二十五项反措之防止分散控制系统、热工保护失灵事故.doc

1、防止分散控制系统、热工保护失灵事故一、 D CS 的设计1、CPU 负荷率应控制在设计指标之内，并留有适当裕度 （一般控制器CPU 负荷率， 最忙时，不大于60，操作员站 CPU 负荷率，最忙时，不大于40）。黄岛公司根据 ABB 厂家提供的方法制定了环路、 各 PCU 节点，以及各 BRC 负荷率的实时监控。通过将 BRC 控制模件版本升级、 NIS 通讯模件由 F3 版本升级为 F8 版本、删除各 BRC 中废块、废逻辑等举措，优化各BRC 负荷率，将控制器负荷率控制在40%以内，在开停机等繁忙时也未超过60；操作员站CPU 负荷率也能满足要求，对不能满足要求的操作员站可通过升级工作站来实

2、现负荷率的优化，黄岛公司就曾经先后将#5、 6 机组历史站，#5 机组 5CWE01 操作员站升级，将原先DELL380机型更换为T5500 机型， CPU 处理能力大大提高。根据ABB厂家提供的方法制定的环路、各PCU节点，以及各BRC负荷率的实时监控二、 DCS 的配置1、 DCS 系统配置应能满足机组任何工况下的监控要求（包括紧急故障处理）。以黄岛公司三期Symphony 系统为例， 根据功能分散和物理位置分散相结合的原则，单元机组的控制系统在DCS 系统中遵循了以下配置原则：1）模拟量控制系统（MCS ）的主要回路、锅炉炉膛安全监控系统（FSSS）、汽轮机控制系统（DEH ）、给水泵汽

3、轮机控制系统（MEH ）的控制处理器均单独配置，其控制柜（模件柜）和相应的I/O 端子柜集中布置在电子设备间。2）数据采集与处理系统（DAS ）、模拟量控制（MCS ）得简单回路和顺序控制系统（SCS）的控制处理器和I/O 端子柜根据工艺系统统筹配置，其控制机柜和相应的I/O 端子柜按照靠近被监控对象的原则分别布置在电子设备间和其它辅助电子设备间；数据采集与处理系统(DAS) 的远程智能测量前端(IDAS ，用于炉顶壁温监测和发电机本体温度点监测)布置在现场）电气厂用电监控系统(ECS) 的发电机 /变压器组及厂用电源系统的控制处理器单独配置）海水泵房的远程站布置在海水泵房控制设备间海水泵房系

4、统应分设两个I/O 柜，每个I/O 柜设有独立的电源装置，确保两个I/O 柜的受控对象的安装施工和分开检修工作顺利进行而在系统硬件配置方面，黄岛公司三期单台机组按FSSS、 DEH 、 MEH 、 MCS 、 DAS 、 ECS、 SOE等系统配置了13 个控制柜，每一控制柜配置冗余通讯模件、冗余电源模块、冗余控制模件。、操作员站的配置应能满足机组各种工况下的操作要求，特别是紧急故障处理的要求。黄岛公司三期单台机组操作员站配置了5 台，其中三台是服务器，作为环路的节点(NODE) ，通过控制网络交换相应的数据，另外两台作为客户端通过冗余的交换机与服务器实现数据的交换。由此可见，无论是电源、控制

5、、通讯，还是操作员站都按照冗余配置，完全能满足机组任何工况下的监控及操作要求。、少数重要操作按钮的配置，应能满足机组紧急故障处理的要求。DCS比如黄岛公司三期单台机组在操作台配置了手动停机、手动MFT 、发电机跳闸、锅炉PCV 阀、汽轮机真空破坏门、直流润滑油泵、交流润滑油泵、手动停小机等应急按钮，作为独立于DCS 的后备操作手段，从而确保机组紧急安全停机。、公用系统的重要设备（如循环水泵、空冷系统的辅机）应纳入各自单元控制网，避免由于公用系统中设备事故扩大为两台或全厂机组的重大事故。、在没有充分技术保证的情况下，严禁将单元机组控制网、公用控制网、辅控网相互连接。三、事故处理、已配备DCS 的

6、电厂，应根据机组的具体情况，制定出在各种情况下DCS 故障情况下的事故处理预案、运行人员应熟悉DCS 故障情况下的事故处理预案四、 DCS 系统维护、应制定DCS 系统软件和应用软件的管理制度、 与非生产信息系统联网时，应采取有效的隔离措施(DCS 系统只单向发送)SIS 、机组在线监控等系统需要与DCS 系统联网， 通过 OPC 协议读取机组数据，为了防止病毒侵入，必须配置有效的隔离防护措施，一般在接口机后、交换机前配置单向隔离器，只允许数据由DCS 侧向外传输，禁止外部数据向DCS 侧传输，保证了DCS 的安全运行。、应定期检查DCS 中存在的“被强制点”，与批准手续核对并作记录。车间安排

7、专人负责，每天检查逻辑组态及保护投停记录本，发现问题，追根溯源，考核责任人。、应定期检查电源回路端子排、配线、电缆接线螺丝无松动和过热现象，电源保险丝容量是否保持与设计图纸一致。利用大小修、临修等机会，检查端子松动及保险容量。、应定期对用于UPS 的蓄电池进行充放电试验。、应定期检查冗余配置的过程控制单元、通讯借口、通讯环路是否处于良好的热备用工作状态。、应定期进行各控制站、计算站、数据管理站、数据通讯总线的负荷率在线测试工作，并建立技术档案登记本。五、系统配置、主要控制器应采用冗余配置，其对数应严格遵循机组重要保护和控制分开的独立性原则配置，不应以控制器能力提高为理由，减少控制器的配置数量，

8、从而降低系统配置的分散度。黄岛公司三期FSSS、DEH 、 SCS、 MCS 等系统根据控制容量及风险分散要求都配置了一至三对的冗余控制模件，实现重要辅机、重要参数分BRC 控制，比如甲侧的送风机、引风机、 一次风机、 空预器等设备控制布置在PCU14M3 ，而乙侧的送风机、引风机、一次风机、空预器等设备控制布置在PCU14M5 。利用机组大小修、临修、调停等机会定期对冗余控制器作切换试验，以检查备用控制器的可靠性，试验步骤及标准如下：试验步骤序号123双控制器切换试验试验步骤及标准确认并记录切换前双控制器工作正常，控制系统无异常报警调出与当前试验控制器相关的过程画面、报警画面及各类型IO 点

9、的实时趋势，检查无异常复位处于控制状态的控制器，检查备用控制器自动切换为控制状态，试验记录4站号各状态灯指示正常，各过程画面、报警画面及实时趋势无异常按上述步骤将控制器切换至试验前状态切换前状态切换后状态结论试验人员时间：、重要I/O 点是否考虑采用非同一板件的冗余配置。根据可靠性配置原则，机组负荷、汽轮机转速、凝汽器真空、主蒸汽压力、主蒸汽温度、主给水流量等重要模拟量监控信号以及主保护信号等应三重冗余配置，即重要参数应配置三个测点，而且三个不同测点分别配置在三块I/O 模件上， 避免因一块模件故障而引起两个以上测点故障导致保护误动作或失去重要参数的监控。、系统电源设计应有可靠的两路供电电源（

10、如一路为UPS 电源，一路为保安电源） 。黄岛公司三期DCS即设计两路供电，一路为UPS 电源，一路为保安段电源，正常运行时，保安电源为备用电源，一旦UPS电源出现故障时，备用电源迅速切为工作电源。利用机组大小修、临修、调停等机会定期对冗余电源作切换试验，以检查备用电源的可靠性，试验步骤及标准如下：双电源切换试验序号试验步骤及标准1测量记录两路电源参数，确认符合技术要求（电压波动10额定电压，频率范围为50Hz 0.5Hz ）2 检查确认两路电源总开关及各站电源分开关全部处于合闸位置试验步骤3拉开主电源总开关，各站应自动无扰切换至副电源供电，检查并记录切换前后各站运行状态及失电报警情况4 合上

11、主电源总开关，各站应自动无扰切换至主电源供电，检查并记录切换前后各站运行状态及失电报警情况5 拉开副电源总开关，各站应不受任何影响，检查失电报警情况主电源副电源参数测量参数测量操作站号切换前状态切换后状态试验记录拉开主电源失电报警情况：合上主电源失电报警情况：试验结论试验人员时间：备注：本试验仅适用于设计为双路电源并能实现自动无扰切换的控制系统，对某些虽然设计两路电源供电但不能自动切换的控制系统，不能进行此项试验。控制系统正常运行时，应由主电源即 UPS 电源供电，发生电源切换至副电源后，应及时消除故障，恢复主电源供电方式。黄岛公司#3炉FSSS火检系统最早的设计是单路UPS电源输入，曾经发生

12、过因UPS电源故障导致FSSS 火检放大器全部失电，所有火检发“无火”信号，全炉膛灭火保护动作，锅炉 MFT ，这是典型的因电源故障，造成保护误动的事故。为了避免类似事故的发生，结合 25 项反措中“系统电源设计应有可靠的两路供电电源” ，我们利用机组大小修机会，对 3、 4 机组 TSI、火检等系统进行电源改造，将单路交流电源输入改为双路自动切换。双路自动切换电源装置的两路输入电源分别来自 UPS 和保安段，输出到保护系统，实现两路电源的冗余配置，确保热工保护系统在任一路电源故障的情况下都能正常可靠的工作，不发生保护误动或拒动，保证机组安全稳定运行。双路自动切换电切换继电器R源装置的原理如图

13、一：KA监视继电器UPS电源R1切换输出KB保安段电源R2监视继电器图一、操作员站如无双路电源切换装置，是否将两路供电电源分别连接于不同的操作员站。黄岛公司三期操作员站电源是DCS 电源柜 UPS、保安段两路电源转换后的，任意一路失电都不会影响操作员站的正常工作。、系统电源故障是否在控制室内设有独立于DCS 之外的声光报警。黄岛公司三期最初并未设计独立于DCS 之外的声光报警，只在监控画面中设计了声光报警，后来在控制室增加了光字牌，将ETS、 DEH 、METS 、 FSSS、火检放大器柜等系统电源故障信号引入。、非DCS 系统用电设备，严禁接到DCS 系统的 UPS 电源装置上。、所有重要的

14、主辅机保护都应采用三取二（或四取二）的逻辑判断方式，保护信号必须是相互独立的一次元件和输入通道。一般保护可采用一取一或二取二的逻辑判断方式，但必须采取防止误动和拒动的措施。黄岛公司机组在最初设计时有部分保护是单点设计，如小汽轮机保安油压低停机保护，最初只设计了一个压力开关，很容易造成保护误动。经过改造，增加两个压力开关，实现保护三取二的优化。对于温度测点，由于测温元件老化、振动等导致断线或接触不良、接线松动时容易引起保护误动。解决这个问题，我们可以利用 DCS 的判断功能，正确区分温度示值超限时是元件故障还是实际温度确实超限。我们知道，测点实际温度的升高都有一定的速率，尤其是主机和辅机轴承温度

15、的升高更不会太快，而由于温度测量回路发生故障引起温度飞升的时间一般很短，甚至为一个很短的高值脉冲。引入温变速率概念可以很好地解决由于断线或干扰等因素造成的温度飞升问题，将温度信号进行速率计算，如果温升速率超过预定值，则屏蔽该信号，认为该信号为“坏点” ，禁止输出，同时发出声光报警信号，提醒运行人员联系检修人员处理。若温升速率小于预定值，即当温升速率未超限且温度达到保护定值时，保护动作。当然，速率限制的作用也不是绝对的，尤其是在测温元件导线接触不良、接线松动的情况下，电阻的变化是没有规律的，缓慢而持续的变化也可能出现，使速率限制失去作用。因此，对带保护的测温元件一定要加强维护，在有条件的情况，最好多设置几个测点，作到测量信号“三取中”的原则，避免单个测点的失灵导致保护误动。汽泵推力轴承温度、 DCS 的系统接地必须严格遵守技术要求，所有进入DCS系统控制信号的电缆必须采用质量合格的屏蔽电缆，且有良好的单端接地。、所有进入热控保护系统的就地一次检测元件以及可能造成机组跳闸的就地元部件，必须有明显的标志，以防人为原因造成热工保护误动。不仅要求有标志，而且标志必须