浅谈ABB Symphony系统组态下的转机连锁故障案例

梁小虎

摘要：火电机組380V转机连锁可靠性对机组安全运行至关重要。如EH油泵、内冷水泵，一旦备用泵连锁失败将直接导致机组跳闸。本文主要分析基于ABB Symphony DCS系统Composer组态下的转机连锁故障案例，通过原理介绍、数据分析、优化方案等角度来讲述如何有效避免连锁逻辑漏洞导致的转机连锁故障，抛砖引玉，以供同行参考。

关键词：ABB Symphony DCS 连锁试验 逻辑组态

引言

分散控制系统（简称DCS）是以微处理机为基础，以控制分散、操作和管理集中为特征，集数据采集、监视、过程控制、记录于一体的控制系统。它紧跟当前微处理技术、数字通讯技术、现代控制技术的发展。目前国内主重要火电机组采用较多的有ABB Symphony、新华、Ovation等主流DCS系统。

随着DCS控制系统的广泛使用，在机组调试运行过程中会存在一定的问题或者漏洞 。近年来发现比较多的逻辑处理时序方面的问题，这些问题往往会导致逻辑计算出错，甚至误发信号导致机组跳闸。

某电厂300MW火电机组采用ABB Symphony DCS控制系统，工程师站采用Composer软件进行控制逻辑组态。操作员站采用PGP软件进行监控。逻辑组态中针对380V转机统一采用MSDVDR驱动站进行控制。自机组投产以来偶尔会发生转机主备互连失败的情况，但在重复试验时又能正常互连，检修人员一直认为是控制系统硬件偶发故障导致。下面以内冷水泵连锁试验为例分析其连锁故障现象及处理方法。

1.内冷水泵互连失败现象

DCS系统通用的转机连锁逻辑组态方法为当A内冷水泵运行，B内冷水泵备用时，若A泵事故跳闸或者A泵运行时内冷水母管压力低则自动连锁启动B内冷水泵，B泵连锁A泵亦然。某次机组运行过程中，B内冷水泵事故跳闸A内冷水泵连锁失败未自动启动，发电机断水保护动作造成机组跳闸。查看历史记录，连锁启动指令正常发出，同时就地电气控制回路也已验证无故障，手动启停均正常。在多次重复两台内冷水泵互连试验时偶尔会有一次连锁失败，这对热工及电气人员造成很大困惑。

2.连锁逻辑分析

分析内冷水泵MSDVDR驱动站逻辑（图1为简化版），我们可以看出当自动启动信号发出时，MSDVDR驱动块切至自动工作模式，当系统检测块TSTALM检测出MSDVDR驱动块自动模式时，切换命令使MSDVDR驱动块接收自动信号并发出启动命令至转机控制装置驱动转机启动。此逻辑为DCS系统针对转机设计的标准驱动模板，从DCS系统改造后至今已使用十几年，并未发现明显错误。

3.历史曲线分析

查看历史曲线，将停止命令引入趋势组发现连锁启动曲线存在异常。正确的连锁启动曲线如（图2）所示，在B内冷水泵事故跳闸时A内冷水泵自动启动命令发出，A泵自动启动成功。而每次连锁启动失败时，我们会发现停止指令都有短时出现（图3），即连锁启动时启动停止指令均发出，且停止指令超前启动指令发出。这很明显是控制逻辑误发停止信号。而电气侧控制原理为停止优先，当电气控制回路接收到远方停止、启动命令时优先执行停止命令闭锁启动命令。这就直接导致A内冷水泵无法连锁启动。

可以确定为控制系统误发停止命令，但为什么会发停止命令，这需要我们再次分析内冷水泵连锁逻辑。从图1我们可以看出当自动启动信号发出后，MSDVDR驱动块切至自动同时接收自动信号，但系统检测块TSTALM在检测到MSDVDR驱动块自动模式后才切换至接收自动启动信号（由0切至1），存在滞后现象。因此MSDVDR驱动块在自动模式时会由0切换至1，即先发出停止命令紧接着发出启动命令。由MSDVDR驱动块的掩码可知当最后一次操作在复位命令时，驱动块下一次指令可以执行启动和停止命令;当最后一次操作在停止命令时，驱动块下一次指令可以执行启动和复位命令。而由于运行人员操作习惯不同--有的操作员习惯在转机停止命令发出后再按一下复位，这就导致在连锁启动时会触发停止和启动命令;而有的操作员在转机停止后并不会按复位，这样在下一次转机连锁启动时不会触发停止指令。这就完全解释了内冷水泵连锁试验偶尔不成功的现象（实际试验充分证明这一结论）。

4.优化方案

由上述分析及试验证实：DCS系统针对转机设计的标准控制模板存在漏洞，导致转机连锁时会出现拒动。由于检测块TSTALM的滞后切换导致了MSDVDR驱动块误发停止命令。经讨论后决定取消检测块TSTALM，同时对转机驱动控制逻辑进行优化。经过多次试验验证优化后的控制逻辑手自动工作完全安全可靠。并举一反三修改机组所有转机控制逻辑，并试验正常。

5.结束语

本次机组内冷水泵连锁故障是一件典型的辅机连锁保护失灵导致的机组跳闸事件。由于故障的随机性导致排查难度比较大，同时固化的思维方式也导致忽略了一些细节问题。比如对于DCS系统设计的标准转机驱动模板过度信任，在一开始并未怀疑逻辑设计的漏洞，而是花了比较大的精力去分析硬件回路的问题。在多次试验并查看历史曲线后发现确是DCS系统误发指令导致连锁失败。最终通过大量试验分析找出问题所在，并及时进行控制逻辑优化。

近年来，由于DCS系统控制逻辑时序或者运算周期问题导致的误发信号事件时有发生。DCS系统逻辑修改工作比较频繁，有时候并未注意各功能块的计算顺序，造成运算冲突或错误。这需要我们在今后的控制逻辑组态中认真严谨、考虑全面，有条件的应在组态修改下装后进行试验验证逻辑正确性。同时这次事件告诉我们DCS逻辑隐患漏洞排查自始至终都需要认真仔细持续进行，并非使用了十多年经过无数次操作的控制逻辑就不存在漏洞。DCS系统逻辑梳理、隐患排查工作任重道远，希望此次事件能给大家带来借鉴、警示、启发，进而不断完善热工连锁保护的可靠性。

参考文献：

[1]江宁.电厂热工保护完善原则的探讨[J].福建电力与电工.2004.（4）.

[2]李冬梅.完善电厂热工保护系统可靠性措施浅析[J].中小企业管理与科技（上旬刊）.2010（05）