安徽电网发电机组控制系统故障统计及分析.pdf

安徽电网发电机组分散控制系统故障统计分析 刘一福 （安徽省电力科学研究院，安徽 合肥 230022） 摘 要：根据安徽电网火电厂近几年来分散控制系统故障情况的统计，本文从 dcs 硬件、软件（模块）及工程组态、 通信网络、供电电源等方面发生的影响机组安全稳定运行的故障现象进行分析。为提高分散控制系统运行的可靠性， 建议不仅需要重视完善 dcs 本身硬软件的功能、性能，使其满足电力安全生产要求，而且必须重视与之关联热工自 动化系统的安全性分析，特别是加强管理、规范试验和检修维护工艺更为重要。 关键词：分散控制系统；故障原因；故障分析；火电厂 0 引言 2008年底安徽省发电装机容量为25107mw， 其中超临界/超超临界600mw等级机组24台 （容量 14700mw） ，亚临界600mw机组2台（容量1260mw） ，300mw等级机组22台（容量6780mw） ， 200mw及以下机组2367mw。为提高生产自动化水平，大型火电机组已全部采用分散控制系统 （dcs）进行控制。控制系统覆盖了国内外在我国发电厂应用的主流dcs产品，国产dcs包括 xdps- 400、hs- 2000（h0lliasmacs）、edpf- nt，国外dcs包括max- 1000（maxdna） 、 foxboro i/a、ovation、abb symphony、siemens t- 3000、日立hiacs- 5000m、wdpf- 、 abb procontrolp、honeywell tps、欧陆network 6000等。 dcs 作为机组控制的神经中枢，其任一环节出现问题，都会导致热控装置部分功能失效或引发 系统故障、机组跳闸，甚至损坏主设备、影响电网的安全。经对安徽电网火电厂近 5 年来热控保护 误动情况的统计和分析，由于 dcs 硬件、软件（模块）及工程组态设计、通信网络、供电电源方面 等故障， 而导致的机组非计划停运已占机组全部热控保护误动的三分之一多， 且 dcs 故障多呈现“软 故障”的特点，较难确切分析查找原因，并易造成反复跳机的安全隐患。因此，从有效减少机组非计 划停运次数出发，完善 dcs 设备自身性能，进一步提高 dcs 应用技术水平和安全可靠性，成为当 前 dcs 制造厂、热控专业人员需认真思考和研究解决的重要课题。 1 dcs 硬件故障 dcs根据各硬件的功能不同，其故障可分为人机接口故障和过程接口通道故障。人机接口由多 个功能相同的工作站组成，其中一台发生故障，只要处理及时，一般不会影响系统的监控操作。过 程接口通道故障发生时，会直接影响控制或监视功能，因而后果比较严重。 从统计数据分析，过程接口通道（包括过程输入输出i/o模件、通信模件和控制处理器cp）故 障（老化或抗干扰差） 、配置不当而导致辅机跳闸和主机保护误动占dcs故障次数的70%左右。如 2008年6月14日，某机组负荷150mw左右，当时b引风机停运，准备停运b送风机，在停运b送风机 的过程中，因a送风机运行信号故障（系di模件故障所致） ，误发两台送风机全停信号，锅炉mft； 某厂2350mw机组（abb procontrolp）自2003年投产以来，因dcs硬件故障直接引起机组跳闸 达9次（参见表1） 。 pdf 文件使用 “pdffactory pro“ 试用版本创建 表1：某厂dcs故障非计划停运事件统计表 序号序号 dcs 故障原因故障原因 1 汽机保护通道发生不明原因误动，1 号汽机跳闸 2 过热器出口温度输入模件故障，造成过热汽温高 mft 误动，1 号炉跳闸 3 1 号炉 dcs 系统一块信号输入模件故障，1、2 号磨煤机轴承油位低误发，引起两台磨跳闸(共 3 台磨 6 层粉运行)，并导致 1 号炉”全炉膛无火 mft 跳闸 4 1 号机因 dcs 控制站中一块通信接口模件故障，导致该控制站离线，误发“再热器出口温度测量 故障”，造成 1 号炉跳闸 5 2 号机组报警柜电源柜两路 24v 直流电源开关均跳闸造成光字牌报警系统失电、机组 mft 硬跳闸 盘失电，“手动紧急跳闸按钮”信号(失电保护动作)发出，2 号炉 mft 跳（硬手操电源设计有电压 监视保护，目前已取消） 6 1号机组因汽机控制cjk01柜内系统一块网络通讯模件故障，造成保护模件、自动控制模件离线， 更换系统通讯模件后，由于汽机基本控制器与主系统之间的信息交换失常，造成保护跳机 7 1号机组负荷280mw,汽机控制柜cjk01、cjk02通讯模件故障报警。在拔出cjk02柜故障的 88tk50时，原冗余的正常工作的那块通讯模件也出现故障，导致该柜通讯中断，汽机跳闸 8 2号机组频繁有一级报警 （cds系统记录） ， 二通讯模件故障； 随后b0csa13柜内的b0csa13ga012 模件st、sg、sr亮，系统开始单环运行。报警后约10小时dcs系统通讯紊乱、系统发出锅炉跳 闸、机组跳闸 9 2号机组因dcs通讯系统故障，二台汽泵跳闸、二台火检冷却风机跳闸、仪用杂用空压机全部跳闸、 三台磨跳闸，锅炉mft 由于重要系统的控制器冗余配置,大大减少了控制器“异常”引发机组跳闸的次数。控制器“异 常”多数为软件故障,通过复位或初始化能恢复正常工作。引起机组跳闸的少数故障,多发生在双机切 换不成功时。如某机组（300mw）wdpf系统1号dpu死机，切备站51号dpu运行，51号dpu的数 据高速公路接口卡报警， 51号dpu死机， 回切1号dpu不成功， 造成mft； 某机组 （630mw） 因dcs （foxboro i/a）cp4012控制器由于硬件版本存在缺陷，双cp同时故障，控制系统紊乱，炉膛燃烧 不稳，锅炉因全炉膛无火而mft动作；某机组(300mw)fsss系统(max- - 1000plus)的mft控制运 算的dpu152/153对中的dpu152故障后主控dpu153不能正常工作,从而误发mft，经分析认为 dpu153在成为主控后不能访问io卡件原因是由于主dpu152错误数据被备份到dpu153中，而 dpu153判断错误数据后拒绝执行io卡件控制任务。 影响dcs系统硬件正常使用的另一个很重要的因素是制造工艺和安装工艺。 如某机组大修dcs 改造工程发生近 20 块卡件输出异常或损坏（经制造厂检查确认该批卡件存在批量质量问题） ；某机 组燃烧器管理系统（bms）火检控制柜 5a 直流电源负极接线工艺不规范及电源设计不合理造成两 层给粉机突然跳闸锅炉燃烧不稳 mft；2009 年 5 月 11 日 08:43:55，某机组负荷 590mw，由于实 现 mft 回路自保持功能 mft1 继电器因残余电压或抖动，造成 mft1 继电器辅助接点粘合，误发 出 mft 跳闸信号。该事件还暴露了 fsss 系统（foxboro i/a ）mft 跳闸模块“两台一次风机停” 和“汽机跳闸”信号输入时间同为 08:43:59，但 dcs 系统同一扫描周期内两个跳闸信号却同时扫 描到，使 fsss 系统 mft 的首出原因未能闭锁而显示出两条的现象；某机组（dcs 系 max- - 1000plus） 多次由于 1ccs1dbm 硬盘出现故障， 造成大量通讯数据堵塞， 引起 1ccs2dbm 故障， 由于 ccs 系统的两台 dbm 同时出现故障， 造成送风自动、 给水自动因信号通讯中断而解除。 两台 dbm 同时出现故障导致操作层以太网通讯堵塞加剧，造成 1、2、3、6 号操作员站出现死机状 态。 这方面也是 dcs 制造厂必须引起高度重视的一个问题。 如果所提供的系统在工艺上都不能满足 可靠性的要求，那么原理上再吸引人也难以令人接受。 基于目前 cp、i/o 模件故障概率的增多，硬件配置和用户软件组态都应遵循危险分散的原则， 即不仅要对重要 i/o 点采用非同一板件的冗余配置，对机组同类重要辅机的控制也要设置在不同控 pdf 文件使用 “pdffactory pro“ 试用版本创建 制处理器（cp）内，如 1 台机组配置 2 台送风机，应将这 2 台送风机的顺序控制分别安排在不同的 控制器内，以提高分散控制系统的可靠性。 2 软件（模块）设计缺陷及工程组态不当 dcs 软件存在的隐患表现为：控制模块输出异常、控制器程序在线下装功能不完善、历史数据 丢失、记录和软光字牌功能不完善、模块功能不正常、软件设计缺陷等。某机组曾发生 2 起因 dcs （xdps- 400）的 pid 模块输出异常导致锅炉 mft 的事故；某机组（300mw）因 a、b 给泵指令 和转速偏差大退出锅炉自动而进入 meh 转速控制时，软件未能自动将 meh 控制切软手操，造成调 门从 50%关到 20%，引起汽包水位大幅下降，锅炉汽包水位低 mft；某机组（300mw）运行在 ccs 方式，负荷为 280mw，突发“风量30”mft。dcs（maxdna）系统 function 原子 块设计存在缺陷（当 fungen 原子块设置 x10=x11，y10=y11 时，一旦输入大于 x11，输出就迅 速变为 0） ，是此次事故的主要原因。 某机组（当时负荷 240mw）因误操作引发一次风失去，导致锅炉 mft。暴露有 2 个问题： 1）该事件为误操作直接所致，值班人员不仅走错位置而且还错断开关，是事故的直接诱因。 2）dcs（maxdna）提供的 dcs 卡件软件设计不合理，重新送电后误发信号使一次风机入口 导叶关闭，是造成锅炉 mft 的直接原因。 dcs 制造厂应解决所有执行机构重新恢复送电后自动关闭问题。同时热控检修部门应全面检查 其它热工自动化系统类似的卡件和执行机构是否存在类似的可能跳机情况，切不能以事故的代价来 发现问题和隐患。 某厂新建 6 号超临界机组（600mw）2007 年 11 月 18 日 168 小时进行到第 6 天，由于 meh （abb 贝利 symphony）机柜电源模块的低电压保护（pfi）动作（当天上午 5 号机组在启动前 的试验中， meh 机柜也发生过类似的故障） ， 导致锅炉 mft 机组跳闸， 给电厂造成了重大经济损失。 abb 贝利公司 dcs 的电源监视模件 pfi 的误动作造成机组跳机，增加了对应控制柜模件均停止工 作的故障概率。这方面的案例已多次发生，是机组运行中的一个不安全隐患。 dcs 工程组态中，也往往会发生一些容易被忽视的问题，而问题的存在又会直接或间接的引发 一些意外事故。如某机组（300mw）在进行单台送风机跳闸 rb 试验过程中因 dcs 逻辑组态不当 锅炉 mft。其原因是在 dpu12（xdps- 400）中做了 d14ndsp040 下网点，当该点为 1 时分别跳 b 层给粉总电源； dpu13 中也做了 d14ndsp040 的下网点， 当该点为 1 时分别跳 c 层给粉总电源。 当单台送风机 rb 发生后跳磨煤机，所以该点为 1，却导致 b、c 层给粉机跳闸以致炉膛火焰丧失 mft。事后经过认真仔细的分析认为在 dpu12、dpu13 组态中做下网点这一组态应该是 168 小时 试运行期间甩负荷试验所用。试验结束后仅仅删除了 dpu11、dpu14 中 a、d 层的逻辑，dpu12、 dpu13 中 b、c 层的逻辑未删除，留下了这一隐患，成为导致这次 mft 的主要原因。 国产 dcs 软、硬件升级周期过短，使人感觉 dcs 开发缺乏系统性。在开发新功能方面，国外 的系统主要考虑成熟性，因而系统组态都比国内系统在应用上较难掌握。软、硬件升级不当可能会 给 dcs 和机组运行带来安全障碍。2005 年以来安徽电网大机组就曾发生 3 起 dcs 版本升级后因 软件设计漏洞、硬件驱动程序不匹配造成 dcs 系统紊乱机组跳闸的事故。因此，无论是 dcs 制造 厂还是电厂，对 dcs 技术升级应慎重考虑，并充分作好相应的技术措施，确保 dcs 和机组的安全 运行。 3 通信网络异常和阻塞 dcs 通信网络异常表现在：操作员站显示信息变慢、不能操作，控制器脱网，冗余控制器（服 pdf 文件使用 “pdffactory pro“ 试用版本创建 务器）切换不成功，控制器与卡件通讯故障，数据通信中断或异常，严重时误发信号或使网络通信 瘫痪而直接引发机组跳闸。通信网络异常主要与以下因素有关： （1） 对 dcs 软、 硬件的不当改动或升级。 如某机组 （125mw） dcs （hs- 2000） 由原来 v1.2.0 升级到 v2.3.1b 版本，升级时更换了主控单元 dp 卡、多功能卡、电子盘，但网卡未相应进行升级。 因新版本软件与原来的网卡驱动程序不匹配，个别点的扰动造成主控单元的网络驱动和网络任务不 能成功启动，使部分 i/o 站故障离线导致 dcs 紊乱机组跳闸。 （2）硬件（如网络交换机、通信模件等）通讯故障误发信号或导致网络阻塞。某机负荷 297mw， 由于 dcs（maxdna）系统 2bm02dpu 与卡件通讯有故障（bm02 f4 卡件背板总线上用于奇偶 校验的线路开路） ，造成“一次风失去”mft；某热电厂 4 号炉 dcs（h0lliasmacs）10 号站 15 号模块（fm161d）故障导致 10 号站整个 cnet 网络瘫痪，10 号站死机,导致 4 号炉 mft；某 机组（200mw）由于 20 号站（deh）设备故障（dp 重复器故障引起数据包发送异常）误发“主 汽门关闭信号”导致停机；某机组 dcs（foxboro i/a）操作站 crt 画面刷新速度慢，造成运行无 法监盘操作。本次故障为 nodebus 网络工程师站 aw5201 机器的 b 光电转换器故障，a 光电转 换器工作正常，但由于 b 缆的故障信息一直处于发送状态，造成 nodebus 网络信息堵塞（底层控 制组态卡件工作正常，未受到影响） ，所有网络通讯资源全部被工程师站占有，使 5 台 dcs 操作站 crt 在调用画面时发生无法读取参数现象。 （3）dcs 时钟紊乱。某机组 dcs 系统当时钟偏差积累到一定程度后会导致主、备时钟不同步 而产生报警，引起系统时钟紊乱使报警的控制器依次脱网，从而导致整个控制系统瘫痪；某机组在 基建投产试运行期间曾发生 dcs 时钟与 gps 时钟不同步， 引发 dcs 操作员站失灵事件； 某机组 1 号操作员站时间比 2、3 号站均快约 5 秒（可能是 dcs 对时系统未能正常工作造成） ，时间不一致， 造成 dcs 系统操作员站频繁出现死机。 由于网上传送的数据均带时间标签， 时钟紊乱后会给运行机 组带来严重后果。 （4）dcs 工程技术人员在系统配置、i/o 分配以及逻辑组态时，没有合理规划和设计（cp 数 量常常因商务原因而配置偏紧，设计未遵循各系统的均匀性原则） ，另外 dcs 运行时间比较长的情 况下，电厂的维护人员不断更替，控制器的组态也不断变化，产生了大量的垃圾组态，从而造成部 分控制器、操作员站负荷率较高，在运行中发生 dcs 通讯堵塞。如某机组 2005 年初完成 dcs 扩 容技术改造后操作员站死机次数明显增多，死机频率最高时约 10 多分钟一次。经分析，3 号机本次 dcs 扩容改造时增加了约 200 个 i/o 点， 却没有增加 dpu 控制器及机柜， 使 dpu 的负荷率比扩容 改造前明显增高。 （5）dcs 运行环境温度高（如控制间空调、电源风扇和机柜风扇故障等造成） 。如某机组曾发 生因电子间内空调故障，温度过高造成 dcs 多个 dpu 脱网失灵的事件。 （6）在极端工况下，由外部触发因素利用 nt 操作系统的安全漏洞，引发偶发性的大量报警信 息，导致网络异常。如某机组（300mw）就发生过 2 起因 dcs（xdps- 400）版本升级后操作系统 的安全漏洞导致在特定条件下（某一 dpu 在 2s 内发出一种“shutdown for i/o driver fail”的大量 系统报警信息。而按系统设计原理， “shutdown for i/o driver fail”是在该 dpu 复位时，为记录复 位原因而发出的一条系统报文。正常情况下， “shutdown for i/o driver fail”的报警通告次数应该 是一次的， 出现该报文后 dpu 应自行复位。 但该 dpu 并未复位， 并持续发出报警信息， 每秒约 450 余次） ，dcs 系统网络异常，使得多个 dpu 离线，dcs 网络通讯堵塞机组被迫停机的事故。因大 量系统报警信息引起网络通讯异常，而导致机组跳闸的事件在一台机组上前后不到两年时间内发生 2 次，表明 dcs 制造厂还缺乏足够的产品质量和服务意识。 pdf 文件使用 “pdffactory pro“ 试用版本创建 4 供电电源故障 dcs 的供电电源是 dcs 可靠工作的重要保障，为尽量避免因电源故障引起 dcs 系统失灵，各 制造厂家对电源部分都十分重视，如采用 n+1 电源方案，两路直流电源各带 50负荷方案，两路 交流电源冗余运行，一用一备方案等。最后一种方案在 dcs 电源切换时存在安全隐患，即在电源电 压斜坡下降的过程中，电源切换装置不能可靠进行切换，在电源电压降至 dpu 不能正常工作时，备 用电源仍未能工作， 有可能造成 dpu 初始化， 所有数据丢失的现象。 目前这个问题还难以彻底解决， 因为切换电压主要取决于切换继电器的释放电压，而每个继电器不可能有完全相同的释放电压。 除了提高dcs电源模件本身的可靠性外，现多采用一路ups电源和一路保安电源互为备用，但 由于接线方式、自动装置切换时间较长，使得在实际应用中仍发生多起事故： 某机组因ups电源 温度高报警，保安电源作为备用电源不能及时（ms级）由备用转为工作电源，使bms火检柜两路电 源同时丧失，全炉膛无火mft； 保安段电源aps及ups旁路电源的相位不一致。逆变器输出的单 相交流电压与旁路电源的单相交流电压应该同步，才能并列转换。不论旁路取自交流的那一相，逆 变器都可以调整输出电压，与旁路电压同频同相。如某机组dcs（wdpf- ）dpu的配电方式为 ups和aps两路同时供电， 这是可控硅反向并联而成的二进一出的三端网络， 并分别通过各自的13v 和24v整流装置供dpu使用。当2号机组aps失电时，由于aps侧与ups旁路侧在电压的相位和频率 上不一致，转换瞬间由于短路或差压大而产生很大的冲击电流，导致20号dpu中由ups电源所带的 13v整流装置在运行中损坏，造成20号dpu失去13v电源，引发“deh电源失去”导致机组跳闸； 未定期（在机组停运时）对电源进行切换试验。如某机组从保安段来的220vac电源因热工220v 电源柜内部保安段的零相接线端子松动而失去备用。这样在ups失电后因保安段电源无法自动投入 运行，导致dcs失电。 另外如果 dcs 机柜内的 24v/48v dc 的冗余配置不合理， 特殊情况下也会导致机组跳闸。 如某 机组（300mw）因 dcs（wdpf- ）7 号 dpu 柜内的 24v dc 冗余配置不合理（3 台汽包水位变 送器设计在同 1 个电源回路） ，当该路电源总保险越级熔断后，导致全部汽包水位变送器失电，燃烧 器管理系统（bms）判断汽包水位高，引发锅炉 mft。事实上，这种接法只能保证 2 个冗余变压器 其中 1 个故障另 1 个可接替供电；而一旦像 7 号 dpu 这样第 1 路 24v dc 电源保险熔断则所有该 端子排上 24v 电源消失，另 1 路冗余供电电源也就失去意义，整个供电回路设置并未实现真正意义 上的危险分散。 5 几点建议 上述诸多 dcs 异常故障已直接影响机组和电网的安全稳定运行。需要进一步加强技术监督力 度，认真贯彻执行国家和电力行业有关规程标准，努力减少 dcs 的不安全因素。当然提高 dcs 运 行的可靠性，不仅需要重视完善 dcs 本身硬软件的功能、性能，使其满足电力安全生产要求，而且 必须重视与之关联热控系统的安全性分析，特别是加强管理、规范试验和检修维护工艺更为重要。 （1）dcs 制造厂应举一反三，深入了解目前火电厂 dcs 运行中发生的问题，针对 dcs 自身 的不足及硬件配置可能产生的安全隐患，从软硬件等多方面不断完善和发展，使在用或即将使用的 dcs 软硬件具有足够的可靠性，使其功能、性能满足电力行业规程要求。另外，dcs 制造厂应及 时通报本公司 dcs 在电厂应用中出现的故障及处理办法，避免其他电厂再次发生类似故障。 （2）dcs是电厂运行的“大脑” ，操作员接口是其“眼睛” 。发电企业要通过对已发生的和可能 发生的dcs故障进行深入细致地分析，按照本企业机组控制系统的特点以及机组本身的运行特性制 定有针对性和可操作性的dcs反事故预案和dcs事故后的紧急处理预案(控制系统故障、 死机、重要 pdf 文件使用 “pdffactory pro“ 试用版本创建 控制系统冗余主控制器均发生故障)，并正确地实施，可以很好地防止dcs故障的重复发生和dcs 故障后机组重大异常事件的发生。dcs事故后的紧急处理预案要认真从运行人员的判断能力和操作 便捷的角度来考虑问题，不要形成简单的过于“简单” ，复杂的又无法使用（有许多条款是需要运行 人员在先判断dcs系统是何种故障的前提下才可能操作， 因此是很难有效执行该预案的） 。 另一个方 面是运行人员对掌握dcs事故应急预案的实际应用还需进一步培训，以防止明显的规定与使用脱节 的现象。 （3）技术监督