通道分别送至对应的另一个系统的控制器，然后再进行“三取二”判断（如 DCS 至 PLC），如图 1 所示。

b）跨系统/控制器开关量信号三重化判断逻辑。开关量信号分别通过 DO 通道送至对应的控制器，然后再进行“三取二”判断，如图 2 所示。

1.3 触发停炉、停机保护信号的开关量或模拟量仪表应单独设置，当确有困难而需与其他系统合用时，其开关量信号应首先进入保护系统，然后再通过隔离设施引至其他系统。

1.4 RB 触发及重要的保护、联锁、设备启停允许等逻辑条件应避免因单一测点回路故障导致逻辑信号误发或拒发，尽可能采取冗余信号判断，若确实难以获取直接的冗余信号，应根据工艺相关性构筑冗余信号判断，保证逻辑输出的可靠性。如对于重要电动机设备的“停运”信号，若电气不能送出 3 个“停运”状态信号，可采用停止反馈、运行反馈取非、电动机电流小于定值构成“三取二”停运判断，如图 3 所示。

图 3 辅机状态“三取二”判断

1.5 参与汽包水位、主蒸汽流量、主给水流量等重要信号补偿运算的温度、压力信号应采取冗余配置、质量判断、设置上下限幅等措施，防止补偿信号故障导致被补偿信号失真。

1.6 报警、保护定值应与设备厂家资料及定值清册相符。

1.7 延时参数应与设备厂家资料及定值清册相符。与燃烧有关的信号，如二次风压、炉膛负压、送风流量、出口烟气压力等，不应在变送器内设置延时。应取消火焰检测器内对火焰丧失信号的延时或设置为小值，可在保护逻辑中适当设置火焰丧失信号的延时时间。

1.8 炉膛压力、机组负荷、给水泵转速、汽包水位、风机调节等由运行人员设置目标值的控制回路，应对设定值设置上、下限幅和速率限制，防止设定值变化过大、过快造成扩大化事件。

1.9 对于重要辅机及辅助油泵的启停，重要电气开关分合闸，会造成系统介质中断的汽、水、风、烟、煤、油等系统阀门开关操作，为防止误操作，需设置操作指令二次确认功能，避免在人员出现手误时，因操作一次即接受指令造成设备误动。

1.10对不会造成辅机损坏，但会对系统产生较大扰动的辅机跳闸保护，可将保护改为报警。

1.11单元机组应配置适应煤种变化的 BTU 回路，并限定 BTU 燃料修正系数的变化速率，防止燃料修正系数变化过快引发炉膛燃烧剧烈扰动。

1.12重要电动阀门宜设置中间“停”功能。

1.13调节系统下游回路输出受到调节限幅限制或因其他原因而指令阻塞时，上游回路指令应同步受限，防止发生指令突变与积分饱和。在系统被闭锁或超弛动作时，系统受其影响的部分应随之跟踪，在联锁作用消失后，系统所有部分应平衡在当前的过程状态，并立即恢复其正常的控制作用。

1.14对于停炉不停机运行模式机组，在低负荷（60%负荷以下）锅炉跳闸应直接联跳汽轮机；锅炉汽包水位高三值也应立即联锁汽轮机跳闸。

1.15汽轮机和重要辅机轴承温度高保护，应避免单点保护；已采用单点温度高跳闸相关设备的，应采用越限判断、速率限制、品质判断，并设置适当的延时时间等措施，避免误动。

1.16送风机、引风机、一次风机、磨煤机、循环水泵等重要辅机的电动机线圈及轴瓦温度的检测宜选用热电偶测量元件；若已选用 Pt100 等热电阻元件，则应根据温度信号变化率进行检测信号的质量判断，为防止保护误动、拒动，温度信号变化率宜在 5℃/s～10℃/s 之间选择，并将保护信号设置 1s～2s 的延时。

1.17对于热电阻接线松动或接触不良等表现为温度快速大幅跳变的故障，可增加速率超限切除保护报警，并增加光字牌报警提醒运行人员。当温度恢复到正常范围内，且温度变化速率正常并延迟一段时间后，保护自动投入，防止保护长时间退出，如图 4 所示（定值仅供参考）。

1.18炉膛负压控制宜设方向闭锁，在炉膛压力低时，应闭锁引风机叶片（或入口挡板）开度进一步增大；在炉膛压力高时，应闭锁引风机叶片（或入口挡板）开度进一步减小，闭锁条件消失时控制指令无扰动。

1.19当炉膛压力高时，应闭锁送风机叶片（或入口挡板）开度进一步增大；炉膛压力低时，应闭锁送风机叶片（或入口挡板）开度进一步减小，闭锁条件消失时控制指令无扰动。

1.20涉及主路工质断流的重要阀门/挡板应设有预防或处置阀门/挡板误关的安全措施，

1.21如设置防关定位插销并纳入操作卡、运行期解除阀门/挡板的控制信号、经审核把重要阀门/挡板改为就地手动控制仅远传开关反馈并纳入操作卡、设置主回路执行器与旁路的电动门/气动门的联锁以防止主回路突关而介质断流等。

1.22汽水系统、风烟系统等重要阀门/挡板联锁信号应避免采用阀门/挡板单一反馈信号，防止重要执行机构误关。

1.23为提高循环水泵出口蝶阀 15°反馈信号的可靠性，宜采用双行程开关或同等逻辑判断。

1.24优化汽动给水泵和汽动引风机控制策略：

 a）根据低压调节阀流量特性，增加调节器输出上限来减小调节死区，如给水泵汽轮机低压调节阀在 60%位置为大出力，设置输出上限为 60%；

b）正向控制偏差较大时（如正常运行时转速偏差大于 150r/min），设置闭锁增逻辑；

 c）根据汽源参数变化，构造变参数控制；

d）设置加速度判断逻辑，当给水泵汽轮机转速大于一定值且加速度较大时，前馈联关一定开度的低压调节阀，条件消失后前馈信号应缓慢归零。

1.25采用液压调节的风机，应设置液压油失去闭锁控制指令输出的功能。

1.26对于自动调节回路中所有手动/自动切换条件、方式切换条件应考虑条件的合理性，应检查自动回路中有无判断输入信号异常、故障时切除自动功能，有无过程变量与设定值（曲线）偏差大切除自动功能，有无指令与反馈偏差大切除自动功能，有无控制系统电源和气源故障报警及切除自动功能等，防止出现调节发散失控或反向调节，切除时应立即报警。

1.27汽包水位、除氧器水位的供水自动调节应有单冲量、三冲量调节模式画面显示，单冲量、三冲量模式应按条件相互自动切换。

1.28炉膛压力保护信号、凝汽器真空保护信号的检测可选用压力变送器，便于随时观察取样管路堵塞和泄漏情况。

1.29自动发电控制（Automatic Generation Control，AGC）信号应根据电网调度批准的调节范围和调节速率，设置上下限值、变化速率限值。当 AGC 信号越限、变化速率越限、信号故障以及与实际负荷偏差大时，自动退出 AGC 控制方式。

1.30联锁保护逻辑修改应采用逻辑关系框图形式进行。对难以用逻辑框图描述的复杂逻辑修改，应由提出人、修改人共同试验验证，避免出现逻辑修改结果与审批方案不一致的情况。对于组态逻辑正确性的验证，除静态模拟、仿真之外，必须进行一次完整的带实际设备的动态传动试验。

1.31送风机、引风机、给水泵、锅炉主控、燃料主控、汽轮机主控等重要的自动控制回路方向闭锁时应在操控画面显示闭锁方向和闭锁原因，避免运行人员误诊断、误处理。4.2.31 锅炉汽包水位信号的处理不应采用“三个测量信号两两均偏差大时保持当前值”的逻辑。

1.32抽汽止回阀应增加电磁阀带电/失电指示画面，应增加抽汽止回阀电磁阀失电报警。

1.33循环水泵应增加断轴保护逻辑，可设置为：

a）相应循环水泵运行；

       b）循环水泵电流低（定值：正常运行电流的 70%）；

       c）出口压力低。以上条件同时具备，循环水泵断轴保护逻辑触发。