4---01【25项反措培训】-DCS及保护反措--杨振勇

资源描述

,97,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,25,项反措交流,（热控部分）,华北电力科学研究院杨振勇,2015.4,目录,一、反措背景二、防止,DCS,失灵三、防止热工保护失灵,目录,一、反措背景,二、防止,DCS,失灵三、防止热工保护拒动,一、背景,-,发展脉络,原则：安全第一、预防为主,实质：标准的具体化、强制化,1,、,1987,年原水电部,十八项,反措,关于防止电力生产重大事故的重点要求,2,、,1992,年原能源部,二十项,反措,防止电力生产重大事故的二十项重点要求,（能源办（,1992,）,726,号）,1992.7.283,、,2000,年国家电力公司,二十五项,反措,防止电力生产重大事故的二十五项重点要求,国电发,2000589,号,4,、各自管理国网公司（,2011,）、南网（,2011,）、华能（,2007,）、大唐（,2009,）、国电、中电投等公司分别制定本企业的反事故措施。,5,、最新进展,国家能源局新,25,项反措。,【,国能安全（,2014,）,161,号,】,将形成以国家能源局,25,项反措为基础、各电力企业反措为实施细则的新反事故措施体系。,一、背景,-,发展脉络,一、背景,-,近几年新的形势和变化,事故下降：,2000,年原国家电力公司,25,项反措,颁发后，效果明显，事故下降。在电网容量增加、系统不断扩大的条件下，各项事故的发生呈下降趋势。,事故回升：,电力改革与电力快速发展（尤其基建），出现新的问题。如：各发电公司有些事故频发，重特大事故出现，如汽轮机断油烧瓦轴系损坏事故、锅炉炉膛外爆事故、锅炉缺水事故、电缆着火事故以及全厂停电事故，且出现新的事故类型。,修编反措：,各发电公司积极应对，在,关于防止电力生产重大事故的二十五项重点要求,的基础上，制定了适用于本公司的,防止电力生产重大事故的二十五项重点要求,。目的：防止特大、重大和频发性事故的发生。,管理统一：,国家能源局在,25,项反措方面，重新回归本身管理职能，制定统一的反措，为各个发电集团公司提供总的参考。,一、背景,-,热工相关,一、背景,-,认识热工部分反措,反措与标准：,频发性,危害性,来自标准，标准某些条目的故事版,热控部分编写理念：,抓重点（条目尽可能少）,可执行,易操作,反措的本质：基于频发事故的标准条款的筛查和强化,火力发电厂锅炉炉膛安全监控系统在线验收测试规程,（,DL/T655-2006,）,火力发电厂汽轮机控制系统在线验收测试规程,（,DL/T656-2006,）,火力发电厂模拟量控制系统在线验收测试规程,（,DL/T657-2006,）,火力发电厂顺序控制系统在线验收测试规程,（,DL/T658-2006,）,火力发电厂分散控制系统在线验收测试规程,（,DL/T659-2006,）,火力发电厂锅炉炉膛安全监控系统技术规程,(DL/T1091-2008),火力发电厂分散控制系统技术条件,(DL/T 1083-2008),火力发电厂设计技术规程（第,12,章热工自动化部分）,(DL/T 5000-2000),火力发电厂热工控制系统设计技术规定,(DL/T 5175-2003),火力发电厂热工保护系统设计技术规定,(DL/T 5428-2009),火力发电厂分散控制系统技术规范书,(QDG 1-K401-2004),发电厂热工仪表及控制系统技术监督导则,（,DL/T 1056-2007,）,火力发电厂热工自动化系统检修运行维护规程,(DL/T 774-2004 ),火力发电厂厂级监控信息系统技术条件,（,DL/T 924-2005,）、,大中型火力发电厂设计规范,（,GB 50660-2011,）,火力发电厂热工自动化就地设备安装、管路及电缆设计技术规定,（,DL/T 5182-2004,）,电力建设施工及验收技术规范,-,第,5,部分：热工仪表及控制装置,（,DL/T 5190.5-2004,）,火力发电厂辅助系统（车间）热工自动化设计技术规定,（,DL/T 5227-2005,）,电网与电厂计算机监控系统及调度数据网络安全防护规定,（国家经贸委令第,30,号（,2002,）,电力二次系统安全防护规定,（电监会,5,号令）,一、背景,-,依据标准,目录,一、反措背景,二、防止,DCS,失灵,三、防止热工保护失灵,二、防止,DCS,失灵,-DCS,设计原则,五大原则,集中与分散原则,冗余配置原则,独立性原则,分层分级原则,优先级,设计原则,火力发电厂热工控制系统设计技术规定,（,DL/T 5175-2003,）,DCS,故障紧急处理措施,DCS,系统的管理规范,二、防止,DCS,失灵,-,主要内容,设计与实现,运行管理,故障处理,基本配置,冗余配置,功能配置,电源系统,接地系统,后备安全,网络安全,环境条件,测点配置,9.1.1 DCS,配置应能满足机组任何工况下的监控要求（包括紧急故障处理），控制站及人机接口站的,CPU,负荷率、系统网络负荷率、,DCS,与其他相关系统的通信负荷率、控制处理器周期、系统响应时间、,SOE,分辨率、抗干扰性能、控制电源质量、,GPS,时钟等指标应满足相关标准的要求。,解析：以上是对,DCS,系统能够保障机组安全稳定运行提出的基本要求。,DCS,系统的各控制站、计算站、数据管理站等，其储备容量及各部件负荷率，应满足,火力发电厂分散控制系统技术条件,（,DL/T 1083-2008,）的要求。,措施：,DCS,性能测试是系统运行后重要的技术保障手段。前期靠设计、后期靠测试。,二、防止,DCS,失灵,-,基本配置,解析：,1,、,CPU,负荷率在极端工况下负荷率不得大于,60%,；,2,、,DCS,控制器处理模拟量控制的扫描周期一般要求为,250ms,，快速处理的控制回路可为,125ms,，过程控制对象，扫描周期可为,500ms,750ms,；开关量控制的扫描周期一般要求为,100ms,，汽机保护（,ETS,）应不大于,50ms,，执行汽轮机超速保护控制（,OPC,）和超速跳闸保护（,OPT,）部分的逻辑，扫描周期应不大于,20ms,。,3,、,DCS,中通讯网络负荷率不得超过,30%,，以太网通讯率不得超过,20%,；,系统操作时间，其值不应超过,2.0,秒。,4,、,DCS,应设计必要的,SOE,测点，其分辨率应不大于,1ms,。,SOE,通道应有,4ms,防抖动滤波处理，但不影响,1ms,的分辨率。安装在不同控制器中的,SOE,模件应有可靠的时间同步措施，保证系统,SOE,的触发时序正确；机组检修后应开展,SOE,试验，验证,SOE,系统的可靠性。,5,、,DCS,应具备,GPS,时钟接入功能，各种类型的历史数据必须具有统一时标，与全厂时钟系统,(,或,GPS,时钟,),保持同步。,二、防止,DCS,失灵,-,基本配置,控制器处理周期测试技术：,测试目的,反映了控制器对组态逻辑进行运算处理的快慢,可用于评估控制器运算负荷，是评价和预判系统死机、失灵可能性的重要参数之一,逻辑图与,输出波形,控制器周期,系统,I/O,周期,测试项目,解决方案,累加功能回路设计,DI-DO,赋值逻辑回路,二、防止,DCS,失灵,-,基本配置,控制器处理周期测试技术：,采用累加回路,系统设置周期,100ms,累加回路为,100,次,结论：,实际周期,100.93ms,二、防止,DCS,失灵,-,基本配置,二、防止,DCS,失灵,-,基本配置,某,DCS,控制器周期测试结果,系统响应实时性测试：,定义、方法：,测试结果,系统响应时间是指由操作员站（,CRT,）发出控制命令开始，到该控制命令所执行的,DO,控制指令输出（通常为,DO,输出继电器动作）动作为止，其过程所需时间即为系统响应时间。,系统响应时间应,1,秒,专用测试平台，自动测试从鼠标点击发出指令到,DO,发生变化的时间。,二、防止,DCS,失灵,-,基本配置,系统响应实时性测试：,二、防止,DCS,失灵,-,基本配置,抗干扰性能测试技术：,抗干扰性能是,DCS,在应用中的重要性能，应作为重点进行测试和评价。,从电磁干扰三要素入手,干扰源,干扰传播途径,干扰敏感体,二、防止,DCS,失灵,-,基本配置,AI,通道共模抑制比,/,差模抑制比测试技术：,共模抑制比的表达式：,：施加在通道上共模干扰的大小,：在此干扰作用下测量示值的变化量,差模抑制比的表达式：,：施加在通道上差模干扰的大小,：在此干扰作用下测量示值的变化量,二、防止,DCS,失灵,-,基本配置,SOE,模件性能测试技术：,模件功能,实现系统事故追忆功能,分辨力要求：,1ms,重要性：,尤其在机组跳闸时有助于事故分析。缩短事故分析时间、提高事故分析准确性、记录关键数据信号的具体动作时间。,当机组发生故障时，需要查找真实原因，而一般历史数据记录只能做到秒级分辨率，同一秒内出现的信息不能分出先后顺序。事件顺序记录系统（,SOE,）以毫秒级的分辨率获取事件信息，为事故分析提供有力证据。,SOE,是电厂重要的运行状态监测、事故分析用设备,。,要素：,记录完整、,顺序正确。,二、防止,DCS,失灵,-,基本配置,存在问题：,各类型,DCS,系统,SOE,硬件标准不一，出厂验收形式化。,GPS,没有正常投入，甚至不能保证各操作站时钟一致。,SOE,卡件设计分配不合理，过于分散化不能保证时钟同步。,在,SOE,功能测试过程中发现不能保证精度及时序正确性。,SOE,模件性能测试技术：,二、防止,DCS,失灵,-,基本配置,测试项目：,在同一SOE卡件上的时间分辩力测试,不在同一,SOE,卡件上的时间分辩力测试,不同网络中,SOE,卡件上的时间分辨力测试,（燃机）,SOE,模件性能测试技术：,二、防止,DCS,失灵,-,基本配置,不同控制器,SOE,卡件上的时间分辩力测试,基本测试原理,SOE,模件时间分辨能力测试：,用多路可编程脉冲信号发生器产生在相位上具有提前或滞后关系的多路脉冲，通过调整脉冲间隔来测试模件对信号的时间分辨能力,基于正逆脉冲组的时间分辨力测试技术,左上图为正顺序脉冲组,左下图为逆顺序脉冲组,一般做法：只采用一种脉冲组，不严谨,可能存在模件通道的采样顺序与输入信号的延时顺序相合，导致测试结果的错误,二、防止,DCS,失灵,-,基本配置,SOE,部分测试结论,二、防止,DCS,失灵,-,基本配置,SOE,部分测试结论,04/10/2012 09:53:17.01512-2-2No Description Provided1,04/10/2012 09:53:17.01411-2-2No Description Provided1,04/10/2012 09:53:17.01310-2-2No Description Provided1,04/10/2012 09:53:17.0129-2-2No Description Provided1,04/10/2012 09:53:17.0118-2-2No Description Provided1,04/10/2012 09:53:17.0107-2-2No Description Provided1,04/10/2012 09:53:17.0096-2-2No Description Provided1,04/10/2012 09:53:17.0085-2-2No Description Provided1,04/10/2012 09:53:17.0074-2-2No Description Provided1,04/10/2012 09:53:17.0063-2-2No Description Provided1,04/10/2012 09:53:17.00616-7SOE16-71,04/10/2012 09:53:17.0052-2-2No Description Provided1,04/10/2012 09:53:17.00515-7SOE15-71,04/10/2012 09:53:17.0041-2-2No Description Provided1,04/10/2012 09:53:17.00414-7SOE14-71,04/10/2012 09:53:17.00313-7SOE13-71,04/10/2012 09:53:17.00212-7SOE12-71,04/10/2012 09:53:17.00111-7SOE11-71,04/10/2012 09:53:16.99810-7SOE10-71,04/10/2012 09:53:16.9979-7SOE9-71,04/10/2012 09:53:16.9968-7SOE8-71,04/10/2012 09:53:16.9957-7SOE7-71,04/10/2012 09:53:16.9946-7SOE6-71,04/10/2012 09:53:16.9935-7SOE5-71,04/10/2012 09:53:16.9924-7SOE4-71,04/10/2012 09:53:16.9913-7SOE3-71,04/10/2012 09:53:16.9902-7SOE2-71,04/10/2012 09:53:16.9891-7SOE1-71,不同控制器不同,SOE,卡测试记录,结论：,两卡之间时序有重叠,单卡内时序正确,二、防止,DCS,失灵,-,基本配置,CRT,画面实时性测试技术：,定义：,从操作员站,CRT,画面上选择任一幅监控画面，从调用该画面的指令发出开始,(,鼠标点击,),到所调用画面全部正常显示为止，所需时间即为,CRT,画面响应时间。,华北电科院热控所专用检测平台：基于光敏原理的自动检测平台,与数据库读取时间、控制器运算周期、网络传输速率、图形显示速率等相关，是综合参数,标准规定：,CRT,画面调用时间不大于,1,秒钟。,二、防止,DCS,失灵,-,基本配置,二、防止,DCS,失灵,-,基本配置,网络测试：,案例,1,某电厂发生分散控制系统频繁故障和死机造成机组停运事故。从,1997,年,2,月开始,7,号机组进入试生产至,1997,年,5,月，两台机组共发生,22,次,DCS,系统故障和死机，其中造成机组不正常跳闸,8,次。之后又发生多次操作画面故障,(8,号机组有两次发生全部,6,台操作员站“黑屏”,),，其中,1,次造成,8,号机组不正常跳闸，严重威胁机组安全。,经过,DCS,系统事故分析专家评审会专家评审组的分析，认为其,DCS,系统存在以下几方面问题：,(1)DCS,工程设计在性能计算软件、开关量冗余配置上存在问题；,(2),硬件配置不匹配；,(3),个别硬件设计不完善；（,4,）系统上、下位通讯负荷率不匹配。,（综合问题）,二、防止,DCS,失灵,-,基本配置,案例,2,某电厂在,200MW,机组的热控系统自动化改造上使用的,DCS,系统，由于系统配置的负荷率计算不准且为了减少投资技术指标均靠近允许极限，加之该系统有运行时中间虚拟,I,O,点量大的特点，所以在改造后期,(,大修即将结束时,),调试时发现个别控制器的负荷率竟超过了,90,，个别软手操操作响应竟接近,1min,，根本无法使用，后经过大幅度系统调整,(,系统重新增加配置,),，才解决了这个问题。,(,硬件配置问题,),案例,3,某,600MW,新机组，由于在招标的技术规范中对,I/O,通道隔离性质表述不到位，结果,DCS,厂家做的配置很低，结果在调试时烧损了大量,I/O,板，后来改变了隔离方式和更换了硬件，电厂又花费了许多资金，也抵消了当初的招标价格优势。,（硬件配置问题）,二、防止,DCS,失灵,-,基本配置,案例,4,某电厂,2,号机组负荷,200MW,，,8,时,23,分，各控制器依次发报警，,8,时,26,分，,#2,控制器脱网，,#52,控制器切为主控；,11,时,05,分，,#52,控制器脱网；,13,时,39,分，,#7,控制器脱网，,#57,控制器切为主控，在,#7,控制器向,#57,控制器切换瞬间，由该控制器控制的,A,、,B,磨煤机跳闸；,15,时,11,分，,#9,控制器脱网，,#59,控制器切为主控，在,#9,控制器向,#59,控制器切换瞬间，由该控制器控制的,E,磨煤机跳闸；,15,时,51,分，,#1,控制器脱网，,#51,控制器切为主控，在,#1,控制器向,#51,控制器切换瞬间，由该控制器控制的,A,引风机动叶被强制关闭。,分析发现,DCS,控制器脱网原因为主时钟与备用时钟不同步造成系统时钟紊乱，从而导致控制器脱网。,（时钟故障,）,二、防止,DCS,失灵,-,基本配置,案例,5,某电厂,3,号机组机组停机前电负荷,115MW,，炉侧主汽压,9.55MPa,，主汽温,537,，主给水调节门开度,43%,，旁路给水调节门开度,47%,（每一条给水管道均能满足,100%,负荷的供水），汽包水位正常。运行人员发现锅炉侧部分参数显示异常，各项操作均不能进行，同时炉侧,CRT,画面显示各项自动已处于解除状态。调自检画面发现,#3,控制器离线，,#23,控制器处于主控状态，主汽压在,9.0,9.6MPa,波动、主汽温在,510,540,波动、汽包水位在,+75,-50mm,波动，维持运行。几分钟后，发现,#3,控制器离线、,#23,控制器为主控状态，但,#23,控制器主控下的,I/O,点（汽包水位、主汽温、主汽压、给水压力、等）均为坏点，自动控制手操失灵。经过多次重启，,#3,控制器恢复升为主控状态。在释放强制的,I/O,点时，运行人员发现汽包水位急剧下降，就地检查发现旁路给水调节门在关闭状态，手动摇起三次均自动关闭，汽包水位,TV,和显示表监视不到水位，手动停炉、停机。,根据能历史记录分析认为,：,#3,控制器（主控）故障前，,#23,控制器（辅控）因硬件故障或通讯阻塞，已经同,I/O,总线失去了通讯。当,#3,控制器因主机卡故障离线后，,#23,控制器升为主控，但无法读取,I/O,数据，造成参与汽水系统控制的一对冗余控制器同时失灵，给水自动控制系统失控，汽包水位保护失灵。在新更换的,3,控制器重启成功后释放强制点的过程中，,DCS,将旁路给水调节门指令置零，关闭旁路调节门，造成汽包缺水。,（通讯故障）,二、防止,DCS,失灵,-,基本配置,9.1.2 DCS,的控制器、系统电源、为,I/O,模件供电的直流电源、通讯网络等均应采用完全独立的冗余配置，且具备无扰切换功能；采用,B/S,、,C/S,结构的,DCS,系统的服务器应采用冗余配置，服务器或其供电,电源,在切换时应具备,无扰切换,功能。,（冗余原则，独立性原则）,解析,1,：,火力发电厂分散控制系统技术条件,（,DL/T 1083-2008,）从控制对象角度要求,“,用于机组主控和重要辅机系统的,DCS,的控制处理器均为主要控制器，应冗余配置；重要辅机设备可包括送风机、引风机、一次风机、空气预热器、制粉系统、给水泵、凝结水泵、循环水泵、真空泵、重要冷却水泵、重要油泵等。同时规定虽然控制处理器故障，而短期内不影响机组稳定运行的辅助控制系统的,DCS,，可不要求冗余配置；,”,二、防止,DCS,失灵,-,冗余配置,解析,2,：,（,1,）,确保,DCS,系统硬件可靠的,重要手段,就是将,DCS,系统的核心部件进行,冗余设计,，通过,冗余技术,和,无扰切换技术,，来降低,DCS,构成部件故障时对整体安全和功能的影响。冗余技术和无扰切换技术是确保,DCS,安全性的重要支撑技术。,（,2,）采用,B/S,、,C/S,结构的,DCS,系统的服务器由于是系统上下位信息交换的,核心节点,，为此亦应通过冗余技术来提高安全性和可靠性。,（,3,）控制器的冗余配置必须是,热备用方式,，即后备控制器必须与主控制器同步更新数据，保证后备控制器切换为主控制器时不对输出产生影响扰动。,（,4,）,冗余技术、无扰切换、热备用方式,相辅相成、缺一不可。,二、防止,DCS,失灵,-,冗余配置,案例,6,某电厂,DCS,为采用,B/S,、,C/S,结构的,DCS,系统，其服务器为单台设计，由于运行年限较长，服务器出现故障死机，导致上下位信息无法交换，操作员操作指令无法下发，控制器的控制和监视信息无法上传，监控画面无法刷新，最后只能启动停机预案。本次事故是典型的系统核心节点硬件设计缺陷导致。,（冗余问题）,二、防止,DCS,失灵,-,冗余配置,9.1.3 DCS,控制器应严格遵循机组重要功能分开的独立性配置原则，各控制功能应遵循任一组控制器或其他部件故障对机组影响最小的原则。,（新增）独立性原则,解析,：,（,1,）,DCS,系统的可靠性一般分为两类，一类是硬件可靠性，一类是控制功能可靠性。硬件可靠性主要通过冗余技术和无扰切换技术来实现。功能可靠性主要通过,独立性原则,来实现，即涉及机组重要的控制功能应采取功能分开的独立性配置原则，譬如，实现过程控制的燃料控制、风量控制、水和汽的控制不宜配置在同一个控制器，应独立分开配置，以最大限度的降低部分功能故障对整体控制的影响。,(2),重要功能分开的独立性原则配置要求不应以控制器能力提高为理由，减少控制器的配置数量，从而降低系统配置的分散度；,二、防止,DCS,失灵,-,功能配置,9.1.3 DCS,控制器应严格遵循机组重要功能分开的独立性配置原则，各控制功能应遵循任一组控制器或其他部件故障对机组影响最小的原则。,（新增）独立性原则,解析,：,（,3,）,应按下列原则配置控制器,:,1),送风机、引风机、一次风机、凝结水泵和非母管制的循环水泵等两台并列运行的重要辅机，以及,A,、,B,段厂用电，应分别配置在不同的控制器中，但允许送风机和引风机等按介质流程组合在一个控制器中；,2),给水泵控制中系统宜分泵配置在不同的控制器中，但允许同一给水泵泵的模拟量液压控制系统（,MEH,）和小机紧急跳闸系统（,METS,）合用控制器；,3),磨煤机、给煤机、风门和油燃烧器等多台组合运行的重要设备应按工艺流程要求组合，配置至少三个控制站；,二、防止,DCS,失灵,-,功能配置,9.1.5,按照单元机组配置的重要设备（如循环水泵、空冷系统的辅机）应纳入各自单元控制网，避免由于公用系统中设备事故扩大为两台或全厂机组的重大事故。,（新增）集中与分散原则,解析：循环水泵是电厂过程生产的重要设备，是确保正常生产的基础，应确保其控制可靠性。为了避免循环水泵在一个控制网所带来的风险，应将循环水泵分别布置在不同的控制单元，这样即使一个网络发生故障，另外的一台循环泵亦能维持正常生产。这也符合分散控制系统风险分散的核心思想,。,案例某电厂两台,600MW,机组公用一套公用系统，其中循环水泵由公用系统控制。,2008,年,6,月，公用系统控制器主控制器故障，备用控制器切换不成功，导致循泵跳闸，进而使两台机组跳闸。,二、防止,DCS,失灵,-,功能配置,9.1.4,重要参数测点、参与机组或设备保护的测点应冗余配置，冗余,I/O,测点应分配在不同模件上。,（冗余原则，独立性原则）,解析：测点配置可看做工艺设计与,DCS,硬件的结合点，因此重点独立强调，也可看做是,DCS,软配置要求。,火力发电厂分散控制系统技术条件,（,DL/T 1083-2008,）要求：,5.2.1.15“,对某些重要的关键参数，应采用三重冗余变送器测量”；,5.2.1.17“,对某些仅次于关键参数的重要参数，应采用双重冗余变送器测量”；,火力发电厂热工保护系统设计技术规定,（,DL/T 5428-2009,）,5.3.6,明确要求“应冗余配置的主要开关量仪表规定至少如下：,火力发电厂热工控制系统设计技术规定,（,DL/T 5175-2003,）还要求“冗余,I/O,信号应通过不同的,I/O,模件和通道引入,/,引出。,二、防止,DCS,失灵,-,测点配置,9.1.4,重要参数测点、参与机组或设备保护的测点应冗余配置，冗余,I/O,测点应分配在不同模件上。,（冗余原则，独立性原则重要应用）,解析,：,（,1,）,DCS,控制系统中每个机柜每种类型的测点的设计余量、各类测点所需的卡件（或者卡槽）、接线端子、电缆通道的余量应符合要求。,（,2,）重要参数、参与机组或设备保护点及重要,I/O,点的检测元件应为三取二（开关量）或三取中（模拟量），同时应考虑采用非同一板件的独立性配置原则。,（,3,）测点的冗余应实现全程冗余，即从测点取样、传输、进入板卡、运算等全过程环节都应独立完成，实现真正冗余配置。,二、防止,DCS,失灵,-,测点配置,（,4,）,应三重冗余（或同等冗余功能）配置的模拟量输入信号：机组负荷、汽机转速、轴向位移、给水泵汽机转速、凝汽器真空、主机润滑油压力、抗燃油压、主蒸汽压力、主蒸汽温度、主蒸汽流量、调节级压力。汽包水位、汽包压力、水冷壁进口流量、主给水流量、除氧器水位、炉膛负压、增压风机入口压力、一次风压力、再热汽压力、再热汽温度、常压流化床床温及流化风量、中间点温度（作为保护信号时）、主保护信号、调节级金属温度；,（,5,）至少应双重冗余配置的模拟量输入信号：加热器水位、热井水位、凝结水流量、主机润滑油温、发电机氢温、汽机调门开度、分离器水箱水位、分离器出口温度、给水温度、送风风量、磨煤机一次风量、磨煤机出口温度、磨煤机入口负压、单侧烟气含氧量、除氧器压力、中间点温度（不作为保护信号时）、二次风流量等。当本项信号作为保护信号时，则应三重冗余（或同等冗余）配置；,二、防止,DCS,失灵,-,测点配置,(6),应具有三重冗余配置的重要热工开关量输入信号：主保护动作跳闸,(MFT,、,ETS,、,GTS),信号以及联锁主保护动作的主要辅机动作跳闸保护信号等；,(7),至少应采用双重冗余配置的次重要开关量输入信号：风箱与炉膛差压、一次风与炉膛差压等；,(8),冗余配置的,I/O,信号、多台同类设备的各自控制回路的,I/O,信号，必须分别配置在不同的,I/O,模件上；,(9),所有的,I/O,模件的通道，应具有信号隔离功能；,(10),电气负荷信号应通过硬接线直接接入,DCS,；,（,11,）取自不同变送器用于机组和主要辅机跳闸的保护输入信号，应直接接入相对应的保护控制器的输入模件。,二、防止,DCS,失灵,-,测点配置,案例某,600MW,机组的一组真空低测点为三个，但均由一个取样管采集而来，只是变送器配置三个，然后完成三取二逻辑运算。某次取样管堵塞，导致三个变送器同时动作，直接跳机。本次事故是由于测点配置不符合要求引起的典型事故，测点应从取样管开始全程独立配置，实现真正的三取二功能。,（测点配置问题）,防止保护失灵或误动也对测点提出该要求。,二、防止,DCS,失灵,-,测点配置,9.1.6,DCS,电源应设计有可靠的后备手段，电源的切换时间应保证控制器不能初始化,；操作员站如无双路电源切换装置，则必须将两路供电电源分别连接于不同的操作员站；,系统电源故障应设置最高级别的报警；,严禁,非,DCS,系统用电设备接到,DCS,系统的电源装置上；公用,DCS,系统电源，应分别取自不同机组的电源系统,且具备无扰切换功能。,DCS,电源的各级电源开关容量和保险熔丝应匹配，防止故障越级。,解析：,DCS,系统电源应满足,火力发电厂分散控制系统技术条件,（,DL/T 1083-2008,）要求：,“,6.3.1.1,机组、脱硫、全厂辅助系统等重要系统配置,DCS,应能够接受电厂提供的两路交流单相电源且应具有可靠的电源冗余功能，任何一路外部电源失去或故障不应引起控制系统任何部分的故障、数据丢失或异常动作。任何一路外部电源失去应在,DCS,系统获得报警。,”“,6.3.2.4,冗余电源的直流隔离或切换组件（如二极管或其他部件）应冗余配置，防止因其故障造成,DPU,电源系统的故障。,”,二、防止,DCS,失灵,-,电源系统,解析：,DCS,电源可靠性是,DCS,安全、可靠运行的基础，设计、运行上规范,（,1,）总电源必须,两路以上（冗余）,，备用电源的切换时间应应保证控制器不能初始化，系统电源故障应设有最高等级报警。,（,2,）每个控制柜内电源设计,余量足够,，操作员站、服务器、控制器、通讯网络的电源以及,控制单元、模件、驱动器件,的工作电源均应采用,冗余配置,。,（,3,）操作员站、工程师站、实时数据服务器、,SIS,接口服务器和通讯网络设备的电源，应采用两路电源供电并通过,双电源模块,接入，否则操作员站和通讯网络设备的电源应合理分配在两路电源上。,（,4,）独立配置的重要控制子系统（如,ETS,、,TSI,、,METS,、,DEH,、,MEH,、火检、,FSSS,、循环水泵等远程控制站及,I/O,站电源、循泵控制蝶阀等），应有两路互为冗余的电源供电。,二、防止,DCS,失灵,-,电源系统,解析,：,（,5,）独立于,DCS,的安全系统的电源切换功能，以及要求切换速度快的备用电源切换功能，,不应纳入,DCS,，而应采用硬接线逻辑回路,。,（,6,）,冗余电源的任一路电源单独运行时，应保证设计裕量满足要求；公用,DCS,系统电源，应取分别取自两台机组,在正常运行中保证无扰切换；重要的热工双路供电回路，应取消人工切换开关；所有的热工电源（包括机柜内检修电源）必须专用，不得用于其它用途。,（,7,）汽轮机紧急跳闸系统（,ETS,）和汽轮机监视仪表（,TSI,）所配电源必须可靠，电压波动值不得大于,5,，不得含有高次谐波，以保证输出继电器动作和触点可靠，同时应具备出口继电器电源监视报警功能。,二、防止,DCS,失灵,-,电源系统,案例某电厂,200MW,机组操作员站供电电源为一路，且全部操作员站均由该路电源供电。,2010,年,8,月,6,日，操作员站供电电源故障，导致操作员无法使用，机组运行失控，根据应急预案，实施紧急停机停炉。,（冗余、电源问题）,二、防止,DCS,失灵,-,电源系统,9.1.13,交、直流电源开关和接线端子应分开布置，直流电源开关和接线端子应有明显的标示。（,新增）,解析：由于交直流问题导致的全厂停电事故的教训是惨痛的，典型的细节设计失误带来的重大事故。,典型案例：某电厂,6,*,600MW,全厂停电，,6,*,300MW,全厂停电。,二、防止,DCS,失灵,-,电源系统,9.1.7 DCS,接地必须严格遵守相关技术要求，,接地电阻,满足标准要求；所有进入,DCS,的控制信号电缆必须采用质量合格的屏蔽电缆，且可靠单端接地；,DCS,与电气系统共用一个接地网时，,DCS,接地线与电气接地网只允许有一个连接点,。,解析：,火力发电厂分散控制系统技术条件,（,DL/T 1083-2008,）的要求：,6.8.3 DCS,应不要求单独的接地网，接地电阻小于,4,欧姆的电厂电气地网应能够满足,DCS,接地要求。各电子机柜中应设有独立的安全地、屏蔽地及相应接地铜牌。每套,DCS,可采用中心接地汇流排的方式，实现系统的单点接地。电缆屏蔽层应在机柜侧单端接地。,火力发电厂分散控制系统在线验收测试规程,（,DL/T659,）,4.9 DCS,的接地应符合制造厂的技术条件和有关标准的规定。屏蔽电缆的屏蔽层应单点接地。,DCS,采用独立接地网时，若制造厂无特殊要求，则其接地极与电厂电气接地网之间应保持,10m,以上的距离，且接地电阻不应大于,2,。当,DCS,与电厂电气系统共用一个接地网时，控制系统接地线与电气接地网只允许有一个连接点，且接地电阻应小于,0.5,。,二、防止,DCS,失灵,-,接地系统,解析,：,DCS,接地是保证,DCS,电气安全的重要技术措施，应根据电气设计要求，保证接地电阻这一重要指标符合标准要求。,（,1,）,DCS,机柜的外壳不允许与建筑物钢筋直接相连，其外壳、电源地、屏蔽地和逻辑地应分别接到机柜各地线上，并将各机柜地线连接后，再用两根铜芯电缆引至接地极,(,体,),。具有“一点接地”要求的控制系统，整个接地系统最终只有一点接到地网上，并满足接地电阻指标要求。远程控制柜或,I/O,柜应就近独立接入电气接地网，并进行测试，确保接地满足要求。,DCS,输入输出信号屏蔽线要求单端接地，信号端不接地的回路，屏蔽线应直接接在机柜端的接地铜排上；信号端接地的回路，屏蔽线应在信号端接地。,（,2,）,DCS,的接地网若接入厂级接地网，需在一定范围内（该范围定值由,DCS,厂家提供）不得有高电压强电流设备的安全接地和保护接地点；如果,DCS,采用单独的接地网，则该接地网应满足一定的规格要求（具体范围的大小由,DCS,厂家提供），避免动力设备接地对,DCS,造成影响。,二、防止,DCS,失灵,-,接地系统,解析,：,（,3,）,DCS,的总接地铜牌到,DCS,专用接地网之间的连接需采用多芯铜制电缆，其导线截面积应满足厂家要求，且两端采用压接的方式连接。,（,4,）热工系统中的机柜、金属接线盒、汇线槽、导线穿管、铠装电缆的铠装层、用电仪表和设备外壳、配电盘等都需要采用保护接地。,（,5,）,对于接入同一接地网的热工设备可以采用电缆联接，但需要保证接地网的接地电阻满足要求，实现等电位联接；对于分开等电位联接的（未接入同一接地网）本地,DCS,机柜和远程,DCS,机柜之间的信号传输应使用无金属的纤维光缆或其他非导电系统。,（,6,）具有“一点接地”要求的控制系统，应在解开总接地母线连接的情况下，进行,DCS,接地、屏蔽电缆屏蔽层接地、电源中性线接地、机柜外壳安全接地等四种接地系统对地的绝缘电阻测试，以及接地电极接地电阻值测试。各项数值应满足有关规程、规范技术要求。,（,7,）,DCS,大修后应做,DCS,抗射频、串模、共模干扰试验，满足相关规程要求。,二、防止,DCS,失灵,-,接地系统,9.1.8,机组应配备,必要的、可靠的、独立,于,DCS,的,硬手操设备,（如紧急停机停炉按钮），以确保安全停机停炉。,解析：本条是对配置紧急停机、停炉按钮的要求。,火力发电厂分散控制系统技术条件,（,DL/T 1083-2008,）,6.6.6.2,规定，为保证在,DCS,系统发生重大故障（如分散控制系统电源消失、通讯中断、全部操作员站失去功能、重要控制站失去控制和保护功能等），或在紧急工况下快速、安全停机，应设置手动操作装置，确保机组安全停运。,紧急手动操作的设备应按照,火力发电厂设计技术规程,（,DL/T 5000-2000,）,12.9.4,的规定执行：“应设置下列独立于分散控制系统的后背手操手段：汽轮机跳闸、总燃料跳闸、发电机,变压器组跳闸、锅炉安全门（机械式可不装）、汽包事故放水门、汽轮机真空破坏门、直流润滑油泵、交流润滑油泵、电机灭磁开关、柴油机启动。” （共十项）,DL/T 1083-2008,的,6.6.6.3,要求“紧急手动装置应直接作用于设备或装置，不应通过,DCS,通道。应布置在操作员台便于操作的位置上，同时应有安全防护措施以防止误动。”为了防止误动，紧急停机停炉按钮应采用双按钮或带罩单按钮配置。,DL/T 5000-2000 12.6.1,条对此强制要求“在控制台上必须设置总燃料跳闸、停止汽轮机和解列发电机的跳闸按钮，跳闸按钮应直接接至停炉、停机的驱动回路。”,二、防止,DCS,失灵,-,后备安全,9.1.8,机组应配备,必要的、可靠的、独立,于,DCS,的,硬手操设备,（如紧急停机停炉按钮），以确保安全停机停炉。,解析：,紧急停机停炉按钮是确保机组安全停运的最后手段。,DCS,发展至今，已经十分成熟和可靠，但仍然存在,DCS,失灵的可能。,DCS,失灵后的首要、唯一任务就是确保机组安全停运，为此，设置独立于,DCS,的、不受,DCS,影响的紧急停机停炉按钮十分关键，同时要确保紧急停机停炉按钮的可靠性。,反措的目标就是：预防,DCS,失灵，一旦失灵，安全停运，本条是事故后安全停机的手段。,案例某电厂,DCS,系统上位操作员站因电源故障无法监视机组运行，机组运行处于不可控状态，根据机组应急预案，通过紧急停机、停炉按钮进行紧急停机停炉处理,。,二、防止,DCS,失灵,-,后备安全,9.1.9 DCS,与管理信息大区之间必须设置经国家指定部门检测认证的电力专用,横向单向安全隔离,装置。,DCS,与其他生产大区之间应当采用具有访问控制功能的设备、防火墙或者相当功能的设施，实现逻辑隔离。,DCS,与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用,纵向加密认证,装置或者加密认证网关及相应设施。,DCS,系统禁止采用安全风险高的通用网络服务功能。,DCS,的重要业务系统应当采用认证加密机制。,（新增）,解析：,网络安全日益重要。电厂有,DCS,生产控制网、实时数据网、管理网等，管理网需要,DCS,生产网的实时过程数据，就产生了广域网、管理网、生产网间的安全控制问题。为此，国家电监会发布了,电力二次系统安全防护规定,（电监会,5,号令），来规范指导电厂的网络信息技术安全。,主要原则就是采用单向隔离、纵向认证措施。,二、防止,DCS,失灵,-,网络安全,9.1.12,对于多台机组,DCS,网络互联的情况，以及当公用,DCS,系统的网络独立配置并与两台单元机组的,DCS,进行通信时，应采取可靠隔离措施、防止交叉操作。,（新增）,解析：,9.1.12,可以视为将,9.1.9,的安全精神与电厂实际情况相结合的一种安全管理方法。,目前，全,DCS,配置方式逐渐成为单元机组的控制方式。对于多台机组，除各自的,DCS,网络外，还存在有公用系统的,DCS,网络。同时，为了方便操作员操作，单元机组,DCS,网络内一般设计有控制公用系统的方式或操作手段。这就形成了两台或多台机组同时可以操作公用系统设备的情况，为了防止误操作，公用系统,DCS,网络应分别于每一单元机组,DCS,网络进行有效的操作隔离措施，防止交叉误操作的发生。,二、防止,DCS,失灵,-,网络安全,案例某厂,2*600MW,机组为亚临界汽包炉，两台机组各自为单独,DCS,环形控制网络，公用系统同为环形网络并跨接在两台机组之间。,2009,年,4,月,13,日，,1,号机组正常运行，带,560MW,负荷，,2,号机组检修。,14:30,维护人员由于工作需要修改逻辑后，传动,2,号机组,A,侧引风机静叶，导致,1,号机组,A,侧引风机突然增大，负压迅速低至,-3250Pa,，,MFT,保护动作，机组跳闸。,事后分析，由于,1,、,2,号机组之间没有进行必要的隔离，维护人员修改逻辑过程中误将,2,号机组,A,侧引风机静叶指令改为,1,号机组,A,侧引风机静叶指令。传动过程中，导致,2,号机组引风机指令误发到,1,号机组引风机上，,1,号机组引风机误动。,二、防止,DCS,失灵,-,网络安全,9.1.10 DCS,电子间环境满足相关标准要求，不应有,380V,及以上动力电缆及产生较大电磁干扰的设备。机组运行时，禁止在电子间使用无线通讯工具。,（新增）,解析：,DCS,稳定运行所需外部条件的重要性,。,DCS,是典型的电子设备，电磁环境直接影响其运行稳定性。因此，应尽最大可能保证电子间的环境，确保满足标准要求。,380V,以上动力电缆和大电磁干扰设备以及无线通讯设备都是电磁干扰源，对,DCS,运行影响较大，应避免干扰源出现在电子间。,DCS,机柜间的空气质量、温度、湿度应符合,热工自动化设备检修规程,（,DL/T 774-2004,）的要求，保证热工控制设备在良好的环境条件下运行。,二、防止,DCS,失灵,-,运行环境,案例,2004,年,7,月,18,日，某电厂,600MW,的,1,号机组运行在,540MW,工况，电气人员在,DCS,电子间例行巡查维护时，通过对讲机与现场人员进行通信，导致机组负荷瞬间由,540MW,降至,248MW,，机组运行出现严重异常，汽包水位控制异常导致跳机。分析得知，通信工具干扰了功率测点测量和传输，引起控制系统控制异常。,二、防止,DCS,失灵,-,运行环境,条文,9.1.11,远程控制柜与主系统的通信的两路通信电,(,光,),缆要分层敷设。,解析：,远程控制柜一般完成汽机、锅炉主体设备的重要监视功能，其与主系统主要通过两路互为冗余的通讯电（光）缆来完成，为了达到真正的功能冗余、风险分散的目的，体现分散控制系统的设计宗旨，通讯介质不应在同层敷设，而应分层敷设。,二、防止,DCS,失灵,-,运行环境,二、防止,DCS,失灵,-,总结,DCS,系统的可靠性技术一般分为两类：,1,、硬件可靠性：,配置原则,冗余技术,无扰切换,2,、控制功能可靠性：,独立性原则,二、防止,DCS,失灵,-,故障处理,9.3.1,已配备,DCS,的电厂，应根据机组的具体情况，建立,DCS,故障时的应急处理机制，制定在各种情况下切实可操作的,DCS,故障应急处理预案，并定期进行,反事故演习,。,解析,：,DCS,是一种大型综合控制系统，其故障类型很多，主要有：控制电源失电、控制电源冗余切换故障、控制器冗余切换故障、网络通讯故障、网络通信设备失电、操作员站死机、操作员站失电等。各类故障现象不同，原因各异，对,DCS,控制功能的影响程度亦不同，因此必须针对,DCS,各种故障类型，观察不同故障现象，分析真实故障原因，及时采取积极正确的应对手段，减小事故影响范围，保证人身和设备安全,。,二、防止,DCS,失灵,-,故障处理,紧急故障,处理措施,全部操作员站出现故障,部分操作员站出现故障,系统中的控制器或相应电源故障,二、防止,DCS,失灵,-,故障处理,9.3.2,当全部操作员站出现故障时（所有上位机,黑屏,或,死机,），若主要后备硬手操及监视仪表可用且暂时能够维持机组正常运行，则转用后备操作方式运行，同时排除故障并恢复操作员站运行方式，否则应立即执行停机、停炉预案。若无可靠的后备操作监视手段，应,执行停机、停炉预案,。,解析,：所有操作员站故障意味着机组处于,失去控制的危险工况,，因此在预先进行的反事故演习中，应认真检验现有后备硬手操及监视仪表功能是否满足维持机组运行要求。如果现有后备手段无法满足维持机组运行要求，必须立即执行停机、停炉预案。,二、防止,DCS,失灵,-,故障处理,案例,2006,年,1,月,20,日,7,时,30,分，某电厂,2,号机组,DCS,两路电源同时失电，所有,DCS,操作员站和工程师站全部死机，监控画面消失，无法对设备进行监控。,DCS,电源失电后，,AST,电磁阀失电，汽轮机跳闸解列。汽轮机跳闸后，操作人员就地启动交流润滑油泵和顶轴油泵。汽轮机旁路系统采用独立控制系统且独立供电，汽轮机跳闸后旁路自动开启，后由操作人员手动关闭。厂用电至起备变自动切换成功，保证设备正常启停。操作人员手动,MFT,锅炉跳闸，硬接线联跳一次风机、磨煤机、给煤机及减温水总门。操作人员就地停送、引风机和密封风机。由于采用后备手操应对及时，未发生重大设备损坏事故。,二、防止,DCS,失灵,-,故障处理,9.3.3,当部分操作员站出现故障时，应由可用操作员站继续承担机组监控任务，停止重大操作，同时迅速排除故障，若故障无法排除，则应根据具体情况启动相应,应急预案,。,解析：,一般单元机组配置,4,6,台操作员站，一台或部分操作员站故障不会影响机组正常操作。如果面临机组启停等特殊工况时，操作人员的工作量会大幅增加，操作员站数量的减少将直接降低操作人员对设备的控制能力，有可能对机组的安全运行造成重大影响。在部分操作员站发生故障时，,DCS,系统应被视为丧失部分功能，需及时进行检修工作。,二、防止,DCS,失灵,-,故障处理,9.3.4,当系统中的控制器或相应电源故障时，应采取以下对策：,9.3.4.1,辅机控制器或相应电源故障时,，可切至后备手动方式运行并迅速处理系统故障，若条件不允许则应将该辅机退出运行。,9.3.4.2,调节回路控制器或相应电源故障,时，应将自动切至手动维持运行，同时迅速处理系统故障，并根据处理情况采取相应措施。,9.3.4.3,涉及到机炉保护的控制器故障,时应立即更换或修复控制器模件，涉及到机炉保护电源故障时则应采用,强送措施,，此时应做好防止控制器初始化的措施。若恢复失败则应紧急停机停炉。（,解析：机炉失电跳闸和带电跳闸的区别,）,二、防止,DCS,失灵,-,故障处理,9.3.5,冗余控制器,(,包括电源,),故障和故障后复位时，应采取必要措施，确认保护和控制信号的输出处于安全位置。,（新增）,9.3.6,加强对,DCS,的监视检查，当发现,CPU,、网络、电源等故障时，应及时通知运行人员并启动相应,应急预案,。,9.3.7,规范,DCS,软件和应用软件的管理，软件的修改、更新、升级必须履行审批授权及责任人制度。在修改、更新、升级软件前，应对软件进行备份。,拟安装到,DCS,中使用的软件必须严格履行测试和审批程序,，必须建立有针对性的,DCS,防病毒措施。,9.3.8,加强,DCS,网络通讯管理，运行期间严禁在控制器、人机接口网络上进行不符合相关规定许可的较大数据包的存取，防止通讯阻塞。,案例,2004,年,8,月,28,日凌晨，某电厂,4,号机组运行人员发现操作员站对操作指令有数秒钟反应滞后。在经过仔细检查后，发现,4,号机组所有操作员站和工程师站均感染了同一种计算机病毒。此类病毒挤占计算机内存空间，造成操作员站反应迟缓。,4,号机组设有一台与全厂,MIS,系统相连的专用通讯站，计算机病毒由此通道进入,DCS,系统。对所有操作员站进行杀毒后，各操作员站运行速度恢复正常。暂将,DCS,系统与厂,MIS,系统隔离，计划加装硬件防火墙。,案例,2008,年,6,日，某电厂运行人员发现机组负荷从,480MW,迅速下降，主汽压力突升，汽轮机调门开度，由原来的,25%,关闭到,10%,并继续关闭，高调门继续迅速关闭至,0%,，机组负荷降低至,5MW,，运行人员被迫手动紧急停炉，汽轮机跳闸，发电机解列。经分析，发现,DCS,在线下装时，,DCS,将汽轮机阀位限制由正常运行中的,120%,修改为,0.25%,，造成汽机调门由,25%,关闭至,0%,，机组负荷由,480MW,迅速降至,5MW,。,二、防止,DCS,失灵,-,故障处理,目录,一、反措背景,二、防止,DCS,失灵,三、防止热工保护失灵,1,、是一种控制程序，用于某个设备的运行参数已达到限值或已偏离限值时，使其跳闸，停止运行；或操作顺序不正确时，使其操作不能继续运行；或某一设备跳闸时，与其直接相关的设备必须随即连锁跳闸，以免事故扩大。,2,、联锁系统的保护功能在于把机组的运行操作限制在

展开阅读全文

4---01【25项反措培训】-DCS及保护反措--杨振勇

最新文档