控制系統(tǒng)可靠性及應(yīng)急處理

1提高熱控系統(tǒng)可靠性2控制系統(tǒng)的可靠性要求故障安全。任一控制系統(tǒng)的部件故障，機組仍能安全運行。影響最小。任一控制系統(tǒng)的部件故障，對機組運行影響最小。容錯最大?？刂葡到y(tǒng)保證機組安全運行允許的故障程度最大。及時處理。及時的維護和應(yīng)急處理，保證機組安全可靠運行。3控制系統(tǒng)可靠(容錯)配置電源冗余→容錯配置“三重化”輸入/輸出配置控制器故障對機組影響最小通信冗余→容錯配置4DCS電源須冗余配置DCS供電電源、電源裝置冗余配置。任一電源或電源裝置故障時，也應(yīng)能保證供電。二路電源物理上應(yīng)分離。杜絕局部故障、維護不當(dāng)、小動物進入等造成二路供電同時失去的情況。通信設(shè)備和操作員站通過切換裝置實現(xiàn)供電冗余。應(yīng)分組采用不同的主電源，即使切換裝置故障，在某路供電電源失去時，仍能保證部分操作員站和通信正常運行。5DCS控制器須可靠冗余硬件故障、軟件出錯、通信故障及失去電源等，仍能正常承擔(dān)控制任務(wù)。Ⅰ類故障控制器最少。只有MFT、ETS！雙列布置輔機或設(shè)備分配在二對控制器中。同一工藝分配在同一控制器中，如制粉系統(tǒng)。能可靠在線組態(tài)。單列布置輔機分配在同一控制器中。6DCS通信系統(tǒng)須冗余設(shè)置冗余通信設(shè)備應(yīng)物理上分離。對于多對通信設(shè)備（如交換機），任一對通信設(shè)備都故障，對機組影響最小。操作員站應(yīng)分散布置在不同的交換機上相關(guān)性強的控制器布置在同一對交換機上。除一對互為冗余通信設(shè)備同時故障外，控制系統(tǒng)的通信應(yīng)能正常運行。對機組監(jiān)視影響最小。7I/O布置的可靠性要求任一信號的測量原件、I/O模件通道故障不能造成保護誤動和拒動。三重化冗余輸入要求同一物理參數(shù)應(yīng)采用三個相互獨立的一次測量元件測量，并由三根不同的電纜接入三塊不同的輸入處理模件。主輔機保護信號，應(yīng)按三重化冗余原則配置，MFT、ETS、單列布置輔機應(yīng)三重化。三重化冗余保護輸出要求動作指令由三塊不同的輸出處理模件及其繼電器等構(gòu)成一種三選二回路。8保護邏輯的可靠設(shè)計(民主表決)信號故障處理(正確的證據(jù))輔助(智能)判斷相關(guān)信號構(gòu)成三重化判斷邏輯三重化判斷邏輯控制邏輯的可靠性要求通過冗余判斷、輔助判斷、智能判斷等容錯邏輯設(shè)計技術(shù)提高保護、聯(lián)鎖功能的可靠性，確?？刂葡到y(tǒng)局部單一故障，不會造成保護拒動和誤動。信號故障處理。在出現(xiàn)“壞質(zhì)量”或“變化率超限”，防止保護誤動。及時報警。10三重化判斷邏輯三重化開關(guān)量判斷邏輯跨控制器的三重化判斷邏輯三重化模擬量判斷邏輯跳閘信號2跳閘信號1跳閘信號3跳閘條件H/LH/LH/L2/3跳閘信號2跳閘信號1跳閘信號3跳閘條件中選H/L跳閘條件DO1DI12/3DO2DI2DO3DI3跳閘信號2跳閘信號1跳閘信號3H/LH/LH/L跳閘信號2跳閘信號1跳閘信號3跳閘條件中選H/LDO1DI12/3DO2DI2DO3DI3跳閘信號2跳閘信號1跳閘信號3跳閘條件中選AO1AI1AO2AI2AO3AI3中選H/L相關(guān)信號構(gòu)成三重化判斷邏輯運行2/3停止電流/L停止?fàn)顟B(tài)N11雙模擬量信號保護判斷邏輯12輔助判斷輔助判斷的主要作用防止保護誤動，但不能增加保護拒動的概率。輔助條件應(yīng)多個，任一滿足時，主保護條件滿足，保護動作。輔助條件與主保護條件存在著必然的聯(lián)系，而且主保護條件滿足，輔助判斷條件必然存在。如輔助判斷定值應(yīng)低于跳閘值，一般為報警值。輔助判斷條件在故障時，應(yīng)退出保護判斷，不影響主保護動作。應(yīng)急處理分散控制系統(tǒng)（DCS）在運行中的故障，如電源失電、操作員站“黑屏”或“死機”、冗余控制器切換異常、通訊中斷以及模件損壞等，如果處理不當(dāng)會導(dǎo)致故障擴大，造成機組跳閘甚至主設(shè)備損壞事故。為建立分散控制系統(tǒng)故障應(yīng)急處理和長效管理機制，確保故障發(fā)生時能夠迅速、準(zhǔn)確地組織故障處理，最大限度地降低故障造成的影響故障分級電力行業(yè)熱工自動化技術(shù)委員會

按故障后果分級一級跳機，或可能導(dǎo)致人身傷害、重要設(shè)備損壞二級處理不當(dāng)會轉(zhuǎn)為一級三級暫不影響機組安全6類：電源全失；操作站全失；網(wǎng)絡(luò)全癱瘓；FSSS全失；ETS全失；DEH全失；序號故障類型故障描述故障級別A1電源故障DCS系統(tǒng)電源失去DCS系統(tǒng)電源全部失去一級A2DCS系統(tǒng)電源單路失去二級A3A類控制系統(tǒng)（除DCS系統(tǒng)）電源失去全部失去（見控制器故障）一級A4任一電源失去冗余二級B1網(wǎng)絡(luò)故障DCS網(wǎng)絡(luò)全部癱瘓（包括數(shù)據(jù)通訊服務(wù)器全部故障）一級B2A類控制系統(tǒng)任一網(wǎng)絡(luò)失去冗余（包括數(shù)據(jù)通訊服務(wù)器單個故障）二級C1控制器故障全部故障（包括電源失去）鍋爐/汽機主保護控制器、DEH基本控制器全部故障，或A類控制系統(tǒng)任一對冗余控制器全部故障且涉及安全的參數(shù)無必要后備監(jiān)視手段一級C2除一級外，A類控制系統(tǒng)控制器全部故障但有必要的后備監(jiān)視手段二級C3單側(cè)故障A類控制系統(tǒng)（FSSS、ETS、DEH基本等）控制器失去冗余二級C4非A類控制系統(tǒng)控制器失去冗余三級D1操作員站故障操作員站全部失去監(jiān)控一級D2部分操作員站失去監(jiān)控二級EI/O模件故障A類I/O模件故障二級分散控制系統(tǒng)設(shè)備重大故障源分級響應(yīng)流程電力行業(yè)熱工自動化技術(shù)委員會

一級停機判斷，或轉(zhuǎn)為二級二級處理評估，可轉(zhuǎn)為一級三級日常維護程序電力行業(yè)熱工自動化技術(shù)委員會

故障處理、DCS系統(tǒng)維護規(guī)范操作1）．故障快速查找表（現(xiàn)象、原因、處理步驟、安措、影響）2）．典型操作卡（送電、在線換卡、復(fù)位、下裝、備份、采用維護指令）3）．應(yīng)急預(yù)案4）．可靠性確認(rèn)要點及異常處理注意點（設(shè)計、維護建議）應(yīng)急處理原則一級故障注重于跳閘后的恢復(fù)，重點是確保設(shè)備不損壞.二級故障是故障應(yīng)急處理中的重點，重點防止演變?yōu)橐患壒收?確保機組不跳閘或故障擴大。電力行業(yè)熱工自動化技術(shù)委員會

電力行業(yè)熱工自動化技術(shù)委員會

一級故障預(yù)案：電源全失、FSSS全失、ETS全失、DEH全失

控制系統(tǒng)設(shè)計是否能保證被控設(shè)備和系統(tǒng)處于安全狀態(tài)？---由于各電廠控制系統(tǒng)在設(shè)計上存在差異，有必要進行安全性評估。

DCS全部電源失去以后，由于鍋爐風(fēng)煙系統(tǒng)“防內(nèi)爆”保護邏輯和控制回路均不能工作，應(yīng)關(guān)注爐膛壓力的變化，必要時立即停止送引風(fēng)機運行（通常是在5min吹掃完成后停止）。電力行業(yè)熱工自動化技術(shù)委員會

一級故障預(yù)案：操作站全失、網(wǎng)絡(luò)癱瘓判斷是否需要停機？---故障時間、后備監(jiān)視支持、網(wǎng)絡(luò)結(jié)構(gòu)、聯(lián)鎖邏輯組態(tài)設(shè)計都是要考慮的因素。ABB、國電智深、和利時、GE新華、上海新華、南京科遠(yuǎn)系統(tǒng)：無后備監(jiān)視，短時間內(nèi)無法恢復(fù)，打閘停機。日立系統(tǒng)：無后備監(jiān)視，或15min內(nèi)無法恢復(fù)半數(shù)以上，打閘停機。Ovation系統(tǒng)：操作站失去可不停機，確認(rèn)網(wǎng)絡(luò)癱瘓應(yīng)打閘停機。?？怂共_系統(tǒng)：操作站失電不停機，網(wǎng)絡(luò)癱瘓在規(guī)定時間內(nèi)無法恢復(fù)，打閘停機。西門子系統(tǒng)、國電南自系統(tǒng)：不停機，退出AGC，維持機組穩(wěn)定不操作。國家電力公司25項反措2000（國網(wǎng)20項2007、國華25項2010）：

12.2.2當(dāng)全部操作員站出現(xiàn)故障時（所有上位機“黑屏”或“死機”），若主要后備硬手操及監(jiān)視儀表可用且暫時能夠維持機組正常運行，則轉(zhuǎn)用后備操作方式運行，同時排除故障并恢復(fù)操作員站運行方式，否則應(yīng)立即停機、停爐。若無可靠的后備操作監(jiān)視手段，也應(yīng)停機、停爐。電力行業(yè)熱工自動化技術(shù)委員會

2005年6月29日，某廠#2機組（130MW）FOXBOROI/A系統(tǒng)2次出現(xiàn)DCS網(wǎng)絡(luò)故障，所有操作員站全部失去監(jiān)控，待續(xù)時間分別為3min和30s。

2005年8月12日，某廠#3機組（600MW）ABBSymphony系統(tǒng)DCS環(huán)路通訊中斷，所有操作員站全部失去監(jiān)控，40s后恢復(fù)正常。

2006年9月8日，某廠#2機組（600MW）ABBSymphony系統(tǒng)出現(xiàn)DCS網(wǎng)絡(luò)故障，所有操作員站全部失去監(jiān)控，2min左右恢復(fù)正常。

2010年10月4日，某廠#4機組（600MW）ABBSymphony系統(tǒng)出現(xiàn)DCS網(wǎng)絡(luò)故障，所有操作員站全部失去監(jiān)控，45s后恢復(fù)正常。

2009年3月11日，某廠#3機組（300MW）新華XDPS-400系統(tǒng)受病毒攻擊，操作員站和工程師站全部失去監(jiān)控，僅能通過大屏進行監(jiān)控，30min后恢復(fù)了2臺操作員站，清理病毒全部處理時間持續(xù)了7小時20分。

2010年2月5日，某廠4臺機組(4×600MW，1-3號運行，4號調(diào)停)西門子TXPDCS系統(tǒng)終端總線故障（#2機PI接口機故障，OPC數(shù)據(jù)洪流導(dǎo)致的網(wǎng)絡(luò)崩潰），所有操作員站全部失去監(jiān)控，3臺運行機組的處理恢復(fù)時間分別為6min、8min、20min。近幾年浙江發(fā)生的幾起DCS網(wǎng)絡(luò)故障的案例，沒有一例造成停機。2010年2月5日，某廠4臺機組(4×600MW)，1-3號運行（530MW、465MW、566MW，全部在AGC方式），4號調(diào)停（盤車、真空、軸封、定冷水、閉冷水、凝結(jié)水、循環(huán)水等系統(tǒng)運行）。

14:31，運行人員發(fā)現(xiàn)公用系統(tǒng)所有畫面全部翻紅，1、2、3、4號機DCS所有操作員站的畫面全部翻紅，DCS所有操作員站失去監(jiān)控。熱控系統(tǒng)管理員檢查發(fā)現(xiàn)1號、3號機組PU、SU服務(wù)器狀態(tài)正常，2號、4號機組PU/SU服務(wù)器部分不正常，判斷為各臺機組DCS系統(tǒng)終端網(wǎng)絡(luò)故障。值長立即啟動《DCS系統(tǒng)終端網(wǎng)絡(luò)故障處理預(yù)案》。值長立即匯報省調(diào)并申請撤出1、2、3號機組AGC，保持各臺機組負(fù)荷穩(wěn)定。值長令1、2、3號機組安排專人監(jiān)控機組所有重要參數(shù)，若有不正常變化立即打閘停機。令4號機組派巡檢赴就地檢查盤車運行情況，以及所有運行系統(tǒng)及設(shè)備的運行情況。各機組現(xiàn)場人員檢查后，匯報所有設(shè)備及系統(tǒng)都運行正常。

熱控人員處理故障，3、1、2號機組分別在6min、8min、20min后恢復(fù)正常。

15:53，值長匯報省調(diào)，投入1、2、3號機組AGC。

16:20，4號機組終端網(wǎng)絡(luò)恢復(fù)正常；18:30，4號機組DCS系統(tǒng)恢復(fù)正常。故障原因：2號機組PI接口機故障，OPC數(shù)據(jù)洪流導(dǎo)致的網(wǎng)絡(luò)崩潰，2號-公用-1號-3號-4號。按照預(yù)案處理，沒有造成停機。某廠西門子TXPDCS系統(tǒng)終端總線故障的處理案例外部回路配置不當(dāng)導(dǎo)致設(shè)備損壞：例如：在MCS系統(tǒng)#19PCU柜失電后，機組不跳閘，空預(yù)器電機以1Hz的速度運行，如果運行中發(fā)生此故障又沒有及時干預(yù)，必然導(dǎo)致空預(yù)器轉(zhuǎn)子嚴(yán)重變形。原因：我廠空預(yù)器的主、輔電機均采用變頻器控制，變頻器的4～20mA模擬量轉(zhuǎn)速指令來自MCS系統(tǒng)。MCS系統(tǒng)PCU柜失電時，4～20mA模擬量轉(zhuǎn)速指令消失，此變頻器無斷信號保持功能，斷信號后變頻器以內(nèi)部設(shè)置的初始啟動轉(zhuǎn)速運行，而原生產(chǎn)廠家設(shè)置的初始啟動轉(zhuǎn)速是1Hz。整改：與鍋爐專業(yè)溝通，并經(jīng)空預(yù)器生產(chǎn)廠家確認(rèn)后，將空預(yù)器變頻器的初始啟動轉(zhuǎn)速由1Hz改為了10Hz，保證了MCS系統(tǒng)PCU柜失電或DCS失電時空預(yù)器不會損壞。發(fā)現(xiàn)的問題與隱患發(fā)現(xiàn)的問題與隱患邏輯組態(tài)沒有考慮DCS故障等特殊原因，存在隱患:例如:汽機順控#24PCU柜主要控制高低加、疏水、抽汽等設(shè)備，該控制柜失電后，疏水氣動門（大部分為氣關(guān)式）會自動打開，電動門狀態(tài)不變，機組不會跳閘，但在恢復(fù)上電過程中，1~6段抽汽電動門全部自關(guān)，這種異?，F(xiàn)象如在機組運行中發(fā)生，極易導(dǎo)致給水流量低跳閘機組。原因：

PCU柜上電后主控制器先于通訊模件恢復(fù)，從環(huán)路通訊過來的掛閘信號在SCS取非后導(dǎo)致跳閘信號為1所致。整改：增加一個延遲功能塊，延遲時間設(shè)置大于主控制器與通訊模件的啟動時間差。

建議：解決此類問題的最好辦法是：盡量讓環(huán)路上的信號在機組運行期間以0傳輸（有其他特殊原因的除外）。指導(dǎo)或提醒DCS失電等故障導(dǎo)致機組跳閘后，工況與一般的非停不盡相同，而且集控室已經(jīng)無法監(jiān)控。我們在編寫《預(yù)案》的過程中深深體會到此時如果不給運行人員或熱控人員一些指導(dǎo)或提醒很可能造成設(shè)備損壞。試驗中發(fā)現(xiàn)我廠軸封壓力氣動調(diào)節(jié)門沒有斷信號保持功能，DCS或控制柜失電后，軸封壓力調(diào)節(jié)門關(guān)閉，長時間失去軸封可能導(dǎo)致汽輪機大軸彎曲。目前的措施是在《預(yù)案》中提醒運行人員到就地打開輔汽至軸封旁路門，下一步準(zhǔn)備通過改造實現(xiàn)斷信號保持功能。DCS失電等I級故障發(fā)生后，機組跳閘，凝結(jié)水泵、前置泵可能不會跳閘，運行人員應(yīng)根據(jù)需要到就地操作，否則可能導(dǎo)致除氧器滿水，汽輪機進水。指導(dǎo)或提醒集控室一般設(shè)置有獨立于DCS的交直流潤滑油泵的啟停按鈕，但是頂軸油泵一般沒有后備手操，《預(yù)案》中提醒運行人員DCS故障導(dǎo)致停機后需到配電室手動啟動頂軸油泵。疏水氣動門一般采用的是單電磁閥控制的氣關(guān)式，DCS失電后氣動疏水門會自動打開，但是電動疏水門需要運行人員根據(jù)需要到就地操作。SCS系統(tǒng)#16PCU柜失電時過熱器一、二級減溫水氣動閉鎖閥將自動關(guān)閉，可能導(dǎo)致鍋爐過熱汽溫嚴(yán)重超溫，因要保持DCS失電時自動關(guān)閉過熱器一、二級減溫水氣動閉鎖閥的功能，故不作整改，寫入故障應(yīng)急處理預(yù)案中提醒運行人員注意，必要時就地手動干預(yù)，再熱器減溫水情況類似。指導(dǎo)或提醒在DCS失電時，鍋爐將產(chǎn)生MFT并跳閘一次風(fēng)機，送、引風(fēng)機不會跳閘，送、引風(fēng)機動葉、靜葉或變頻器將維持故障前開度不變（均設(shè)置為斷信號保持），爐膛將冒大負(fù)壓。此問題無法避免，寫入故障應(yīng)急處理預(yù)案中提醒運行人員注意，必要時就地手動干預(yù)。還有很多需要提醒運行人員的操作如：DCS失電后到就地操作小機盤車手動門，高、低加進出口門及旁路門；控制器故障重啟后需重新投入聯(lián)鎖等等。對熱控人員的操作指導(dǎo)有快速查找表、流程圖和操作卡，盡可能保證熱控人員快速準(zhǔn)確的排查消除故障。28應(yīng)急處理設(shè)想控制系統(tǒng)在設(shè)備選型、DCS硬件配置、控制邏輯、安裝等方面充分考慮便于應(yīng)急處理。通過分析和試驗，明確各種故障造成的后果，并根據(jù)故障對機組安全運行的影響制訂應(yīng)急預(yù)案。保護的信號在邏輯圖上應(yīng)有標(biāo)注?？刂破鏖g的通信信號應(yīng)能方便