4---01【25项反措培训】-DCS及保护反措--杨振勇(共98张)(PPT 98页)

1、国家能源局25项反措交流（热控部分）华北电力科学研究院杨振勇 2015.4第1页，共98页。 目录一、反措背景二、防止DCS失灵三、防止热工保护失灵第2页，共98页。 目录一、反措背景二、防止DCS失灵三、防止热工保护拒动第3页，共98页。一、背景-发展脉络 原则：安全第一、预防为主 实质：标准的具体化、强制化1、 1987年原水电部十八项反措 关于防止电力生产重大事故的重点要求2、1992年原能源部二十项反措 防止电力生产重大事故的二十项重点要求 （能源办（1992）726号） 1992.7.283、2000年国家电力公司二十五项反措 防止电力生产重大事故的二十五项重点要求 国电发20005

2、89号第4页，共98页。4、各自管理 国网公司 （2011）、南网（2011）、华能（2007）、大唐（2009）、国电、中电投等公司分别制定本企业的反事故措施。5、最新进展 国家能源局新25项反措。【国能安全（2014）161号】 将形成以国家能源局25项反措为基础、各电力企业反措为实施细则的新反事故措施体系。一、背景-发展脉络第5页，共98页。一、背景-近几年新的形势和变化事故下降：2000年原国家电力公司25项反措颁发后，效果明显，事故下降。在电网容量增加、系统不断扩大的条件下，各项事故的发生呈下降趋势。事故回升：电力改革与电力快速发展（尤其基建），出现新的问题。如：各发电公司有些事故频

3、发，重特大事故出现，如汽轮机断油烧瓦轴系损坏事故、锅炉炉膛外爆事故、锅炉缺水事故、电缆着火事故以及全厂停电事故，且出现新的事故类型。修编反措：各发电公司积极应对，在关于防止电力生产重大事故的二十五项重点要求的基础上，制定了适用于本公司的防止电力生产重大事故的二十五项重点要求。目的：防止特大、重大和频发性事故的发生。管理统一：国家能源局在25项反措方面，重新回归本身管理职能，制定统一的反措，为各个发电集团公司提供总的参考。 第6页，共98页。一、背景-热工相关DCS配置的基本要求DCS故障的紧急处理措施防止热工保护失灵原25项反措667新25项反措13813汽包水位机网协调原25项反措14新25

4、项反措162第7页，共98页。一、背景-认识热工部分反措反措与标准： 频发性 危害性来自标准，标准某些条目的故事版热控部分编写理念： 抓重点（条目尽可能少） 可执行 易操作反措的本质：基于频发事故的标准条款的筛查和强化第8页，共98页。火力发电厂锅炉炉膛安全监控系统在线验收测试规程（DL/T655-2006）火力发电厂汽轮机控制系统在线验收测试规程（DL/T656-2006）火力发电厂模拟量控制系统在线验收测试规程（DL/T657-2006）火力发电厂顺序控制系统在线验收测试规程（DL/T658-2006）火力发电厂分散控制系统在线验收测试规程（DL/T659-2006）火力发电厂锅炉炉膛安全

5、监控系统技术规程(DL/T1091-2008)火力发电厂分散控制系统技术条件(DL/T 1083-2008)火力发电厂设计技术规程（第12章 热工自动化部分）(DL/T 5000-2000)火力发电厂热工控制系统设计技术规定(DL/T 5175-2003)火力发电厂热工保护系统设计技术规定(DL/T 5428-2009)火力发电厂分散控制系统技术规范书(QDG 1-K401-2004)发电厂热工仪表及控制系统技术监督导则（DL/T 1056-2007）火力发电厂热工自动化系统检修运行维护规程(DL/T 774-2004 )火力发电厂厂级监控信息系统技术条件（DL/T 924-2005）、大中型

6、火力发电厂设计规范（GB 50660-2011）火力发电厂热工自动化就地设备安装、管路及电缆设计技术规定（DL/T 5182-2004）电力建设施工及验收技术规范-第5部分：热工仪表及控制装置（DL/T 5190.5-2004）火力发电厂辅助系统（车间）热工自动化设计技术规定（DL/T 5227-2005）电网与电厂计算机监控系统及调度数据网络安全防护规定（国家经贸委令第30号（2002）电力二次系统安全防护规定（电监会5号令）一、背景-依据标准第9页，共98页。 目录一、反措背景二、防止DCS失灵三、防止热工保护失灵第10页，共98页。二、防止DCS失灵-DCS设计原则五大原则 集中与分散原

7、则 冗余配置原则 独立性 原则分层分级原则优先级设计原则火力发电厂热工控制系统设计技术规定（DL/T 5175-2003）第11页，共98页。 DCS故障紧急处理措施 DCS系统的管理规范 二、防止DCS失灵-主要内容 设计与实现 运行管理 故障处理 基本配置 冗余配置 功能配置 电源系统 接地系统 后备安全 网络安全 环境条件 测点配置第12页，共98页。9.1.1 DCS配置应能满足机组任何工况下的监控要求（包括紧急故障处理），控制站及人机接口站的CPU负荷率、系统网络负荷率、DCS与其他相关系统的通信负荷率、控制处理器周期、系统响应时间、SOE分辨率、抗干扰性能、控制电源质量、GPS时钟

8、等指标应满足相关标准的要求。解析：以上是对DCS系统能够保障机组安全稳定运行提出的基本要求。DCS系统的各控制站、计算站、数据管理站等，其储备容量及各部件负荷率，应满足火力发电厂分散控制系统技术条件（DL/T 1083-2008）的要求。措施：DCS性能测试是系统运行后重要的技术保障手段。前期靠设计、后期靠测试。二、防止DCS失灵-基本配置第13页，共98页。解析：1、 CPU负荷率在极端工况下负荷率不得大于60%；2、DCS控制器处理模拟量控制的扫描周期一般要求为250ms，快速处理的控制回路可为125ms，过程控制对象，扫描周期可为500ms750ms；开关量控制的扫描周期一般要求为100

9、ms，汽机保护（ETS）应不大于50ms，执行汽轮机超速保护控制（OPC）和超速跳闸保护（OPT）部分的逻辑，扫描周期应不大于20ms。3、DCS中通讯网络负荷率不得超过30%，以太网通讯率不得超过20%；系统操作时间，其值不应超过2.0秒。4、DCS应设计必要的SOE测点，其分辨率应不大于1ms。SOE通道应有4ms防抖动滤波处理，但不影响1ms的分辨率。安装在不同控制器中的SOE模件应有可靠的时间同步措施，保证系统SOE的触发时序正确；机组检修后应开展SOE试验，验证SOE系统的可靠性。5、DCS应具备GPS时钟接入功能，各种类型的历史数据必须具有统一时标，与全厂时钟系统(或GPS时钟)保

10、持同步。二、防止DCS失灵-基本配置第14页，共98页。 控制器处理周期测试技术： 测试目的反映了控制器对组态逻辑进行运算处理的快慢可用于评估控制器运算负荷，是评价和预判系统死机、失灵可能性的重要参数之一 逻辑图与输出波形控制器周期系统I/O周期 测试项目 解决方案累加功能回路设计DI-DO赋值逻辑回路二、防止DCS失灵-基本配置第15页，共98页。控制器处理周期测试技术：采用累加回路系统设置周期100ms累加回路为100次结论： 实际周期100.93ms二、防止DCS失灵-基本配置第16页，共98页。二、防止DCS失灵-基本配置某DCS控制器周期测试结果第17页，共98页。系统响应实时性测试

11、： 定义、方法： 测试结果系统响应时间是指由操作员站（CRT）发出控制命令开始，到该控制命令所执行的DO控制指令输出（通常为DO输出继电器动作）动作为止，其过程所需时间即为系统响应时间。系统响应时间应1秒 专用测试平台，自动测试从鼠标点击发出指令到DO发生变化的时间。二、防止DCS失灵-基本配置第18页，共98页。系统响应实时性测试：二、防止DCS失灵-基本配置第19页，共98页。抗干扰性能测试技术：抗干扰性能是DCS在应用中的重要性能，应作为重点进行测试和评价。 从电磁干扰三要素入手 干扰源 干扰传播途径 干扰敏感体二、防止DCS失灵-基本配置第20页，共98页。AI通道共模抑制比/差模抑制

12、比测试技术：共模抑制比的表达式：施加在通道上共模干扰的大小：在此干扰作用下测量示值的变化量差模抑制比的表达式：施加在通道上差模干扰的大小：在此干扰作用下测量示值的变化量二、防止DCS失灵-基本配置第21页，共98页。 SOE模件性能测试技术：模件功能实现系统事故追忆功能分辨力要求：1ms重要性：尤其在机组跳闸时有助于事故分析。缩短事故分析时间、提高事故分析准确性、记录关键数据信号的具体动作时间。 当机组发生故障时，需要查找真实原因，而一般历史数据记录只能做到秒级分辨率，同一秒内出现的信息不能分出先后顺序。事件顺序记录系统（SOE）以毫秒级的分辨率获取事件信息，为事故分析提供有力证据。 SOE是

13、电厂重要的运行状态监测、事故分析用设备。要素：记录完整、顺序正确。二、防止DCS失灵-基本配置第22页，共98页。 存在问题：各类型DCS系统SOE硬件标准不一，出厂验收形式化。GPS没有正常投入，甚至不能保证各操作站时钟一致。SOE卡件设计分配不合理，过于分散化不能保证时钟同步。在SOE功能测试过程中发现不能保证精度及时序正确性。SOE模件性能测试技术：二、防止DCS失灵-基本配置第23页，共98页。 测试项目：在同一SOE卡件上的时间分辩力测试不在同一SOE卡件上的时间分辩力测试不同网络中SOE卡件上的时间分辨力测试（燃机）SOE模件性能测试技术：二、防止DCS失灵-基本配置不同控制器SO

14、E卡件上的时间分辩力测试第24页，共98页。 基本测试原理SOE模件时间分辨能力测试：用多路可编程脉冲信号发生器产生在相位上具有提前或滞后关系的多路脉冲，通过调整脉冲间隔来测试模件对信号的时间分辨能力 基于正逆脉冲组的时间分辨力测试技术左上图为正顺序脉冲组左下图为逆顺序脉冲组一般做法：只采用一种脉冲组，不严谨可能存在模件通道的采样顺序与输入信号的延时顺序相合，导致测试结果的错误二、防止DCS失灵-基本配置第25页，共98页。SOE部分测试结论二、防止DCS失灵-基本配置第26页，共98页。 SOE部分测试结论04/10/2012 09:53:17.01512-2-2No Description

15、 Provided104/10/2012 09:53:17.01411-2-2No Description Provided104/10/2012 09:53:17.01310-2-2No Description Provided104/10/2012 09:53:17.0129-2-2No Description Provided104/10/2012 09:53:17.0118-2-2No Description Provided104/10/2012 09:53:17.0107-2-2No Description Provided104/10/2012 09:53:17.0096-2-2

16、No Description Provided104/10/2012 09:53:17.0085-2-2No Description Provided104/10/2012 09:53:17.0074-2-2No Description Provided104/10/2012 09:53:17.0063-2-2No Description Provided104/10/2012 09:53:17.00616-7SOE16-7104/10/2012 09:53:17.0052-2-2No Description Provided104/10/2012 09:53:17.00515-7SOE15-

17、7104/10/2012 09:53:17.0041-2-2No Description Provided104/10/2012 09:53:17.00414-7SOE14-7104/10/2012 09:53:17.00313-7SOE13-7104/10/2012 09:53:17.00212-7SOE12-7104/10/2012 09:53:17.00111-7SOE11-7104/10/2012 09:53:16.99810-7SOE10-7104/10/2012 09:53:16.9979-7SOE9-7104/10/2012 09:53:16.9968-7SOE8-7104/10

18、/2012 09:53:16.9957-7SOE7-7104/10/2012 09:53:16.9946-7SOE6-7104/10/2012 09:53:16.9935-7SOE5-7104/10/2012 09:53:16.9924-7SOE4-7104/10/2012 09:53:16.9913-7SOE3-7104/10/2012 09:53:16.9902-7SOE2-7104/10/2012 09:53:16.9891-7SOE1-71不同控制器不同SOE卡测试记录结论：两卡之间时序有重叠单卡内时序正确二、防止DCS失灵-基本配置第27页，共98页。 CRT画面实时性测试技术：定义

19、：从操作员站CRT画面上选择任一幅监控画面，从调用该画面的指令发出开始(鼠标点击),到所调用画面全部正常显示为止，所需时间即为CRT画面响应时间。 华北电科院热控所专用检测平台：基于光敏原理的自动检测平台与数据库读取时间、控制器运算周期、网络传输速率、图形显示速率等相关，是综合参数标准规定：CRT画面调用时间不大于1秒钟。二、防止DCS失灵-基本配置第28页，共98页。二、防止DCS失灵-基本配置网络测试：第29页，共98页。案例1某电厂发生分散控制系统频繁故障和死机造成机组停运事故。从1997年2月开始7号机组进入试生产至1997年5月，两台机组共发生22次DCS系统故障和死机，其中造成机组

20、不正常跳闸8次。之后又发生多次操作画面故障(8号机组有两次发生全部6台操作员站“黑屏”)，其中1次造成8号机组不正常跳闸，严重威胁机组安全。 经过DCS系统事故分析专家评审会专家评审组的分析，认为其DCS系统存在以下几方面问题：(1)DCS工程设计在性能计算软件、开关量冗余配置上存在问题；(2)硬件配置不匹配； (3)个别硬件设计不完善；（4）系统上、下位通讯负荷率不匹配。（综合问题）二、防止DCS失灵-基本配置第30页，共98页。案例2某电厂在200MW机组的热控系统自动化改造上使用的DCS系统，由于系统配置的负荷率计算不准且为了减少投资技术指标均靠近允许极限，加之该系统有运行时中间虚拟IO

21、点量大的特点，所以在改造后期(大修即将结束时)调试时发现个别控制器的负荷率竟超过了90，个别软手操操作响应竟接近1min，根本无法使用，后经过大幅度系统调整(系统重新增加配置)，才解决了这个问题。(硬件配置问题) 案例3某600MW新机组，由于在招标的技术规范中对I/O通道隔离性质表述不到位，结果DCS厂家做的配置很低，结果在调试时烧损了大量I/O板，后来改变了隔离方式和更换了硬件，电厂又花费了许多资金，也抵消了当初的招标价格优势。（硬件配置问题）二、防止DCS失灵-基本配置第31页，共98页。案例4某电厂2号机组负荷200MW， 8时23分，各控制器依次发报警，8时26分，#2控制器脱网，#

22、52控制器切为主控；11时05分，#52控制器脱网；13时39分，#7控制器脱网，#57控制器切为主控，在#7控制器向#57控制器切换瞬间，由该控制器控制的A、B磨煤机跳闸；15时11分，#9控制器脱网，#59控制器切为主控，在#9控制器向#59控制器切换瞬间，由该控制器控制的E磨煤机跳闸；15时51分，#1控制器脱网，#51控制器切为主控，在#1控制器向#51控制器切换瞬间，由该控制器控制的A引风机动叶被强制关闭。 分析发现DCS控制器脱网原因为主时钟与备用时钟不同步造成系统时钟紊乱，从而导致控制器脱网。（时钟故障）二、防止DCS失灵-基本配置第32页，共98页。案例5某电厂3号机组机组停机

23、前电负荷115MW，炉侧主汽压9.55MPa，主汽温537，主给水调节门开度43%，旁路给水调节门开度47%（每一条给水管道均能满足100%负荷的供水），汽包水位正常。运行人员发现锅炉侧部分参数显示异常，各项操作均不能进行，同时炉侧CRT画面显示各项自动已处于解除状态。调自检画面发现#3控制器离线，#23控制器处于主控状态，主汽压在9.09.6MPa波动、主汽温在510540波动、汽包水位在+75-50mm波动，维持运行。几分钟后，发现#3控制器离线、#23控制器为主控状态，但#23控制器主控下的I/O点（汽包水位、主汽温、主汽压、给水压力、等）均为坏点，自动控制手操失灵。经过多次重启，#3控

24、制器恢复升为主控状态。在释放强制的I/O点时，运行人员发现汽包水位急剧下降，就地检查发现旁路给水调节门在关闭状态，手动摇起三次均自动关闭，汽包水位TV和显示表监视不到水位，手动停炉、停机。 根据能历史记录分析认为：#3控制器（主控）故障前，#23控制器（辅控）因硬件故障或通讯阻塞，已经同I/O总线失去了通讯。当#3控制器因主机卡故障离线后，#23控制器升为主控，但无法读取I/O数据，造成参与汽水系统控制的一对冗余控制器同时失灵，给水自动控制系统失控，汽包水位保护失灵。在新更换的3控制器重启成功后释放强制点的过程中，DCS将旁路给水调节门指令置零，关闭旁路调节门，造成汽包缺水。（通讯故障）二、防

25、止DCS失灵-基本配置第33页，共98页。9.1.2 DCS的控制器、系统电源、为I/O模件供电的直流电源、通讯网络等均应采用完全独立的冗余配置，且具备无扰切换功能；采用B/S、C/S结构的DCS系统的服务器应采用冗余配置，服务器或其供电电源在切换时应具备无扰切换功能。（冗余原则，独立性原则）解析1：火力发电厂分散控制系统技术条件（DL/T 1083-2008）从控制对象角度要求 “用于机组主控和重要辅机系统的DCS的控制处理器均为主要控制器，应冗余配置；重要辅机设备可包括送风机、引风机、一次风机、空气预热器、制粉系统、给水泵、凝结水泵、循环水泵、真空泵、重要冷却水泵、重要油泵等。同时规定虽然

26、控制处理器故障，而短期内不影响机组稳定运行的辅助控制系统的DCS，可不要求冗余配置；”二、防止DCS失灵-冗余配置第34页，共98页。解析2：（1）确保DCS系统硬件可靠的重要手段就是将DCS系统的核心部件进行冗余设计，通过冗余技术和无扰切换技术，来降低DCS构成部件故障时对整体安全和功能的影响。冗余技术和无扰切换技术是确保DCS安全性的重要支撑技术。（2）采用B/S、C/S结构的DCS系统的服务器由于是系统上下位信息交换的核心节点，为此亦应通过冗余技术来提高安全性和可靠性。（3）控制器的冗余配置必须是热备用方式，即后备控制器必须与主控制器同步更新数据，保证后备控制器切换为主控制器时不对输出产

27、生影响扰动。（4）冗余技术、无扰切换、热备用方式相辅相成、缺一不可。二、防止DCS失灵-冗余配置第35页，共98页。案例6某电厂DCS为采用B/S、C/S结构的DCS系统，其服务器为单台设计，由于运行年限较长，服务器出现故障死机，导致上下位信息无法交换，操作员操作指令无法下发，控制器的控制和监视信息无法上传，监控画面无法刷新，最后只能启动停机预案。本次事故是典型的系统核心节点硬件设计缺陷导致。（冗余问题）二、防止DCS失灵-冗余配置第36页，共98页。9.1.3 DCS控制器应严格遵循机组重要功能分开的独立性配置原则，各控制功能应遵循任一组控制器或其他部件故障对机组影响最小的原则。（新增）独立

28、性原则解析：（1） DCS系统的可靠性一般分为两类，一类是硬件可靠性，一类是控制功能可靠性。硬件可靠性主要通过冗余技术和无扰切换技术来实现。功能可靠性主要通过独立性原则来实现，即涉及机组重要的控制功能应采取功能分开的独立性配置原则，譬如，实现过程控制的燃料控制、风量控制、水和汽的控制不宜配置在同一个控制器，应独立分开配置，以最大限度的降低部分功能故障对整体控制的影响。(2)重要功能分开的独立性原则配置要求不应以控制器能力提高为理由，减少控制器的配置数量，从而降低系统配置的分散度；二、防止DCS失灵-功能配置第37页，共98页。9.1.3 DCS控制器应严格遵循机组重要功能分开的独立性配置原则，

29、各控制功能应遵循任一组控制器或其他部件故障对机组影响最小的原则。（新增）独立性原则解析：（3）应按下列原则配置控制器: 1)送风机、引风机、一次风机、凝结水泵和非母管制的循环水泵等两台并列运行的重要辅机，以及A、B段厂用电，应分别配置在不同的控制器中，但允许送风机和引风机等按介质流程组合在一个控制器中； 2)给水泵控制中系统宜分泵配置在不同的控制器中，但允许同一给水泵泵的模拟量液压控制系统（MEH）和小机紧急跳闸系统（METS）合用控制器； 3)磨煤机、给煤机、风门和油燃烧器等多台组合运行的重要设备应按工艺流程要求组合，配置至少三个控制站；二、防止DCS失灵-功能配置第38页，共98页。9.1

30、.5按照单元机组配置的重要设备（如循环水泵、空冷系统的辅机）应纳入各自单元控制网，避免由于公用系统中设备事故扩大为两台或全厂机组的重大事故。（新增）集中与分散原则解析：循环水泵是电厂过程生产的重要设备，是确保正常生产的基础，应确保其控制可靠性。为了避免循环水泵在一个控制网所带来的风险，应将循环水泵分别布置在不同的控制单元，这样即使一个网络发生故障，另外的一台循环泵亦能维持正常生产。这也符合分散控制系统风险分散的核心思想。案例某电厂两台600MW机组公用一套公用系统，其中循环水泵由公用系统控制。2008年6月，公用系统控制器主控制器故障，备用控制器切换不成功，导致循泵跳闸，进而使两台机组跳闸。

31、二、防止DCS失灵-功能配置第39页，共98页。9.1.4 重要参数测点、参与机组或设备保护的测点应冗余配置，冗余I/O测点应分配在不同模件上。（冗余原则，独立性原则）解析：测点配置可看做工艺设计与DCS硬件的结合点，因此重点独立强调，也可看做是DCS软配置要求。 火力发电厂分散控制系统技术条件（DL/T 1083-2008）要求：5.2.1.15“对某些重要的关键参数，应采用三重冗余变送器测量”； 5.2.1.17“对某些仅次于关键参数的重要参数，应采用双重冗余变送器测量”； 火力发电厂热工保护系统设计技术规定（DL/T 5428-2009） 5.3.6明确要求“应冗余配置的主要开关量仪表规

32、定至少如下： 火力发电厂热工控制系统设计技术规定（DL/T 5175-2003）还要求“冗余I/O信号应通过不同的I/O模件和通道引入/引出。二、防止DCS失灵-测点配置第40页，共98页。9.1.4 重要参数测点、参与机组或设备保护的测点应冗余配置，冗余I/O测点应分配在不同模件上。（冗余原则，独立性原则重要应用）解析：（1）DCS控制系统中每个机柜每种类型的测点的设计余量、各类测点所需的卡件（或者卡槽）、接线端子、电缆通道的余量应符合要求。（2）重要参数、参与机组或设备保护点及重要I/O点的检测元件应为三取二（开关量）或三取中（模拟量），同时应考虑采用非同一板件的独立性配置原则。（3）测点

33、的冗余应实现全程冗余，即从测点取样、传输、进入板卡、运算等全过程环节都应独立完成，实现真正冗余配置。二、防止DCS失灵-测点配置第41页，共98页。（4）应三重冗余（或同等冗余功能）配置的模拟量输入信号：机组负荷、汽机转速、轴向位移、给水泵汽机转速、凝汽器真空、主机润滑油压力、抗燃油压、主蒸汽压力、主蒸汽温度、主蒸汽流量、调节级压力。汽包水位、汽包压力、水冷壁进口流量、主给水流量、除氧器水位、炉膛负压、增压风机入口压力、一次风压力、再热汽压力、再热汽温度、常压流化床床温及流化风量、中间点温度（作为保护信号时）、主保护信号、调节级金属温度；（5）至少应双重冗余配置的模拟量输入信号：加热器水位、热

34、井水位、凝结水流量、主机润滑油温、发电机氢温、汽机调门开度、分离器水箱水位、分离器出口温度、给水温度、送风风量、磨煤机一次风量、磨煤机出口温度、磨煤机入口负压、单侧烟气含氧量、除氧器压力、中间点温度（不作为保护信号时）、二次风流量等。当本项信号作为保护信号时，则应三重冗余（或同等冗余）配置；二、防止DCS失灵-测点配置第42页，共98页。(6)应具有三重冗余配置的重要热工开关量输入信号：主保护动作跳闸(MFT、ETS、GTS)信号以及联锁主保护动作的主要辅机动作跳闸保护信号等；(7)至少应采用双重冗余配置的次重要开关量输入信号：风箱与炉膛差压、一次风与炉膛差压等；(8)冗余配置的I/O信号、多

35、台同类设备的各自控制回路的I/O信号，必须分别配置在不同的I/O模件上；(9)所有的I/O模件的通道，应具有信号隔离功能；(10)电气负荷信号应通过硬接线直接接入DCS；（11）取自不同变送器用于机组和主要辅机跳闸的保护输入信号，应直接接入相对应的保护控制器的输入模件。二、防止DCS失灵-测点配置第43页，共98页。案例某600MW机组的一组真空低测点为三个，但均由一个取样管采集而来，只是变送器配置三个，然后完成三取二逻辑运算。某次取样管堵塞，导致三个变送器同时动作，直接跳机。本次事故是由于测点配置不符合要求引起的典型事故，测点应从取样管开始全程独立配置，实现真正的三取二功能。 （测点配置问题

36、） 防止保护失灵或误动也对测点提出该要求。二、防止DCS失灵-测点配置第44页，共98页。9.1.6 DCS电源应设计有可靠的后备手段，电源的切换时间应保证控制器不能初始化；操作员站如无双路电源切换装置，则必须将两路供电电源分别连接于不同的操作员站；系统电源故障应设置最高级别的报警；严禁非DCS系统用电设备接到DCS系统的电源装置上；公用DCS系统电源，应分别取自不同机组的电源系统,且具备无扰切换功能。DCS电源的各级电源开关容量和保险熔丝应匹配， 防止故障越级。解析：DCS 系统电源应满足火力发电厂分散控制系统技术条件（DL/T 1083-2008）要求：“6.3.1.1 机组、脱硫、全厂辅

37、助系统等重要系统配置DCS应能够接受电厂提供的两路交流单相电源且应具有可靠的电源冗余功能，任何一路外部电源失去或故障不应引起控制系统任何部分的故障、数据丢失或异常动作。任何一路外部电源失去应在DCS系统获得报警。”“6.3.2.4 冗余电源的直流隔离或切换组件（如二极管或其他部件）应冗余配置，防止因其故障造成DPU电源系统的故障。”二、防止DCS失灵-电源系统第45页，共98页。解析： DCS电源可靠性是DCS安全、可靠运行的基础，设计、运行上规范（1）总电源必须两路以上（冗余），备用电源的切换时间应应保证控制器不能初始化，系统电源故障应设有最高等级报警。（2）每个控制柜内电源设计余量足够，操

38、作员站、服务器、控制器、通讯网络的电源以及控制单元、模件、驱动器件的工作电源均应采用冗余配置。（3）操作员站、工程师站、实时数据服务器、SIS接口服务器和通讯网络设备的电源，应采用两路电源供电并通过双电源模块接入，否则操作员站和通讯网络设备的电源应合理分配在两路电源上。（4）独立配置的重要控制子系统（如ETS、TSI、METS、DEH、MEH、火检、FSSS、循环水泵等远程控制站及I/O站电源、循泵控制蝶阀等），应有两路互为冗余的电源供电。二、防止DCS失灵-电源系统第46页，共98页。解析：（5）独立于DCS的安全系统的电源切换功能，以及要求切换速度快的备用电源切换功能，不应纳入DCS，而应

39、采用硬接线逻辑回路。（6）冗余电源的任一路电源单独运行时，应保证设计裕量满足要求；公用DCS系统电源，应取分别取自两台机组,在正常运行中保证无扰切换；重要的热工双路供电回路，应取消人工切换开关；所有的热工电源（包括机柜内检修电源）必须专用，不得用于其它用途。（7）汽轮机紧急跳闸系统（ETS）和汽轮机监视仪表（TSI）所配电源必须可靠，电压波动值不得大于5，不得含有高次谐波，以保证输出继电器动作和触点可靠，同时应具备出口继电器电源监视报警功能。二、防止DCS失灵-电源系统第47页，共98页。案例某电厂200MW机组操作员站供电电源为一路，且全部操作员站均由该路电源供电。2010年8月6日，操作员

40、站供电电源故障，导致操作员无法使用，机组运行失控，根据应急预案，实施紧急停机停炉。（冗余、电源问题）二、防止DCS失灵-电源系统第48页，共98页。9.1.13交、直流电源开关和接线端子应分开布置，直流电源开关和接线端子应有明显的标示。（新增） 解析：由于交直流问题导致的全厂停电事故的教训是惨痛的，典型的细节设计失误带来的重大事故。 典型案例：某电厂6*600MW全厂停电，6*300MW全厂停电。二、防止DCS失灵-电源系统第49页，共98页。9.1.7 DCS接地必须严格遵守相关技术要求，接地电阻满足标准要求；所有进入DCS的控制信号电缆必须采用质量合格的屏蔽电缆，且可靠单端接地；DCS与电

41、气系统共用一个接地网时，DCS接地线与电气接地网只允许有一个连接点。解析：火力发电厂分散控制系统技术条件（DL/T 1083-2008）的要求：6.8.3 DCS应不要求单独的接地网，接地电阻小于4欧姆的电厂电气地网应能够满足DCS接地要求。各电子机柜中应设有独立的安全地、屏蔽地及相应接地铜牌。每套DCS可采用中心接地汇流排的方式，实现系统的单点接地。电缆屏蔽层应在机柜侧单端接地。 火力发电厂分散控制系统在线验收测试规程（DL/T659）4.9 DCS 的接地应符合制造厂的技术条件和有关标准的规定。屏蔽电缆的屏蔽层应单点接地。DCS 采用独立接地网时，若制造厂无特殊要求，则其接地极与电厂电气接

42、地网之间应保持 10m 以上的距 离，且接地电阻不应大于 2。当 DCS 与电厂电气系统共用一个接地网时，控制系统接地线与电气 接地网只允许有一个连接点，且接地电阻应小于 0.5。二、防止DCS失灵-接地系统第50页，共98页。解析： DCS接地是保证DCS电气安全的重要技术措施，应根据电气设计要求，保证接地电阻这一重要指标符合标准要求。（1）DCS机柜的外壳不允许与建筑物钢筋直接相连，其外壳、电源地、屏蔽地和逻辑地应分别接到机柜各地线上，并将各机柜地线连接后，再用两根铜芯电缆引至接地极(体)。具有“一点接地”要求的控制系统，整个接地系统最终只有一点接到地网上，并满足接地电阻指标要求。远程控制

43、柜或I/O柜应就近独立接入电气接地网，并进行测试，确保接地满足要求。DCS输入输出信号屏蔽线要求单端接地，信号端不接地的回路，屏蔽线应直接接在机柜端的接地铜排上；信号端接地的回路，屏蔽线应在信号端接地。（2）DCS的接地网若接入厂级接地网，需在一定范围内（该范围定值由DCS厂家提供）不得有高电压强电流设备的安全接地和保护接地点；如果DCS采用单独的接地网，则该接地网应满足一定的规格要求（具体范围的大小由DCS厂家提供），避免动力设备接地对DCS造成影响。二、防止DCS失灵-接地系统第51页，共98页。解析：（3） DCS的总接地铜牌到DCS专用接地网之间的连接需采用多芯铜制电缆，其导线截面积应

44、满足厂家要求，且两端采用压接的方式连接。（4）热工系统中的机柜、金属接线盒、汇线槽、导线穿管、铠装电缆的铠装层、用电仪表和设备外壳、配电盘等都需要采用保护接地。（5）对于接入同一接地网的热工设备可以采用电缆联接，但需要保证接地网的接地电阻满足要求，实现等电位联接；对于分开等电位联接的（未接入同一接地网）本地DCS机柜和远程DCS机柜之间的信号传输应使用无金属的纤维光缆或其他非导电系统。（6）具有“一点接地”要求的控制系统，应在解开总接地母线连接的情况下，进行DCS接地、屏蔽电缆屏蔽层接地、电源中性线接地、机柜外壳安全接地等四种接地系统对地的绝缘电阻测试，以及接地电极接地电阻值测试。各项数值应满

45、足有关规程、规范技术要求。（7）DCS大修后应做DCS抗射频、串模、共模干扰试验，满足相关规程要求。二、防止DCS失灵-接地系统第52页，共98页。9.1.8机组应配备必要的、可靠的、独立于DCS的硬手操设备（如紧急停机停炉按钮），以确保安全停机停炉。解析：本条是对配置紧急停机、停炉按钮的要求。火力发电厂分散控制系统技术条件（DL/T 1083-2008）6.6.6.2规定，为保证在DCS系统发生重大故障（如分散控制系统电源消失、通讯中断、全部操作员站失去功能、重要控制站失去控制和保护功能等），或在紧急工况下快速、安全停机，应设置手动操作装置，确保机组安全停运。紧急手动操作的设备应按照火力发电

46、厂设计技术规程（DL/T 5000-2000） 12.9.4的规定执行 ：“应设置下列独立于分散控制系统的后背手操手段：汽轮机跳闸、总燃料跳闸、发电机变压器组跳闸、锅炉安全门（机械式可不装）、汽包事故放水门、汽轮机真空破坏门、直流润滑油泵、交流润滑油泵、电机灭磁开关、柴油机启动。” （共十项）DL/T 1083-2008 的6.6.6.3要求“紧急手动装置应直接作用于设备或装置，不应通过DCS通道。应布置在操作员台便于操作的位置上，同时应有安全防护措施以防止误动。”为了防止误动，紧急停机停炉按钮应采用双按钮或带罩单按钮配置。DL/T 5000-2000 12.6.1条对此强制要求“在控制台上必

47、须设置总燃料跳闸、停止汽轮机和解列发电机的跳闸按钮，跳闸按钮应直接接至停炉、停机的驱动回路。” 二、防止DCS失灵-后备安全第53页，共98页。9.1.8机组应配备必要的、可靠的、独立于DCS的硬手操设备（如紧急停机停炉按钮），以确保安全停机停炉。解析：紧急停机停炉按钮是确保机组安全停运的最后手段。DCS发展至今，已经十分成熟和可靠，但仍然存在DCS失灵的可能。DCS失灵后的首要、唯一任务就是确保机组安全停运，为此，设置独立于DCS的、不受DCS影响的紧急停机停炉按钮十分关键，同时要确保紧急停机停炉按钮的可靠性。 反措的目标就是：预防DCS失灵，一旦失灵，安全停运，本条是事故后安全停机的手段。

48、案例某电厂DCS系统上位操作员站因电源故障无法监视机组运行，机组运行处于不可控状态，根据机组应急预案，通过紧急停机、停炉按钮进行紧急停机停炉处理。二、防止DCS失灵-后备安全第54页，共98页。9.1.9 DCS与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。DCS与其他生产大区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。DCS与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。DCS系统禁止采用安全风险高的通用网络服务功能。DCS的重要业务系统应当采用认证加密机制。 （新增）

49、解析：网络安全日益重要。电厂有DCS生产控制网、实时数据网、管理网等，管理网需要DCS生产网的实时过程数据，就产生了广域网、管理网、生产网间的安全控制问题。为此，国家电监会发布了电力二次系统安全防护规定（电监会5号令），来规范指导电厂的网络信息技术安全。 主要原则就是采用单向隔离、纵向认证措施。二、防止DCS失灵-网络安全第55页，共98页。9.1.12对于多台机组DCS网络互联的情况，以及当公用DCS系统的网络独立配置并与两台单元机组的DCS进行通信时，应采取可靠隔离措施、防止交叉操作。 （新增）解析：9.1.12可以视为将9.1.9的安全精神与电厂实际情况相结合的一种安全管理方法。 目前，

50、全DCS配置方式逐渐成为单元机组的控制方式。对于多台机组，除各自的DCS网络外，还存在有公用系统的DCS网络。同时，为了方便操作员操作，单元机组DCS网络内一般设计有控制公用系统的方式或操作手段。这就形成了两台或多台机组同时可以操作公用系统设备的情况，为了防止误操作，公用系统DCS网络应分别于每一单元机组DCS网络进行有效的操作隔离措施，防止交叉误操作的发生。二、防止DCS失灵-网络安全第56页，共98页。案例某厂2*600MW机组为亚临界汽包炉，两台机组各自为单独DCS环形控制网络，公用系统同为环形网络并跨接在两台机组之间。2009年4月13日，1号机组正常运行，带560MW负荷，2号机组检

51、修。14:30维护人员由于工作需要修改逻辑后，传动2号机组A侧引风机静叶，导致1号机组A侧引风机突然增大，负压迅速低至-3250Pa，MFT保护动作，机组跳闸。 事后分析，由于1、2号机组之间没有进行必要的隔离，维护人员修改逻辑过程中误将2号机组A侧引风机静叶指令改为1号机组A侧引风机静叶指令。传动过程中，导致2号机组引风机指令误发到1号机组引风机上，1号机组引风机误动。二、防止DCS失灵-网络安全第57页，共98页。9.1.10 DCS电子间环境满足相关标准要求，不应有380V及以上动力电缆及产生较大电磁干扰的设备。机组运行时，禁止在电子间使用无线通讯工具。（新增）解析：DCS稳定运行所需外

52、部条件的重要性。DCS是典型的电子设备，电磁环境直接影响其运行稳定性。因此，应尽最大可能保证电子间的环境，确保满足标准要求。380V以上动力电缆和大电磁干扰设备以及无线通讯设备都是电磁干扰源，对DCS运行影响较大，应避免干扰源出现在电子间。DCS机柜间的空气质量、温度、湿度应符合热工自动化设备检修规程（DL/T 774-2004）的要求，保证热工控制设备在良好的环境条件下运行。二、防止DCS失灵-运行环境第58页，共98页。案例2004年7月18日，某电厂600MW的1号机组运行在540MW工况，电气人员在DCS电子间例行巡查维护时，通过对讲机与现场人员进行通信，导致机组负荷瞬间由540MW降

53、至248MW，机组运行出现严重异常，汽包水位控制异常导致跳机。分析得知，通信工具干扰了功率测点测量和传输，引起控制系统控制异常。二、防止DCS失灵-运行环境第59页，共98页。条文9.1.11 远程控制柜与主系统的通信的两路通信电(光)缆要分层敷设。解析：远程控制柜一般完成汽机、锅炉主体设备的重要监视功能，其与主系统主要通过两路互为冗余的通讯电（光）缆来完成，为了达到真正的功能冗余、风险分散的目的，体现分散控制系统的设计宗旨，通讯介质不应在同层敷设，而应分层敷设。二、防止DCS失灵-运行环境第60页，共98页。二、防止DCS失灵-总结DCS系统的可靠性技术一般分为两类：1、硬件可靠性： 配置原

54、则 冗余技术 无扰切换2、控制功能可靠性： 独立性原则第61页，共98页。二、防止DCS失灵-故障处理9.3.1 已配备DCS的电厂，应根据机组的具体情况，建立DCS故障时的应急处理机制，制定在各种情况下切实可操作的DCS故障应急处理预案，并定期进行反事故演习。解析：DCS是一种大型综合控制系统，其故障类型很多，主要有：控制电源失电、控制电源冗余切换故障、控制器冗余切换故障、网络通讯故障、网络通信设备失电、操作员站死机、操作员站失电等。各类故障现象不同，原因各异，对DCS控制功能的影响程度亦不同，因此必须针对DCS各种故障类型，观察不同故障现象，分析真实故障原因，及时采取积极正确的应对手段，减

55、小事故影响范围，保证人身和设备安全。第62页，共98页。二、防止DCS失灵-故障处理紧急故障处理措施全部操作员站出现故障 部分操作员站出现故障系统中的控制器或相应电源故障第63页，共98页。二、防止DCS失灵-故障处理9.3.2当全部操作员站出现故障时（所有上位机黑屏或死机），若主要后备硬手操及监视仪表可用且暂时能够维持机组正常运行，则转用后备操作方式运行，同时排除故障并恢复操作员站运行方式，否则应立即执行停机、停炉预案。若无可靠的后备操作监视手段，应执行停机、停炉预案。解析：所有操作员站故障意味着机组处于失去控制的危险工况，因此在预先进行的反事故演习中，应认真检验现有后备硬手操及监视仪表功能

56、是否满足维持机组运行要求。如果现有后备手段无法满足维持机组运行要求，必须立即执行停机、停炉预案。 第64页，共98页。二、防止DCS失灵-故障处理案例2006年1月20日7时30分，某电厂2号机组DCS两路电源同时失电，所有DCS操作员站和工程师站全部死机，监控画面消失，无法对设备进行监控。DCS电源失电后，AST电磁阀失电，汽轮机跳闸解列。汽轮机跳闸后，操作人员就地启动交流润滑油泵和顶轴油泵。汽轮机旁路系统采用独立控制系统且独立供电，汽轮机跳闸后旁路自动开启，后由操作人员手动关闭。厂用电至起备变自动切换成功，保证设备正常启停。操作人员手动MFT锅炉跳闸，硬接线联跳一次风机、磨煤机、给煤机及减

57、温水总门。操作人员就地停送、引风机和密封风机。由于采用后备手操应对及时，未发生重大设备损坏事故。 第65页，共98页。二、防止DCS失灵-故障处理9.3.3当部分操作员站出现故障时，应由可用操作员站继续承担机组监控任务，停止重大操作，同时迅速排除故障，若故障无法排除，则应根据具体情况启动相应应急预案。解析：一般单元机组配置46台操作员站，一台或部分操作员站故障不会影响机组正常操作。如果面临机组启停等特殊工况时，操作人员的工作量会大幅增加，操作员站数量的减少将直接降低操作人员对设备的控制能力，有可能对机组的安全运行造成重大影响。在部分操作员站发生故障时，DCS系统应被视为丧失部分功能，需及时进行

58、检修工作。 第66页，共98页。二、防止DCS失灵-故障处理9.3.4当系统中的控制器或相应电源故障时，应采取以下对策：9.3.4.1辅机控制器或相应电源故障时，可切至后备手动方式运行并迅速处理系统故障，若条件不允许则应将该辅机退出运行。9.3.4.2调节回路控制器或相应电源故障时，应将自动切至手动维持运行，同时迅速处理系统故障，并根据处理情况采取相应措施。9.3.4.3涉及到机炉保护的控制器故障时应立即更换或修复控制器模件，涉及到机炉保护电源故障时则应采用强送措施，此时应做好防止控制器初始化的措施。若恢复失败则应紧急停机停炉。（解析：机炉失电跳闸和带电跳闸的区别） 第67页，共98页。二、防

59、止DCS失灵-故障处理9.3.5冗余控制器(包括电源)故障和故障后复位时，应采取必要措施，确认保护和控制信号的输出处于安全位置。（新增）9.3.6加强对DCS的监视检查，当发现CPU、网络、电源等故障时，应及时通知运行人员并启动相应应急预案。9.3.7规范DCS软件和应用软件的管理，软件的修改、更新、升级必须履行审批授权及责任人制度。在修改、更新、升级软件前，应对软件进行备份。拟安装到DCS中使用的软件必须严格履行测试和审批程序，必须建立有针对性的DCS防病毒措施。9.3.8加强DCS网络通讯管理，运行期间严禁在控制器、人机接口网络上进行不符合相关规定许可的较大数据包的存取，防止通讯阻塞。 第

60、68页，共98页。案例2004年8月28日凌晨，某电厂4号机组运行人员发现操作员站对操作指令有数秒钟反应滞后。在经过仔细检查后，发现4号机组所有操作员站和工程师站均感染了同一种计算机病毒。此类病毒挤占计算机内存空间，造成操作员站反应迟缓。4号机组设有一台与全厂MIS系统相连的专用通讯站，计算机病毒由此通道进入DCS系统。对所有操作员站进行杀毒后，各操作员站运行速度恢复正常。暂将DCS系统与厂MIS系统隔离，计划加装硬件防火墙。案例2008年6日，某电厂运行人员发现机组负荷从480MW迅速下降，主汽压力突升，汽轮机调门开度，由原来的25%关闭到10%并继续关闭，高调门继续迅速关闭至0%，机组负荷