控制系统可靠性及应急处理

1提高热控系统可靠性2控制系统的可靠性要求故障安全。任一控制系统的部件故障，机组仍能安全运行。影响最小。任一控制系统的部件故障，对机组运行影响最小。容错最大。控制系统保证机组安全运行允许的故障程度最大。及时处理。及时的维护和应急处理，保证机组安全可靠运行。3控制系统可靠(容错)配置电源冗余→容错配置“三重化”输入/输出配置控制器故障对机组影响最小通信冗余→容错配置4DCS电源须冗余配置DCS供电电源、电源装置冗余配置。任一电源或电源装置故障时，也应能保证供电。二路电源物理上应分离。杜绝局部故障、维护不当、小动物进入等造成二路供电同时失去的情况。通信设备和操作员站通过切换装置实现供电冗余。应分组采用不同的主电源，即使切换装置故障，在某路供电电源失去时，仍能保证部分操作员站和通信正常运行。5DCS控制器须可靠冗余硬件故障、软件出错、通信故障及失去电源等，仍能正常承担控制任务。Ⅰ类故障控制器最少。只有MFT、ETS！双列布置辅机或设备分配在二对控制器中。同一工艺分配在同一控制器中，如制粉系统。能可靠在线组态。单列布置辅机分配在同一控制器中。6DCS通信系统须冗余设置冗余通信设备应物理上分离。对于多对通信设备（如交换机），任一对通信设备都故障，对机组影响最小。操作员站应分散布置在不同的交换机上相关性强的控制器布置在同一对交换机上。除一对互为冗余通信设备同时故障外，控制系统的通信应能正常运行。对机组监视影响最小。7I/O布置的可靠性要求任一信号的测量原件、I/O模件通道故障不能造成保护误动和拒动。三重化冗余输入要求同一物理参数应采用三个相互独立的一次测量元件测量，并由三根不同的电缆接入三块不同的输入处理模件。主辅机保护信号，应按三重化冗余原则配置，MFT、ETS、单列布置辅机应三重化。三重化冗余保护输出要求动作指令由三块不同的输出处理模件及其继电器等构成一种三选二回路。8保护逻辑的可靠设计(民主表决)信号故障处理(正确的证据)辅助(智能)判断相关信号构成三重化判断逻辑三重化判断逻辑控制逻辑的可靠性要求通过冗余判断、辅助判断、智能判断等容错逻辑设计技术提高保护、联锁功能的可靠性，确保控制系统局部单一故障，不会造成保护拒动和误动。信号故障处理。在出现“坏质量”或“变化率超限”，防止保护误动。及时报警。10三重化判断逻辑三重化开关量判断逻辑跨控制器的三重化判断逻辑三重化模拟量判断逻辑跳闸信号2跳闸信号1跳闸信号3跳闸条件H/LH/LH/L2/3跳闸信号2跳闸信号1跳闸信号3跳闸条件中选H/L跳闸条件DO1DI12/3DO2DI2DO3DI3跳闸信号2跳闸信号1跳闸信号3H/LH/LH/L跳闸信号2跳闸信号1跳闸信号3跳闸条件中选H/LDO1DI12/3DO2DI2DO3DI3跳闸信号2跳闸信号1跳闸信号3跳闸条件中选AO1AI1AO2AI2AO3AI3中选H/L相关信号构成三重化判断逻辑运行2/3停止电流/L停止状态N11双模拟量信号保护判断逻辑12辅助判断辅助判断的主要作用防止保护误动，但不能增加保护拒动的概率。辅助条件应多个，任一满足时，主保护条件满足，保护动作。辅助条件与主保护条件存在着必然的联系，而且主保护条件满足，辅助判断条件必然存在。如辅助判断定值应低于跳闸值，一般为报警值。辅助判断条件在故障时，应退出保护判断，不影响主保护动作。应急处理分散控制系统（DCS）在运行中的故障，如电源失电、操作员站“黑屏”或“死机”、冗余控制器切换异常、通讯中断以及模件损坏等，如果处理不当会导致故障扩大，造成机组跳闸甚至主设备损坏事故。为建立分散控制系统故障应急处理和长效管理机制，确保故障发生时能够迅速、准确地组织故障处理，最大限度地降低故障造成的影响故障分级电力行业热工自动化技术委员会

按故障后果分级一级跳机，或可能导致人身伤害、重要设备损坏二级处理不当会转为一级三级暂不影响机组安全6类：电源全失；操作站全失；网络全瘫痪；FSSS全失；ETS全失；DEH全失；序号故障类型故障描述故障级别A1电源故障DCS系统电源失去DCS系统电源全部失去一级A2DCS系统电源单路失去二级A3A类控制系统（除DCS系统）电源失去全部失去（见控制器故障）一级A4任一电源失去冗余二级B1网络故障DCS网络全部瘫痪（包括数据通讯服务器全部故障）一级B2A类控制系统任一网络失去冗余（包括数据通讯服务器单个故障）二级C1控制器故障全部故障（包括电源失去）锅炉/汽机主保护控制器、DEH基本控制器全部故障，或A类控制系统任一对冗余控制器全部故障且涉及安全的参数无必要后备监视手段一级C2除一级外，A类控制系统控制器全部故障但有必要的后备监视手段二级C3单侧故障A类控制系统（FSSS、ETS、DEH基本等）控制器失去冗余二级C4非A类控制系统控制器失去冗余三级D1操作员站故障操作员站全部失去监控一级D2部分操作员站失去监控二级EI/O模件故障A类I/O模件故障二级分散控制系统设备重大故障源分级响应流程电力行业热工自动化技术委员会

一级停机判断，或转为二级二级处理评估，可转为一级三级日常维护程序电力行业热工自动化技术委员会

故障处理、DCS系统维护规范操作1）．故障快速查找表（现象、原因、处理步骤、安措、影响）2）．典型操作卡（送电、在线换卡、复位、下装、备份、采用维护指令）3）．应急预案4）．可靠性确认要点及异常处理注意点（设计、维护建议）应急处理原则一级故障注重于跳闸后的恢复，重点是确保设备不损坏.二级故障是故障应急处理中的重点，重点防止演变为一级故障,确保机组不跳闸或故障扩大。电力行业热工自动化技术委员会

电力行业热工自动化技术委员会

一级故障预案：电源全失、FSSS全失、ETS全失、DEH全失

控制系统设计是否能保证被控设备和系统处于安全状态？---由于各电厂控制系统在设计上存在差异，有必要进行安全性评估。

DCS全部电源失去以后，由于锅炉风烟系统“防内爆”保护逻辑和控制回路均不能工作，应关注炉膛压力的变化，必要时立即停止送引风机运行（通常是在5min吹扫完成后停止）。电力行业热工自动化技术委员会

一级故障预案：操作站全失、网络瘫痪判断是否需要停机？---故障时间、后备监视支持、网络结构、联锁逻辑组态设计都是要考虑的因素。ABB、国电智深、和利时、GE新华、上海新华、南京科远系统：无后备监视，短时间内无法恢复，打闸停机。日立系统：无后备监视，或15min内无法恢复半数以上，打闸停机。Ovation系统：操作站失去可不停机，确认网络瘫痪应打闸停机。福克斯波罗系统：操作站失电不停机，网络瘫痪在规定时间内无法恢复，打闸停机。西门子系统、国电南自系统：不停机，退出AGC，维持机组稳定不操作。国家电力公司25项反措2000（国网20项2007、国华25项2010）：

12.2.2当全部操作员站出现故障时（所有上位机“黑屏”或“死机”），若主要后备硬手操及监视仪表可用且暂时能够维持机组正常运行，则转用后备操作方式运行，同时排除故障并恢复操作员站运行方式，否则应立即停机、停炉。若无可靠的后备操作监视手段，也应停机、停炉。电力行业热工自动化技术委员会

2005年6月29日，某厂#2机组（130MW）FOXBOROI/A系统2次出现DCS网络故障，所有操作员站全部失去监控，待续时间分别为3min和30s。

2005年8月12日，某厂#3机组（600MW）ABBSymphony系统DCS环路通讯中断，所有操作员站全部失去监控，40s后恢复正常。

2006年9月8日，某厂#2机组（600MW）ABBSymphony系统出现DCS网络故障，所有操作员站全部失去监控，2min左右恢复正常。

2010年10月4日，某厂#4机组（600MW）ABBSymphony系统出现DCS网络故障，所有操作员站全部失去监控，45s后恢复正常。

2009年3月11日，某厂#3机组（300MW）新华XDPS-400系统受病毒攻击，操作员站和工程师站全部失去监控，仅能通过大屏进行监控，30min后恢复了2台操作员站，清理病毒全部处理时间持续了7小时20分。

2010年2月5日，某厂4台机组(4×600MW，1-3号运行，4号调停)西门子TXPDCS系统终端总线故障（#2机PI接口机故障，OPC数据洪流导致的网络崩溃），所有操作员站全部失去监控，3台运行机组的处理恢复时间分别为6min、8min、20min。近几年浙江发生的几起DCS网络故障的案例，没有一例造成停机。2010年2月5日，某厂4台机组(4×600MW)，1-3号运行（530MW、465MW、566MW，全部在AGC方式），4号调停（盘车、真空、轴封、定冷水、闭冷水、凝结水、循环水等系统运行）。

14:31，运行人员发现公用系统所有画面全部翻红，1、2、3、4号机DCS所有操作员站的画面全部翻红，DCS所有操作员站失去监控。热控系统管理员检查发现1号、3号机组PU、SU服务器状态正常，2号、4号机组PU/SU服务器部分不正常，判断为各台机组DCS系统终端网络故障。值长立即启动《DCS系统终端网络故障处理预案》。值长立即汇报省调并申请撤出1、2、3号机组AGC，保持各台机组负荷稳定。值长令1、2、3号机组安排专人监控机组所有重要参数，若有不正常变化立即打闸停机。令4号机组派巡检赴就地检查盘车运行情况，以及所有运行系统及设备的运行情况。各机组现场人员检查后，汇报所有设备及系统都运行正常。

热控人员处理故障，3、1、2号机组分别在6min、8min、20min后恢复正常。

15:53，值长汇报省调，投入1、2、3号机组AGC。

16:20，4号机组终端网络恢复正常；18:30，4号机组DCS系统恢复正常。故障原因：2号机组PI接口机故障，OPC数据洪流导致的网络崩溃，2号-公用-1号-3号-4号。按照预案处理，没有造成停机。某厂西门子TXPDCS系统终端总线故障的处理案例外部回路配置不当导致设备损坏：例如：在MCS系统#19PCU柜失电后，机组不跳闸，空预器电机以1Hz的速度运行，如果运行中发生此故障又没有及时干预，必然导致空预器转子严重变形。原因：我厂空预器的主、辅电机均采用变频器控制，变频器的4～20mA模拟量转速指令来自MCS系统。MCS系统PCU柜失电时，4～20mA模拟量转速指令消失，此变频器无断信号保持功能，断信号后变频器以内部设置的初始启动转速运行，而原生产厂家设置的初始启动转速是1Hz。整改：与锅炉专业沟通，并经空预器生产厂家确认后，将空预器变频器的初始启动转速由1Hz改为了10Hz，保证了MCS系统PCU柜失电或DCS失电时空预器不会损坏。发现的问题与隐患发现的问题与隐患逻辑组态没有考虑DCS故障等特殊原因，存在隐患:例如:汽机顺控#24PCU柜主要控制高低加、疏水、抽汽等设备，该控制柜失电后，疏水气动门（大部分为气关式）会自动打开，电动门状态不变，机组不会跳闸，但在恢复上电过程中，1~6段抽汽电动门全部自关，这种异常现象如在机组运行中发生，极易导致给水流量低跳闸机组。原因：

PCU柜上电后主控制器先于通讯模件恢复，从环路通讯过来的挂闸信号在SCS取非后导致跳闸信号为1所致。整改：增加一个延迟功能块，延迟时间设置大于主控制器与通讯模件的启动时间差。

建议：解决此类问题的最好办法是：尽量让环路上的信号在机组运行期间以0传输（有其他特殊原因的除外）。指导或提醒DCS失电等故障导致机组跳闸后，工况与一般的非停不尽相同，而且集控室已经无法监控。我们在编写《预案》的过程中深深体会到此时如果不给运行人员或热控人员一些指导或提醒很可能造成设备损坏。试验中发现我厂轴封压力气动调节门没有断信号保持功能，DCS或控制柜失电后，轴封压力调节门关闭，长时间失去轴封可能导致汽轮机大轴弯曲。目前的措施是在《预案》中提醒运行人员到就地打开辅汽至轴封旁路门，下一步准备通过改造实现断信号保持功能。DCS失电等I级故障发生后，机组跳闸，凝结水泵、前置泵可能不会跳闸，运行人员应根据需要到就地操作，否则可能导致除氧器满水，汽轮机进水。指导或提醒集控室一般设置有独立于DCS的交直流润滑油泵的启停按钮，但是顶轴油泵一般没有后备手操，《预案》中提醒运行人员DCS故障导致停机后需到配电室手动启动顶轴油泵。疏水气动门一般采用的是单电磁阀控制的气关式，DCS失电后气动疏水门会自动打开，但是电动疏水门需要运行人员根据需要到就地操作。SCS系统#16PCU柜失电时过热器一、二级减温水气动闭锁阀将自动关闭，可能导致锅炉过热汽温严重超温，因要保持DCS失电时自动关闭过热器一、二级减温水气动闭锁阀的功能，故不作整改，写入故障应急处理预案中提醒运行人员注意，必要时就地手动干预，再热器减温水情况类似。指导或提醒在DCS失电时，锅炉将产生MFT并跳闸一次风机，送、引风机不会跳闸，送、引风机动叶、静叶或变频器将维持故障前开度不变（均设置为断信号保持），炉膛将冒大负压。此问题无法避免，写入故障应急处理预案中提醒运行人员注意，必要时就地手动干预。还有很多需要提醒运行人员的操作如：DCS失电后到就地操作小机盘车手动门，高、低加进出口门及旁路门；控制器故障重启后需重新投入联锁等等。对热控人员的操作指导有快速查找表、流程图和操作卡，尽可能保证热控人员快速准确的排查消除故障。28应急处理设想控制系统在设备选型、DCS硬件配置、控制逻辑、安装等方面充分考虑便于应急处理。通过分析和试验，明确各种故障造成的后果，并根据故障对机组安全运行的影响制订应急预案。保护的信号在逻辑图上应有标注。控制器间的通信信号应能方便