國家能源局25項反措熱控部分解析

華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE國家能源局25項重點要求熱控部分解析第一頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE二十五項反措的發(fā)展變化及編制依據(jù)落實二十五項反措的基本要求防止分散控制系統(tǒng)控制保護失靈事故三一二反措其它章節(jié)關于熱控部分的要求四第二頁，共一百五十四頁。一、二十五項反措的發(fā)展變化及編制依據(jù)華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE第三頁，共一百五十四頁。

一、二十五項反措的發(fā)展變化及編制依據(jù)

《安全生產(chǎn)中急需解決的若干技術問題》《關于防止電力生產(chǎn)重大事故的重點要求》《關于防止電力生產(chǎn)事故的二十項重點要求》1980年電力工業(yè)部15項1987年水利電力部18項1992年能源部20項2000年國家電力公司25項《關于防止電力生產(chǎn)事故的二十五項重點要求》各集團公司各自制定反措細則2014年國家能源局25項《防止電力生產(chǎn)事故的二十五項重點要求》4第四頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE一、二十五項反措的編制依據(jù)1.《火力發(fā)電廠鍋爐爐膛安全監(jiān)控系統(tǒng)在線驗收測試規(guī)程》DL/T655-2006）2.《火力發(fā)電廠汽輪機控制系統(tǒng)在線驗收測試規(guī)程》（DL/T656-2006）3.《火力發(fā)電廠模擬量控制系統(tǒng)在線驗收測試規(guī)程》（DL/T657-2006）4.《火力發(fā)電廠順序控制系統(tǒng)在線驗收測試規(guī)程》（DL/T658-2006）5.《火力發(fā)電廠分散控制系統(tǒng)技術規(guī)范書》(QDG1-K401-2004)6.《火力發(fā)電廠熱工保護系統(tǒng)設計技術規(guī)定》(DL/T5428-20097.《火力發(fā)電廠設計技術規(guī)程（第12章熱工自動化部分）》(DL/T5000-2000)第五頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE一、二十五項反措的編制依據(jù)8.《火力發(fā)電廠分散控制系統(tǒng)在線驗收測試規(guī)程》（DL/T659-2006）9.《火力發(fā)電廠鍋爐爐膛安全監(jiān)控系統(tǒng)技術規(guī)程》(DL/T1091-2008)10.《火力發(fā)電廠分散控制系統(tǒng)技術條件》(DL/T1083-2008)11.《發(fā)電廠熱工儀表及控制系統(tǒng)技術監(jiān)督導則》（DL/T1056-2007）12.《火力發(fā)電廠熱工自動化系統(tǒng)檢修運行維護規(guī)程》(DL/T774-2004)13.《火力發(fā)電廠廠級監(jiān)控信息系統(tǒng)技術條件》（DL/T924-2005）14.《大中型火力發(fā)電廠設計規(guī)范》（GB50660-2011）15.《火力發(fā)電廠熱工自動化就地設備安裝、管路及電纜設計技術規(guī)定》（DL/T5182-2004）第六頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE一、二十五項反措的編制依據(jù)16.《電力建設施工及驗收技術規(guī)范-第5部分：熱工儀表及控制裝置》（DL/T5190.5-2004）17.《火力發(fā)電廠輔助系統(tǒng)（車間）熱工自動化設計技術規(guī)定》（DL/T5227-2005）18.《電網(wǎng)與電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》（國家經(jīng)貿(mào)委令第30號（2002））19.《電力二次系統(tǒng)安全防護規(guī)定》（電監(jiān)會5號令）第七頁，共一百五十四頁。二、落實二十五項反措的基本要求華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE第八頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE二、落實二十五項反措的基本要求1.堅持“安全第一、預防為主、綜合治理”的方針在規(guī)劃設計階段、安裝調試階段、生產(chǎn)維護階段、更新改造階段都要堅決落實“二十五項反措”的基本要求第九頁，共一百五十四頁。三、防止分散控制系統(tǒng)控制、保護失靈事故華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE第十頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈2014年，集團公司火電機組強迫停運事件統(tǒng)計：年度鍋爐汽機電氣熱控環(huán)保燃料其他總計2013132453933111126220141153137251300221同比-17-18-2-82-1-1-41第十一頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈鍋爐原因占60%2014年強迫停運按專業(yè)分第十二頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈第十三頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈

a、現(xiàn)場設備異常引起的占據(jù)首位約36.4%，b、控制系統(tǒng)軟硬件引起的占據(jù)次位約28%，c、電纜接線、模件松動引起的約占18.2%d、檢修維護不當引起的為13.6%

某省電廠因熱控專業(yè)問題引起故障原因統(tǒng)計第十四頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈某集團熱控專業(yè)2000-2013年非停原因匯總棒狀圖第十五頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈某集團熱控專業(yè)2000-2013年非停原因百分比圖第十六頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈熱工缺陷原因分類原因電源故障硬件故障軟件故障現(xiàn)場設備故障TSI裝置故障其他故障臺次6351342同比62-1-401集團內(nèi)熱工缺陷原因分類統(tǒng)計：第十七頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈9.1.1分散控制系統(tǒng)配置應能滿足機組任何工況下的監(jiān)控要求（包括緊急故障處理），控制站及人機接口站的中央處理器（CPU）負荷率、系統(tǒng)網(wǎng)絡負荷率、分散控制系統(tǒng)與其他相關系統(tǒng)的通信負荷率、控制處理器周期、系統(tǒng)響應時間、事件順序記錄（SOE）分辨率、抗干擾性能、控制電源質量、全球定位系統(tǒng)（GPS）時鐘等指標應滿足相關標準的要求。9.1分散控制系統(tǒng)(DCS)配置的基本要求第十八頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈19分散控制系統(tǒng)(DCS)配置的基本要求一般要求CPU負荷率在極端工況下不大于60%。DCS模擬量控制掃描周期一般要求250ms，要求快速處理的控制回路可為125ms。溫度等緩慢控制對象掃描周期可在500-750ms之間。開關量掃描周期一般為100ms,ETS系統(tǒng)應不大于50ms，OPC和0PT部分邏輯掃描周期不大于20ms。根據(jù)DL/T659-2006《火力發(fā)電廠分散控制系統(tǒng)驗收測試規(guī)程》中規(guī)定，在繁忙工況下DCS數(shù)據(jù)通信總線負荷率不超過30%，以太網(wǎng)通信負荷率不得超過20%。從操作信號發(fā)出到DCS的I/O輸出發(fā)生變化的時間不應大于2S。SOE測點分辨率不大于1ms，SOE通道應有4ms防抖動濾波處理，不同控制器的SOE模件應有可靠的時鐘同步措施。19第十九頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例一

1997年，浙江某電廠7-8號機組發(fā)生頻繁發(fā)生死機造成的機組停運事故，試生產(chǎn)的三個月內(nèi)曾發(fā)生22次DCS故障和死機，機組因此跳機8次，主要原因就是通訊總線負荷率過高。通訊負荷率超標

建議對策：

盡量按照工藝系統(tǒng)進行控制器分組，減少控制器間的通訊量。第二十頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例二

2008年，某電廠擴建機組因為造價原因DCS控制器配置對數(shù)較少，控制器負荷率嚴重超標，最高達到86%，在機組整套啟動前做試驗的過程中發(fā)生延時等計時模塊工作異常，導致設備聯(lián)鎖保護動作異常，主要原因就是控制器負荷率過高?？刂破髫摵陕食瑯私ㄗh對策：在控制允許的情況下，根據(jù)不同系統(tǒng)要求，適當降低控制器掃描周期，或增加控制器對數(shù)。

第二十一頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例三某電廠2號機組負荷200MW，8時23分，各控制器依次發(fā)時鐘故障報警，部分主控制器先后離線，備用控制器變主控后一段時間也先后離線。原因是主副時鐘控制軟件分裝在工程師站和一個操作員站，兩個時鐘時間不同步，造成控制器離線。該廠5號機組在2002年試運期間曾發(fā)生DCS時鐘與GPS時鐘不同步，引發(fā)DCS操作員站失靈事件。由于網(wǎng)上傳送的數(shù)據(jù)均帶時間標簽，時鐘紊亂后給運行機組帶來嚴重后果。系統(tǒng)時鐘不可靠第二十二頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.2分散系統(tǒng)的控制器、系統(tǒng)電源、為I/O模件供電的直流電源、通信網(wǎng)絡等均應采用完全獨立的冗余配置，且具備無擾切換功能；采用B/S、C/S的分散控制系統(tǒng)的服務器

應采用冗余配置，服務器或其供電電源在切換時應具備無擾切換功能。第二十三頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求《火力發(fā)電廠分散控制系統(tǒng)技術條件》（DL/T1083-2008）從控制對象角度要求“用于機組主控和重要輔機系統(tǒng)的DCS的控制處理器均為主要控制器，應冗余配置；重要輔機設備可包括送風機、引風機、一次風機、空氣預熱器、制粉系統(tǒng)、給水泵、凝結水泵、循環(huán)水泵、真空泵、重要冷卻水泵、重要油泵等。同時規(guī)定雖然控制處理器故障，而短期內(nèi)不影響機組穩(wěn)定運行的輔助控制系統(tǒng)的DCS，可不要求冗余配置；”第二十四頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例四

2013年11月16日某廠#2機組#19控制器故障切換導致汽包水位低報警，汽包水位最低到-328.69mm后逐步恢復，2臺小機指令突變至12.4%。事后檢查#19控制器主從已切換，查看歷史曲線以及設備日志，發(fā)現(xiàn)#19站主控制單元A故障報警后恢復正常?？刂破髑袚Q不能無擾，在控制器故障時部分數(shù)據(jù)出現(xiàn)了跳變。第二十五頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例五某電廠DCS為采用B/S、C/S結構的DCS系統(tǒng)，其服務器為單臺設計，由于運行年限較長，服務器出現(xiàn)故障死機，導致上下位信息無法交換，操作員操作指令無法下發(fā)，控制器的控制和監(jiān)視信息無法上傳，監(jiān)控畫面無法刷新，最后只能啟動停機預案。本次事故是典型的系統(tǒng)核心節(jié)點硬件設計缺陷導致。說明關鍵服務器冗余設置的必要性第二十六頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.3分散控制系統(tǒng)控制器應嚴格遵循機組重要功能分開的獨立性配置原則

，各控制功能應遵循任一組控制器或其他部件故障對機組影響最小的原則。9.1.3是從獨立性原則考慮，從控制器包含機組功能角度來闡述控制器的配置原則,防止DCS某一對控制器故障導致機組停運，應避免將重要功能集中在一對控制器的配置方式，達到最大程度實現(xiàn)風險分散的目的。新增加的條款第二十七頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求重要的并列或主備用運行的輔機或者輔助設備控制，應按下列原則配置控制器：1.送風機、引風機、一次風機、凝結水泵和非母管制的循環(huán)水泵等兩臺并列運行的重要輔機，以及A、B段廠用電控制裝置，應分別配置在不同的控制器中，但允許送風機和引風機等按介質流程組合在一個控制器內(nèi)。2.給水泵控制系統(tǒng)應分泵配置到不同的控制器中，但允許同一給水泵的MEH和METS配置在一個控制器中。3.磨煤機、給煤機、風門和油燃燒器等多臺組合運行的重要設備應按工藝流程要求組合，至少配置三控制站?！痘鹆Πl(fā)電廠熱工自動化系統(tǒng)可靠性評估技術導則》（DLT261-2012）9.2.1.1條也有具體要求第二十八頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求《火力發(fā)電廠熱工保護系統(tǒng)設計規(guī)定》（DLT5428-2009）5.3.5.條對獨立性的具體規(guī)定：（1）停機、停爐保護邏輯系統(tǒng)應當有獨立的邏輯、獨立的冗余控制器、獨立的輸入/輸出系統(tǒng)和獨立的電源。且應在功能上物理上獨立于其他邏輯，不得與任何其他邏輯系統(tǒng)（如MCS和SCS等）組合在一起。（2）保護邏輯系統(tǒng)應公限于單臺機，不應多臺機組共用，一套保護邏輯系統(tǒng)。（3）冗余I／O信號應通過不同的I/0模件和透道引入/引出。（4）觸發(fā)停視、停爐保護信號的開關量儀表和模擬量交送器／傳感器應單獨設置；當確有困難而需與其他系統(tǒng)合用時，信號應首先進入保護系統(tǒng)，然后再通過隔離設施引至其他系統(tǒng)。

（5）觸發(fā)停機、停爐保護信號的開關量儀表和模擬量變送器/傳感器的取樣系統(tǒng)不應與其他系統(tǒng)的發(fā)訊器合用，冗余配置的開關量儀表或模擬量變送器，傳感器也不應使用同一取樣系統(tǒng)。

（6）停機、保妒動作命令不應通過通信總線傳送。觸發(fā)停機停爐的信號應為硬接線。第二十九頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例六某電廠在300MW機組的DCS設計過程中，采用減少控制器配置數(shù)量的設計方式以降低硬件成本進行，將協(xié)調、燃料、風量控制放在同一對控制器內(nèi)，造成該控制器負荷較大，2004年7月，該控制器故障，最終導致鍋爐滅火。功能配置不當是該次事故的主要原因，沒有進行主要輔機功能的分散布置?？刂破髫摵陕蔬^高。建議對策：增加控制器對數(shù)，將主要輔機系統(tǒng)分控制器分散配置，既降低了系統(tǒng)單控制器故障的安全風險，同時也降低了控制器負荷率。第三十頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例七某電廠脫硫DCS將2臺增壓風機分在一個控制器，4臺漿液循環(huán)泵分在另一個控制器，隨著國家環(huán)保政策的改變，在取消脫硫系統(tǒng)旁路擋板后，此種分配方式顯然是違反反措要求的。改進措施：進行技術改造，重新分配測點，優(yōu)化邏輯，消除隱患。第三十一頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.4

重要參數(shù)測點、參與機組或設備保護的測點應冗余配置，冗余I/O測點應分配在不同模件上。《火力發(fā)電廠分散控制系統(tǒng)技術條件》（DL/T1083-2008）：5.2.1.15“對某些重要的關鍵參數(shù)，應采用三重冗余變送器測量”；5.2.1.17“對某些僅次于關鍵參數(shù)的重要參數(shù)，應采用雙重冗余變送器測量”《火力發(fā)電廠熱工保護系統(tǒng)設計技術規(guī)定》（DL/T5428-2009）5.3.6明確要求“主要開關量儀表應冗余配置；《火力發(fā)電廠熱工控制系統(tǒng)設計技術規(guī)定》（DL/T5175-2003）還要求“冗余I/O信號應通過不同的I/O模件和通道引入/引出?！痘鹆Πl(fā)電廠熱工自動化系統(tǒng)可靠性評估技術導則》（DL/T261-2012）9.2.3.2條“機組重要信號I/O配置”第三十二頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求推薦配置原則（不限于此）：1.應三重冗余（或同等冗余功能）配置的模擬量輸入信號：機組負荷，汽輪機轉數(shù)、軸向位移、給水泵汽輪機轉數(shù)、凝汽器真空、主機潤滑油壓力、抗燃油壓、主蒸汽壓力、主蒸汽溫度、主蒸汽流量、調節(jié)級壓力、汽包水位、汽包壓力、水冷壁進口流量、主給水流量、除氧器水位、爐膛負壓、增壓風機入口壓力、一次風壓力、再熱器壓力、再熱器溫度、常壓流化床床溫及流化風量、中間點溫度（作為保護信號時）、主保護信號、調節(jié)級金屬溫度等。第三十三頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求2.至少應雙重冗余配置的模擬量輸入信號：加熱器水位、凝汽器水位、凝結水流量、主機潤滑油溫、發(fā)電機氫溫、汽輪機調門開度、分離器水箱水位、分離器出口溫度、給水溫度、送風風量、磨煤機一次風量、磨煤機出口溫度、磨煤機入口負壓、單側煙氣含氧量、除氧器壓力、中間點溫度（非保護）、二次風流量等。3.應具有三重冗余配置重要熱工開關量輸入信號：主保護動作跳閘（MFT、ETS、GTS）信號以及聯(lián)鎖主保護動作的主要輔機動作跳閘保護信號等。4.至少采用雙重冗余配置的次要重要開關量輸入信號：風箱與爐膛差壓，一次風和爐膛差壓等。第三十四頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求5.冗余配置的I/O信號、多臺同類設備的各自控制回路的I/O信號，必須分別配置在不同的I/O模件上。6.所有的I/O模件的通道，應具有信號隔離功能。7.電氣負荷信號應通過硬接線直接接入DCS。8.取自不同變送器用于機組和主要輔機跳閘的保護輸入信號，應直接接入相對應的保護控制的輸入模件。第三十五頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例八某電廠的600MW機組低真空保護測量采用三個獨立的壓力變送器，但是三個壓力變送器的取樣管接至一個壓力取樣源，然后進行三取二邏輯運算作為低真空保護跳機信號。某次取樣管堵塞，導致三個變送器同時動作，直接跳機。本次事故是由于測點配置不符合要求引起的典型事故，說明I/O點全程獨立配置的必要性。建議對策：測點應從取樣管開始全程獨立配置，實現(xiàn)真正的三取二功能。第三十六頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例九某電廠的汽包水位保護測量采用三個獨立的變送器，也分配在不同的I/O模件中，但是三個模件都在一個分支上。某次分支電源故障，導致三個變送器同時動作，直接發(fā)生MFT。本次事故是由于測點配置不符合要求引起的典型事故，說明I/O點全程獨立配置的必要性。同時在分配要考慮到不同設備廠家的特點。第三十七頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.5按照單元機組配置的重要設備（如循環(huán)水泵、空冷系統(tǒng)的輔機）應納入各自單元控制網(wǎng)，避免由于公用系統(tǒng)中設備事故擴大為兩臺或全廠機組的重大事故。增加定義了公用系統(tǒng)和單元機組控制設備的范圍，明確了原來有機組公用系統(tǒng)控制設計存在隱患問題。但循環(huán)水泵控制應根據(jù)本廠實際情況而定，有的單位兩臺機組循環(huán)泵入口增加了聯(lián)絡門，這樣循環(huán)水系統(tǒng)就變成了公用系統(tǒng)。第三十八頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十39某電廠建設有兩臺600MW機組，其中兩臺機組的公用系統(tǒng)采用公用系統(tǒng)DCS進行控制，公用系統(tǒng)配置一對控制器。其中兩臺機組的循環(huán)水泵控制配置在公用系統(tǒng)的DCS控制系統(tǒng)內(nèi)，在2008年6月，該電廠公用系統(tǒng)DCS的主控制器發(fā)生故障，備用控制器切換不成功，造成兩臺機組的循環(huán)水泵全部跳閘，引起兩臺機組均因真空降低而跳閘停機。第三十九頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十單元機組的控制設備沒有配置在單元機組控制內(nèi)，而錯誤的配置在公用控制系統(tǒng)內(nèi)?？刂破髑袚Q不能實現(xiàn)無擾切換。將兩臺機組的循環(huán)泵控制分別接入到單元機組DCS內(nèi)控制。因控制器切換存在擾動，應聯(lián)系供應商解決，同時應核對是否存在長信號控制設備現(xiàn)象，如有均應改為脈沖控制方式，減少因控制故障、電源故障等原因引起循環(huán)水泵跳閘。建議對策：第四十頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.6分散控制系統(tǒng)電源應設計有可靠的后備手段，電源的切換時間應保證控制器不被初始化；操作員站如無雙路電源切換裝置，則必須將兩路供電電源分別連接于不同的操作員站；系統(tǒng)電源故障應設置最高級別的報警；嚴禁非分散控制系統(tǒng)用電設備接到分散控制系統(tǒng)的電源裝置上；公用分散控制系統(tǒng)電源，應分別取自不同機組的不間斷電源系統(tǒng)，且具備無擾切換功能。分散控制系統(tǒng)電源的各級電源開關容量和熔斷器熔絲應匹配，防止故障越級。第四十一頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求1.強調了DCS系統(tǒng)各級電源的容量匹配要求。2.補充規(guī)定了公用系統(tǒng)電源的配置原則。3.嚴禁系統(tǒng)電源外接非系統(tǒng)的設。4.新條款不再要求配置獨立與DCS之外的聲光報警而改為設置系統(tǒng)最高級別報警5.針對一些廠家操作員站電源是一路電源的情況，要求將操作員站平均分配到不同電源供電。6.取消了備用電源切換時間小于5ms的要求，考慮到設備性能提高及各廠家設備切換時間要求差異不同，因此只要達到系統(tǒng)不能初始化最終目標即可第四十二頁，共一百五十四頁。PPT內(nèi)容概述華電電力科學研究院。5.2.1.17“對某些僅次于關鍵參數(shù)的重要參數(shù)，應采用雙重冗余變送器測量”。ETS系統(tǒng)失電原因為400V保安4B段電壓產(chǎn)生瞬時波動電壓下降（電源并未失去，在切換過程中更易產(chǎn)生電?。?。計劃再加裝硬件防火墻，并定期更新硬防火墻軟件。某電廠#11發(fā)電機組容量為410t/hCFB+100MW汽輪發(fā)電機組。任何一個變送器故障都可能引起保護誤動，誤動概率增加。9.4.4熱工保護系統(tǒng)輸出的指令應優(yōu)先于其他任何指令。引風機、增壓風機入口調節(jié)裝置定期試驗，確保動作靈活調節(jié)良好。某新建660MW超超臨界直流鍋爐，引風機系統(tǒng)設計引風機、脫硫增壓風機二合一方案。汽包水位補償模塊、三取均模塊故障，模塊內(nèi)部設計有缺陷。新機驗收時應有汽包水位計安裝、調試及試運專項報告，列入驗收主要項目之一。案例四十二第四十三頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.6條款編制依據(jù)：DCS系統(tǒng)電源應滿足《火力發(fā)電廠分散控制系統(tǒng)技術條件》（DL/T1083-2008）要求：“6.3.1.1機組、脫硫、全廠輔助系統(tǒng)等重要系統(tǒng)配置DCS應能夠接受電廠提供的兩路交流單相電源且應具有可靠的電源冗余功能，任何一路外部電源失去或故障不應引起控制系統(tǒng)任何部分的故障、數(shù)據(jù)丟失或異常動作。任何一路外部電源失去應在DCS系統(tǒng)獲得報警?！薄?.3.2.4冗余電源的直流隔離或切換組件（如二極管或其他部件）應冗余配置，防止因其故障造成DPU電源系統(tǒng)的故障?！钡谒氖捻摚惨话傥迨捻?。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十一某電廠200MW機組全部操作員站電源為一路，2010年8月，操作員站電源故障，全部操作員站無法使用，機組失去監(jiān)視，因短時間無法恢復，只好緊急手動停機停爐。操作員站電源配置不合理僅有一路供電。

如配備有可靠的電源切換裝置，則應將UPS電源和保安段電源經(jīng)電源切換裝置后提供給各操作員站。如無電源切換裝置，則應將操作員站平均分配到不同電源供電。建議對策：第四十五頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十二某電廠4號機組上午10點帶203MW負荷運行。10點17分21秒，ETS電源失電（同時還有兩臺空預器控制電源喪失），AST電磁閥失電動作，汽輪機跳閘，2秒鐘后MFT動作，10點18分45秒發(fā)電機逆功率保護動作，5041和5042斷路器和滅磁開關跳閘，機組解列。事發(fā)后熱控人員檢查發(fā)現(xiàn)ETS系統(tǒng)電源空氣開關1MK、2MK均處于分閘狀態(tài)，查看DCS歷史記錄無汽輪機跳閘首出，因此分析確認汽輪機跳閘停機原因是ETS系統(tǒng)失電導致。ETS系統(tǒng)失電原因為400V保安4B段電壓產(chǎn)生瞬時波動電壓下降（電源并未失去，在切換過程中更易產(chǎn)生電?。?6第四十六頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十二造成ETS電源切換器啟動并切換。在ETS電源切換時，主、輔電源同時在合閘狀態(tài)（采用接觸器切換，在切換過程中觸點未完全斷開，有電弧產(chǎn)生），保安4B段電源B相與UPS（電源切換裝置輸入電源）存在有短時合環(huán)現(xiàn)象，壓差過大產(chǎn)生沖擊電流，將該回路系統(tǒng)上的空開沖跳，直到合環(huán)回路消除。而其他有切換器的電源回路是保安A相與UPS供電，與ETS不是一個回路系統(tǒng)，在ETS系統(tǒng)發(fā)生短時合環(huán)時，未受到?jīng)_擊，沒有出現(xiàn)跳閘。47第四十七頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十二48ETS電源切換裝置不滿足使用要求。

加強冗余電源切換實驗管理，定期進行電源切換，了解切換裝置是否存在問題，及時更換不符合要求的電源裝置。建議對策：第四十八頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.7分散控制系統(tǒng)接地必須嚴格遵守相關技術要求，接地電阻滿足標準要求；所有進入分散控制系統(tǒng)的控制信號電纜必須采用質量合格的屏蔽電纜，且可靠單端接地；分散控制系統(tǒng)與電氣系統(tǒng)共用一個接地網(wǎng)時，分散控制系統(tǒng)接地線與電氣接地網(wǎng)只允許有一個連接點。第四十九頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求509.1.7條款編制依據(jù)：《火力發(fā)電廠分散控制系統(tǒng)技術條件》（DL/T1083-2008）的要求：6.8.3DCS應不要求單獨的接地網(wǎng)，接地電阻小于4歐姆的電廠電氣地網(wǎng)應能夠滿足DCS接地要求。各電子機柜中應設有獨立的安全地、屏蔽地及相應接地銅牌。每套DCS可采用中心接地匯流排的方式，實現(xiàn)系統(tǒng)的單點接地。電纜屏蔽層應在機柜側單端接地。第五十頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求51《火力發(fā)電廠分散控制系統(tǒng)在線驗收測試規(guī)程》（DL/T659）4.9DCS的接地應符合制造廠的技術條件和有關標準的規(guī)定。屏蔽電纜的屏蔽層應單點接地。DCS采用獨立接地網(wǎng)時，若制造廠無特殊要求，則其接地極與電廠電氣接地網(wǎng)之間應保持10m以上的距離，且接地電阻不應大于2Ω。當DCS與電廠電氣系統(tǒng)共用一個接地網(wǎng)時，控制系統(tǒng)接地線與電氣接地網(wǎng)只允許有一個連接點，且接地電阻應小于0.5Ω。第五十一頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十三

某電廠#4機組運行過程中突然發(fā)生B送風機“軸承溫度高”，引發(fā)B送風機跳閘，檢查發(fā)現(xiàn)B送風機軸承溫度三點同時突變超90℃，引起B(yǎng)送風機跳閘，從測點的升溫速率來看，判斷是誤發(fā)軸承溫度高信號，事后經(jīng)調查分析，該三個軸承溫度點是用一根16芯電纜接入到DCS內(nèi)，但是該電纜未在機柜內(nèi)接地，未在DCS柜內(nèi)接地的原因是因為該電纜在現(xiàn)場存在未知接地點，因擔心電纜屏蔽層兩點接地形成環(huán)路，影響測量，因此在外部發(fā)生接地后將DCS柜內(nèi)屏蔽接地拆除。第五十二頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十三電纜接地不符合要求，沒有在機柜內(nèi)單端接地，因現(xiàn)場環(huán)境較為復雜，信號干擾因素較多，將干擾信號引入測量通道。違反全程冗余原則，重要信號的冗余應該盡量采用不同電纜接入，避免因屏蔽不好引起整個電纜所承接的信號全部產(chǎn)生干擾。查找電纜外部接地點，去除電纜現(xiàn)場接地缺陷，將電纜在DCS柜內(nèi)進行單端接地，保證接地電阻符合標準。另外新鋪設兩根屏蔽電纜或者利用現(xiàn)場其他兩根以上屏蔽電纜的備用芯，將溫度信號分電纜接入到DCS，切記一組信號勿使用不同電纜接入。建議對策：第五十三頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十四

某廠2×300MW機組，DCS采用和利時MACS系統(tǒng)，DEH控制采用FOXBORO的I/A系統(tǒng)，1號機組穩(wěn)定運行過程中，出現(xiàn)高調門大幅度抖動現(xiàn)象。檢查接地系統(tǒng)，發(fā)現(xiàn)根據(jù)設計要求，和利時DCS接地只采用了統(tǒng)一的接地銅排，而FOXBORO系統(tǒng)要求有獨立的系統(tǒng)接地和屏蔽地，實際安裝中將FOXBORO機柜的系統(tǒng)地和屏蔽地與和利時系統(tǒng)接地銅排全部接在一起。將FOXBORO系統(tǒng)接地和屏蔽接地獨立后，觀察發(fā)現(xiàn)DEH閥門抖動現(xiàn)象消失，問題解決。接地線連接位置不當。建議：各種分散控制系統(tǒng)對接地的要求不盡相同，為保證系統(tǒng)的可靠運行，建議應嚴格按照DCS廠家要求進行配置。54第五十四頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.8機組應配備必要的、可靠的、獨立于分散控制系統(tǒng)的硬手操設備（如緊急停機停爐按鈕），以確保安全停機停爐。第五十五頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求56569.1.8條款編制依據(jù)：《火力發(fā)電廠分散控制系統(tǒng)技術條件》（DL/T1083-2008）6.6.6.2規(guī)定，為保證在DCS系統(tǒng)發(fā)生重大故障（如分散控制系統(tǒng)電源消失、通訊中斷、全部操作員站失去功能、重要控制站失去控制和保護功能等），或在緊急工況下快速、安全停機，應設置手動操作裝置，確保機組安全停運。緊急手動操作的設備應按照《火力發(fā)電廠設計技術規(guī)程》（DL/T5000-2000）12.9.4的規(guī)定執(zhí)行：“應設置下列獨立于分散控制系統(tǒng)的后備手操手段：汽輪機跳閘、總燃料跳閘、發(fā)電機—變壓器組跳閘、鍋爐安全門、汽包事故放水門、汽輪機真空破壞門、直流潤滑油泵、交流潤滑油泵、電機滅磁開關、柴油機啟動?！钡谖迨?，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求575757579.1.8條款編制依據(jù)：DL/T1083-2008的6.6.6.3要求“緊急手動裝置應直接作用于設備或裝置，不應通過DCS通道。應布置在操作員臺便于操作的位置上，同時應有安全防護措施以防止誤動?！睘榱朔乐拐`動，緊急停機停爐按鈕應采用雙按鈕或帶罩單按鈕配置。DL/T5000-200012.6.1條對此強制要求“在控制臺上必須設置總燃料跳閘、停止汽輪機和解列發(fā)電機的跳閘按鈕，跳閘按鈕應直接接至停爐、停機的驅動回路?！钡谖迨唔?，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.9分散控制系統(tǒng)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。分散控制系統(tǒng)與其他生產(chǎn)大區(qū)之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施，實現(xiàn)邏輯隔離。分散控制系統(tǒng)與廣域網(wǎng)的縱向交接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關及相關設施。分散控制系統(tǒng)禁止采用安全風險高的通用網(wǎng)絡服務功能。分散控制系統(tǒng)的重要業(yè)務系統(tǒng)應當采用認證加密機制。第五十八頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求SIS區(qū)分散控制系統(tǒng)其他生產(chǎn)控制區(qū)廣域網(wǎng)管理信息區(qū)第五十九頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十五某日，某電廠運行人員發(fā)現(xiàn)#4機組操作指令執(zhí)行有幾秒的滯后。檢查發(fā)現(xiàn)#4機組各操作員站，工程師站均感染了一種名為lovgate的病毒。該病毒擠占用計算機內(nèi)存空間，造成操作員站反應遲緩。分析是#4機組有一臺操作員站作為專門的通訊機與廠內(nèi)MIS系統(tǒng)連接。病毒可能是通過MIS系統(tǒng)的網(wǎng)絡傳播至操作員站，引起機組操作指令執(zhí)行嚴重遲緩。通過對#4機組所有人機接口站殺毒，同時安裝病毒防火墻，各操作員站運行速度恢復正常。同時，暫時將DCS與廠MIS網(wǎng)隔離。計劃再加裝硬件防火墻，并定期更新硬防火墻軟件。防病毒措施及生產(chǎn)區(qū)和管理區(qū)缺少可靠的加密認證措施引起。第六十頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.10分散控制系統(tǒng)電子間環(huán)境滿足相關標準要求，不應有380V及以上動力電纜及產(chǎn)生較大電磁干擾的設備，機組運行時，禁止在電子間使用無線通訊工具。第六十一頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十六

2004年7月18日，某電廠1號機組運行，機組容量600MW，機組負荷540MW，電氣人員在DCS電子間例行巡查維護時，通過對講機與現(xiàn)場人員進行通信，導致機組負荷瞬間由540MW降至248MW，機組運行出現(xiàn)嚴重異常，汽包水位快速變化，水位控制異常，汽包水位越線導致機組跳閘。經(jīng)分析，跳閘原因是通信工具干擾了功率測點的測量或傳輸，引起控制系統(tǒng)控制異常。違反新反措9.1.10條款，條款規(guī)定禁止運行期間在電子間使用無線通訊工具。隨著技術進步，目前一般DCS系統(tǒng)電子間對手機、對講機一類的無線通訊設備的抗干擾能力較好，多數(shù)不會發(fā)生問題，為確保DCS系統(tǒng)的安全可靠，應盡量避免在電子間使用大功率無線通訊設備。第六十二頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求案例十七某電廠#11發(fā)電機組容量為410t/hCFB+100MW汽輪發(fā)電機組。DCS系統(tǒng)為MetsomaxDNA系統(tǒng)。機組運行過程中，DCS系統(tǒng)部分工藝畫面偶爾會出現(xiàn)參數(shù)顯示異常的情況，其現(xiàn)象為測點顯示為紅色陰影，數(shù)據(jù)無法正常顯示，但該現(xiàn)象很快會自動恢復正常。檢查發(fā)現(xiàn)部分DPU到交換機的網(wǎng)線都是從電纜橋架中敷設的，網(wǎng)線與其它電纜混在一起，沒有與其它電纜隔離。這些電纜類型復雜，有信號電纜，也有控制電纜和動力電纜，通信網(wǎng)絡很容易受到電磁干擾。后在大修期間進行通訊改造后問題得到解決。違反新反措9.1.10條款，電子間不應有380V及以上動力電纜。該案例是動力電纜同通訊電纜沒有進行有效隔離引發(fā)。將通訊電纜同動力電纜有效進行隔離。建議對策：第六十三頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.11遠程控制柜與主系統(tǒng)的兩路通信電(光)纜要分層敷設。第六十四頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.12對于多臺機組分散控制系統(tǒng)網(wǎng)絡互聯(lián)的情況，以及當公用分散控制系統(tǒng)的網(wǎng)絡獨立配置并與兩臺單元機組的分散控制系統(tǒng)進行通信時，應采取可靠隔離措施、防止交叉操作。第六十五頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)(DCS)配置的基本要求9.1.13交直流電源開關和接線端子應分開布置，直流電源開關和接線端子應有明顯標示。第六十六頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施9.3.1已配備分散控制系統(tǒng)的電廠，應根據(jù)機組的具體情況，建立分散控制系統(tǒng)故障時的應急處理機制，制定在各種情況下切實可操作的分散控制系統(tǒng)故障應急處理預案，并定期進行反事故演習。9.3分散控制系統(tǒng)故障的緊急處理措施用建立分散控制系統(tǒng)應急處理機制和預案來替代緊急停機停爐措施，新條款表述更準確一些。增加管理要求，要求定期進行反事故演習。第六十七頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施9.3.2當全部操作員站出現(xiàn)故障時（所有上位機“黑屏”或“死機”），若主要后備硬手操及監(jiān)視儀表可用且暫時能夠維持機組正常運行，則轉用后備操作方式運行，同時排除故障并恢復操作員站運行方式，否則應立即執(zhí)行停機、停爐預案。若無可靠的后備操作監(jiān)視手段，應執(zhí)行停機、停爐預案。新反措要求執(zhí)行停機停爐預案而不是停機停爐第六十八頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施案例十七2003年10月18日，某廠#1機組的熱控MAX1000控制系統(tǒng)的兩臺RTP死機,網(wǎng)絡數(shù)據(jù)交換中斷,控制系統(tǒng)的整個上位機無法顯示實時數(shù)據(jù),DEH及MEH系統(tǒng)正常，39分鐘后CCS向兩臺小機的的控制指令勻速增加，待運行發(fā)現(xiàn)切除自動并降低汽泵轉速已經(jīng)來不及，造成汽包水位越線，機組跳閘。如果有網(wǎng)絡數(shù)據(jù)中斷的應急預案，事故就有可能避免。第六十九頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施9.3.3當部分操作員站出現(xiàn)故障時，應由可用操作員站繼續(xù)承擔機組監(jiān)控任務，停止重大操作，同時迅速排除故障，若故障無法排除，則應根據(jù)具體情況啟動相應應急預案。新反措要求執(zhí)行預案而不是酌情處理第七十頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施9.3.4當系統(tǒng)中的控制器或相應電源故障時，應采取以下對策：9.3.4.1輔機控制器或相應電源故障時，可切至后備手動方式運行并迅速處理系統(tǒng)故障，若條件不允許則應將該輔機退出運行。9.3.4.2調節(jié)回路控制器或相應電源故障時，應將執(zhí)行器切至就地或本機運行方式，保持機組運行穩(wěn)定，根據(jù)處理情況采取相應措施，同時應立即更換或修復控制器模件。9.3.4.3涉及機爐保護的控制器故障時應立即更換或修復控制器模件，涉及機爐保護電源故障時則應采用強送措施，此時應做好防止控制器初始化的措施。若恢復失敗則應緊急停機停爐。第七十一頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施9.3.5冗余控制器（包括電源）故障和故障后復位時，應采取必要措施，確認保護和控制信號的輸出處于安全位置。增加冗余控制故障和故障后的復位處理的注意事項。第七十二頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施案例十八某電廠4號機組，機組容量600MW，2008年5月18日，ETS內(nèi)模件故障，保護誤動作，機組跳閘。故障原因：ETS系統(tǒng)PLC由“REM”狀態(tài)切至“RUN”狀態(tài)過程中，程序初始化掃描，數(shù)據(jù)庫中的DO點瞬間發(fā)生翻轉。觸發(fā)MFT保護信號。未采取必要措施，確保保護和控制信號的輸出處于安全位置。違反新二十五項反措9.3.5條款。加強重要系統(tǒng)的維護管理，相關操作應有應對措施，防止系統(tǒng)初始化引發(fā)信號翻轉觸發(fā)保護誤動。建議對策：第七十三頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施9.3.6加強對分散控制系統(tǒng)的監(jiān)視檢查，當發(fā)現(xiàn)中央處理器、網(wǎng)絡、電源等故障時，應及時通知運行人員并啟動相應應急預案。啟動預案---做好對策。第七十四頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施案例十九75

某電廠，#3機組容量125MW，機組的DCS控制系統(tǒng)是采用和利時HS2000系統(tǒng)，2004年8月9日14點20分，運行人員發(fā)現(xiàn)#3機組DCS系統(tǒng)出現(xiàn)嚴重異常，大多數(shù)設備操作失靈，機組的正常運行受到嚴重威脅。熱工人員趕到現(xiàn)場，進入#3機DCS電子間后，發(fā)現(xiàn)電子間空調已經(jīng)停止工作，環(huán)境溫度超過50℃，從工程師站的CRT上看到僅有#11站的DPU還在工作，其余3個站已經(jīng)下網(wǎng)。第七十五頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施案例十九新反措9.3.6條款規(guī)定要加強對分散控制系統(tǒng)的監(jiān)視檢查，本事件是由于監(jiān)視檢查不到位，沒有及時發(fā)現(xiàn)DCS間環(huán)境溫度過高，引發(fā)系統(tǒng)失靈。DCS系統(tǒng)對環(huán)境溫度的要求較高，由于環(huán)境溫度高，或柜體散熱效果不好，造成DCS控制器故障離線，卡件工作異常的現(xiàn)象較為普遍，另外高溫造成設備老化過快，系統(tǒng)故障率加倍升高。因此要加強DCS設備的巡檢管理，有必要應設置環(huán)境溫度和柜內(nèi)溫度超溫報警。另外應編制有針對性的DCS系統(tǒng)故障預案，當出現(xiàn)問題時，嚴格按照預案實施，避免事故擴大化。建議對策：第七十六頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施9.3.7規(guī)范分散控制系統(tǒng)軟件和應用軟件的管理，軟件的修改、更新、升級必須履行審批授權及責任人制度。在修改、更新、升級軟件前，應對軟件進行備份。擬安裝到分散控制系統(tǒng)中使用的軟件必須嚴格履行測試和審批程序，必須建立有針對性的分散控制系統(tǒng)防病毒措施。第七十七頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施案例二十某電廠＃3機組突然全部死機，數(shù)據(jù)無法刷新，無法進行操作，僅能通過大屏進行監(jiān)控。檢查發(fā)現(xiàn)人機接口站存在scvhost.exe進程占用大量資源。發(fā)生死機的MMI站的CPU負荷率達到100％。后經(jīng)過殺毒和安裝防火墻后系統(tǒng)恢復正常。新反措9.3.7條規(guī)定必須建立有針對性的分散控制系統(tǒng)防病毒措施。說明該單位缺少防病毒措施，造成病毒感染。

DCS系統(tǒng)的防病毒管理，除了DCS同相關SIS等外部系統(tǒng)通訊要進行縱向物理隔離認證措施外，還要從管理上進行嚴格要求，禁止隨意使用U盤光盤等存儲設備在DCS人機接口站進行存儲操作，同時嚴禁使用操作站U口對手機類設備進行充電。建議對策：第七十八頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施案例二十一2008年6月，某電廠運行人員發(fā)現(xiàn)機組汽輪機高調門突然關閉到0%，負荷從480MW迅速下降，主蒸汽壓力突升，運行人員被迫手動緊急停爐，汽輪機跳閘，發(fā)電機解列。經(jīng)分析，發(fā)現(xiàn)在進行DCS在線下裝時，汽輪機閥位限制邏輯下裝前為120%，下裝后閥位限制更改為0.25%，因此，該邏輯下裝后，造成汽輪機調門由25%關閉至0%，機組迅速甩負荷。第七十九頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施案例二十一新反措9.3.7條規(guī)定擬安裝到分散控制系統(tǒng)中使用的軟件必須嚴格履行測設和審批程序。DCS系統(tǒng)軟件管理不規(guī)范。下裝的軟件內(nèi)閥位限制由120%變更為0.5%，說明兩種可能：一是人為誤更改了工程師站的組態(tài)程序，二是使用了較早期（機組調試期）的軟件備份版本進行的邏輯變更。

加強機組工程師站的管理，軟件變更后應及時備份存儲，標記好備份日期，下裝到控制器中的邏輯要經(jīng)過充分論證和測試.應是在現(xiàn)運行邏輯的基礎上修改確認后下裝，不可用較長時間以前的版本。建議對策：第八十頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈分散控制系統(tǒng)故障的緊急處理措施9.3.8加強分散控制系統(tǒng)網(wǎng)絡通信管理，運行期間嚴禁在控制器、人機接口網(wǎng)絡上進行不符合相關規(guī)定許可的較大數(shù)據(jù)包的存取，防止通信阻塞。第八十一頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈

防止熱工保護失靈9.4.1除特殊要求的設備外（如緊急停機電磁閥控制），其他所有設備都應采用脈沖信號控制，防止分散控制系統(tǒng)失電導致停機停爐時，引起該類設備誤停運，造成重要主設備或輔機的損壞9.4防止熱工保護失靈增加了DO輸出信號型式要求，要求脈沖信號控制，防止誤停，因DCS失電后長信號消失，導致設備停止運行，而脈沖指令控制必須設備接受到停止指令才會停運，從根本上消除誤停的風險。該類非停事件多有發(fā)生。第八十二頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈

防止熱工保護失靈案例二十一2014年4月30日某廠#2機組汽包水位低低MFT動作。檢查發(fā)現(xiàn)21-03MFP控制器故障，造成2A、2B給水泵再循環(huán)門氣動電磁閥指令（常帶電）失電后，給水泵再循環(huán)門全開，汽包水位低低MFT動作。采用長信號控制，未采用脈沖信號控制。兩個給水泵循環(huán)門控制在一個控制器內(nèi)，互為備用的主要輔機控制在一對控制器內(nèi)，沒有分散設置。1.應進行普查，除AST電磁閥需要長信號控制，其他系統(tǒng)的啟?；蛘唛_關均應采用脈沖控制方式。2.具備條件建議將兩個給水泵的控制邏輯分配到不同控制器內(nèi)，將一組控制器故障對機組影響最小原則。建議對策：第八十三頁，共一百五十四頁。華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統(tǒng)控制保護失靈

防