火力发电厂热控信号冗余保护典型问题与优化策略

性、避免保护连锁回路误动和拒动、减少发电机组经济损失及不安全事件的发生，开展了国内火力发电厂热工保护冗余信号选取及判

断机制的调查。对分散控制系统(DCS)组态中典型的双冗余、三冗余信号保护，以及保护连锁逻辑判断方面常见的不合理方式进行

了研究。运用逻辑运算、组态、真值表等方法进行分析,指出不合理的逻辑组态存在的风险及隐患，提出了优化改进的方法，在实际应 用中切实提高了保护连锁回路的可靠性。优化的保护策略突破了传统的冗余保护设计，在热工保护智能化方面作出了新尝试，对其

他工控领域也同样具有启发和借鉴作用。关键词：连锁保护回路；可靠性；信号选取；保护误动；保护拒动；冗余；安全仪表系统；证实信号

中图分类号：TH-39 文献标志码：A DOI： 10.16086/j. cnki. issnl000-0380.2019080034Typical Problems and Optimization Strategies

of Thermal Control Signal Redundancy Protection in Thermal Power PlantSHEN Tiezhi,WANG Lili(Shenhua Funeng Power Generation Co.,Ltd.,Quanzhou 362700,China)Abstract: In order to correct the common errors in thermal protection control logic of thermal power plants, optimize signal

selection and redundancy judgment mechanism, ensure the correctness and rationality of condition signals for triggering protection

interlocking, avoid misoperation and refusal-operation of protection interlock circuit, and reduce economic losses and unsafe

incidents of generating units, investigation on selection and judgment mechanism of thermal protection redundant signals in domestic thermal power plants were carried out. The typical dual-redundant and triple-redundant signal protection in distributed control system( DCS) configuration and the common unreasonable ways of protection chain logic judgment were studied. By means

of logical operation, configuration, truth table and other methods in analysis ,the risks and hidden dangers existing in unreasonable

logical configuration were pointed out, and the methods of optimization and improvement were put forward, which effectively improved the reliability of the protection interlock circuit in practical application. The optimized protection strategy made a breakthrough in traditional redundant protection design and a new attempt in the intellectualization of thermal protection. It could

offer some helpful inspiration and reference for other industrial control fields.Keywords: Protection interlock circuit ； Reliability ； Signal selection ； Protection misoperation ； Refusal-operation of protection ；

Redundancy ； Safety instrumented system ； Acknowledgment signal0引言火电厂热工保护连锁回路的可靠性直接影响发电

2017年，全国火力发电厂因热控系统故障导致机组非

计划停运的事件中，由于控制系统软硬件、测量仪表、 执行机构及线缆管路故障而引发连锁保护错误动作的

机组的安全、稳定运行。其信号选取的正确性、逻辑合

理性至关重要。国内火力发电厂因热工保护连锁回路 误动、拒动造成的事件，保护连锁信号选取不合理导致

2017年较2016年有较大增幅m o案例数量超过了机组非计划停运总数量的70% ,且

《防止电力生产事故的二十五项重点要求》及火 力发电厂热工自动化系统相关规程、行业标准等均对

的不安全事件占很大比重。根据《2017年全国发电厂

因热控系统故障统计分析与建议》统计,2016年及

收稿日期：2019-08-23连锁信号的选取及处理提出了具体的要求;安全仪表

作者简介:沈铁志(1975-)，男，学士,高级工程师,主要从事火力发电厂热控技术的管理工作,E-mail： 1657690935@ qq. com・86・自 动化仪表第40卷

系统(safety instrumented system, SIS )的概念也很早引

入国内，要求在设计上采用多重冗余系统，提高系统的 硬件故障裕度，使单一故障不会导致SIS功能丧 失a】。但在实际执行中，因设备条件及现场实际情况

的原因导致未执行或降标准执行,冗余信号选取、组态 策略不合理现象仍然存在。这些都是降低保护连锁装 置可靠性的主要因素。对此，应采取恰当的措施，提高 保护连锁回路的可靠性。1双冗余保护常见问题及改进方案1.1不合理的双冗余保护逻辑火力发电厂常见辅机(如磨煤机、给水泵等)的轴

承温度常规设计是安装双支测温元件进行温度监测。 通常采用一个温度信号达到辅机的跳闸值，且另一温

度信号达到报警值，辅机跳闸的保护逻辑。不合理的 辅机轴承温度保护逻辑如图1所示。图1不合理的辅机轴承温度保护逻辑图Fig. 1 Unreasonable temperature protection logic forbearings

of auxiliary machines1.2风险分析从图1的逻辑关系可见，辅机温度保护设计双

支温度元件的初衷是提高系统的硬件故障裕度。当 两支测温元件工作正常时，逻辑结构能够实现要求 的保护功能。但是，当其中任一支温度元件故障或

测量值超限导致信号质量判断为坏质量时，保护逻 辑的输出应是“0”，保护不动作。而若此时轴承实际

温度已达到跳闸值，将会发生保护拒动，导致辅机轴

承烧损。虽然此辅机设备轴瓦采用了双支温度元件作为保

护措施,但在实际逻辑中,却未起到提高设备可靠性的

作用,与单支温度元件并没有区别。1.3改进方案针对此辅机,改进后的辅机轴承温度保护逻辑如

图2所示。从图2可以看出，当任一温度信号质量判断为“坏

质量”时，自动旁路此回路，以避免因单个元件的“坏

质量”而屏蔽另一温度信号保护连锁的正常动作。此

时,辅机的轴承温度保护由两个测温信号变成单一的 测温信号保护，保护信号的冗余度降低,但未失去保护 功能。图2 改进后的辅机轴承温度保护逻辑图Fig. 2 Improved temperature protection Logic for

bearings of auxiliary machines2模拟量信号三取中与三取二用法区别长期以来，火电厂保护连锁用信号状态反馈装置 大多采用开关量仪表。随着科技的进步，模拟量变送

器精度、可靠性及控制器处理速度都有了大幅度提高; 另外，运行人员能够实时监视模拟量仪表自身的工作 状态，这是开关量仪表所不能比拟的优势。开关量仪

表只能通过仪表在工的动作情况来判断仪表是否正 常。因此,工业现场逐渐应用模拟量仪表取代开关量

仪表作为保护信号。通过实例验证分析可知，当三个模拟量信号质量 判断正常时，模拟量三取中后阈值比较方式与模拟量

阈值比较后三取二方式,实际输出的结果完全一致。图3为不合理的三冗余表决逻辑组态，图4为正

确的三冗余表决逻辑组态。图3 不合理的三冗余表决逻辑组态Fig. 3 Unreasonable TMR voting logic configuration第12期火力发电厂热控信号冗余保护典型问题与优化策略 沈铁志，等・87・图4 正确的三冗余表决逻辑组态Fig. 4 Reasonable TMR voting logic configuration对比图3、图4,两者之间的不同在于:模拟量三取

中功能块，当其中一个信号出现“坏质量”时,通常的

做法是输出值采用另外两个信号的平均值;而三取二 功能块中，当其中一个模拟量信号出现“坏质量”时， 另外两个信号采用二取一的方式（防止保护拒动）。如某一工艺保护逻辑采用仪表1、仪表2、仪表3

三个模拟量信号。其中:仪表出现故障，其信号值变

坏质量点;仪表21信号值高于设定值,仪表43信号值低

于设定值。若采用图的三取二逻辑组态方式，此时

保护应动作，逻辑输出会触发连锁;若采用图3的三取 中组态逻辑，此时输出状态取决于仪表2、仪表3信号

值的平均值,保护不一定会动作,增加了保护连锁回路

的拒动概率。国家能源局《防止电力生产事故的二十五项重点要 求》中9.4条“防止热工保护失灵”明确要求:“所有重要

的主、辅机保护都应采用'三取二'的逻辑判断方式，…，

确因系统原因测点数量不够，应有防保护误动措施”。 此处“三取二”不仅是开关量信号在控制器内部的运算

形式，也包括模拟量信号的处理方式。许多项目组态设 计没有认识到其中的差别,导致所有三信号冗余保护的 机制全部采用三取中加阈值判断方式,实际上是存在隐 患的。3三冗余保护常见问题及改进方案模拟量信号三取二保护逻辑，因组态中细节部分

设计不同，在保护策略上可能造成很大的差异,从而违 背设计初衷。3.1传统三冗余保护逻辑使用中的问题模拟量三取二保护逻辑一般配合信号质量判断完 成信号选取输出。这种三冗余信号表决机制,实现的

是在三个信号均正常的情况下,任意两个信号超出设 定值，表决输出为“1”；否则输出为“0”。某电厂辅机轴承温度保护信号采用如图5所示的 强调防误动的三冗余保护逻辑。在正常运行中，该辅

机设备轴瓦温度1变“坏质量”点后，轴瓦温度2、323因

油脂恶化导致温度升高，温度变化较快、反应及时, 而温度变化较慢。因现场采用了第一种方案的三取

二逻辑，输出结果并未立即跳闸辅机，导致保护拒动将 轴瓦烧损。图5 强调防误动的三冗余保护逻辑图Fig. 5 TMR protection logic emphasizing preventionof misoperation3.2风险分析图5逻辑实现的功能是：当三个模拟量信号中出 现一个“坏质量”点时,此路信号被置“” ；若使三取二

功能块输出为“1”“1”，0 则另外两个信号输出必须均为

，相当于此信号冗余机制变成了“二取二”，增加了

保护拒动的概率。对于模拟量信号“三取二”表决机制，还有强调防 拒动的三冗余保护逻辑，如图6所示。图6强调防拒动的三冗余保护逻辑图Fig. 6 TMR protection logic emphasizing prevention

of refusal-operation图6逻辑实现的功能是：当三个模拟量信号中出 现一个“坏质量”点时,此路信号被置“ 功能块输出为“1”“1”，1 ”，若使三取二

则另外两个信号输出任一个为

，相当于此信号冗余机制变成了“二取一”，增加了

保护误动的概率。逻辑关系列真值表,计算可知两种方案的双冗余

方式保护拒动、误动概率。“二取二”逻辑方案保护拒

・88・自 动化仪表第40卷

动概率75% ；“二取一”逻辑方案保护误动概率75%。这两种逻辑组态方案实现的功能,在模拟量信号 “坏质量”时，输出结果可能是完全不一样的。“二取

二”逻辑侧重防保护误动，但拒动概率较高;“二取一” 逻辑强调防保护拒动，但误动率较高。故两种逻辑都

是不完善的保护方案。其根源在于模拟量信号质量坏 点后，从逻辑运算的角度却并未成为“坏质量”点，并

参与了逻辑判断，因而得出不期望的结果。若不清楚 这个区别,在逻辑组态中随意使用,会导致保护误动或

拒动，系统可靠性降低。实际上，在选用二取一或二取二方案时:应考虑是 倾向于避免保护拒动还是保护误动、保护的是主机设

备还是一般辅机设备;应针对现场实际情况进行选取 保护连锁方案，而不是不加甄别地错误地采用某一种

策略。3.3改进方案3.3.1方案一通过对现有安全联锁系统的各个安全联锁功能

(safety instrumented function, SIF )进行定量分析。对过

保护的联锁，要降低保护误动概率；对保护不足的

SIF,则要增加保护功能,降低保护拒动概率。对过程 工业装置进行安全完整性等级SIL)(safety integrity level, 评估后，既可以保证安全联锁系统的安全、可靠,

又降低了保护误动频率⑷。假设有三个冗余模拟量信号A、B、C,引入信号的

报警值与跳闸值，基于以上逻辑组态设计方案的不足,

进行如下改进。①个测点质量判断均正常时，三取

二输出。②33个测点中，仅1个为“坏质量”时，剩余个测点采取一个报警与另一个跳闸值。③32 个测点 中,2个为坏点时,取剩余,31个测点值单点输出。④3 个测点中个均为坏点时，故障安全模式，逻辑输出 应为“1”。若采用变量逻辑运算表示,最终逻辑表达式为：F = Aq BqCq(Bc + Cb) + AqBq Cq(Ac + Ca) +

AqBq Cq(Ab + aB) + AqBqCq + AqBqCqA + Aq BqCqB + AqBq CqC + AqBqCq(AB + BC + CA) 式中:Aq、Bq、Cq为信号A、B、C的质量状态，值为“ 时为“坏质量”点;A』、C1 ”

为信号A、E、C跳闸值输出状 态；a、b、c为信号A、E、C报警值输出状态;F为整个表

达式的输出逻辑值。通过真值表计算保护误动及拒动的概率:误动概 率 Pw 二37.5%，拒动概率 Pj = 62.5%7 o优化后的三冗余保护逻辑如图所示。采用此种方案，三冗余信号中出现信号“坏质量” 时,相比图5、图6的两种方案,保护拒动概率有一定

程度的改善。3.3.2方案二电力行业自动化技术委员会发布的《提高火电厂

热工自动化系统可靠性的技术措施》第3.1条中要求:

“所有重要主辅机保护信号应尽可能采用3个相互独

立的一次测量元件和输入通道引入并通过'三取二'

的逻辑实现,不满足'三取二'要求的经过专题论证可

增加证实信号或改为II级报警” 2创O一般工艺现场的工艺参数，测点之间大多数有

一定的关联性。利用好这种关联性及参数之间的物

理关系，也可以达到冗余信号故障时替代冗余信号 的目的。在控制系统设计中,对于同一参数的测量,控制系

统与安全系统的传感器采用了不同的分离设计⑼。如

主蒸汽压力、给水流量等参数测点,除了进入主要保护 回路外，会单独设置一个用于过程调节的测点。另外,

分别进入锅炉控制器、汽轮机控制器的同一类型测点,

第12期火力发电厂热控信号冗余保护典型问题与优化策略 沈铁志，等・89・相互之间也具有很强的关联性。不同类型测点，包括如转机轴向位移测点与轴系 的振动、推力轴承的温度等测点，以及流量值与相应的 介质压力测点等。利用这些参数与保护信号之间的关

联性,明确它们之间的定性、定量关系。在保护信号测 点发生故障时，这些辅助信号完全可以作为证实信号， 起到提高连锁保护回路可靠性的作用。保护误动、拒动风险性分析及可靠的保护连锁系

统设计，既要考虑外部因素和子系统的工作状况对系

统的影响,又要考虑偶然性测点故障因素⑼。热工保 护的基本配置原则是“既要防止拒动，又要防止误 动”，各种作用于主设备停运的热工保护，必须有防止

因单一测点、回路故障而导致保护误动的技术措施。综合以上分析，可将关联性测点信号引入连锁保 护冗余信号表决回路，辅助进行保护动作判断。具体

逻辑方案描述如下。(1)信号A』、C质量判断均正常时，无论是否采用证实信号,3个信号三取二输出。

(2)当未采用证实信号D,且信号A、B、C质量判断有1点为“坏质量”。①防拒动方案:剩余2个信号二取(3) 当采用证实信号D,且信号A』、C质量判断有 1点为“坏质量”。①证实信号D质量判断正常时:除坏 质量点后剩余3个信号采取三取二逻辑输出。②证实 信号D质量判断为“坏质量”:防拒动方案为剩余2个信 号二取一输出;防误动方案为剩余2信号二取二输出。(4) 当未采用证实信号D,信号A、B、C质量判断 有2点为“坏质量”。①防拒动方案:剩余1个信号达 到动作值时输出为1。②防误动方案:剩余1个信号 无论是否达到动作值输出均为0o(5) 当采用证实信号D,信号A、E、C质量判断有2 点为“坏质量”。①证实信号D质量判断正常时，为防 保护误动，剩余2个信号采取二取二输出。②证实信 号D质量判断为“坏质量”：防拒动方案为剩余1个信 号达到动作值时输出为1;防误动方案为剩余1个信 号无论是否达到动作值输出均为0。(6)信号A、B、C质量判断均为“坏质量”，无论是否采用证实信号。①采用防拒动方案时，保护动作。②采用防误动方案时，退出保护。一输出。②防误动方案:剩余个信号二取二输出。2引入证实信号的三冗余保护逻辑如图所示。8图8引入证实信号的三冗余保护逻辑图Fig. 8 TMR protection logic with acknowledgment signal・90・应单独作为触发条件。自 动化仪表第40卷

需要注意的是,证实信号只作为辅助判断条件,不 增加模拟量质量判断及相应的处理策略。此外，建议

分散控制系统(distributed control system, DCS )厂家或

此种保护策略用户可根据应用的场合进行自由选 择。因篇幅限制，不再具体描述。工业用户采用带有证实信号的连锁保护功能块，使保 护连锁功能向智能化方向发展,提高安全仪表系统对

复杂工况的适应性，更好地保障工艺系统的安全稳定

4结束语综上分析，火力发电厂等工业控制领域选用保护 连锁策略时,一定要综合考虑实际情况,对保护控制的 对象进行研究。用户应根据保护连锁的影响范围和程

运行。参考文献：[1] 夏克晁，滕卫明,尹峰.2017年全国发电厂热控系统故障统计分

析与建议[J]・中国电力,2018,51(12) ：132-138.[2] 黄文君，何伟挺，边俊.安全仪表系统的功能安全设计[J].自动

度，选择避免保护拒动还是避免保护误动方案,切忌不

化仪表,2010,31(7):75-78.[3] 陈旳.大型石化装置安全仪表系统设计探讨[J].石油化工自动

加甄别地采用一种策略。保护回路或逻辑的设计,在理想情况下,应按既能

化,2018,54(4):6-12.[4] 亢海洲，朱建新,方向荣，等.SIL评估中共用测量单元结构可靠

防止误动、又能防止拒动，即所占概率应分别为50%

性计算探讨[J].自动化仪表,2016,37(11):62-65.[5] 贾长武.相关量证实法在提高热工保护、联动可靠性中的应

进行设计。当二者不能兼顾时,应以最接近理想方式 并且以防止拒动为主。用[J] •中国电力,2014,47(9) ：25-28.[6] 电力行业热工自动化技术委员会.提高火电厂热工自动化系统

单个测点作为保护设备的连锁保护信号不可避免

可靠性的技术措施[S]. 2009.[7] 孙长生，朱北恒,王建强，等.提高电厂热控系统可靠性技术研

时,应加入与此参数或被控对象相关的其他证实信号; 保护用信号为二冗余方式时，重要设备或主机设备的

究[J] •中国电力,2009,42(2) ：56-59.[8] 侯云浩，侯子良.BD/T 001-2007火力发电厂热工自动化系统

保护应采取二取一方式避免保护拒动;其他辅机的保

护采用二取二的方式以避免保护误动;重要设备的热 工保护装置应采取三取二的信号组合方式，同时，必须

安全技术指南[S ].北京：中国电力出版社,2007.[9] 王凯.海洋石油平台安全仪表系统设计研究[J].自动化仪表，

2018,39(1) ：16-19.(上接第84页)算法[J] •计算机工程与科学,2018,40(12):2211-2118.[6] WANG W C,YUAN X H. Recent advances in image dehazing[ J].

代替透雾算法中运算复杂的导向滤波模块。优化过程

DMA双缓冲技术提高CPU的数据读写速度。

使用SIMD操作提高CPU处理数据效率，充分使用核 心循环模块的软件流水,极大地节约了 CPU指令资

中，采用源。浮点运算使用倒数计算指令替换除法函数调用，

IEEE/CAA Journal of Automatica Sinica,2017,4(3 ) ：410-436.[7] BERG R, KONIG L, RUHAAK J, et al. Highly efficient image

registration for embedded systems using a distributed multicore DSP

architecture [ J ]. Journal of Real-Time Image Processing, 2014,

2图滤波速度。试验结果证实，在C6748纯DSP平台上 实现了 VGA分辨率图像25帧/s的实时透雾处理。未

高非浓雾图像的透雾能力。4(3)：1-21.[8] BAHRI N, BELHADJ N, GRANDPIERRE T, et al. Real-time

以保证软件流水。均值滤波的次摹移位提高透射率

H264/AVC encoder based on enhanced frame level parallelism for smart multicore DSP camera [ J ]. Journal of Real-Time Image

来将研究在保证处理速度基础上改善滤波效果，以提

Processing,2016,12：791-812.[9] TIPPETTS B,JYELEE D,LILLYWHITE K. Review of stereo vision

algorithms and their suitability for resource-limited systems [ J ].

参考文献：[1]徐敏,张红英,吴亚东•基于场景深度的雾天图像能见度检测算

Journal of Real-Time Image Processing,2016(11) ：5-25.[10] KHODARY A, HUSSEIN A. A new image-sequence haze removal

system based on DM6446 DaVinci processor [ C ]//In Proc. IEEE

法[J].自动化仪表,2017,38(9):89-94.[2 ] WU D, ZHU Q S. The latest research progress of image

Global Conference on Signal and Information Processing,2014 ：871 -874.[11 ] LIU Z. Realization of a single image haze removal system based on

dehazing[ J]. Acta Automatica Sinia,2015 ,41 (2) ：221-239.[3] FATTAL R. Dehazing using color-lines [ J]. ACM Transactions on

DaVinci DM6467T processor [ C ]//Proceeding. SPIE 9273, Optoelectronic Imaging and Multimedia Technology III, Beijing,

graphics,2014,34( 1) ：1-14.[4] SUN X M,SUN J X,ZHAO L R,et al. Improved single image haze

China,2014：927320.[12] MCCARTNEY E J, FREEMAN F, HALL J R. Optics of the

removal using dark channel prior [ J ]. Journal of Image and Graphics,2014,19(3) ：381-385.[5] 马啸，邵利民,徐冠雷.基于暗原色先验的雾霾天气图像清晰化

atmosphere: scattering by molecules and particles [ J ]. IEEE Journal

of Quantum Electronics, 1977 ,24(7) ：779-779.