控制系统可靠性及应急处理

1、1提高热控系统可靠性提高热控系统可靠性2控制系统的可靠性要求控制系统的可靠性要求故障安全故障安全。任一控制系统的部件故障，机。任一控制系统的部件故障，机组仍能安全运行。组仍能安全运行。影响最小影响最小。任一控制系统的部件故障，对。任一控制系统的部件故障，对机组运行影响最小。机组运行影响最小。容错最大容错最大。控制系统保证机组安全运行允。控制系统保证机组安全运行允许的故障程度最大。许的故障程度最大。及时处理及时处理。及时的维护和应急处理，保证。及时的维护和应急处理，保证机组安全可靠运行。机组安全可靠运行。3控制系统可靠控制系统可靠(容错容错)配置配置电源冗余电源冗余容错配置容错配置“三重化三重化

2、”输入输入/ /输出配置输出配置控制器故障对机组影响最小控制器故障对机组影响最小通信冗余通信冗余容错配置容错配置4DCS电源电源须冗余配置须冗余配置DCSDCS供电电源、电源装置冗余配置。任一供电电源、电源装置冗余配置。任一电源或电源装置故障时，也应能保证供电。电源或电源装置故障时，也应能保证供电。二路电源物理上应分离。杜绝局部故障、二路电源物理上应分离。杜绝局部故障、维护不当、小动物进入等造成二路供电同时维护不当、小动物进入等造成二路供电同时失去的情况。失去的情况。通信设备和操作员站通过切换装置实现供通信设备和操作员站通过切换装置实现供电冗余。应分组采用不同的主电源，即使切电冗余。应分组采用

3、不同的主电源，即使切换装置故障，在某路供电电源失去时，仍能换装置故障，在某路供电电源失去时，仍能保证部分操作员站和通信正常运行。保证部分操作员站和通信正常运行。5DCS控制器须可靠冗余控制器须可靠冗余硬件故障、软件出错、通信故障及失去电硬件故障、软件出错、通信故障及失去电源等，仍能正常承担控制任务。源等，仍能正常承担控制任务。类故障控制器最少类故障控制器最少。只有。只有MFTMFT、ETSETS！l双列布置辅机或设备分配在二对控制器中。双列布置辅机或设备分配在二对控制器中。l同一工艺分配在同一控制器中，如制粉系同一工艺分配在同一控制器中，如制粉系统。统。能可靠在线组态。能可靠在线组态。l 单列

4、布置辅机分配在同一控制器中。单列布置辅机分配在同一控制器中。6DCS通信系统须冗余设置通信系统须冗余设置冗余通信设备应物理上分离。冗余通信设备应物理上分离。对于多对通信设备（如交换机），任一对对于多对通信设备（如交换机），任一对通信设备都故障，对机组影响最小。通信设备都故障，对机组影响最小。l操作员站应分散布置在不同的交换机上操作员站应分散布置在不同的交换机上l相关性强的控制器布置在同一对交换机上。相关性强的控制器布置在同一对交换机上。除一对互为冗余通信设备同时故障外，控除一对互为冗余通信设备同时故障外，控制系统的通信应能正常运行。制系统的通信应能正常运行。l对机组监视影响最小。对机组监视影响

5、最小。7I/O布置的可靠性要求布置的可靠性要求任一信号的测量原件、任一信号的测量原件、I/OI/O模件通道故障不能造模件通道故障不能造成保护误动和拒动。成保护误动和拒动。三重化冗余输入要求同一物理参数应采用三个相三重化冗余输入要求同一物理参数应采用三个相互独立的一次测量元件测量，并由三根不同的电互独立的一次测量元件测量，并由三根不同的电缆接入三块不同的输入处理模件。缆接入三块不同的输入处理模件。主辅机保护信号，应按三重化冗余原则配置，主辅机保护信号，应按三重化冗余原则配置，MFTMFT、ETSETS、单列布置辅机应三重化。、单列布置辅机应三重化。三重化冗余保护输出要求动作指令由三块不同的三重化

6、冗余保护输出要求动作指令由三块不同的输出处理模件及其继电器等构成一种三选二回路。输出处理模件及其继电器等构成一种三选二回路。8保护逻辑的可靠设计保护逻辑的可靠设计(民主表决民主表决)信号故障处理信号故障处理( (正确的证据正确的证据) )辅助辅助( (智能智能) )判断判断相关信号构成三重化判断逻辑相关信号构成三重化判断逻辑三重化判断逻辑三重化判断逻辑控制逻辑的可靠性要求控制逻辑的可靠性要求通过冗余判断、辅助判断、智能判断等容错逻辑通过冗余判断、辅助判断、智能判断等容错逻辑设计技术提高保护、联锁功能的可靠性，确保控设计技术提高保护、联锁功能的可靠性，确保控制系统局部单一故障，不会造成保护拒动和

7、误动。制系统局部单一故障，不会造成保护拒动和误动。信号故障处理。在出现信号故障处理。在出现“坏质量坏质量”或或“变化率超变化率超限限”，防止保护误动。及时报警。，防止保护误动。及时报警。10三重化判断逻辑三重化判断逻辑三重化开关量判断逻辑三重化开关量判断逻辑跨控制器的三重化判断逻辑跨控制器的三重化判断逻辑三重化模拟量判断逻辑三重化模拟量判断逻辑跳闸信号2跳闸信号1跳闸信号3跳闸条件H/LH/LH/L2/3跳闸信号2跳闸信号1跳闸信号3跳闸条件中选H/L跳闸条件DO1DI12/3DO2DI2DO3DI3跳闸信号2跳闸信号1跳闸信号3H/LH/LH/L跳闸信号2跳闸信号1跳闸信号3跳闸条件中选H/

8、LDO1DI12/3DO2DI2DO3DI3跳闸信号2跳闸信号1跳闸信号3跳闸条件中选AO1AI1AO2AI2AO3AI3中选H/L相关信号构成三重化判断逻辑相关信号构成三重化判断逻辑运行2/3停止电流/L停止状态N11双模拟量信号保护判断逻辑双模拟量信号保护判断逻辑12辅助判断辅助判断辅助判断的主要作用防止保护误动，但不能增加辅助判断的主要作用防止保护误动，但不能增加保护拒动的概率。保护拒动的概率。辅助条件应多个，任一满足时，主保护条件满足，辅助条件应多个，任一满足时，主保护条件满足，保护动作。保护动作。辅助条件与主保护条件存在着必然的联系，而且辅助条件与主保护条件存在着必然的联系，而且主保

9、护条件满足，辅助判断条件必然存在。如辅主保护条件满足，辅助判断条件必然存在。如辅助判断定值应低于跳闸值，一般为报警值。助判断定值应低于跳闸值，一般为报警值。辅助判断条件在故障时，应退出保护判断，不影辅助判断条件在故障时，应退出保护判断，不影响主保护动作。响主保护动作。应急处理应急处理分散控制系统（DCS）在运行中的故障，如电源失电、操作员站“黑屏”或“死机”、冗余控制器切换异常、通讯中断以及模件损坏等，如果处理不当会导致故障扩大，造成机组跳闸甚至主设备损坏事故。为建立分散控制系统故障应急处理和长效管理机制，确保故障发生时能够迅速、准确地组织故障处理，最大限度地降低故障造成的影响电力行业热工自动

10、化技术委员会电力行业热工自动化技术委员会 故障分级故障分级电力行业热工自动化技术委员会电力行业热工自动化技术委员会 按故障后果分级按故障后果分级一级一级跳机，或可能导致人身伤害、重要设备损坏跳机，或可能导致人身伤害、重要设备损坏二级二级处理不当会转为一级处理不当会转为一级三级三级暂不影响机组安全暂不影响机组安全6类：电源全失；操作站全失；网络全瘫痪；类：电源全失；操作站全失；网络全瘫痪；FSSSFSSS全失；全失；ETSETS全失；全失；DEHDEH全失；全失；电力行业热工自动化技术委员会电力行业热工自动化技术委员会 序号故障类型故障描述故障级别A1电源故障DCS系统电源失去DCS系统电源全部

11、失去一级A2DCS系统电源单路失去二级A3A类控制系统（除DCS系统）电源失去全部失去（见控制器故障）一级A4任一电源失去冗余二级B1网络故障DCS网络全部瘫痪（包括数据通讯服务器全部故障）一级B2A类控制系统任一网络失去冗余（包括数据通讯服务器单个故障）二级C1控制器故障全部故障（包括电源失去）锅炉/汽机主保护控制器、DEH基本控制器全部故障，或A类控制系统任一对冗余控制器全部故障且涉及安全的参数无必要后备监视手段一级C2除一级外，A类控制系统控制器全部故障但有必要的后备监视手段二级C3单侧故障A类控制系统（FSSS、ETS 、DEH基本等）控制器失去冗余二级C4非A类控制系统控制器失去冗余

12、三级D1操作员站故障操作员站全部失去监控一级D2部分操作员站失去监控二级EI/O模件故障A类I/O模件故障二级分散控制系统设备重大故障源分级分散控制系统设备重大故障源分级电力行业热工自动化技术委员会电力行业热工自动化技术委员会 响应流程响应流程电力行业热工自动化技术委员会电力行业热工自动化技术委员会 一级一级停机判断，或转为二级停机判断，或转为二级二级二级处理评估，可转为一级处理评估，可转为一级三级三级日常维护程序日常维护程序电力行业热工自动化技术委员会电力行业热工自动化技术委员会 电力行业热工自动化技术委员会电力行业热工自动化技术委员会 故障处理、故障处理、DCS系统维护规范操作系统维护规范

13、操作 1） 故障快速查找表（现象、原因、处理步骤、故障快速查找表（现象、原因、处理步骤、安措、影响）安措、影响）2） 典型操作卡（送电、在线换卡、复位、下典型操作卡（送电、在线换卡、复位、下装、备份、采用维护指令）装、备份、采用维护指令）3） 应急预案应急预案4） 可靠性确认要点及异常处理注意点（设计、可靠性确认要点及异常处理注意点（设计、维护建议）维护建议）电力行业热工自动化技术委员会电力行业热工自动化技术委员会 应急处理原则应急处理原则l一级故障注重于跳闸后的恢复，重点是确保设备不损坏.l二级故障是故障应急处理中的重点，重点防止演变为一级故障,确保机组不跳闸或故障扩大。电力行业热工自动化技

14、术委员会电力行业热工自动化技术委员会 电力行业热工自动化技术委员会电力行业热工自动化技术委员会 电力行业热工自动化技术委员会电力行业热工自动化技术委员会 一级故障预案：电源全失、一级故障预案：电源全失、FSSSFSSS全失、全失、ETSETS全失、全失、DEHDEH全失全失 l 控制系统设计是否能保证被控设备和系统处于安全状态？控制系统设计是否能保证被控设备和系统处于安全状态？-由于由于各电厂控制系统在设计上存在差异，有必要进行安全性评估。各电厂控制系统在设计上存在差异，有必要进行安全性评估。l DCS全部电源失去以后，由于锅炉风烟系统全部电源失去以后，由于锅炉风烟系统“防内爆防内爆”保护逻辑

15、保护逻辑和控制回路均不能工作和控制回路均不能工作 ，应关注炉膛压力的变化，必要时立即停止，应关注炉膛压力的变化，必要时立即停止送引风机运行（通常是在送引风机运行（通常是在5min吹扫完成后停止）。吹扫完成后停止）。电力行业热工自动化技术委员会电力行业热工自动化技术委员会 电力行业热工自动化技术委员会电力行业热工自动化技术委员会 一级故障预案：操作站全失、网络瘫痪一级故障预案：操作站全失、网络瘫痪 判断是否需要停机？判断是否需要停机？-故障时间、后备监视支持、网络结构、联锁逻辑组态设计都故障时间、后备监视支持、网络结构、联锁逻辑组态设计都是要考虑的因素。是要考虑的因素。ABB、国电智深、和利时、

16、国电智深、和利时、 GE 新华、上海新华、南京科远系统：新华、上海新华、南京科远系统：无后备监视，短时间内无法恢复，打闸停机。无后备监视，短时间内无法恢复，打闸停机。日立系统：日立系统：无后备监视，或无后备监视，或15min内无法恢复半数以上，打闸停机。内无法恢复半数以上，打闸停机。Ovation 系统：系统：操作站失去可不停机，确认网络瘫痪应打闸停机。操作站失去可不停机，确认网络瘫痪应打闸停机。福克斯波罗系统：福克斯波罗系统：操作站失电不停机，网络瘫痪在规定时间内无法恢复，打闸停机。操作站失电不停机，网络瘫痪在规定时间内无法恢复，打闸停机。西门子系统、国电南自系统：西门子系统、国电南自系统：

17、不停机，退出不停机，退出AGC，维持机组稳定不操作。，维持机组稳定不操作。国家电力公司国家电力公司25项反措项反措2000（国网（国网20项项2007、国华、国华25项项2010）：）： 12.2.2 当全部操作员站出现故障时（所有上位机当全部操作员站出现故障时（所有上位机“黑屏黑屏”或或“死机死机”），），若主要后备硬手操及监视仪表可用且暂时能够维持机组正常运行，则转用后备操作若主要后备硬手操及监视仪表可用且暂时能够维持机组正常运行，则转用后备操作方式运行，方式运行，同时排除故障并恢复操作员站运行方式，否则应立即停机、停炉。同时排除故障并恢复操作员站运行方式，否则应立即停机、停炉。若无可靠的

18、后备操作监视手段，也应停机、停炉。若无可靠的后备操作监视手段，也应停机、停炉。 电力行业热工自动化技术委员会电力行业热工自动化技术委员会 电力行业热工自动化技术委员会电力行业热工自动化技术委员会 l 2005年年6月月29日，某厂日，某厂#2机组（机组（130MW）FOXBORO I/A 系统系统2次出现次出现DCS网网络故障，所有操作员站全部失去监控络故障，所有操作员站全部失去监控 ，待续时间分别为，待续时间分别为3min和和30s。l 2005年年8月月12日，某厂日，某厂#3机组（机组（600MW）ABB Symphony系统系统DCS环路通讯环路通讯中断，所有操作员站全部失去监控中断，

19、所有操作员站全部失去监控 ， 40s后恢复正常。后恢复正常。l 2006年年9月月8日，某厂日，某厂#2机组（机组（600MW）ABB Symphony系统出现系统出现DCS网络故网络故障，所有操作员站全部失去监控障，所有操作员站全部失去监控 ，2min左右恢复正常。左右恢复正常。l 2010年年10月月4日，某厂日，某厂#4机组（机组（600MW）ABB Symphony系统出现系统出现DCS网络网络故障，所有操作员站全部失去监控故障，所有操作员站全部失去监控 ，45s后恢复正常。后恢复正常。 l 2009年年3月月11日，某厂日，某厂#3机组（机组（300MW）新华）新华XDPS-400系

20、统受病毒攻击，操系统受病毒攻击，操作员站和工程师站全部失去监控作员站和工程师站全部失去监控 ，仅能通过大屏进行监控，仅能通过大屏进行监控， 30min后恢复了后恢复了2台台操作员站，清理病毒全部处理时间持续了操作员站，清理病毒全部处理时间持续了7小时小时20分。分。l 2010年年2月月5日，某厂日，某厂4台机组台机组(4600MW ，1-3号运行，号运行，4号调停号调停)西门子西门子TXP DCS系统终端总线故障（系统终端总线故障（#2机机PI接口机故障，接口机故障，OPC数据洪流导致的网络崩溃），数据洪流导致的网络崩溃），所有操作员站全部失去监控，所有操作员站全部失去监控， 3台运行机组的

21、处理恢复时间分别为台运行机组的处理恢复时间分别为6min、8min、20min。近几年浙江发生的几起近几年浙江发生的几起DCS网络故障的案例，没有一例造成停机。网络故障的案例，没有一例造成停机。电力行业热工自动化技术委员会电力行业热工自动化技术委员会 l 2010年年2月月5日，某厂日，某厂4台机组台机组(4600MW ) ，1-3号运行（号运行（530MW 、465MW 、566MW ，全部在，全部在AGC方式方式 ），），4号调停（盘车、真空、轴封、定冷水、闭冷水、凝结水、号调停（盘车、真空、轴封、定冷水、闭冷水、凝结水、循环水等系统运行循环水等系统运行 ）。）。l 14:31，运行人员发

22、现公用系统所有画面全部翻红，运行人员发现公用系统所有画面全部翻红，1、2、3、4号机号机DCS所有操作员站所有操作员站的画面全部翻红，的画面全部翻红，DCS所有操作员站失去监控。所有操作员站失去监控。 l 热控系统管理员检查发现热控系统管理员检查发现1号、号、3号机组号机组PU、SU服务器状态正常，服务器状态正常，2号、号、4号机组号机组PU/SU服务器部分不正常，判断为各台机组服务器部分不正常，判断为各台机组DCS系统终端网络故障。系统终端网络故障。l 值长立即启动值长立即启动DCS系统终端网络故障处理预案系统终端网络故障处理预案。l 值长立即汇报省调并申请撤出值长立即汇报省调并申请撤出1、

23、2、3号机组号机组AGC，保持各台机组负荷稳定。，保持各台机组负荷稳定。 l 值长令值长令1、2、3号机组安排专人监控机组所有重要参数，若有不正常变化立即打闸停机。号机组安排专人监控机组所有重要参数，若有不正常变化立即打闸停机。令令4号机组派巡检赴就地检查盘车运行情况，以及所有运行系统及设备的运行情况。号机组派巡检赴就地检查盘车运行情况，以及所有运行系统及设备的运行情况。 l 各机组现场人员检查后，汇报所有设备及系统都运行正常。各机组现场人员检查后，汇报所有设备及系统都运行正常。 l 热控人员处理故障，热控人员处理故障，3、1、2号机组分别在号机组分别在6min、8min、20min后恢复正常

24、。后恢复正常。l 15:53，值长汇报省调，投入，值长汇报省调，投入1、2、3号机组号机组AGC 。l 16:20，4号机组终端网络恢复正常；号机组终端网络恢复正常；18:30，4号机组号机组DCS系统恢复正常。系统恢复正常。 故障原因：故障原因：2号机组号机组PI接口机故障，接口机故障，OPC数据洪流导致的网络崩溃，数据洪流导致的网络崩溃，2号号-公用公用-1号号-3号号-4号。号。按照预案处理，没有造成停机。按照预案处理，没有造成停机。某厂西门子某厂西门子TXP DCS系统终端总线故障的处理案例系统终端总线故障的处理案例例如：在MCS系统#19PCU柜失电后，机组不跳闸，空预器电机以1Hz

25、的速度运行，如果运行中发生此故障又没有及时干预，必然导致空预器转子严重变形。原因：我厂空预器的主、辅电机均采用变频器控制，变频器的420mA模拟量转速指令来自MCS系统。MCS系统PCU柜失电时，420mA模拟量转速指令消失，此变频器无断信号保持功能，断信号后变频器以内部设置的初始启动转速运行，而原生产厂家设置的初始启动转速是1Hz。整改：与锅炉专业沟通，并经空预器生产厂家确认后，将空预器变频器的初始启动转速由1Hz改为了10Hz，保证了MCS系统PCU柜失电或DCS失电时空预器不会损坏。发现的问题与隐患发现的问题与隐患例如:汽机顺控#24PCU柜主要控制高低加、疏水、抽汽等设备，该控制柜失电

26、后，疏水气动门（大部分为气关式）会自动打开，电动门状态不变，机组不会跳闸，但在恢复上电过程中，16段抽汽电动门全部自关，这种异常现象如在机组运行中发生，极易导致给水流量低跳闸机组。原因：PCU柜上电后主控制器先于通讯模件恢复，从环路通讯过来的挂闸信号在SCS取非后导致跳闸信号为1所致。整改：增加一个延迟功能块，延迟时间设置大于主控制器与通讯模件的启动时间差。建议：解决此类问题的最好办法是：尽量让环路上的信号在机组运行期间以0传输（有其他特殊原因的除外）。指导或提醒指导或提醒指导或提醒28应急处理设想应急处理设想控制系统在设备选型、控制系统在设备选型、DCSDCS硬件配置、控制逻辑、硬件配置、控制逻辑、安装等方面充分考虑便于应急处理。安装等方面充分考虑便于应急处理。通过分析和试验，明确各种故障造成的后果，并通过分析和试验，明确各种故障造成的后果，并根据故障对机组安全运行的影响制订应急预案。根据故障对机组安全运行的影响制订应急预案。保护的信号在逻辑图上应有标注。控制器间的通保护的信号在逻辑图上应有标注。控制器间的通信信号应能方便地找到，便于控制器故障处理。信信号应能方便地找到，便于控制器故障处理。应急处理时应避免造成一对设备同时故障的情况，应急处理时应避免造成一对设备同时故障的情况，并按