《防止分散控制系統(tǒng)失靈和熱工保護(hù)拒動事故》萬暉

1、第十二講 防止分散控制系統(tǒng)失靈和熱工保護(hù)拒動事故一、 必要性：現(xiàn)代大型發(fā)電機(jī)組分散控制系統(tǒng)(DCS)已是一種標(biāo)準(zhǔn)模式，是監(jiān)視、控制機(jī)組起停和運(yùn)行的中樞系統(tǒng)，其安全、可靠與否對于保證機(jī)組的安全、穩(wěn)定運(yùn)行至關(guān)重要，若發(fā)生問題將有可能造成機(jī)組設(shè)備的嚴(yán)重?fù)p壞。因此，必須引起有關(guān)單位領(lǐng)導(dǎo)和專業(yè)技術(shù)人員的高度重視，防止任何違規(guī)和盲目行為的發(fā)生。 隨著計算機(jī)技術(shù)和現(xiàn)代控制技術(shù)的飛速發(fā)展，DCS對機(jī)組監(jiān)控覆蓋面日趨完善，其滲透深度也隨之增強(qiáng)。近年來，無論是新建的大型機(jī)組還是老機(jī)組進(jìn)行熱工自動化改造，其所設(shè)計的DCS系統(tǒng)控制功能已不僅僅局限于熱機(jī)系統(tǒng)的監(jiān)視、控制及大聯(lián)鎖等，發(fā)電機(jī)-變壓器組、廠用電系統(tǒng)乃至開關(guān)場

2、的控制也納入DCS中，甚至像自動同期、勵磁等指標(biāo)、可靠性要求很高的專用設(shè)備，也有人嘗試用DCS(設(shè)計專用智能板件)來實(shí)現(xiàn)其功能。而且目前機(jī)組控制室人機(jī)界面的設(shè)計也已經(jīng)發(fā)生了深刻變化，常規(guī)儀表加硬手操的監(jiān)控模式已基本被取消，取而代之的是大屏幕、CRT操作員站加軟手操。因此，機(jī)組安全、經(jīng)濟(jì)運(yùn)行對DCS的依賴性也越來越大 鑒于目前已經(jīng)投運(yùn)的DCS系統(tǒng)一般還不能保證十分完善，特別是在選型和設(shè)計時，由于受設(shè)計思路和投資等因素的影響，在系統(tǒng)配置上可能不盡合理，并且已投入使用的DCS系統(tǒng)可靠性也不盡相同，有可能會因?yàn)镈CS設(shè)備、系統(tǒng)本身問題或由于使用維護(hù)不當(dāng)?shù)仍蚨斐蓹C(jī)組停運(yùn)或設(shè)備損壞事故，因此，制定DC

3、S及熱工保護(hù)反事故措施是勢在必行的。二、 有關(guān)規(guī)定、規(guī)程和標(biāo)準(zhǔn)循章依法是安全之本，要求認(rèn)真貫徹執(zhí)行有關(guān)法規(guī)、規(guī)程和制度，特別強(qiáng)調(diào)了要堅決執(zhí)行以下規(guī)程火力發(fā)電廠熱工儀表及控制裝置技術(shù)監(jiān)督規(guī)定(國電安運(yùn)1998483號)單元機(jī)組分散控制系統(tǒng)設(shè)計若干技術(shù)問題規(guī)定(電規(guī)發(fā)1996214號)火力發(fā)電廠鍋爐爐膛安全監(jiān)控系統(tǒng)在線驗(yàn)收測試規(guī)程(DLT6551998)火力發(fā)電廠汽輪機(jī)控制系統(tǒng)在線驗(yàn)收測試規(guī)程(DLT6561998)火力發(fā)電廠模擬量控制系統(tǒng)在線驗(yàn)收測試規(guī)程(DLT6571998)火力發(fā)電廠順序控制系統(tǒng)在線驗(yàn)收測試規(guī)程(DLT6591998)備注：可能有最新規(guī)程但其作為對熱工保護(hù)技術(shù)指標(biāo)和技術(shù)措施的

4、完整約束規(guī)范，僅僅依靠以上提及的幾個規(guī)程規(guī)定是不夠的，還需要認(rèn)真執(zhí)行國家、行業(yè)已正式頒發(fā)的相關(guān)專業(yè)的規(guī)程、規(guī)定和標(biāo)準(zhǔn)，并結(jié)合設(shè)備和系統(tǒng)的具體情況，制定相應(yīng)的技術(shù)與管理細(xì)則予以補(bǔ)充。特別是對于由獨(dú)立裝置(或分散表計)構(gòu)成的熱工保護(hù)設(shè)備和系統(tǒng)更應(yīng)強(qiáng)調(diào)從技術(shù)指標(biāo)和管理措施方面嚴(yán)格規(guī)范(如鍋爐滅火保護(hù)、TSI等)。自動化儀表安裝工程質(zhì)量檢驗(yàn)評定標(biāo)準(zhǔn) GBJ131-90自動化儀表工程施工及驗(yàn)收規(guī)范 GB 50093-2002電站煤粉鍋爐爐膛防爆規(guī)程DL/T 435-2004火力發(fā)電廠汽輪機(jī)防進(jìn)水和冷蒸汽導(dǎo)則DL/T834-2003火力發(fā)電廠熱工自動化系統(tǒng)檢修運(yùn)行維護(hù)規(guī)程DL/T774-2004火力發(fā)電廠

5、分散控制系統(tǒng)運(yùn)行檢修導(dǎo)則DL/T775-2001汽輪機(jī)電液調(diào)節(jié)系統(tǒng)性能驗(yàn)收導(dǎo)則DL/T824-2002中國電力科學(xué)院電廠自動化所（北京國電智深公司）正在著手制定自己的企業(yè)規(guī)范。比如數(shù)據(jù)庫分配原則，組態(tài)注意事項(xiàng)，MCS、SCS等典型邏輯圖或功能說明書，以及DCS系統(tǒng)的現(xiàn)場維護(hù)手冊等。三、 DCS簡介所謂分布式計算機(jī)控制系統(tǒng)，就是在生產(chǎn)過程的各個局部范圍內(nèi)配置以微型計算機(jī)為核心的數(shù)字式局部控制器，稱為分布處理單元(DPU) ，實(shí)現(xiàn)就地控制。一條高速數(shù)據(jù)通道將所有的系統(tǒng)處理單元連接起來，完成處理單元之間或處理單元與人機(jī)接口站之間的數(shù)據(jù)通訊，用以彩色屏幕顯示器(CRT) 為中心的人機(jī)接口來實(shí)現(xiàn)對整個生

6、產(chǎn)過程的監(jiān)督控制。全系統(tǒng)的信息綜合管理和現(xiàn)場控制相分離，這是分布式控制系統(tǒng)的重要標(biāo)志。這樣，不但提高了控制速度，還避免了采用集中控制時，一旦主機(jī)出現(xiàn)故障，就會導(dǎo)致所有控制失靈的危險。DCS是集4C（計算機(jī)技術(shù)、控制技術(shù)、通訊技術(shù)和CRT技術(shù)）于一身的系統(tǒng)，具有控制分散，顯示集中的特點(diǎn)。主要包括以下幾部分：1） MMI站：人機(jī)接口站，包括工程師站（組態(tài)，系統(tǒng)管理維護(hù)等），操作員站（監(jiān)視和操作等），歷史站（數(shù)據(jù)收集檢索等），通訊站（與其他系統(tǒng)數(shù)據(jù)交換）等等；2） 控制器站：分散處理單元DPU及IO卡件?？煽啃砸?，冗余配置3） 網(wǎng)絡(luò)：現(xiàn)在一般采用工業(yè)以太網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)有星型、環(huán)型、總線型等，還可以分

7、層分級。冗余配置其他一些重要的附屬部分或電廠DCS的特有組成部分：1） 電源：給DCS系統(tǒng)的供電，可靠性要高，冗余配置2） 接地：保證測量信號的無干擾；3） 電纜：質(zhì)量和屏蔽問題4） 繼電器柜：用于DO卡件的隔離；5） MFT柜：鍋爐保護(hù)；6） ETS柜：汽機(jī)保護(hù)；7） 遠(yuǎn)程終端：一些DAS系統(tǒng)，用通訊連接，節(jié)省電纜。8） 現(xiàn)場總線四、 DCS系統(tǒng)配置不當(dāng)引起的嚴(yán)重后果要做好DCS的反事故措施，提高DCS系統(tǒng)本身的抵御事故能力是關(guān)鍵，因此，在系統(tǒng)構(gòu)成時必須重點(diǎn)考慮這個因素。近年來DCS所發(fā)生的故障，如惡性的系統(tǒng)癱瘓、操作員站部分或全部“死機(jī)”以及局部系統(tǒng)失靈等典型故障，大多與DCS系統(tǒng)的配置不

8、當(dāng)有關(guān)，主要表現(xiàn)在DCS系統(tǒng)“資源(如控制器、網(wǎng)絡(luò)、接口等)”配置過“緊”，導(dǎo)致系統(tǒng)或局部系統(tǒng)在某一特定的情況下負(fù)荷過高、非同一系統(tǒng)(裝置)搭配通訊不暢、冗余度不夠或系統(tǒng)電源配置不合理等。實(shí)際上這類問題是非常常見的，設(shè)計與資金的矛盾，用戶與DCS廠家在系統(tǒng)功能理解上的矛盾，都可以導(dǎo)致上述問題的發(fā)生。 例如：浙江臺州電廠發(fā)生分散控制系統(tǒng)(TMEXP系統(tǒng))頻繁故障和死機(jī)造成機(jī)組停運(yùn)事故。臺州電廠7、8號機(jī)組(2X 330MW)，從1997年2月開始7號機(jī)組進(jìn)入試生產(chǎn)至1997年5月，兩臺機(jī)組共發(fā)生22次DCS系統(tǒng)故障和死機(jī)，其中造成機(jī)組不正常跳閘8次。之后又發(fā)生多次操作畫面故障(8號機(jī)組有兩次發(fā)生

9、全部6臺操作員站“黑屏”)，其中1次造成8號機(jī)組不正常跳閘，嚴(yán)重威脅機(jī)組安全。 經(jīng)過臺州電廠DCS系統(tǒng)事故分析專家評審會專家評審組的分析，認(rèn)為其DCS系統(tǒng)存在以下幾方面問題： (1)DCS工程設(shè)計在性能計算軟件、開關(guān)量冗余配置上存在問題。 (2)硬件配置不匹配(其中包括T-ME和TXP兩種系統(tǒng)的匹配和通信問題)。 (3)個別硬件設(shè)計不完善。 通過后來的進(jìn)一步分析，還發(fā)現(xiàn)了很關(guān)鍵的CS275(下層TME)通訊總線負(fù)荷率過高出現(xiàn)“瓶頸”現(xiàn)象的問題(該系統(tǒng)是由上層TXP的OM和下層TME的AS組成，上層以太網(wǎng)速率為10M，下層CS275通訊總線速率為250K)?？梢钥闯?，DCS的系統(tǒng)配置不合理在這里

10、也是一個主要矛盾。為確認(rèn)TMEXP系統(tǒng)在電站控制上是否還可繼續(xù)應(yīng)用，國家電力公司曾組成專家組對歐洲TMEXP用戶進(jìn)行過針對性考察，看到在配置合理的前提下，TMEXP系統(tǒng)使用情況基本良好。 又如：某電廠在200MW機(jī)組的熱控系統(tǒng)自動化改造上使用的DCS系統(tǒng)，由于系統(tǒng)配置的負(fù)荷率計算不準(zhǔn)且為了減少投資技術(shù)指標(biāo)均靠近允許極限，加之該系統(tǒng)有運(yùn)行時中間虛擬IO點(diǎn)量大的特點(diǎn)，所以在改造后期(大修即將結(jié)束時)調(diào)試時發(fā)現(xiàn)個別控制器的負(fù)荷率竟超過了90，個別軟手操操作響應(yīng)竟接近1min，根本無法使用，后經(jīng)過大幅度系統(tǒng)調(diào)整(系統(tǒng)重新增加配置)，才解決了這個問題。五、 DCS系統(tǒng)配置的具體要求 因此，要慎重、科學(xué)、

11、合理地配置DCS系統(tǒng)，現(xiàn)對DCS系統(tǒng)的基本配置提出以下具體要求。1)系統(tǒng)和控制器的配置要重點(diǎn)考慮可靠性和負(fù)荷率(包括冗余度)指標(biāo)。通訊總線負(fù)荷率設(shè)計必須控制在合理的范圍內(nèi)，控制器的負(fù)荷率要盡可能均衡，要避免因設(shè)計框架大而資金不足所帶來的、影響系統(tǒng)安全運(yùn)行的“高負(fù)荷”問題的發(fā)生。一些指標(biāo)：所有控制站的CPU負(fù)荷率在惡劣工況下不得超過60。所有計算機(jī)站、數(shù)據(jù)管理站、操作員站、工程師站、歷史站等的CPU負(fù)荷率在惡劣工況下不得超過40，并應(yīng)留有適當(dāng)?shù)脑６取Ｍㄓ嵷?fù)荷率在繁忙工況下不得超過30；對于以太網(wǎng)則不得超過20。負(fù)荷率其實(shí)應(yīng)該有2種：一種是物理負(fù)荷，比如內(nèi)存的負(fù)荷率，硬盤的負(fù)荷率等；一種是時間負(fù)荷

12、，單位時間所運(yùn)行的程序的數(shù)量，除了和控制組態(tài)有關(guān)外，采樣周期的設(shè)置也是重要因素。要充分考慮備用通道和備用卡件，現(xiàn)在在設(shè)計階段就已經(jīng)考慮這些問題，比如一塊8通道的卡件只安排7個通道的測點(diǎn)，備用1個通道。一個控制柜也按15%留下備用卡件槽。合理分配數(shù)據(jù)庫是解決控制器負(fù)荷不均衡的一種重要手段。數(shù)據(jù)庫分配原則包括1）獨(dú)立原則：電氣獨(dú)立、DEH獨(dú)立、遠(yuǎn)程柜獨(dú)立等2）分散原則：兩個各為機(jī)組50MCR的被控設(shè)備應(yīng)劃分在不同的控制器中，冗余的I/O信號分在不同的卡里等；3）硬件要求：15%的裕度，接線的方便，DO點(diǎn)交直流繼電器的區(qū)分等；4）減少通訊點(diǎn)原則：一些相關(guān)系統(tǒng)在1個控制器里5）SOE點(diǎn)原則：6）負(fù)荷均

13、衡原則7）美觀原則：對稱性這些原則可能會相互矛盾，則要取舍，以滿足安全可靠為最高原則。 2)系統(tǒng)控制邏輯的分配，不宜過分集中在某個控制器上，主要控制器應(yīng)采用冗余配置。采用工藝結(jié)合功能的站分配方案是比較好的方法，比如原則上不設(shè)DAS站，而把它們隨工藝并到MCS或SCS中去。如果控制器足夠，可以考慮單設(shè)DAS。另外還要考慮宜減少出于安全性考慮而人為進(jìn)行的控制器分配所增加的控制器之間的信息交換。 3)電源設(shè)計必須合理、可靠。一是要強(qiáng)調(diào)電源設(shè)計的負(fù)荷率；二是要強(qiáng)調(diào)電源的冗余配置方式，同時一定要保證兩路電源的獨(dú)立性。國電智深公司的EDPF-NT系統(tǒng)的電源設(shè)計原則還包括：（1）入口電源要求電壓為220V

14、AC(-15+10%)，電源頻率為50 ± 0.5 Hz，波形畸變?yōu)樾∮诘扔?% (有效值)。（2）兩路電源還要求是同相位的，每路電源只需接入火線和零線，地線不得引入與機(jī)柜地連接。盡管系統(tǒng)內(nèi)電源是冗余并帶有切換的，但出于安全和可靠的要求，不允許長時間外部電源單路供電。（3）單元機(jī)組電源柜入口為兩路220VAC電源，一路為UPS電源，另一路為保安電源。（4）公用系統(tǒng)電源柜入口為四路220VAC電源，分別為兩臺機(jī)組的UPS電源和保安段電源，具體做法是：第一臺機(jī)組UPS電源（主）和第二臺機(jī)組保安電源（備）切換后作為第一路電源進(jìn)入公用系統(tǒng)電源柜；第一臺機(jī)組保安電源（備）和第二臺機(jī)組UPS電源

15、（主）切換后作為第二路電源進(jìn)入公用系統(tǒng)電源柜。（5）控制柜內(nèi)部設(shè)備采用直流24/48V供電，外部電源在電源柜分配后直接進(jìn)入控制柜的兩個直流電源模塊，轉(zhuǎn)換成直流后并行給控制器、風(fēng)扇和I/O模塊供電，在每個分散設(shè)備中進(jìn)行隔離，在電源柜內(nèi)不進(jìn)行交流電源切換。（6）打印機(jī)、工控機(jī)、顯示器及交換器基本都是單路220VAC供電，這類設(shè)備（打印機(jī)一般采用單路供電）的電源一般是在電源柜內(nèi)采用2組接觸器實(shí)現(xiàn)兩路電源切換后提供，其中一半的上位機(jī)采用UPS為主的切換電源，另一半的上位機(jī)采用以保安段為主的切換電源。 4)要注重DCS系統(tǒng)接口的可靠性措施。強(qiáng)調(diào)重要接口的冗余度和接口方式的選擇，主要是注意可靠性和實(shí)時性。

16、如果DCS和DEH是2套不同的DCS系統(tǒng)，那么重要信號必須用硬接線。 5)應(yīng)注重考慮系統(tǒng)的抗干擾措施、自診斷和自恢復(fù)能力，I0通道應(yīng)強(qiáng)調(diào)隔離措施。DCS和其它供貨商提供的控制、保護(hù)裝置之間的信息交換采用I/O通道時，應(yīng)采取電隔離措施。DCS至執(zhí)行機(jī)構(gòu)等的模擬量信號相連時，二端對接地或浮空等的要求應(yīng)相匹配，否則應(yīng)采取電隔離措施。接地的要求一般DCS廠家都會提供，滿足接地要求的關(guān)鍵是現(xiàn)場安裝，以及接地測量試驗(yàn)數(shù)據(jù)的準(zhǔn)確性（絕緣電阻和接地電阻）。 例如：東北電網(wǎng)有一臺600MW新機(jī)組，由于在招標(biāo)的技術(shù)規(guī)范中對I0通道隔離性質(zhì)表述不到位，結(jié)果DCS廠家做的配置很低，結(jié)果在調(diào)試時燒損了大量IO板，后來改

17、變了隔離方式和更換了硬件，電廠又花費(fèi)了許多資金，也抵消了當(dāng)初的招標(biāo)價格優(yōu)勢。 此外，電纜的質(zhì)量與屏蔽問題也必須高度重視，許多改造工程正是由于電纜的問題導(dǎo)致電纜不得不重新敷設(shè)，影響了工期。 6)要充分考慮主輔設(shè)備的可控性，要根據(jù)設(shè)備的運(yùn)行特點(diǎn)和各種工況下機(jī)組處理緊急故障的要求，配置操作員站和后備手操裝置。緊急停機(jī)停爐按扭配置，應(yīng)采用與DCS分開的單獨(dú)操作回路。同時，不能盲目地追求人機(jī)界面的“簡潔化”，系統(tǒng)配置還應(yīng)以滿足安全生產(chǎn)為第一位。特殊有關(guān)安全的緊急干預(yù)性操作不能完全建立在DCS完好的基礎(chǔ)上。這關(guān)系著MFT跳閘柜、ETS等的設(shè)計。比如安全可靠性更高的故障安全型控制器，作為可選方案供選擇。當(dāng)選

18、用故障安全型控制器時，故障安全型控制器應(yīng)是DCS的一部分或同DCS實(shí)現(xiàn)無縫連接，投標(biāo)方所供產(chǎn)品的制造必須遵循國際相關(guān)標(biāo)準(zhǔn)（如IEC61508、DIN.V.VDE0801、ANSI/ISA.84.01.1996、DIN.V.19250等），并通過國際權(quán)威機(jī)構(gòu)認(rèn)證。FSSS系統(tǒng)功能應(yīng)當(dāng)有當(dāng)機(jī)組主保護(hù)或調(diào)節(jié)的冗余控制器（包括卡件）均失電或故障后直接引發(fā)MFT跳閘，當(dāng)雙路電源均失去時，將直接觸發(fā)MFT以保證機(jī)組安全停機(jī)，F(xiàn)SSS系統(tǒng)應(yīng)當(dāng)有硬跳閘回路，并采用獨(dú)立于DCS的直流電源。MFT跳閘柜的硬件設(shè)計原則：1） 確認(rèn)跳閘繼電器電源類型（220VDC，110VDC）；MFT跳閘回路一般采用雙路110VD

19、C或220VDC電源，兩路電源采用二極管進(jìn)行隔離和切換，注意兩路直流電源的正端和負(fù)端均應(yīng)設(shè)計二極管隔離和切換回路。同時設(shè)置電源監(jiān)視點(diǎn)進(jìn)DCS。2） FSSS控制柜DO輸出采用三取二邏輯（實(shí)現(xiàn)三取二邏輯需要3個DO點(diǎn)，3個DO點(diǎn)應(yīng)布置在三塊DO卡件上，3個DO點(diǎn)對應(yīng)的中間繼電器需要有兩副接點(diǎn)，常開還是常閉根據(jù)需要確定），采用帶電動作（即DO輸出為1時動作）還是失電動作（即DO輸出為0時動作）最遲應(yīng)在第二次設(shè)計聯(lián)絡(luò)會上確定，并寫入會議紀(jì)要。3） 跳閘繼電器類型及接點(diǎn)類型的選型：根據(jù)帶電動作還是失電動作選擇跳閘繼電器。如果采用無機(jī)械保持的繼電器時，可外搭保持回路，采用外搭保持回路，跳閘指令采用脈沖方

20、式，并有復(fù)位指令，為保證保持回路可靠，跳閘繼電器至少應(yīng)從不同跳閘繼電器引入兩副接點(diǎn)；也可以建議采用軟邏輯進(jìn)行保持，即跳閘指令采用電平信號。 7)對涉及機(jī)組安全的執(zhí)行機(jī)構(gòu)、閥門等外圍設(shè)備，在設(shè)計與配置時，要保證這些關(guān)鍵設(shè)備在失電、失氣、失信號或DCS系統(tǒng)失靈的情況下，能夠向安全方向動作或保持原位。對于通訊點(diǎn)進(jìn)入保護(hù)的，建議采用常開接點(diǎn)，以防止誤動。帶電動作和失電動作是雙刃劍，一定要綜合考慮。六、 DCS系統(tǒng)配置要求的一些指標(biāo)（某公司的要求）14.1 分散控制系統(tǒng)配置的基本要求。 14.1.1 DCS系統(tǒng)配置應(yīng)能滿足機(jī)組任何工況下的監(jiān)控要求（包括緊急故障處理），CPU負(fù)荷率應(yīng)控制在設(shè)計指標(biāo)之內(nèi)并留

21、有適當(dāng)裕度。 14.1.1.1 所有控制站的CPU負(fù)荷率在惡劣工況下不得超過60。所有計算機(jī)站、數(shù)據(jù)管理站、操作員站、工程師站、歷史站等的CPU負(fù)荷率在惡劣工況下不得超過40，并應(yīng)留有適當(dāng)?shù)脑６取?14.1.1.2 CPU的負(fù)荷率應(yīng)定期檢查統(tǒng)計，如超過設(shè)計指標(biāo)，應(yīng)迅速采取措施處理。 14.1.1.3 控制站、操作員站、計算機(jī)站、數(shù)據(jù)管理站、歷史站或服務(wù)器脫網(wǎng)、離線、死機(jī)，在其它操作員站監(jiān)視器上應(yīng)設(shè)有醒目的報警功能，或在控制室內(nèi)設(shè)有獨(dú)立于DCS系統(tǒng)之外的聲光報警。 14.1.2 控制器，F(xiàn)SSS、ETS系統(tǒng)的I0卡應(yīng)采用冗余配置，重要IO點(diǎn)應(yīng)考慮采用非同一板件的冗余配置。 14.1.2.1 分配

22、控制回路和I0信號時，應(yīng)使一個控制器或一塊I0板件損壞時對機(jī)組安全運(yùn)行的影響盡可能小。I0板件及其電源故障時，應(yīng)使I0處于對系統(tǒng)安全的狀態(tài)，不出現(xiàn)誤動。 14.1.2.2 冗余I0板件及冗余信號應(yīng)進(jìn)行定期檢查和試驗(yàn)，確保處于熱備用狀態(tài)。 14.1.3 系統(tǒng)電源應(yīng)設(shè)計有可靠的后備手段（如采用UPS電源），備用電源的切換時間應(yīng)小于5ms（應(yīng)保證控制器不能初始化）。系統(tǒng)電源故障應(yīng)在控制室內(nèi)設(shè)有獨(dú)立于DCS之外的聲光報警。 14.1.3.1 DCS宜采用隔離變壓器供電。系統(tǒng)應(yīng)設(shè)計雙回路供電。其中一路電源要采用UPS供電。 14.1.3.2 UPS電源應(yīng)能保證連續(xù)供電30min，確保安全停機(jī)停爐需要。

23、14.1.3.3 采用直流供電方式的重要I0板件，其直流電源應(yīng)采用冗余配置，其中一路電源故障應(yīng)有報警信號。 14.1.4 主系統(tǒng)及與主系統(tǒng)連接的所有相關(guān)系統(tǒng)（包括專用裝置）的通信負(fù)荷率設(shè)計必須控制在合理的范圍（保證在高負(fù)荷運(yùn)行時不出現(xiàn)“瓶頸”現(xiàn)象）之內(nèi)，其接口設(shè)備（板件）應(yīng)穩(wěn)定可靠。 14.1.4.1 通訊總線應(yīng)有冗余設(shè)置，通訊負(fù)荷率在繁忙工況下不得超過30；對于以太網(wǎng)則不得超過20。 14.1.4.2 定期檢查測試通訊負(fù)荷率，若超過設(shè)計指標(biāo)，應(yīng)采取好措施，優(yōu)化組態(tài)，降低通訊量。 14.1.5 DCS的系統(tǒng)接地必須嚴(yán)格遵守廠家技術(shù)要求，所有進(jìn)入DCS系統(tǒng)控制信號的電纜必須采用質(zhì)量合格的屏蔽阻燃

24、電纜，在DCS側(cè)有良好的單端接地。 14.1.5.1 DCS系統(tǒng)與電氣系統(tǒng)共用一個接地網(wǎng)時，控制系統(tǒng)接地線與電氣接地網(wǎng)只允許有一個連接點(diǎn)，且接地電阻應(yīng)小于0.5。 14.1.5.2 重點(diǎn)處理好兩種接地：保護(hù)接地和屏蔽接地。 保護(hù)接地接至電氣專業(yè)接地網(wǎng)，接地電阻小于2。屏蔽接地接至電氣專業(yè)接地網(wǎng)，接地電阻0.5。不滿足接地電阻要求時，應(yīng)獨(dú)立設(shè)置接地系統(tǒng)，接地電阻2。屏蔽接地的接地網(wǎng)接地點(diǎn)應(yīng)遠(yuǎn)離電廠大電流設(shè)備，如給水泵、磨煤機(jī)等，距離大于10m以上。 14.1.5.3 模擬量信號最好采用屏蔽雙絞電纜連接，且有良好的單端接地。 14.1.6 操作員站及少數(shù)重要操作按鈕的配置應(yīng)能滿足機(jī)組各種工況下的操

25、作要求，特別是緊急故障處理的要求。緊急停機(jī)停爐按鈕配置，應(yīng)采用與DCS分開的單獨(dú)操作回路。 14.1.6.1 DCS的設(shè)計或改造應(yīng)滿足在DCS故障或系統(tǒng)癱瘓后，汽輪機(jī)、鍋爐、發(fā)電機(jī)能安全地停下來，緊急停機(jī)、停爐按扭回路要與DCS分開，并用硬接線連接。 14.1.6.2 熱工控制機(jī)房、電子設(shè)備間內(nèi)禁止使用無線通訊工具。熱工控制機(jī)房內(nèi)溫度控制在規(guī)定范圍內(nèi)，保持環(huán)境清潔。 七、 DCS故障的緊急處理措施 對于運(yùn)行中DCS故障的緊急處理，首先，強(qiáng)調(diào)凡配備有DCS設(shè)備的電廠，應(yīng)根據(jù)本單位DCS系統(tǒng)實(shí)際使用狀況，制定DCS故障的處理措施，并編人到機(jī)組的運(yùn)行規(guī)程。其次，由于機(jī)組類型、DCS配置和機(jī)組運(yùn)行方式

26、等不同，其采取的措施也不相同。但其核心思想是保證機(jī)組運(yùn)行的安全。對DCS故障處理把握性不大，或故障已嚴(yán)重威脅機(jī)組安全運(yùn)行的情況下，決不能以僥幸的心理維持運(yùn)行，應(yīng)立即停機(jī)、停爐處理。在此重點(diǎn)強(qiáng)調(diào)了全部操作員站故障和通信總線故障(所有上位機(jī)“黑屏”、“死機(jī)”或數(shù)據(jù)不更新)、部分操作員站故障、控制器或相應(yīng)電源故障等三種情況下的故障對策。 由于DCS是由多種硬件、軟件及網(wǎng)絡(luò)構(gòu)成的系統(tǒng)，其故障點(diǎn)分布和故障分析都比較復(fù)雜。因此，應(yīng)加強(qiáng)對DCS的運(yùn)行監(jiān)視、檢查和技術(shù)管理。 建立健全DCS系統(tǒng)軟件和應(yīng)用軟件的管理制度(特別是要加強(qiáng)系統(tǒng)升級、組態(tài)修改等重要工作中的軟件管理)，要充分注意主控制器與冗余控制器控制組

27、態(tài)軟件的一致性、應(yīng)用軟件和數(shù)據(jù)的備份、系統(tǒng)防病毒等問題。 熱控專業(yè)人員在DCS系統(tǒng)的維護(hù)管理方面應(yīng)注意同運(yùn)行人員溝通情況，特別是在機(jī)組運(yùn)行中對工程師站(EWS)的操作，也應(yīng)執(zhí)行類似于工作票的制度，嚴(yán)防非運(yùn)行人員(或未經(jīng)運(yùn)行人員允許)對機(jī)組的安全運(yùn)行有干預(yù)行為。專業(yè)人員和運(yùn)行人員應(yīng)對DCS運(yùn)行的異常狀態(tài)(包括操作員站顯示畫面微小的顏色、音響及提示的變化等)反應(yīng)敏捷，并能及時作出正確的判斷和采取相應(yīng)的對策。一些現(xiàn)場常見故障的排查和問題的處理：1） 單個操作員站死機(jī)或黑屏：原因多種多樣，主要有以下幾點(diǎn)1）計算機(jī)病毒2）硬件問題（其中最常見的就是現(xiàn)場灰塵掉進(jìn)計算機(jī)主板）3）人為操作失誤（把未檢查的程序

28、同時下載到所有操作員站造成系統(tǒng)死機(jī)）4）正在運(yùn)行的程序突然死機(jī)；解決方法1）殺毒或重裝系統(tǒng)2）清潔硬件或更換硬件3）刪除不恰當(dāng)?shù)某绦颍ɑ蛘咧匮b系統(tǒng)）然后重啟4）重啟2） 網(wǎng)絡(luò)交換機(jī)死機(jī)或失電：1）通訊負(fù)荷大；2）計算機(jī)病毒；3）突然失電網(wǎng)絡(luò)交換機(jī)的重啟要采取必要的安全措施，做好停機(jī)停爐的準(zhǔn)備3） 控制器工作不正常或掉線：1）失電2）負(fù)荷大3）看門狗程序壞了4）閃存或其他存儲介質(zhì)物理損壞5）通信程序故障6）灰塵的影響。2臺互為冗余的控制器同時掉了，則此站的重啟一定要采取安全措施，全部打到就地操作是最好的，特別要注意DO或AO點(diǎn)的清零問題，4） 卡件損壞原因分析：一個例子是某電廠設(shè)計的時候，將一對

29、常開常閉接點(diǎn)中的常開接點(diǎn)進(jìn)DCS，而將常閉接點(diǎn)還送到強(qiáng)電回路。5） DCS系統(tǒng)升級問題：各種DCS系統(tǒng)在某各階段都需進(jìn)行一些軟件或硬件的升級，但需注意因此帶來的影響，特別注意以下問題：a軟硬件版本：在升級前必須對此次版本的穩(wěn)定性做確認(rèn)b升級后的系統(tǒng)響應(yīng)速度c 升級后的硬件（如硬盤、系統(tǒng)供電、DPU）容量是否仍符合要求d 升級后軟硬件是否有新的限制6） 防病毒問題由于近幾年大量采用了Window系列的上位機(jī)，因此帶來較為嚴(yán)重的計算機(jī)病毒問題，從系統(tǒng)穩(wěn)定性角度來看，在上位機(jī)上都裝防病毒軟件并不是可取，往往會發(fā)生通訊性能降低，與廠家應(yīng)用軟件沖突等問題，而且也不是一老永逸的方式。因此總的原則是：預(yù)防管

30、理為主，定期查殺為輔。防病毒軟件一般安裝在工程師站，同時將所有操作員站的輸入口都封掉，包括軟驅(qū)、光驅(qū)和USB等。防病毒軟件升級由專人離線升級。7） 由于電源低電壓，DCS系統(tǒng)緊急重啟過程的注意事項(xiàng)一個例子是空冷系統(tǒng)的風(fēng)機(jī)重起，為了怕再次過負(fù)荷，風(fēng)機(jī)啟動是要按順序進(jìn)行的。八、 防止熱工保護(hù)拒動本章節(jié)主要考慮DCS系統(tǒng)所包含的熱工保護(hù)和獨(dú)立熱工保護(hù)的防止拒動措施。 對所涉及到的熱工保護(hù)(如FSSS、ETS及部分含有軟邏輯的熱工保護(hù)系統(tǒng))其配置和技術(shù)指標(biāo)必須滿足DCS相應(yīng)的標(biāo)準(zhǔn)要求(特別強(qiáng)調(diào)涉及到保護(hù)的信號均應(yīng)按重要DCS信號來考慮)。 對于由軟邏輯構(gòu)成的熱工保護(hù)系統(tǒng)，特別強(qiáng)調(diào)了在進(jìn)行機(jī)、爐、電聯(lián)動

31、試驗(yàn)時，必須將全部軟邏輯納入到相關(guān)系統(tǒng)的試驗(yàn)中。這是由于DCS系統(tǒng)近些年來的覆蓋范圍擴(kuò)大而帶來的新問題。特別是后備手操保留較多的系統(tǒng)更應(yīng)注意整體的DCS軟邏輯聯(lián)動保護(hù)試驗(yàn)。 例如：有的電廠在進(jìn)行老機(jī)組熱控自動化改造中，就曾發(fā)生過將電氣部分納入DCS系統(tǒng)后，由于軟件、硬件設(shè)計的不周，而造成機(jī)組連鎖保護(hù)拒動故障。 為了防止熱工保護(hù)拒動，應(yīng)當(dāng)從以下三個方面來嚴(yán)格管理。 第一是熱工保護(hù)必須健全。應(yīng)上而未上的保護(hù)等于當(dāng)然的“拒動”，這個道理顯而易見。因此，首先應(yīng)當(dāng)按規(guī)程完善保護(hù)系統(tǒng)。實(shí)際上人們目前有一些重要保護(hù)不是投的很好，例如鍋爐汽包水位保護(hù)、汽輪機(jī)振動保護(hù)等，主要是重視不夠。 第二是熱工保護(hù)必須好用

32、。在第1232和1235條中，強(qiáng)調(diào)了獨(dú)立配置的鍋爐滅火保護(hù)裝置和汽輪機(jī)TSI裝置也必須嚴(yán)格符合相關(guān)規(guī)程的要求，對電源可靠性、外設(shè)完好性和信號通道冗余配置等提出了有針對性的要求。在第1233和1236條中，強(qiáng)調(diào)靜、動態(tài)及定值的定期試驗(yàn)，特別是鍋爐爐膛安全監(jiān)視保護(hù)系統(tǒng)的動態(tài)試驗(yàn)(最低應(yīng)考慮大修前或大修后的鍋爐滅火保護(hù)試驗(yàn)和大修后點(diǎn)火前的鍋爐負(fù)壓保護(hù)試驗(yàn))。目的就是為了確保熱工保護(hù)好用。在這方面人們是有很多教訓(xùn)的。 例如：1997年12月16日，秦皇島熱電廠發(fā)生4號鍋爐缺水事故。鍋爐在較長時間下斷水運(yùn)行，導(dǎo)致水冷壁多處爆管，大面積過熱損壞，初步估計直接經(jīng)濟(jì)損失約312萬元的重大事故。該鍋爐A爐水循環(huán)

33、泵壓差低跳泵保護(hù)由于測量系統(tǒng)故障，沒有采取有效的措施而失去了保護(hù)功能，導(dǎo)致MFT未動作，使得事故闖過了后備保護(hù)的最后一道關(guān)口，造成了事故的擴(kuò)大。 又如：某電廠200MW機(jī)組的670TH爐曾發(fā)生鍋爐爐膛爆破事故。在事故調(diào)查時發(fā)現(xiàn)，該爐的爐膛負(fù)壓保護(hù)定值嚴(yán)重失準(zhǔn)，其整定值幾乎到了在任何工況下都不可能動作的程度，根本無法保證鍋爐的安全運(yùn)行。 因此，熱工保護(hù)裝置的可靠、實(shí)用和定值準(zhǔn)確是十分重要的。另外熱工保護(hù)的時序是很重要的。比如MFT的首出跳閘原因邏輯，機(jī)爐協(xié)調(diào)CCS的方式切換的時序等 第三是熱工保護(hù)必須用好。也就是說有了保護(hù)就必須充分發(fā)揮它的作用，決不能隨意解除運(yùn)行中的保護(hù)，否則后果不堪設(shè)想。 例

34、如：1994年，秦嶺發(fā)電廠發(fā)生6號鍋爐滅火放炮事故。1994年1月4日，在鍋爐滅火保護(hù)裝置解除后僅6h，就發(fā)生了6號鍋爐滅火放炮事故。 又如：1987年，通遼發(fā)電廠發(fā)生1號汽輪機(jī)嚴(yán)重?fù)p壞事故。由于運(yùn)行人員懷疑汽輪機(jī)軸向位移保護(hù)動作是誤跳機(jī)，而將其解除又強(qiáng)行起動機(jī)組，結(jié)果導(dǎo)致汽輪機(jī)中壓轉(zhuǎn)子嚴(yán)重?fù)p壞的重大事故發(fā)生。 又如：1996年3月13日，石景山熱電廠發(fā)生超溫超壓事故。在此次事故中，因“機(jī)跳爐”聯(lián)鎖未投，致使機(jī)組跳閘后鍋爐燃料沒有聯(lián)動切斷。 從這些教訓(xùn)中不難看出，解除保護(hù)就為事故的發(fā)生與擴(kuò)大埋下了隱患。因此，特別明確了“在機(jī)組運(yùn)行中若發(fā)生熱工保護(hù)裝置(包括系統(tǒng)和一次檢測設(shè)備)故障，必須開具工作

35、票，經(jīng)總工程師批準(zhǔn)后迅速處理。對于鍋爐爐膛壓力、全爐膛滅火、汽包水位、汽輪機(jī)超速、軸向位移、振動、低油壓等重要保護(hù)裝置，在機(jī)組運(yùn)行中嚴(yán)禁退出，其他保護(hù)裝置被迫退出運(yùn)行時，必須在24h內(nèi)恢復(fù)，否則應(yīng)立即作出停機(jī)、停爐處理”的規(guī)定。雖然對于個別保護(hù)，這一規(guī)定似乎過于嚴(yán)格，但應(yīng)當(dāng)理解對于機(jī)組安全運(yùn)行，任何一點(diǎn)小的疏乎都會釀成大禍，對熱工保護(hù)投入嚴(yán)格管理就是杜絕由于違章作業(yè)或搶發(fā)電而造成重大事故和設(shè)備損壞的重要保證。九、 附錄：第十二章 防止分散控制系統(tǒng)失靈和熱工保護(hù)拒動事故為了防止分散控制系統(tǒng)（DCS）失靈、熱工保護(hù)拒動造成的事故，要認(rèn)真貫徹火力發(fā)電廠熱工儀表及控制裝置技術(shù)監(jiān)督規(guī)定（國電安運(yùn)1998

36、483號）、單元機(jī)組分散控制系統(tǒng)設(shè)計若干技術(shù)問題規(guī)定（電規(guī)發(fā)1996214號）、火力發(fā)電廠鍋爐爐膛安全監(jiān)控系統(tǒng)在線驗(yàn)收測試規(guī)程（DLT6561998）、火力發(fā)電廠模擬量控制系統(tǒng)在線驗(yàn)收測試規(guī)程（DLT6571998）、火力發(fā)電廠順序控制系統(tǒng)在線驗(yàn)收測試規(guī)程（DLT6581998）、火力發(fā)電廠分散控制系統(tǒng)在線驗(yàn)收測試規(guī)程（DLT6591998）等有關(guān)技術(shù)規(guī)定，并提出以下重點(diǎn)要求：     12.1 分散控制系統(tǒng)配置的基本要求。     12.1.1 DCS系統(tǒng)配置應(yīng)能滿足機(jī)組任何工況下的監(jiān)控要求（包括緊急故障處理），

37、CPU負(fù)荷率應(yīng)控制在設(shè)計指標(biāo)之內(nèi)并留有適當(dāng)裕度。     12.1.2 主要控制器應(yīng)采用冗余配置，重要IO點(diǎn)應(yīng)考慮采用非同一板件的冗余配置。     12.1.3 系統(tǒng)電源應(yīng)設(shè)計有可靠的后備手段（如采用UPS電源），備用電源的切換時間應(yīng)小于5ms（應(yīng)保證控制器不能初始化）。系統(tǒng)電源故障應(yīng)在控制室內(nèi)設(shè)有獨(dú)立于DCS之外的聲光報警。     12.1.4 主系統(tǒng)及與主系統(tǒng)連接的所有相關(guān)系統(tǒng)（包括專用裝置）的通信負(fù)荷率設(shè)計必須控制在合理的范圍（保證在高負(fù)荷運(yùn)行時不出現(xiàn)"瓶

38、頸"現(xiàn)象）之內(nèi)，其接口設(shè)備（板件）應(yīng)穩(wěn)定可靠。      12.1.5 DCS的系統(tǒng)接地必須嚴(yán)格遵守技術(shù)要求，所有進(jìn)入DCS系統(tǒng)控制信號的電纜必須采用質(zhì)量合格的屏蔽電纜，且有良好的單端接地。     12.1.6 操作員站及少數(shù)重要操作按鈕的配置應(yīng)能滿足機(jī)組各種工況下的操作要求，特別是緊急故障處理的要求。緊急停機(jī)停爐按鈕配置，應(yīng)采用與DCS分開的單獨(dú)操作回路。     12.2 DCS故障的緊急處理措施。     12.2.1

39、 已配備DCS的電廠，應(yīng)根據(jù)機(jī)組的具體情況，制定在各種情況下DCS失靈后的緊急停機(jī)停爐措施。     12.2.2 當(dāng)全部操作員站出現(xiàn)故障時（所有上位機(jī)"黑屏"或"死機(jī)"），若主要后備硬手操及監(jiān)視儀表可用且暫時能夠維持機(jī)組正常運(yùn)行，則轉(zhuǎn)用后備操作方式運(yùn)行，同時排除故障并恢復(fù)操作員站運(yùn)行方式，否則應(yīng)立即停機(jī)、停爐。若無可靠的后備操作監(jiān)視手段，也應(yīng)停機(jī)、停爐。     12.2.3 當(dāng)部分操作員站出現(xiàn)故障時，應(yīng)由可用操作員站繼續(xù)承擔(dān)機(jī)組監(jiān)控任務(wù)（此時應(yīng)停止重大操作），同時迅速排除故障，若故障無法排除，則應(yīng)根據(jù)當(dāng)時運(yùn)行狀況酌情處理。     12.2.4 當(dāng)系統(tǒng)中的控制器或相應(yīng)電源故障時，應(yīng)采取以下對策。     12.2.4.1 輔機(jī)控制器或相應(yīng)電源故障時，可切至后備手動方式運(yùn)行并迅速處理系統(tǒng)故障，若條件不允許則應(yīng)將該輔機(jī)退出運(yùn)行。     12.2.4.2 調(diào)節(jié)回路控制器或相應(yīng)電源故障時，應(yīng)將自動切至手動維持運(yùn)行，同時