高坝洲电厂分散控制系统、计算机监控失灵风险控制管理标准

1、高坝洲电厂分散控制系统、计算机监控失灵风险控制管理标准湖北清江水电开发有限责任公司标准化工作委员会 发布目 次1范围12规范性引用标准13术语和定义14职责14.1 厂长14.2 主管领导14.3电厂设备管理部、维护部、安生部15管理内容与要求15.1 分散控制系统及其工作环境配置要求15.2 DCS 故障紧急处理的基本措施。35.3 预防 DCS 故障（或 DCS故障扩大）的基本措施.36检查与考核57报告和记录5前 言本标准结合GB/T1.1-2009标准化工作导则 第1部分：标准的结构与编写规定进行编写。本标准由湖北清江水电开发有限责任公司高坝洲电厂标准化工作委员会提出。本标准由湖北清江

2、水电开发有限责任公司高坝洲电厂归口管理。本标准由湖北清江水电开发有限责任公司高坝洲电厂设备维护部负责起草。本标准由湖北清江水电开发有限责任公司高坝洲电厂负责解释。本标准起草人：王薇薇本标准审核人：康 烽本标准批准人：聂志立.高坝洲分散控制系统、计算机监控失灵风险管理标准1 范围本标准规定了高坝洲分散控制系统、计算机监控失灵风险的管理制度；本标准确立了以高坝洲电厂安生部为检查考核主体，设备管理部和维护部为实施、执行部门。本标准适用于高坝洲电厂生产管理和生产人员。2 规范性引用标准下列文件对于本文件的应用是必不可少。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版

3、本（包括所有的修改单）适用于本文件。DL/T8382003发电企业设备检修导则3 术语和定义DCS分散控制系统SIS厂级监控信息系统4 职责 4.1 厂长负责批准发布分散控制系统、计算机监控失灵风险4.2 主管领导负责审核分散控制系统、计算机监控失灵风险4.3电厂设备管理部、维护部、安生部  分散控制系统、计算机监控失灵风险4.3.3 设备管理部、维护部负责参与实施。管理内容与要求5.1 分散控制系统及其工作环境配置要求5.1.1 DCS 系统配置应能满足机组在任何工况下的监控要求（包括故障发生后的紧急处理），CPU 负荷率应控制在设计、招标规范书规定的指标之内。主厂房内的

4、水力系统(包括发变组、电厂用及升压站内系统设备)管理用 DCS 控制器，应采用冗余配置。重要 I0 点应考虑采用非同一板件的冗余配置，同类型的 I/O 点最少应留有10%的备用余量。附属及外围公用系统管理用 DCS（包括 PLC），可以配置单 CPU，同类型的 I/O 点最少应留有10%的备用余量。 系统设备中除打印机、计算机工作站外，其余各设备的工作电源必须设计有可靠的后备手段（如采用 UPS 电源）主/备用电源之间的切换速度应满足该控制系统的需要（应保证控制器不被初始化），系统电源故障时应在控制室内设有独立于 DCS 之外的声光报警。双电源均故障后要有解列机组的手段。 DCS 主系统及与

5、DCS 主系统相连的所有相关辅助二次系统（包括电气二次系统中的专用装置、SIS、总线控制系统中的就地设备）的负荷率设计，应保证在最高负荷运行时，负荷率不超过 40%。其接口设备（板件及通讯电缆）应稳定可靠，通信速率应符合设计要求。应有两条同时运行、互为冗余的高速数据总线，数据总线的通讯速率，应保证任何时候任何指令都可在 1 秒钟内被执行完毕。 DCS 系统接地的设计、施工必须严格遵守 DCS 制造厂的技术要求。所有进入 DCS 系统控制信号的电缆必须采用质量合格的屏蔽、阻燃电缆，屏蔽层应有良好的单端接地。独立于 DCS 之外的少数重要操作按钮的配置应能满足在紧急故障发生后保证机组安全停运的要求

6、。紧急停机、发电机解列、解列灭磁、真空破坏阀门开（关）、油泵启动等后备操作，应采用与 DCS 分开的单独操作回路，所有这些操作按钮应带防误操作罩、设备（阀门）状态指示灯。在逻辑回路中，应为两个按钮且接点采用相互串联接线方式完成同一操作功能。操作员站的主频和硬盘等参数要选择合理，确保在执行任务量最大时调用任何一幅画面均应能在不大于2 秒种的时间内将执行结果由LCD 显示出来；任何时候任何指令均应能在 1 秒钟内被执行完毕；显示器还应有防尘、防静电、防震动、防受潮等措施；数量的配置应符合设计规程要求；对于触摸式屏幕和轨迹球的选用，要认真论证。 历史站的参数配置要符合技术要求，应能实现将每个操作员站

7、的主要操作（包括对模拟量控制系统进行的手/自动切换等操作）信息进行详细记录，历史数据死区的设置要合理，采样周期不得大于 1 秒。DCS 系统时钟为单时钟,要有防止时钟产生装置故障而导致 DCS 当 失去时钟的后备措施。 SIS与 DCS 的接口，必须有专用网关装置，不得将 SIS 网线直接连在 DCS 的设备上，数据信号读取只能是丛 DCS 送向 SIS ，而不得相反。设置公用的 DCS 网络时，公用网络的负荷率、系统通讯速率也应满足 5.1.4 条的要求， 应确保在任何时候， 公用网络所管理的设备只能在一台机组的 DCS 上进行操作。 DCS的设计应遵循下列安全准则。DCS单一故障不应造成（

8、引起）DCS 系统的整体故障。 DCS 单一故障不应造成水轮机、发电机系统的保护拒动（包括误动）。控制功能的划分，应充分考虑危险分散。控制设备的构成应能反映电厂设备的冗余配置，以使控制系统内单一故障 不会导致运行设备与备用设备同时不能监控 DCS（PLC）硬件装置的工作环境（温度、湿度、空气中的粉尘浓度等）应符合技术要求。当环境中含有可能对装置造成电磁和光线等干扰的干扰源时，应采取特殊措施；近范围环境中有水、汽、油、等管道设施时，现场安装设备（包括远程 I/O 装置）应有防止设备受到污染、超温、受潮的特殊措施。5.2 DCS 故障紧急处理的基本措施。电厂应组织调试和DCS 应用软件开发单位根据

9、机组的具体情况，共同制定针对 DCS 失灵后机组在各种运行工况下的紧急停机预案并对相关人员进行培训。电厂还应制定使用 DCS 工程师站进行工作的管理制度，定值修改管理制度、机房环境卫生清洁管理制度、备用卡件存放管理制度、包括系统维护定期工作管理制度、缺陷处理管理制度、系统软件和应用软件定期备份管理制度等。 当操作员站总数的一半以下（或一台上位机）同时死机而无法使用时，应由可用操作员站（或另一台上位机）继续承担对机组的管理任务（此时严禁进行任何非紧急情况下的重大操作），同时迅速排除故障，若故障在短期内无法排除，则应根据当时运行状况制定应急预案。当操作员站总数的一半及以上（或所有上位机）同时死机而

10、无法使用时，应启动DCS 失灵的预案。5.2.4 当系统中的控制器或相应电源故障时，应采取以下对策。 5.2.4.1 当外围辅助网络的控制器或相应电源故障时，如果此控制器不带对设备的保护功能，可切至后备手动方式运行而停运控制器，并迅速处理系统故障，若带有保护功能，则应将该辅机退出运行后再进行检修处理。5.2.4.2 当主厂房内的控制器或电源装置其中之一故障时，应能实现控制器或电源自动切至与之冗余的维持运行，同时迅速处理故障，并根据处理后的情况制定相应预案。 1.2.4.3 当主厂房内的互为冗余的控制器（包括电源装置）均发生故障时，应将其控制的设备停运后进行处理，如果是用于机炉主保护的互为冗余的

11、一对控制器（包括电源装置）同时故障时，应立即用后备手段停机，然后进行处理。 5.2.4.4 当网络交换机(或数据总线)发生故障时,应将该列上的所有设备停运,然后进行检查处理，短期内无法恢复时，应制定相应的预案。 5.3 预防 DCS 故障（或 DCS故障扩大）的基本措施. 5.3.1 系统画面组态时,应有一幅显示 DCS 各硬件设备运行状况的画面,当硬件设备在不同的状况时,有不同的颜色显示。 5.3.2 运行人员在监控一次设备运行的同时,要有一幅画面专门用于监视DCS 各设备的运行状况,发现 CPU、网络、电源等故障时，应及时通知检修人员，并迅速做好相应对策。 5.3.3要定期对系统软件和应用

12、软件进行备份，备份资料的保存期限，应不低于档案管理的要求。5.3.4应规范 DCS 系统软件和应用软件的管理，软件的修改、更新、升级必须履行审批授权、执行责任人及监护人制度。在修改、更新、升级软件前，修改二次系统图并办理相关审批手续；开工前应对运行软件进行备份，软件修改、更新、升级结束并经测试合格、验收后，应再次进行全面的系统备份；未经测试确认的各种软件，严禁下载到已运行的 DCS 系统中使用。必须建立有针对性的 DCS 系统防病毒措施。系统维护用的笔记本电脑等电子设备，应专人专用，严禁作为它用。 5.3.5系统维护员在操作员站（包括工程师站）上进行点（包括联锁、保护）的强制、定值的修改、下装

13、、软件备份等任何工作时，在办理工作票的基础上还应实行监护人制度，所有工作应有专用的书面记录。5.3.6 每次大修应严格执行项目标准，重大项目应办理验收单。机柜内检修工作结束后，应进行如下试验。 5.3.6.1 对所有的卡件进行通道测试， 5.3.6.2 对网络交换机、控制器及其电源（包括扩展柜电源）进行切换试验，对电压值进行测量、记录。5.3.6.3 对接地系统电阻值进行测量、记录。5.3.6.4 对柜内设备的防电磁干扰能力进行测试。 5.3.6.5 对 DCS 主系统及与之相连的辅助系统的负荷率、通讯速率进行测试。 5.3.7 每次小修应严格执行标准项目。机柜内的检修工作结束后，应进行如下试

14、验。 5.3.7.1 应对转速、水轮机阀位反馈等特殊卡件进行通道测试。 5.3.7.2 对接地电阻值进行测量、记录。 5.3.7.3 对机柜的防电磁干扰能力进行试验。5.3.7.4 对网络交换机、控制器及其电源（包括扩展柜电源）进行切换试验，对电压值进行测量、记录。 5.3.8 DCS 定期管理制度中，至少要包括如下内容。 5.3.8.1 热工系统维护员应每天两次巡回检查 DCS 工程师站、历史站、控制器、网络交换机、时钟收发器、控制器电源的工作情况，并作详细的记录。 5.3.8.2 最少每天两次检查 DCS 的工作环境温度、湿度等并做详细记录。 5.3.8.3 定期备份数，定期检查系统中存在

15、的“被强制点”，与批准手续核对并做记录。 5.3.9 在 DCS（PLC）卡件或 DPU（CPU）上进行任何需要人体与设备接触的工作时，除应办理工作票外，还应实行监护人制度，进行过程中工作人员应带防静电手环。5.3.10 对于主厂房内设备管理用的控制器，如果是单控制器或单电源的，要尽快改造完善，在改造之前，要制定预防措施。 5.3.11 当发生 DCS（PLC）设备因通讯故障而无法正常工作、掉站时，应在全面检查其硬件设备的基础上，还应重点对系统时钟系统进行检查、复核，以确保其工作正常。 5.3.12 如果因为设计原因使得 DCS 的负荷率和（或）通讯速 率达不到 5.1.4 条的规定，应按如下原则处理。 5.3.12.1 虽然达不到指标要求，但没有发生过因此项而导致的一类