电厂DCS系统的安全防护

1、电厂DCS系统的安全防护邹顺平（国电泉州发电有限公司）摘 要：针对DCS系统在电厂的广泛应用并发挥着极其重要的作用,本文对DCS系统的安全防护提出了几点看法和建议. 关键词：安全防护分散控制系统DCS( distributed control system的简称)是以微处理器及微型计算机为基础，融会计算机技术、数据通信技术、CRT屏幕显示技术和自动控制技术为一体的计算机控制系统。它对生产过程进行集中操作管理和分散控制。从八十年代开始DCS系统在我国的电厂中应用，到现在已有二十几年的历史了。随着电子技术、自动控制技术、计算机及网络技术的快速发展，DCS系统的技术也提高到一个较高的水平，在电厂中也

2、得到了广泛的应用，在电厂的生产控制中发挥着不可替代的作用。在发电厂中，DCS系统已成为控制的中枢神经系统，是电厂的大脑，电厂中各设备的运行状态，设备参数的监视和控制都要通过DCS系统来实现的。正因为DCS系统在电厂中举足轻重的作用，它的安全稳定运行就关系着电厂的安全稳定。做好DCS系统的安全防护就成了一项非常重要的工作，在此我们来谈谈如何做好电厂DCS系统的安全防护。现在国际国内的DCS系统厂家较多，国外比较知名的有美国西屋公司、ABB公司、霍尼韦尔公司等，国内的有国电智深公司、何利时公司、浙大自控公司等。各DCS厂家的产品都各自的特点，但其基本的组成是相同的，都是由几个主要部分组成：DPU控

3、制器、I/O模件、操作站、通讯网络、图形及遍程软件、历史站。这几个部分的安全稳定就关系着DCS系统的安全稳定，我们做DCS系统的安全防护工作主要是从这几个部分着手。现代的DCS系统是基于计算机网络的基础上建立的，计算机网络是由工作在一定环境之下的硬件设备和软件系统组成的。DCS系统同样拥有计算机网络的各种特点，在此我们谈谈DCS系统的工作环境、硬件系统和软件系统的安全防护工作。1 DCS系统的工作环境1.1 温湿度环境要求环境条件是保证系统能够长期正常运转的前提，若这方面掉以轻心会对设备正常运转造成各种危害。温度过高、灰尘太大，容易造成工控机硬盘磁头簧片断裂和划盘；因为温度过高，可能会造成DP

4、U、I/O模件的电子元件出现故障并且会缩短电子设备的使用寿命；因为湿度不正常，产生了静电，可能造成DPU死机或电子元件烧损；或因操作人员不注意，使静电放电造成插头故障而影响工艺操作。要严格控制电子设备间的环境条件，注意做好消防、空调、通风及照明等工作。尤其要提的是通风和空调，由于DCS控制系统度温度和湿度要求严格，所以保证空调系统的正常运行，中央空调时出风口的不能正对机柜或DCS其他电子设备，以免冷凝水渗透到设备内造成危害；同时，电子卡件决不允许有粉尘进入，所以，要求电子间能一直保持环境清洁和滤网干净，注意除湿和调整好温度。DCS系统所在的电子间的温度、湿度及洁净度要求一般是：（1）温度要求：

5、夏季±，冬季±，温度变化率小于。（2）相对湿度：。（3）洁净度要求：尘埃粒度，平均尘埃浓度粒升。电子间内应有监视室内温度和湿度的仪表，以便时时监控DCS系统的工作环境。1.2 接地要求接地系统设计关系到系统的安全性、抗干扰能力的强弱及通讯系统畅通。各应用厂家都应重视接地问题。（1）工作接地必须有单独的接地系统，接地点要与避雷接地点距离大于米，与其它设备接地点距离大于米。（2）各种接地电阻要求不同，在接地连线后需要实测工作接地电阻和安全接地电阻等符合技术要求的数据。（3）进系统的屏蔽线接地应属于系统的工作接地，不能接入保护接地中，另外屏蔽线接地只能在一点接地。（4）基准接地（

6、信号零电平）就是信号回路接地，也包括在的工作接地中，其目的是抑制干扰，提供电位参考点，接地原则是单点接地。（5）保护接地主要用于保护人身安全而对设备框架和外壳采用的接地。（6）应定期检查DCS系统接地线，确保接地系统正常工作。1.3 抗干扰措施在现场运行时，常常受到外界环境的各种干扰，诸如来自广播台、无线电通讯以及雷达或其它高频设备的电波干扰；处在大电流流过的电缆和变压器、电机附近会出现电磁干扰；还有接地系统的电位波动等干扰。主要的抗干扰措施有接地、屏蔽、电缆选择、滤波等。电源接地必须采用对地屏蔽的导管穿线。电源线不可与信号线平行布线，或者用槽板隔开。传输计算系统信号应采用屏蔽双绞线或同轴电缆

7、。模拟信号和数字信号（含脉冲信号）不能在一根电缆中传送。不同电压等级的电缆，在同一电缆桥槽内敷设时，可用金属隔板把槽内不同电压等级的电缆分隔开。数据高速通路敷设时，必须设置两条，一用一备。2 DCS系统硬件的安全防护DCS系统的硬件主要有：电源系统、DPU控制器、I/O设备、网络设备（包括交换机、路由器、网线）、工控机，它们是DCS系统中的各个主要环节。DCS系统硬件的安全防护工作主要就是采取确保系统安全稳定运行的措施，在系统硬件出现故障时能及时排除故障，不影响电厂机组的运行。我们来谈谈各个硬件设备系统的安全防护：2.1 电源系统的安全防护由于DCS系统控制的高度集中化，使其对电源的要求更加“

8、苛刻”，它要求电源稳定可靠，分秒不停。DCS系统的电源是系统设备运行的动力之源，如果电源系统出现问题，将可能导致整个DCS系统停止运行，进而导致电厂机组停止运行，甚至可能导致机组主辅设备失控而出现重大事故，所以配置一套稳定可靠的DCS系统电源是保证机组安全稳定运行的重要保障。因此，每一台新建机组的DCS系统授电都被当作一个重要的节点。各个DCS厂家对电源系统都是非常重视的，在电源系统方面都考滤得比较周全，现代的DCS系统电源都是采用双电源冗余系统。在电厂中双电源一路来自UPS （即为不间断电源），另一路来自保安段电源。两路电源工系统运行中是一用一备，当处于运行的电源系统出现故障时，备用电源能实

9、现无扰动地自动投入运行，这个切换过程是不能出现电源中断的。为了保证电源系统的安全，在日常维护中每天都要检查电源系统的工作状态，检查两路电源的各运行参数。DCS系统应设备电源监视设备，时刻跟踪电源系统的运行状态，在出现异常时能及时发出报警，以便及时排除故障。两路电源应定期进行切换试验，确保电源切换回路正常。在机组停机检修时，应对电源系统进行全面的检查和试验，检查电源系统中的各电气元件，试验电源的回路的无扰切换功能。电源系统的各电气元件、电源模块都应有致少一套的备件，在设备出现故障时能及时更换。在电源系统安装调试时，应做好电源系统的各设备的标志、绘制清晰明了的电气原理图，为设备的运行维护提供方便。

10、2.2 DPU控制器的安全防护DCS系统中的DPU系统的过程控制单元，是存储过程控制组态软件的设备，每一个DPU控制着相当数量的现场设备。一旦DPU出现故障，可能导致电厂设备失控，将影响电厂各设备的正常运行。电厂中的DCS系统都是采用双DPU冗余设置，运行中DPU一运行一热备，处于热备用的DPU始终监视着运行DPU。当运行的DPU出现故障时，热备DPU会自动切换投入运行，而这一个程不影响机组设备的运行。DPU的安全防护工作主要有如下几项：（1）定期切换DPU运行，让互为冗余的两DPU交替运行，确保在运行DPU出现故障时，热备用DPU能正常投入运行。（2）日常维护要经常检查DPU各工作灯的状态，

11、看是否有异常报警；检查DPU冷却风扇的工作状态，确保DPU的冷却效果。（3）做好DPU的备件工作，必须确保每一套DCS系统致少有一台DPU备件，当有DPU出现故障时能得到及时更换。2.3 I/O设备的安全防护DCS系统的I/O设备主要包括I/O模件和开关量指令输出继电器。I/O设备是DCS系统与它所监控的现场设备的信号连接设备，分为开关量输入输出和模拟量输入输出，如果I/O设备出现故障，DCS系统将无法正常监控现场设备。I/O设备的安全防护工作主要有如下几项：（1） 做好I/O设备的备件工作，必须确保每一种类型的I/O设备致少要有一至两台相应的备件，当设备出现故障时能得到及时更换。（2） 日常

12、维护中每天都检查各I/O模件的工作状态，一旦发现相关的故障信息应立即进行处理。维护结束后应安装好各模件，以免出现松动情况。（3） 在机组查修时应选取主要设备的控制输出继电器检查测试，检查继电器动作是否正常。2.4 网络设备的安全防护DCS系统的网络设备主要包括网络交换机、路由器、网线，有远程I/O的系统还包括光纤及光纤信号转换设备。网络设备是DCS系统中各节点的连接设备，是系统信息传输的路径。如果网络设备出现故障，DCS系统将可能瘫痪，机组设备将失控，后果不堪设想。为了确保网络设备的安全，DCS系统采用星形双网结构，当一条网络出现问题时，系统仍能正常运行。我们要做的安全防护工作主要有：（1）做

13、好做好网络设备的备件工作，必须确保每一种类型的网络设备致少要有一至两份相应的备件，当设备出现故障时能得到及时更换。（2）日常维护中每天都检查各网络设备的工作状态，一旦发现相关的故障信息应立即进行处理。2.5 工控机的安全防护电厂运行人员监控现场设备是通过DCS系统的工控机来实现的，工控机的CRT能显示现场设备的运行状态及参数；DCS系统工程师对系统的检查和维护也是通过工控机来实现。现代DCS系统的工控机只作为操作、维护、存储数据的平台，个别工控机出现故障虽然不会影响系统的运行，但可能会导致部分数据的丢失，如历史站出现故障将不能收集并存储数据，给生产运行参数的分析带来不便。工控机的安全防护主要要

14、做好如下几项：（1）日常维护中要经常检查各工控机运行情况，检查CPU使用率、内存占用率，检查键盘、鼠标等设备的运行情况，如有异常应及进更换，以免影响操作。（2）做好备品工作，一套DCS系统致少要有一套工控机备件（包括鼠标、键盘、液晶显示器、主机），CPU风扇等易损耗设备应致少备有三套备件。3 DCS系统软件的安全防护DCS系统基于计算机系统，系统的运行环境是WINDOWS操作系统，因此系统的软件具备计算机软件的所有特点。DCS系统软件如果被非法移动、修改、删除或受到病毒感染，都将会给系统运行带来危害，影响系统的正常运行，甚者会影响电厂运行人员对机组设备的监视和控制，产生灾难性后果。DCS系统软

15、件主要包括组态程序软件、系统配置文件、系统图形文件等，其中组态程序软件是存放在DPU中，系统配置文件和图形文件是存在工控机中。DCS系统软件安全防护主要就是保证这些软件的安全运行，主要工作包括：3.1 软件的安全保存DCS软件都是存放在特定的硬件设备中或工控机硬盘中的特定位置，其位置不能被随意改变；软件的内容是与生产相关的各种信息，也是不能被修改的。如果系统软件的路径或内容被修改，DCS系统可能因为找不到部分文件或对应不上正确的信息而无法正常运行。为了保证系统相关软件的安全，我们需严格规定软件的维护管理制度，做好组态程序软件、系统配置文件、系统图形文件等软件的备份工作，及时保存和备份各系统文件

16、，并将备份的软件以可靠的方式保存，一般是采用硬盘备份和光盘备份，备份好的硬盘或光盘应妥善保存。3.2 软件防病毒感染工作在计算机网络领域里，防病毒是一个与时俱进的工作，各种计算机病毒与防病毒软件进行着一场道高一尺魔高一丈不停息的斗争。DCS系统防病毒工作是电力系统二次防护的重点工作，对系统防病毒工作的有严格的规定。由于病毒入侵给DCS系统带来危害而影响机组运行的事情已有先例。国内某电厂就曾因为DCS系统被病毒攻击，所有工控机全部中毒，运行人员无法操作，导致机组设备失控时间长达数小时，所幸未造成重大设备损坏。但这一事例也给我们敲响警钟，防病毒工作不能掉以轻心。由于DCS系统自身的特点，其防病毒工

17、作有其特殊性。首先，DCS系统不适合安装防病毒软件，现在的防病毒软件运行时大都占用比较大的内存，会影响系统运行速度，对实时控制现场设备的DCS系统来说，系统运行的速度要求很严格，一旦运行速度受到影响，将可能因为时间落后造成现场设备的失控；其次，DCS系统的网络是独立的局域网，它与外界网络不能进行信息的交流，现在的网络防病毒软件要求不断地升级，下载补丁进行升级，而这一点DCS系统是没办法做到的。因此DCS系统一般不安装防病毒软件。由于DCS系统一般不安装防病毒软件，系统的防病毒工作主要是要控制病毒的来源。可能给DCS系统带来病毒的文件一般有几类：（1）进行系统升级而导入的一些文件可能带来病毒。（

18、2）进行系统维护而安装的软件或导入的文件可能带来病毒。（3）为了机组性能分析从DCS系统导出数据时，要使用外部的存储设备（如光盘、软盘、U盘），这些外部存储设备可能带来病毒。（4）SIS系统从DCS系统取数据，由于有网络的连接，病毒可能从SIS 系统入侵DCS系统。因此，DCS系统防病毒工作需要做好相关的几项工作：（1）从外界导入的文件必须经过严格的查杀病毒程序，只有确认安全的文件才能被导入系统。由于系统运行需要必须安装的软件，必须是正版可靠的软件。（2）DCS系统的工控机的各接口的使用必须严格管理，建议取消软盘、U盘接口，系统数据导入导出均通过光盘，导出采用光盘刻录的方式。（3）SIS系统与

19、DCS系统的网络连接应采用单向只读，即SIS系统只能以只读的方式从DCS系统取数据，两个系统连接的网关机必须采用安全可靠的隔离方式。（4）电厂的每台机组DCS系统最好都备份一个安装完整的操作员站系统的硬盘，当系统的工控机系统出现软件被病毒入侵时能及时更换。4 DCS系统的运行管理为了更好的管理好DCS系统，做好系统运行环境，硬件安全防护，软件安全防护等工作，应制定相应的DCS系统管理制度。同时，为了能在系统出现紧急情况下能及时解决问题，排除故障，应制定DCS系统的应急处理方案。管理制度应对相关人员的职责，系统硬件、软件维护及安全防护等管理内容和方法，相关人员使用设备时的权限，电子间、工程师站进

20、出管理等方面作明确的规定；应急处理方案应对在系统出现紧急情况时相关人员的职责，各种设备故障情况下的处理流程和方法作出明确规定。这样我们管理DCS系统就有相应的规章制度可以参照，在对系统进行维护管理时或在紧急情况处理故障时可依制度所规定的流程一步步进行，防止因为人为操作不当造成失误而影响机组的安全。5 人员管理和技术培训DCS系统作为电厂的控制中枢神经系统，其涉及的设备众多，各种设备的操作流程复杂多样，没有合格熟练的维护和运行人员是难以保证机组的安全稳定运行的。所以必须对有较强实践经验的热控工人员和运行操作人员进行相关的培训工作，培训工作必须以仿真机和实际系统相结合，做到有的放矢。（1）对运行人

21、员的培训：由于运行人员操作不当可能影响DCS硬件或软件性能，会间接影响机组的安全运行和经济指标，必须让他们充分熟悉控制界面（画面）的操作变化，知道如何操作。对启停设备、手/自动切换等日常性操作和事故情况下的事故干预，应编制完整的操作规程，进行技术培训和演练，在基建时要充分利用DCS控制系统调试阶段对相关运行人员进行全面培训，投产后有条件的电厂应利用仿真机对运行人员进行运行操作、事故演练等培训。（2）对热控人员的培训：每个电厂至少应配置一个DCS系统工程师，负责系统的管理工作，系统工程师是从有经验的热控人员中选拔出来的，因此就需要对热控人员进行相关的系统培训。对热控人员的培训要注意各有所长，由于现代DCS控制系统涉及的知识面很广，要短时间进行全面掌握是不可能的。所以要充分考虑热