控制系统可靠性及应急处理分解

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,电力行业热工自动化技术委员会,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,1,提高热控系统可靠性,2,控制系统的可靠性要求,故障安全,。任一控制系统的部件故障，机组仍能安全运行。,影响最小,。任一控制系统的部件故障，对机组运行影响最小。,容错最大,。控制系统保证机组安全运行允许的故障程度最大。,及时处理,。及时的维护和应急处理，保证机组安全可靠运行。,3,控制系统可靠,(,容错,),配置,电源冗余容错配置,“三重化”输入,/,输出配置,控制器故障对机组影响最小,通信冗余容错配置,4,DCS,电源,须冗余配置,DCS,供电电源、电源装置冗余配置。任一电源或电源装置故障时，也应能保证供电。,二路电源物理上应分离。杜绝局部故障、维护不当、小动物进入等造成二路供电同时失去的情况。,通信设备和操作员站通过切换装置实现供电冗余。应分组采用不同的主电源，即使切换装置故障，在某路供电电源失去时，仍能保证部分操作员站和通信正常运行。,5,DCS,控制器须可靠冗余,硬件故障、软件出错、通信故障及失去电源等，仍能正常承担控制任务。,类故障控制器最少,。只有,MFT,、,ETS,！,双列布置辅机或设备分配在二对控制器中。,同一工艺分配在同一控制器中，如制粉系统。,能可靠在线组态。,单列布置辅机分配在同一控制器中。,6,DCS,通信系统须冗余设置,冗余通信设备应物理上分离。,对于多对通信设备（如交换机），任一对通信设备都故障，对机组影响最小。,操作员站应分散布置在不同的交换机上,相关性强的控制器布置在同一对交换机上。,除一对互为冗余通信设备同时故障外，控制系统的通信应能正常运行。,对机组监视影响最小。,7,I/O,布置的可靠性要求,任一信号的测量原件、,I/O,模件通道故障不能造成保护误动和拒动。,三重化冗余输入要求同一物理参数应采用三个相互独立的一次测量元件测量，并由三根不同的电缆接入三块不同的输入处理模件。,主辅机保护信号，应按三重化冗余原则配置，,MFT,、,ETS,、单列布置辅机应三重化。,三重化冗余保护输出要求动作指令由三块不同的输出处理模件及其继电器等构成一种三选二回路。,8,保护逻辑的可靠设计,(,民主表决,),信号故障处理,(,正确的证据,),辅助,(,智能,),判断,相关信号构成三重化判断逻辑,三重化判断逻辑,控制逻辑的可靠性要求,通过冗余判断、辅助判断、智能判断等容错逻辑设计技术提高保护、联锁功能的可靠性，确保控制系统局部单一故障，不会造成保护拒动和误动。,信号故障处理。在出现“坏质量”或“变化率超限”，防止保护误动。及时报警。,10,三重化判断逻辑,三重化开关量判断逻辑,跨控制器的三重化判断逻辑,三重化模拟量判断逻辑,跳闸信号,2,跳闸信号,1,跳闸信号,3,跳闸条件,H/L,H/L,H/L,2/3,跳闸信号,2,跳闸信号,1,跳闸信号,3,跳闸条件,中,选,H/L,跳闸条件,DO1,DI1,2/3,DO2,DI2,DO3,DI3,跳闸信号,2,跳闸信号,1,跳闸信号,3,H/L,H/L,H/L,跳闸信号,2,跳闸信号,1,跳闸信号,3,跳闸条件,中,选,H/L,DO1,DI1,2/3,DO2,DI2,DO3,DI3,跳闸信号,2,跳闸信号,1,跳闸信号,3,跳闸条件,中,选,AO1,AI1,AO2,AI2,AO3,AI3,中,选,H/L,相关信号构成三重化判断逻辑,运行,2/3,停止,电流,/L,停止状态,N,11,双模拟量信号保护判断逻辑,12,辅助判断,辅助判断的主要作用防止保护误动，但不能增加保护拒动的概率。,辅助条件应多个，任一满足时，主保护条件满足，保护动作。,辅助条件与主保护条件存在着必然的联系，而且主保护条件满足，辅助判断条件必然存在。如辅助判断定值应低于跳闸值，一般为报警值。,辅助判断条件在故障时，应退出保护判断，不影响主保护动作。,应急处理,分散控制系统（,DCS,）在运行中的故障，如电源失电、操作员站“黑屏”或“死机”、冗余控制器切换异常、通讯中断以及模件损坏等，如果处理不当会导致故障扩大，造成机组跳闸甚至主设备损坏事故。为建立分散控制系统故障应急处理和长效管理机制，确保故障发生时能够迅速、准确地组织故障处理，最大限度地降低故障造成的影响,故障分级,电力行业热工自动化技术委员会,按故障后果分级,一级,跳机，或可能导致人身伤害、重要设备损坏,二级,处理不当会转为一级,三级,暂不影响机组安全,6,类：电源全失；操作站全失；网络全瘫痪；,FSSS,全失；,ETS,全失；,DEH,全失；,序号,故障类型,故障描述,故障级别,A1,电源故障,DCS,系统电源失去,DCS,系统电源全部失去,一级,A2,DCS,系统电源单路失去,二级,A3,A,类控制系统（除,DCS系统）电源失去,全部失去（见控制器故障）,一级,A4,任一电源失去冗余,二级,B1,网络故障,DCS,网络全部瘫痪（包括数据通讯服务器全部故障）,一级,B2,A,类控制系统,任一,网络失去冗余（包括数据通讯服务器单个故障）,二级,C1,控制器故障,全部故障,（包括电源失去）,锅炉,/汽机主保护控制器、DEH基本控制器全部故障，或A类控制系统任一对冗余控制器全部故障且涉及安全的参数无必要后备监视手段,一级,C2,除一级外，,A类控制系统控制器全部故障但有必要的后备监视手段,二级,C3,单侧故障,A,类控制系统（,FSSS、ETS、DEH基本等）控制器失去冗余,二级,C4,非,A类控制系统控制器失去冗余,三级,D1,操作员站故障,操作员站全部失去监控,一级,D2,部分操作员站失去监控,二级,E,I/O,模件故障,A,类,I/O模件故障,二级,分散控制系统设备重大故障源分级,响应流程,电力行业热工自动化技术委员会,一级,停机判断，或转为二级,二级,处理评估，可转为一级,三级,日常维护程序,电力行业热工自动化技术委员会,故障处理、,DCS,系统维护规范操作,1,）故障快速查找表（现象、原因、处理步骤、安措、影响）,2,）典型操作卡（送电、在线换卡、复位、下装、备份、采用维护指令）,3,）应急预案,4,）可靠性确认要点及异常处理注意点（设计、维护建议）,应急处理原则,一级故障注重于跳闸后的恢复，重点是确保设备不损坏,.,二级故障是故障应急处理中的重点，重点防止演变为一级故障,确保机组不跳闸或故障扩大。,电力行业热工自动化技术委员会,电力行业热工自动化技术委员会,一级故障预案：电源全失、,FSSS,全失、,ETS,全失、,DEH,全失,控制系统设计是否能保证被控设备和系统处于安全状态？,-,由于各电厂控制系统在设计上存在差异，有必要进行安全性评估。,DCS,全部电源失去以后，由于锅炉风烟系统“防内爆”保护逻辑和控制回路均不能工作，应关注炉膛压力的变化，必要时立即停止送引风机运行（通常是在,5min,吹扫完成后停止）。,电力行业热工自动化技术委员会,一级故障预案：操作站全失、网络瘫痪,判断是否需要停机？,-,故障时间、后备监视支持、网络结构、联锁逻辑组态设计都是要考虑的因素。,ABB,、国电智深、和利时、,GE,新华、上海新华、南京科远系统：,无后备监视，短时间内无法恢复，打闸停机。,日立系统：,无后备监视，或,15min,内无法恢复半数以上，打闸停机。,Ovation,系统：,操作站失去可不停机，确认网络瘫痪应打闸停机。,福克斯波罗系统：,操作站失电不停机，网络瘫痪在规定时间内无法恢复，打闸停机。,西门子系统、国电南自系统：,不停机，退出,AGC,，维持机组稳定不操作。,国家电力公司,25,项反措,2000,（国网,20,项,2007,、国华,25,项,2010,）：,12.2.2,当全部操作员站出现故障时（所有上位机“黑屏”或“死机”），,若主要后备硬手操及监视仪表可用且暂时能够维持机组正常运行，则转用后备操作方式运行，,同时排除故障并恢复操作员站运行方式，否则应立即停机、停炉。,若无可靠的后备操作监视手段，也应停机、停炉。,电力行业热工自动化技术委员会,2005,年,6,月,29,日，某厂,#2,机组（,130MW,）,FOXBORO I/A,系统,2,次出现,DCS,网络故障，所有操作员站全部失去监控，待续时间分别为,3min,和,30s,。,2005,年,8,月,12,日，某厂,#3,机组（,600MW,）,ABB Symphony,系统,DCS,环路通讯中断，所有操作员站全部失去监控，,40s,后恢复正常。,2006,年,9,月,8,日，某厂,#2,机组（,600MW,）,ABB Symphony,系统出现,DCS,网络故障，所有操作员站全部失去监控，,2min,左右恢复正常。,2010,年,10,月,4,日，某厂,#4,机组（,600MW,）,ABB Symphony,系统出现,DCS,网络故障，所有操作员站全部失去监控，,45s,后恢复正常。,2009,年,3,月,11,日，某厂,#3,机组（,300MW,）新华,XDPS-400,系统受病毒攻击，操作员站和工程师站全部失去监控，仅能通过大屏进行监控，,30min,后恢复了,2,台操作员站，清理病毒全部处理时间持续了,7,小时,20,分。,2010,年,2,月,5,日，某厂,4,台机组,(4600MW,，,1-3,号运行，,4,号调停,),西门子,TXP DCS,系统终端总线故障（,#2,机,PI,接口机故障，,OPC,数据洪流导致的网络崩溃），所有操作员站全部失去监控，,3,台运行机组的处理恢复时间分别为,6min,、,8min,、,20min,。,近几年浙江发生的几起,DCS,网络故障的案例，没有一例造成停机。,2010,年,2,月,5,日，某厂,4,台机组,(4600MW),，,1-3,号运行（,530MW,、,465MW,、,566MW,，全部在,AGC,方式），,4,号调停（盘车、真空、轴封、定冷水、闭冷水、凝结水、循环水等系统运行）。,14:31,，运行人员发现公用系统所有画面全部翻红，,1,、,2,、,3,、,4,号机,DCS,所有操作员站的画面全部翻红，,DCS,所有操作员站失去监控。,热控系统管理员检查发现,1,号、,3,号机组,PU,、,SU,服务器状态正常，,2,号、,4,号机组,PU/SU,服务器部分不正常，判断为各台机组,DCS,系统终端网络故障。,值长立即启动,DCS,系统终端网络故障处理预案,。,值长立即汇报省调并申请撤出,1,、,2,、,3,号机组,AGC,，保持各台机组负荷稳定。,值长令,1,、,2,、,3,号机组安排专人监控机组所有重要参数，若有不正常变化立即打闸停机。令,4,号机组派巡检赴就地检查盘车运行情况，以及所有运行系统及设备的运行情况。,各机组现场人员检查后，汇报所有设备及系统都运行正常。,热控人员处理故障，,3,、,1,、,2,号机组分别在,6min,、,8min,、,20min,后恢复正常。,15:53,，值长汇报省调，投入,1,、,2,、,3,号机组,AGC,。,16:20,，,4,号机组终端网络恢复正常；,18:30,，,4,号机组,DCS,系统恢复正常。,故障原因：,2,号机组,PI,接口机故障，,OPC,数据洪流导致的网络崩溃，,2,号,-,公用,-1,号,-3,号,-4,号。,按照预案处理，没有造成停机。,某厂西门子,TXP DCS,系统终端总线故障的处理案例,外部回路配置不当导致设备损坏：,例如：在,MCS,系统,#19PCU,柜失电后，机组不跳闸，空预器电机以,1Hz,的速度运行，如果运行中发生此故障又没有及时干预，必然导致空预器转子严重变形。,原因：我厂空预器的主、辅电机均采用变频器控制，变频器的,4,20mA,模拟量转速指令来自,MCS,系统。,MCS,系统,PCU,柜失电时，,4,20mA,模拟量转速指令消