DCS与DEH系统故障应急处置预案

1、DCS 与 DEH 系统故障应急处置预案1.总则1.1 编制目的：为防止分散控制系统（DCS 与汽轮机数字式电液控制系统（DEH 故障导致 事故扩大，避免由于 DCS 与 DEH 系统故障导致设备损坏事件的发生， 特制定本预 案。1.2 编制依据：根据中华人民共和国突发事件应对法 、国家安监总局生产经营单位生 产事故应急预案编制导则 、危险化学品事故应急救援预案编制导则 和上级相 关要求，又依据火力发电厂（热工控制系统）设计技术规程 、火力发电厂分 散控制系统运行检修导则 、火力发电厂热工仪表及控制装置技术监督规定 等 结合防止电力生产重大事故的二十五项重点要求编写本预案。1.3 适用范围本应

2、急预案适用于*公司*电厂分散控制系统（DCS 与汽轮机数字 式电液控制系统（ DEH 故障事件的应对工作。1.4 应急基本处置原则分散控制系统 （ DCS 与汽轮机数字式电液控制系统 （ DEH 故障： 指分散控 制系统 （ DCS与汽轮机数字式电液控制系统（ DEH 硬件、软件以及系统出现故 障导致锅炉、 汽轮发电机组本体设备、 辅助设备、 其他相关系统及设备的控制故 障，造成设备被迫停止运行，对机组运行及设备健康状况构成严重威胁的事件。 1.4.1 当出现重要辅机控制异常，DEH 控制异常、局部区域信号异常、部分主/ 重要运行参数失去控制或其显示不能真实反映实际工况等分散控制系统部分失 灵

3、情况时， 由值长按照规程， 通过运行方式的调整、 现场操作等可以利用的一切 手段，尽可能使机组运行稳定、 设备处于安全状态。 当部分操作员站出现故障时， 应由可用操作员站继续承担机组监控任务（此时应停止重大操作 ，同时迅速联 系热工检修人员排除故障。1.4.2当分散控制系统故障导致机组跳闸以及全部操作员站出现故障时 （所有上 位机黑屏或死机 ，值长立即安排运行人员去就地监视给水泵和除氧器运行 情况，并将给水泵液偶执行器和除氧器上水调节门打至就地操作或手摇执行器进 行调整，保证汽包水位正常；，同时派人到汽包就地监视汽包水位，并通过双色 水位计和电接点水位计密切监视汽包水位。同时迅速联系热工检修人

4、员排除故障 并恢复操作员站运行方式，由值长按照规程布置处理，并立2即检查故障原因，尽 快排除。143 当分散控制系统失灵，运行人员不能通过操作员站对运行设备进行控制，必须通过硬手操设备立即停机，防止事故扩大，避免设备损坏事件的发生。144 当 DCS 系统失电，DEH 失电造成汽轮机跳闸时，应按汽轮机跳闸处理。并 做好事故预想，立即联系热控和电气检修人员处理。FSSS（或 MC$失电后 MFT保护应及时动作，否则应手动停机停炉。若手动 MFT 按钮无效，则应立即采取同 时停止给煤机电源措施，同时关闭进油速断阀、回油再循环阀。DCS 辅机控制系统失电后，运行人员尽量稳定机组运行，加强监视，立即联

5、系检修处理，不能 维持运行时（运行设备跳闸，备用设备无法启动），应采取紧急停止机组运行的 措施。2.危险分析2.1 主要危险源、危险目标分析2.1.1 DCS 与 DEH 系统全部失电或部分失电。2.1.1.1 DCS 与 DEH 系统全部失电或部分失电现象。2.1.1.1.1DCS 与 DEH 系统全部失电将导致系统所有控制器停止工作，网络中断，操作员站停机，同时停机、停炉，机组甩负荷；2.1.1.1.2DCS 与 DEH 系统部分失电将导致部分控制器停止工作，影响相关控制设备工作，或部分操作员站停机，影响运行人员操作；2.1.1.2DCS 与 DEH 系统全部失电或部分失电原因。2.1.1

6、21系统内供电线路部分发生短路造成电源开关跳闸；2.1.122误拉 DCS 与 DEH 系统电源开关；2.1.1.2.3厂用电失去，电源切换装置失灵；2.1.1.2.4电缆沟进入水蒸汽，导致机柜进汽需引起柜内设备损坏；2.1.1.3应采取的预防技术措施。2.1.1.3.1点检、维护人员定期检查电源柜的电源指示灯， 看电源系统是否工作 正常；2.1.132点检、维护人员定期检查热控电源总柜快切装置是否工作在自动状态3（AUTO 旨示灯亮），如不在自动状态，则应迅速切换回自动状态，做好记录并调 查原因。2.1.133点检、 维护人员定期检查机柜风扇是否运转正常，机柜散热是否良好； 维护人员定期清理

7、机柜滤网，并做好记录。2.1.1.3.4每次AB C 级检修后，维护人员对机柜内灰尘进行1 次彻底清理；每次检修时进行 1 次电源切换试验。2.1.1.3.5运行人员每班要对电缆夹层、电缆沟进行巡检，尤其是对DCS #19远程站的电缆沟要加强巡检，发现有水蒸汽泄漏入电缆夹层、电缆沟时要及时查 找泄漏点，隔离漏汽的系统，并迅速通知检修人员对漏点进行处理。2.1.2 DCS 与 DEH 系统通讯故障2.1.2.1 DCS 与 DEH 系统通讯故障现象。2.1.1.1.1DCS 与 DEH 系统通讯故障时，可能出现操作员站不能操作，其数据不 能刷新，控制器之间数据不能交换，严重影响机组安全运行。2.

8、1.2.2 DCS 与 DEH 系统通讯故障原因。2.1.2.2.1系统网络负荷过高，造成通信堵塞；2.1.2.2.2通信模件发生故障，网络交换机故障或通信网络接口接触不牢。2.1.2.3、应采取的预防技术措施。2.1.2.3.1维护人员定期检查通信模件（DP,保证通信模件（DF）正常工作；定 期检查网络交换机各指示灯是否正常，通信网络接口的接头是否有松动或接触不 牢现象并处理。2.1.2.3.2点检、维护人员定期检查控制器、数据总线的负荷率，负荷率小于20%2.1.3 DCS 与 DEH 系统控制器故障。2.1.3.1 DCS 与 DEH 系统控制器故障现象。2.1.3.1.1单个控制器故障

9、不会影响机组运行，当一对冗余控制器发生故障时影 响相关控制设备工作。2.1.3.2 DCS 与 DEH 系统控制器故障原因。42.1.3.2.1控制器组态丢失或组态不正确；2.1.322控制器电源故障；2.1.323控制器上一级网络故障，控制器下一级网络故障；2.1.3.2.4控制器死机；2.1.3.2.5控制器感染病毒；2.1.3.2.6控制器运行非法指令；2.1.3.2.7控制器内部元件损坏；2.1.3.3应采取的预防技术措施。2.1.3.3.1维护人员定期对控制器进行容错能力测试，人为退出正在运行的主控 制器，备用副控制器应无扰自动投入工作， 在切换过程中，控制器不得出错或出 现死机情况

10、。2.1.3.3.2检修维护部工作师站的操作人员为培训合格具备上机操作能力的人 员，上机操作时必须严格执行工作师站管理制度；上机操作时要严格按工作师手 册操作，以防因操作不当造成组态丢失或组态不正确。3.应急处置体系3.1 应急组织机构应急指挥领导小组总指挥：应急指挥领导小组副总指挥：成员：*、设备技术部、检修维护部、安健环部等部门主要负责人、当值值长。 应急工作小组：由*、设备技术部、检修维护部、安健环部等部门专工、热控 专业相关班长、班组技术员、相关设备工作负责人组成。3.2 应急指挥领导小组职责：3.2.1 提出修订应急预案，负责定期组织演练，监督检查各部门在本预案中履行 职责情况。3.

11、2.2 领导小组成员在事故发生后，应立即赶赴事故现场进行现场指挥，对发生 事件启动应急救援预案进行决策，迅速组织力量赶赴现场进行事故处理；全面指挥应急救援工作。3.2.3 负责向上级报告本厂的事故情况和事故处理进展情况。3.2.4 组织实施事故恢复所必须采取的措施。3.2.4 组织事故调查，认真分析事故发生的原因，总结应急救援的事故教训，并5形成总结报告上报上级有关部门。326 组织落实整改。3.3 应急工作小组职责：3.3.1 对可能产生的问题提出事故预想，负责提供技术指导。3.3.2 定期组织运行人员和热工人员演练，加强技术培训。3.3.3 运行和热工人员定期巡查设备，及时发现设备隐患并采

12、取措施予以消除。3.3.4 督促职工严格遵守安全工作规程和运行、检修规程，正确执行各项运行操 作、做好日常点检、维护检查和检修消缺工作。3.3.4 根据事故情况对设备采取相应保护、隔离措施。3.3.6 及时向事故应急领导小组报告重大事故隐患或事故情况，及时通知专业应急组和其它事故应急小组赶赴现场进行应急处理、救援；3.3.7 参加调查事故原因，进行事故分析。3.3.8 根据故障情况提出整改意见，按照审批程序审核后，及时落实整改。4.预防预警4.1 危险源监控4.1.1 分散控制系统工作环境包括控制室及电子设备间的空气质量、温度和湿度、抗电磁干扰能力、分散控制系统远程控制设备环境等。4.1.2

13、分散控制系统电源及接地。4.2 危险预防4.2.1 认真执行定期巡检制度，热工加强对分散控制系统的监视检查，当发现 DPU 卡件、网络、电源等故障时，应及时通知运行人员及热工人员并迅速做好 相应对策。4.2.2 热工维护专业认真执行定期维护、校验制度。4.2.3 检修前应通过操作员站、工程师站对有关设备状态进行检查、分析和判断,以制定和补充检修相关项目。4.2.4 机组检修前，应有针对性的对存在缺陷的系统或设备进行试验。4.2.4 检修后对分散控制系统进行完整的检查、校对和试验。4.2.6 认真执行热工保护投退和修改制度，严格履行保护定值修改、审核、审批 程序,程序修改后必须检查验证。427

14、按照安全规程，严格执行热工工作票，切实做好安全措施 428 投入运行的模拟量控制系统应定期做扰动试验。6429 认真执行 DCS 软件管理制度，规范分散控制系统软件和应用软件的管理。 严格履行软件修改、审核、审批程序；在修改、更新、升级软件前，应对软件进 行备份。未经测试确认的各种软件严禁下载到已运行的分散控制系统中使用，必须建立有针对性的分散控制系统防病毒措施。4.2.10 认真执行图纸资料管理制度，做好图纸修改变更记录。4.2.11 认真执行备件管理制度，物资库必须备有适当的应急备件。4.2.12 分散控制系统配置应能满足机组任何工况下的监控要求（包括紧急故障 处理），CPU负荷率应控制在

15、设计指标之内并留有适当裕度。4.2.13 主要控制器应采用冗余配置，重要 I /0 点应考虑采用非同一板件的冗余 配置。4.2.14 系统电源应设计有可靠的冗余配置。4.2.14 通信负荷率设计必须控制在合理的范围（保证在高负荷运行时不出现瓶颈现象）之内。4.2.16 系统接地必须严格遵守技术要求，电缆必须采用质量合格的屏蔽电缆。4.2.17 操作员站及少数重要操作按钮的配置应能满足机组各种工况下的操作要 求，特别是紧急故障处理的要求。紧急停机停炉按钮配置，应采用与 DCS 分开的 单独操作回路。4.2.18 控制器故障时包括电源故障），故障后复位时，保护和控制信号的输出应 处于安全位置。4.

16、2.19 全面整理阀门和设备在控制电源失去后的状态，分析对机组安全影响。 对调门失电后保位问题做相关的试验。如电泵最小流量阀、汽泵最小流量阀、除氧器上水调门、给水调门、低压缸喷水调门、凝结水再循环调门、凝结水至疏水 扩容器调门、勺管位置以及高低压旁路等等，其状态对主机和重要辅机的安全有 着决定性的影响。4.2.20 根据机组的具体情况， *制定在各种情况下分散控制系统失灵后的紧急 停机停炉措施。4.3 危险预警431 分散控制系统模件状态指示异常；432 操作员站显示异常、控制键盘异常；433 报警窗异常。4.4 预警程序4.4 . 1 一旦发生分散控制系统失灵现象，应按照事故处理规程处理。立

17、即通知 检修维护部7所有热控班组或值班人员 （夜间或节假日），检修维护部、*专工和 部门负责人。在出现危及机组正常运行的事件或危及设备安全的情况时，立即向应急指挥领导小组报告。4.4 . 2 指挥人员及应急工作组成员到达现场后，向运行人员了解情况，迅速排 查原因，组织相关人员实施必要的安全措施，尽可能保护设备安全。5.应急处置5.1 DCS 与 DEH 系统出现故障后组织措施5.1.1 如 DCS 与 DEH 系统在生产过程中所发生问题，一律在当班值长的统一组 织、指挥下进行处理，值长应对所发布的所有事故处理命令的正确性负责。5.1.2 *机、炉、电专业主管。在接到值长通知后，在厂里时应于5

18、分钟内、在家应于 40 分钟内赶到集控室，其职责是协助值长对各自专业的现场处置，主 动向值长提出对本专业的现场处置建议和要求，指导运行人员进行现场处置的操 作，且对自己所作指导的正确性负责。5.1.3 *经理（经理助理）在接到值长汇报后，在厂里时应于5 分钟内、在家应于 40 分钟内赶到集控室，其职责是协助值长指挥对事故的处理，提出恢复系统及设备运行的措施和要求，根据现场实际情况，调度必要的人力参与对事故的 处理，并对恢复运行的措施和要求的可行性和正确性负责， 对事故处理中所发布 命令的正确性负责。5.1.4 检修维护部经理（经理助理）、热工专业主管、自动班的班长（技术员）及设备负责人，在接到

19、值长汇报或通知后，在厂里时应于5 分钟内、在家应于40 分钟内赶到集控室，其职责是协助运行人员进行隔绝操作，指导运行人员实 施安全措施，向值长提出隔离设备的检修申请，并立即组织人力对已隔离的故障 设备进行抢修，对抢修现场的技术安全措施的完善性负责。5.1.5 设备技术部经理（副经理）、机、炉、电、热工专业主管，在接到值长汇 报或通知后，在厂里时应于 5 分钟内、在家应于 40 分钟内赶到集控室，其职责 是指导运行人员进行隔绝操作，分析事故原因，指导检修人员对已隔离的故障设 备进行抢修。5.1.6 安健环部经理（副经理）。在接到值长汇报后，在厂里时应于 5 分钟内、 在家应于 40分钟内赶到事故

20、现场，其职责是对现场的事故情况进行取证，及时 组织分析事故原因或进行事故调查，指导值长对抢修设备进行安全措施的设置， 并对抢修现场的安全情况负责。5.1.7 厂领导（厂部值班领导）。在接到值长汇报后，在厂里时应于 5 分钟内、在 家应于 40分钟内赶到集控室，指导值长指挥事故处理，提出故障设备抢修及机 组设备恢复的原则意见，8指导各部门组织对事故的处理工作。5.2 当 DCS 系统故障时处置程序及技术措施5.2.1 运行人员应该常监视 DCSB面上系统的网络运行情况。出现下列情况按重 要缺陷处理程序，迅速通知检修维护部热工自动班班长组织消缺。521.1 当发现各控制站的右上角由绿色变为红色时，

21、说明控制站的一路电源失去，运行人员应及时通知热工检修人员处理。5.2.1.2当发现有站点的网络线由绿色变为红红色时， 说明该网络离线，运行人员应及时通知热工检修人员处理。5.2.1.3当发现有控制站由绿色变为白色时， 说明该控制站故障，运行人员应迅 速通知热工检修人员处理，并对该站控制的设备进行临时紧急监控。5.2.1.4 当部分操作员站出现故障时（“黑屏”或“死机”），可以在其它操作 员站操作监控，通知热工检修人员处理。5.2.1.5对 MACS 系统来说，发现卡件故障，运行人员应联系热工检修人员及时 处理，做好安全措施后进行在线更换卡件。5.2.1.6无论哪个系统控制单元（DPU）的单 D

22、PU 离线故障后，运行应及时联系热 工检修人员处理，进行在线更换 DPU5.2.2 如出现下列情况，值长则按 DCS DEH 系统出现故障后组织措施的要求， 迅速通知相关人员到场，开展故障处置工作。5.2.2.1 当只有全部操作员站出现故障时（所有上位机“黑屏”或“死机”），而 控制站电源未失去时，运行人员及时通知热工检修人员处理， 并进入工程师站和 在值长站以操作员身份登录后暂时监视操作，522.1.1如果是全部操作员站的电源失去，运行人员或热工人员进入电子间， 抢合 DCS电源柜内的各操作员站空气开关一次，对于抢合成功的操作员站迅速开 机恢复操作，未抢合成功的操作员站热工检修人员查明故障继

23、续处理。5.2.2.1.2如果本机组的工程师站也无法操作， 值长站也无法操作，运行人员可 到另一台机组的工程师站在热工检修人员的指导下切换到本域进行操作， 如果都 不能进行操作且操作员站空气开关都抢合不上，应采取立即停机、停炉的措施。5.2.2.2 当分散控制系统通信网络发生故障时，造成所有数据不能进行刷新 “死 机”）和操作时，及时通知热工检修人员处理。95.2.2.2.1检查电子间 GPS 柜的交换机电源是否失去，如失去迅速查明原因并抢 合跳闸的空气开关一次（GPS 柜内本身的电源开关和 DCS 公用系统配电柜内的通 讯空气开关），如抢合不成功，热工人员应在最短时间查明原因处理故障。5.2

24、.222如交换机电源是未失去，则应检查网络交换机是否故障，如故障热工 人员迅速进行处理故障；网络交换机工作正常时则应检查服务器是否故障， 如故 障热工人员可用公用系统的一台服务器（处于从状态）来暂时代替故障服务器，维持机组运行。5.2.223如长时间不能处理好上述故障且机组运行工况不允许时，应采取立即 停机、 停炉的措施。5.2.2.3当一般 DCS 系统控制单元（DPU）的一对主、畐 U DPU 均发生离线故障后， 根据机组运行情况，若运行参数达到停机停炉值时，应采取紧急停止机组运行的 措施。5.2.2.4当 SCS 系统控制单元（DPU）的一对主、畐 U DPU 均发生离线故障后，尽量 稳

25、定机组运行，运行人员加强监视，立即联系检修维护人员处理。不能维持设备 运行（运行设备跳闸，备用设备无法启动）时，应采取紧急停止机组运行的措施。5.2.2.5当主要模拟量控制（MCS）系统通信网络发生故障或主、副控制单元（DPU） 均出现故障（“死机”或“失电”）时，在无法维持机组安全可靠运行时，应采取 停机、停炉。5.2.2.6当锅炉炉膛安全监控（FSSS）系统通信网络发生故障或主、副控制单元（DPU）均出现故障（“死机”或“失电”）时，在无法维持机组安全可靠运行时， 应采取停机、停炉。5.2.2.7若系统控制单元（DPU）的单 DPI 运行且发生离线故障后，按上述两个 DPU 均离线时的安全

26、措施处理。522.8 DCS 所有站电源失去时，按停机、停炉处理。5.2.3 如机组不能维持运行需停机、停炉，值长立即汇报地调，口头申请停机；在故障处理后，联系地调申请开机。5.3 DEH 系统故障时处置程序及技术措施。当 DEH 操作员站画面中的左上方 System 绿色条框变成红色平光或者红色闪烁时，应立即通知热工检修自动班人员检查处理。运行人员注意观察 DEH 各种参数。当 DEH 系统出现下列故障,值长则按 DCS DEH 系统出现故障后组织措施的要求，迅 速通知相关人员到场，开展10故障处置工作。5.3.1 当操作员站出现故障时（“黑屏”或“死机”），及时通知热工人员处理， 首先进入

27、工程师站进行操作控制，如果工程师站无法操作，再使用后备硬手操（辅 盘）打到就地操作。如果上说方式都无法操作，应采取停机、停炉处理。5.3.2 当控制系统通信网络发生故障时，造成所有数据不能进行刷新（“死机”）时，按“操作员站出现故障”方式处理。5.3.3 当 DEH 系统故障时（失电或控制器故障），汽轮机跳闸，热工检修人员尽 快处理故障，恢复系统后运行重新挂闸冲转。5.3.4 当厂用电中断，UPS 电源故障时，DCS DEH 等控制系统都失电，汽轮机跳 闸，应紧急停止锅炉运行。5.3.6 机组需停运，值长立即汇报地调，口头申请停机；在故障处理后，联系地 调申请开机。5.4 DCS 与 DEH

28、系统故障运行操作注意事项5.4.1 值长立即派人检查电子间 GPS 柜的交换机电源是否失去，如失去迅速查明 原因并抢合跳闸的空气开关一次 （GPS 柜内本身的电源开关和 DCS 公用系统配电 柜内的通讯空气开关），如抢合不成功，热工人员应在最短时间查明原因处理故 障。5.4.2 若是全部操作员站的电源失去，运行人员立即进入电子间，抢合 DCSt源 柜内的各操作员站空气开关一次，对于抢合成功的操作员站迅速开机恢复操作，11HD1HD2HD3HD4未抢合成功的操作员站待热工检修人员查明故障后可以恢复送电。543 当厂用 380V45B0302 46B0302 UPS 至 DCS DEH 电源全部中断后，DCS DEH 等控制系统都失电，汽轮机跳闸，应紧急停止锅炉运行。此时严格按照规程 进行厂用电全部失压后的处理步骤操作，严防出现误操作及事故扩大现象发生。5.4.4 DCS 与 DEH 系统故障，应及时通知热工检修人员处理；5.4.