4---01【25项反措培训】-DCS及保护反措--杨振勇(共98张).pptx

1 国家能源局25项反措交流（热控部分）华北电力科学研究院华北电力科学研究院杨振勇杨振勇 2015.42015.42 目录一、反措背景二、防止DCS失灵三、防止热工保护失灵3 目录一、反措背景二、防止DCS失灵三、防止热工保护拒动4 原则：安全第一、预防为主原则：安全第一、预防为主 实质：标准的具体化、强制化实质：标准的具体化、强制化1、 1987年原水电部十八项反措 关于防止电力生产重大事故的重点要求2、1992年原能源部二十项反措 防止电力生产重大事故的二十项重点要求 （能源办（1992）726号） 1992.7.283、2000年国家电力公司二十五项反措 防止电力生产重大事故的二十五项重点要求 国电发2000589号5 4、各自管理 国网公司 （2011）、南网（2011）、华能（2007）、大唐（2009）、国电、中电投等公司分别制定本企业的反事故措施。5、最新进展 国家能源局新25项反措。【国能安全（2014）161号】 将形成以国家能源局25项反措为基础、各电力企业反措为实施细则的新反事故措施体系。6 事故下降：事故下降：2000年原国家电力公司25项反措颁发后，效果明显，事故下降。在电网容量增加、系统不断扩大的条件下，各项事故的发生呈下降趋势。事故回升：事故回升：电力改革与电力快速发展（尤其基建），出现新的问题。如：各发电公司有些事故频发，重特大事故出现，如汽轮机断油烧瓦轴系损坏事故、锅炉炉膛外爆事故、锅炉缺水事故、电缆着火事故以及全厂停电事故，且出现新的事故类型。修编反措：修编反措：各发电公司积极应对，在关于防止电力生产重大事故的二十五项重点要求的基础上，制定了适用于本公司的防止电力生产重大事故的二十五项重点要求。目的：防止特大、重大和频发性事故的发生。管理统一：管理统一：国家能源局在25项反措方面，重新回归本身管理职能，制定统一的反措，为各个发电集团公司提供总的参考。 7 DCS配置的基配置的基本要求本要求DCS故障的紧故障的紧急处理措施急处理措施防止热工保护防止热工保护失灵失灵原25项反措667新25项反措13813汽包水位汽包水位机网协调机网协调原25项反措14新25项反措1628 反措与标准： 频发性 危害性热控部分编写理念： 抓重点（条目尽可能少） 可执行 易操作9 火力发电厂锅炉炉膛安全监控系统在线验收测试规程（DL/T655-2006）火力发电厂汽轮机控制系统在线验收测试规程（DL/T656-2006）火力发电厂模拟量控制系统在线验收测试规程（DL/T657-2006）火力发电厂顺序控制系统在线验收测试规程（DL/T658-2006）火力发电厂分散控制系统在线验收测试规程（DL/T659-2006）火力发电厂锅炉炉膛安全监控系统技术规程(DL/T1091-2008)火力发电厂分散控制系统技术条件(DL/T 1083-2008)火力发电厂设计技术规程（第12章 热工自动化部分）(DL/T 5000-2000)火力发电厂热工控制系统设计技术规定(DL/T 5175-2003)火力发电厂热工保护系统设计技术规定(DL/T 5428-2009)火力发电厂分散控制系统技术规范书(QDG 1-K401-2004)发电厂热工仪表及控制系统技术监督导则（DL/T 1056-2007）火力发电厂热工自动化系统检修运行维护规程(DL/T 774-2004 )火力发电厂厂级监控信息系统技术条件（DL/T 924-2005）、大中型火力发电厂设计规范（GB 50660-2011）火力发电厂热工自动化就地设备安装、管路及电缆设计技术规定（DL/T 5182-2004）电力建设施工及验收技术规范-第5部分：热工仪表及控制装置（DL/T 5190.5-2004）火力发电厂辅助系统（车间）热工自动化设计技术规定（DL/T 5227-2005）电网与电厂计算机监控系统及调度数据网络安全防护规定（国家经贸委令第30号（2002）电力二次系统安全防护规定（电监会5号令）10 目录一、反措背景二、防止DCS失灵三、防止热工保护失灵11 二、防止DCS失灵-DCS设计原则 集中与集中与分散原分散原则则 冗余配冗余配置原则置原则 独立性独立性 原则原则分层分分层分级原则级原则优先级优先级设计原则设计原则火力发电厂热工控制系统设计技术规定（DL/T 5175-2003）12 DCS故障紧急处理措施 DCS系统的管理规范 二、防止DCS失灵-主要内容 设计与实现设计与实现 运行管理运行管理 故障处理故障处理 基本配置基本配置 冗余配置冗余配置 功能配置功能配置 电源系统电源系统 接地系统接地系统 后备安全后备安全 网络安全网络安全 环境条件环境条件 测点配置测点配置13 9.1.1 DCS配置应能满足机组任何工况下的监控要求（包括紧急故障处理），控制站及人机接口站的CPU负荷率、系统网络负荷率、DCS与其他相关系统的通信负荷率、控制处理器周期、系统响应时间、SOE分辨率、抗干扰性能、控制电源质量、GPS时钟等指标应满足相关标准的要求。解析：以上是对解析：以上是对DCSDCS系统能够保障机组安全稳定运行提出的基本要求。系统能够保障机组安全稳定运行提出的基本要求。DCSDCS系统的各控制站、计算站、数据管理站等，其储备容量及各部件负系统的各控制站、计算站、数据管理站等，其储备容量及各部件负荷率，应满足荷率，应满足火力发电厂分散控制系统技术条件火力发电厂分散控制系统技术条件（DL/T 1083-DL/T 1083-20082008）的要求。）的要求。措施：措施：DCSDCS性能测试是系统运行后重要的技术保障手段。前期靠设计、性能测试是系统运行后重要的技术保障手段。前期靠设计、后期靠测试。后期靠测试。二、防止DCS失灵-基本配置14 解析：解析：1 1、CPU负荷率在极端工况下负荷率不得大于60%；2 2、DCS控制器处理模拟量控制的扫描周期一般要求为250ms，快速处理的控制回路可为125ms，过程控制对象，扫描周期可为500ms750ms；开关量控制的扫描周期一般要求为100ms，汽机保护（ETS）应不大于50ms，执行汽轮机超速保护控制（OPC）和超速跳闸保护（OPT）部分的逻辑，扫描周期应不大于20ms。3 3、DCS中通讯网络负荷率不得超过30%，以太网通讯率不得超过20%；系统操作时间，其值不应超过2.0秒。4 4、DCS应设计必要的SOE测点，其分辨率应不大于1ms。SOE通道应有4ms防抖动滤波处理，但不影响1ms的分辨率。安装在不同控制器中的SOE模件应有可靠的时间同步措施，保证系统SOE的触发时序正确；机组检修后应开展SOE试验，验证SOE系统的可靠性。5 5、DCS应具备GPS时钟接入功能，各种类型的历史数据必须具有统一时标，与全厂时钟系统(或GPS时钟)保持同步。二、防止DCS失灵-基本配置15 控制器处理周期测试技术：控制器处理周期测试技术： 测试目的测试目的反映了控制器对组态逻辑进行运算处理的快慢可用于评估控制器运算负荷，是评价和预判系统死机、失灵可能性的重要参数之一 逻辑图与逻辑图与输出波形输出波形控制器周期系统I/O周期 测试项目测试项目 解决方案解决方案累加功能回路设计DI-DO赋值逻辑回路二、防止DCS失灵-基本配置16 控制器处理周期测试技术：控制器处理周期测试技术：采用累加回路系统设置周期100ms累加回路为100次结论：实际周期100.93ms二、防止DCS失灵-基本配置17 二、防止DCS失灵-基本配置某DCS控制器周期测试结果18 系统响应实时性测试：系统响应实时性测试： 定义、方法：定义、方法： 测试结果测试结果系统响应时间是指由操作员站（CRT）发出控制命令开始，到该控制命令所执行的DO控制指令输出（通常为DO输出继电器动作）动作为止，其过程所需时间即为系统响应时间。系统响应时间应1秒专用测试平台，自动测试从鼠标点击发出指令到DO发生变化的时间。二、防止DCS失灵-基本配置19 系统响应实时性测试：系统响应实时性测试：二、防止DCS失灵-基本配置20 抗干扰性能测试技术：抗干扰性能测试技术：抗干扰性能是抗干扰性能是DCS在应用中的重要性能，应作为重点进在应用中的重要性能，应作为重点进行测试和评价。行测试和评价。 从电磁干扰三要素入手从电磁干扰三要素入手 干扰源干扰源 干扰传播途径干扰传播途径 干扰敏感体干扰敏感体二、防止DCS失灵-基本配置21 AI通道共模抑制比通道共模抑制比/差模抑制比测试技术：差模抑制比测试技术：UUclg20CMRR共模抑制比的表达式：cU：施加在通道上共模干扰的大小U：在此干扰作用下测量示值的变化量UUnlg20NMRR差模抑制比的表达式：施加在通道上差模干扰的大小U：在此干扰作用下测量示值的变化量nU二、防止DCS失灵-基本配置22 SOE模件性能测试技术：模件性能测试技术：模件功能模件功能实现系统事故追忆功能实现系统事故追忆功能分辨力要求：分辨力要求：1ms重要性：重要性：尤其在机组跳闸时有助于事故分析。缩短事故分析时间、提高事故分析准确性、记录关键数据信号的具体动作时间。 当机组发生故障时，需要查找真实原因，而一般历史数据记录只能做到秒级分辨率，同一秒内出现的信息不能分出先后顺序。事件顺序记录系统（SOE）以毫秒级的分辨率获取事件信息，为事故分析提供有力证据。 SOE是电厂重要的运行状态监测、事故分析用设备。要素：要素：记录完整、顺序正确。顺序正确。二、防止DCS失灵-基本配置23 存在问题：存在问题：各类型DCS系统SOE硬件标准不一，出厂验收形式化。GPS没有正常投入，甚至不能保证各操作站时钟一致。SOE卡件设计分配不合理，过于分散化不能保证时钟同步。在SOE功能测试过程中发现不能保证精度及时序正确性。SOE模件性能测试技术：模件性能测试技术：二、防止DCS失灵-基本配置24 测试项目：测试项目：在同一SOE卡件上的时间分辩力测试不在同一SOE卡件上的时间分辩力测试不同网络中SOE卡件上的时间分辨力测试（燃机）SOE模件性能测试技术：模件性能测试技术：二、防止DCS失灵-基本配置不同控制器SOE卡件上的时间分辩力测试25 基本测试原理SOE模件时间分辨能力测试：模件时间分辨能力测试：用多路可编程脉冲信号发生器产生在相位上具有提前或滞后关系的多路脉用多路可编程脉冲信号发生器产生在相位上具有提前或滞后关系的多路脉冲，通过调整脉冲间隔来测试模件对信号的时间分辨能力冲，通过调整脉冲间隔来测试模件对信号的时间分辨能力 基于正逆脉冲组的时基于正逆脉冲组的时间分辨力测试技术间分辨力测试技术左上图为正顺序脉冲组左上图为正顺序脉冲组左下图为逆顺序脉冲组左下图为逆顺序脉冲组一般做法：只采用一种脉冲组，不严谨一般做法：只采用一种脉冲组，不严谨可能存在模件通道的采样顺序与输入信可能存在模件通道的采样顺序与输入信号的延时顺序相合，导致测试结果的错误号的延时顺序相合，导致测试结果的错误二、防止DCS失灵-基本配置26 SOE部分测试结论部分测试结论二、防止DCS失灵-基本配置27 SOE部分测试结论部分测试结论04/10/201209:53:17.015 12-2-2NoDescriptionProvided104/10/201209:53:17.014 11-2-2NoDescriptionProvided104/10/201209:53:17.013 10-2-2NoDescriptionProvided104/10/201209:53:17.012 9-2-2NoDescriptionProvided104/10/201209:53:17.011 8-2-2NoDescriptionProvided104/10/201209:53:17.010 7-2-2NoDescriptionProvided104/10/201209:53:17.009 6-2-2NoDescriptionProvided104/10/201209:53:17.008 5-2-2NoDescriptionProvided104/10/201209:53:17.007 4-2-2NoDescriptionProvided104/10/201209:53:17.006 3-2-2NoDescriptionProvided104/10/201209:53:17.006 16-7SOE16-7104/10/201209:53:17.005 2-2-2NoDescriptionProvided104/10/201209:53:17.005 15-7SOE15-7104/10/201209:53:17.004 1-2-2NoDescriptionProvided104/10/201209:53:17.004 14-7SOE14-7104/10/201209:53:17.003 13-7SOE13-7104/10/201209:53:17.002 12-7SOE12-7104/10/201209:53:17.001 11-7SOE11-7104/10/201209:53:16.998 10-7SOE10-7104/10/201209:53:16.997 9-7SOE9-7104/10/201209:53:16.996 8-7SOE8-7104/10/201209:53:16.995 7-7SOE7-7104/10/201209:53:16.994 6-7SOE6-7104/10/201209:53:16.993 5-7SOE5-7104/10/201209:53:16.992 4-7SOE4-7104/10/201209:53:16.991 3-7SOE3-7104/10/201209:53:16.990 2-7SOE2-7104/10/201209:53:16.989 1-7SOE1-71不同控制器不同SOE卡测试记录结论：两卡之间时序有重叠单卡内时序正确二、防止DCS失灵-基本配置28 CRT画面实时性测试技术：画面实时性测试技术：定义：定义：从操作员站CRT画面上选择任一幅监控画面，从调用该画面的指令发出开始(鼠标点击),到所调用画面全部正常显示为止，所需时间即为CRT画面响应时间。 华北电科院热控所专用检测平台：基于光华北电科院热控所专用检测平台：基于光敏原理的自动检测平台敏原理的自动检测平台与数据库读取时间、控与数据库读取时间、控制器运算周期、网络传制器运算周期、网络传输速率、图形显示速率输速率、图形显示速率等相关，是综合参数等相关，是综合参数标准规定：CRT画面调用时间不大于1秒钟。二、防止DCS失灵-基本配置29 二、防止DCS失灵-基本配置网络测试：网络测试：30 案例1某电厂发生分散控制系统频繁故障和死机造成机组停运事故。从1997年2月开始7号机组进入试生产至1997年5月，两台机组共发生22次DCS系统故障和死机，其中造成机组不正常跳闸8次。之后又发生多次操作画面故障(8号机组有两次发生全部6台操作员站“黑屏”)，其中1次造成8号机组不正常跳闸，严重威胁机组安全。 经过DCS系统事故分析专家评审会专家评审组的分析，认为其DCS系统存在以下几方面问题：(1)DCS工程设计在性能计算软件、开关量冗余配置上存在问题；(2)硬件配置不匹配； (3)个别硬件设计不完善；（4）系统上、下位通讯负荷率不匹配。（综合问题）二、防止DCS失灵-基本配置31 案例2某电厂在200MW机组的热控系统自动化改造上使用的DCS系统，由于系统配置的负荷率计算不准且为了减少投资技术指标均靠近允许极限，加之该系统有运行时中间虚拟IO点量大的特点，所以在改造后期(大修即将结束时)调试时发现个别控制器的负荷率竟超过了90，个别软手操操作响应竟接近1min，根本无法使用，后经过大幅度系统调整(系统重新增加配置)，才解决了这个问题。(硬件配置问题)案例3某600MW新机组，由于在招标的技术规范中对I/O通道隔离性质表述不到位，结果DCS厂家做的配置很低，结果在调试时烧损了大量I/O板，后来改变了隔离方式和更换了硬件，电厂又花费了许多资金，也抵消了当初的招标价格优势。（硬件配置问题）二、防止DCS失灵-基本配置32 案例4某电厂2号机组负荷200MW， 8时23分，各控制器依次发报警，8时26分，#2控制器脱网，#52控制器切为主控；11时05分，#52控制器脱网；13时39分，#7控制器脱网，#57控制器切为主控，在#7控制器向#57控制器切换瞬间，由该控制器控制的A、B磨煤机跳闸；15时11分，#9控制器脱网，#59控制器切为主控，在#9控制器向#59控制器切换瞬间，由该控制器控制的E磨煤机跳闸；15时51分，#1控制器脱网，#51控制器切为主控，在#1控制器向#51控制器切换瞬间，由该控制器控制的A引风机动叶被强制关闭。 分析发现DCS控制器脱网原因为主时钟与备用时钟不同步造成系统时钟紊乱，从而导致控制器脱网。（时钟故障）二、防止DCS失灵-基本配置33 案例5某电厂3号机组机组停机前电负荷115MW，炉侧主汽压9.55MPa，主汽温537，主给水调节门开度43%，旁路给水调节门开度47%（每一条给水管道均能满足100%负荷的供水），汽包水位正常。运行人员发现锅炉侧部分参数显示异常，各项操作均不能进行，同时炉侧CRT画面显示各项自动已处于解除状态。调自检画面发现#3控制器离线，#23控制器处于主控状态，主汽压在9.09.6MPa波动、主汽温在510540波动、汽包水位在+75-50mm波动，维持运行。几分钟后，发现#3控制器离线、#23控制器为主控状态，但#23控制器主控下的I/O点（汽包水位、主汽温、主汽压、给水压力、等）均为坏点，自动控制手操失灵。经过多次重启，#3控制器恢复升为主控状态。在释放强制的I/O点时，运行人员发现汽包水位急剧下降，就地检查发现旁路给水调节门在关闭状态，手动摇起三次均自动关闭，汽包水位TV和显示表监视不到水位，手动停炉、停机。 根据能历史记录分析认为根据能历史记录分析认为：#3控制器（主控）故障前，#23控制器（辅控）因硬件故障或通讯阻塞，已经同I/O总线失去了通讯。当#3控制器因主机卡故障离线后，#23控制器升为主控，但无法读取I/O数据，造成参与汽水系统控制的一对冗余控制器同时失灵，给水自动控制系统失控，汽包水位保护失灵。在新更换的3控制器重启成功后释放强制点的过程中，DCS将旁路给水调节门指令置零，关闭旁路调节门，造成汽包缺水。（通讯故障）二、防止DCS失灵-基本配置34 9.1.2 DCS的控制器、系统电源、为I/O模件供电的直流电源、通讯网络等均应采用完全独立的冗余配置，且具备无扰切换功能；采用B/S、C/S结构的DCS系统的服务器应采用冗余配置，服务器或其供电电源在切换时应具备无扰切换功能。（冗余原则，独立性原则）解析解析1 1：火力发电厂分散控制系统技术条件火力发电厂分散控制系统技术条件（DL/T 1083-2008DL/T 1083-2008）从控制对象角度要求从控制对象角度要求 “用于机组主控和重要辅机系统的用于机组主控和重要辅机系统的DCSDCS的控制的控制处理器均为主要控制器，应冗余配置；重要辅机设备可包括送风机、处理器均为主要控制器，应冗余配置；重要辅机设备可包括送风机、引风机、一次风机、空气预热器、制粉系统、给水泵、凝结水泵、引风机、一次风机、空气预热器、制粉系统、给水泵、凝结水泵、循环水泵、真空泵、重要冷却水泵、重要油泵等。同时规定虽然控循环水泵、真空泵、重要冷却水泵、重要油泵等。同时规定虽然控制处理器故障，而短期内不影响机组稳定运行的辅助控制系统的制处理器故障，而短期内不影响机组稳定运行的辅助控制系统的DCSDCS，可不要求冗余配置；，可不要求冗余配置；”二、防止DCS失灵-冗余配置35 解析解析2 2：（1 1）确保确保DCSDCS系统硬件可靠的系统硬件可靠的重要手段重要手段就是将就是将DCSDCS系统的系统的核心部件进行核心部件进行冗余设计冗余设计，通过，通过冗余技术冗余技术和和无扰切换技术无扰切换技术，来降低来降低DCSDCS构成部件故障时对整体安全和功能的影响。冗构成部件故障时对整体安全和功能的影响。冗余技术和无扰切换技术是确保余技术和无扰切换技术是确保DCSDCS安全性的重要支撑技术。安全性的重要支撑技术。（2 2）采用）采用B/SB/S、C/SC/S结构的结构的DCSDCS系统的服务器由于是系统系统的服务器由于是系统上下位信息交换的上下位信息交换的核心节点核心节点，为此亦应通过冗余技术来，为此亦应通过冗余技术来提高安全性和可靠性。提高安全性和可靠性。（3 3）控制器的冗余配置必须是）控制器的冗余配置必须是热备用方式热备用方式，即后备控制，即后备控制器必须与主控制器同步更新数据，保证后备控制器切换器必须与主控制器同步更新数据，保证后备控制器切换为主控制器时不对输出产生影响扰动。为主控制器时不对输出产生影响扰动。（4 4）冗余技术、无扰切换、热备用方式冗余技术、无扰切换、热备用方式相辅相成、缺一相辅相成、缺一不可。不可。二、防止DCS失灵-冗余配置36 案例6某电厂DCS为采用B/S、C/S结构的DCS系统，其服务器为单台设计，由于运行年限较长，服务器出现故障死机，导致上下位信息无法交换，操作员操作指令无法下发，控制器的控制和监视信息无法上传，监控画面无法刷新，最后只能启动停机预案。本次事故是典型的系统核心节点硬件设计缺陷导致。（冗余问题）二、防止DCS失灵-冗余配置37 9.1.3 DCS控制器应严格遵循机组重要功能分开的独立性配置原则，各控制功能应遵循任一组控制器或其他部件故障对机组影响最小的原则。（新增）独立性原则解析解析：（1 1） DCS DCS系统的可靠性一般分为两类，一类是硬件可靠性，一类系统的可靠性一般分为两类，一类是硬件可靠性，一类是控制功能可靠性。硬件可靠性主要通过冗余技术和无扰切换技术是控制功能可靠性。硬件可靠性主要通过冗余技术和无扰切换技术来实现。功能可靠性主要通过来实现。功能可靠性主要通过独立性原则独立性原则来实现，即涉及机组重要来实现，即涉及机组重要的控制功能应采取功能分开的独立性配置原则，譬如，实现过程控的控制功能应采取功能分开的独立性配置原则，譬如，实现过程控制的燃料控制、风量控制、水和汽的控制不宜配置在同一个控制器，制的燃料控制、风量控制、水和汽的控制不宜配置在同一个控制器，应独立分开配置，以最大限度的降低部分功能故障对整体控制的影应独立分开配置，以最大限度的降低部分功能故障对整体控制的影响。响。(2)(2)重要功能分开的独立性原则配置要求不应以控制器能力提高为重要功能分开的独立性原则配置要求不应以控制器能力提高为理由，减少控制器的配置数量，从而降低系统配置的分散度；理由，减少控制器的配置数量，从而降低系统配置的分散度；二、防止DCS失灵-功能配置38 9.1.3 DCS控制器应严格遵循机组重要功能分开的独立性配置原则，各控制功能应遵循任一组控制器或其他部件故障对机组影响最小的原则。（新增）独立性原则解析解析：（3 3）应按下列原则配置控制器应按下列原则配置控制器: : 1) 1)送风机、引风机、一次风机、凝结水泵和非母管制的循送风机、引风机、一次风机、凝结水泵和非母管制的循环水泵等两台并列运行的重要辅机，以及环水泵等两台并列运行的重要辅机，以及A A、B B段厂用电，应分别配段厂用电，应分别配置在不同的控制器中，但允许送风机和引风机等按介质流程组合在置在不同的控制器中，但允许送风机和引风机等按介质流程组合在一个控制器中；一个控制器中； 2) 2)给水泵控制中系统宜分泵配置在不同的控制器中，但允给水泵控制中系统宜分泵配置在不同的控制器中，但允许同一给水泵泵的模拟量液压控制系统（许同一给水泵泵的模拟量液压控制系统（MEHMEH）和小机紧急跳闸系）和小机紧急跳闸系统（统（METSMETS）合用控制器；）合用控制器； 3) 3)磨煤机、给煤机、风门和油燃烧器等多台组合运行的重磨煤机、给煤机、风门和油燃烧器等多台组合运行的重要设备应按工艺流程要求组合，配置至少三个控制站；要设备应按工艺流程要求组合，配置至少三个控制站；二、防止DCS失灵-功能配置39 9.1.5按照单元机组配置的重要设备（如循环水泵、空冷系统的辅机）应纳入各自单元控制网，避免由于公用系统中设备事故扩大为两台或全厂机组的重大事故。（新增）集中与分散原则解析：循环水泵是电厂过程生产的重要设备，是确保正常生产的基解析：循环水泵是电厂过程生产的重要设备，是确保正常生产的基础，应确保其控制可靠性。为了避免循环水泵在一个控制网所带来础，应确保其控制可靠性。为了避免循环水泵在一个控制网所带来的风险，应将循环水泵分别布置在不同的控制单元，这样即使一个的风险，应将循环水泵分别布置在不同的控制单元，这样即使一个网络发生故障，另外的一台循环泵亦能维持正常生产。这也符合分网络发生故障，另外的一台循环泵亦能维持正常生产。这也符合分散控制系统风险分散的核心思想散控制系统风险分散的核心思想。案例某电厂两台600MW机组公用一套公用系统，其中循环水泵由公用系统控制。2008年6月，公用系统控制器主控制器故障，备用控制器切换不成功，导致循泵跳闸，进而使两台机组跳闸。 二、防止DCS失灵-功能配置40 9.1.4 重要参数测点、参与机组或设备保护的测点应冗余配置，冗余I/O测点应分配在不同模件上。（冗余原则，独立性原则）解析：测点配置可看做工艺设计与解析：测点配置可看做工艺设计与DCSDCS硬件的结合点，因此重点独硬件的结合点，因此重点独立强调，也可看做是立强调，也可看做是DCSDCS软配置要求。软配置要求。 火力发电厂分散控制系统技术条件火力发电厂分散控制系统技术条件（DL/T 1083-2008DL/T 1083-2008）要求：要求：5.2.1.15“5.2.1.15“对某些重要的关键参数，应采用三重冗余变送对某些重要的关键参数，应采用三重冗余变送器测量器测量”； 5.2.1.17“5.2.1.17“对某些仅次于关键参数的重要参数，应采对某些仅次于关键参数的重要参数，应采用双重冗余变送器测量用双重冗余变送器测量”； 火力发电厂热工保护系统设计技术规定火力发电厂热工保护系统设计技术规定（DL/T 5428-DL/T 5428-20092009） 5.3.65.3.6明确要求明确要求“应冗余配置的主要开关量仪表规定至少应冗余配置的主要开关量仪表规定至少如下：如下： 火力发电厂热工控制系统设计技术规定火力发电厂热工控制系统设计技术规定（DL/T 5175-DL/T 5175-20032003）还要求）还要求“冗余冗余I/OI/O信号应通过不同的信号应通过不同的I/OI/O模件和通道引入模件和通道引入/ /引引出。出。二、防止DCS失灵-测点配置41 9.1.4 重要参数测点、参与机组或设备保护的测点应冗余配置，冗余I/O测点应分配在不同模件上。（冗余原则，独立性原则重要应用）解析：（1）DCS控制系统中每个机柜每种类型的测点的设计余量、各类测点所需的卡件（或者卡槽）、接线端子、电缆通道的余量应符合要求。（2）重要参数、参与机组或设备保护点及重要I/O点的检测元件应为三取二（开关量）或三取中（模拟量），同时应考虑采用非同一板件的独立性配置原则。（3）测点的冗余应实现全程冗余，即从测点取样、传输、进入板卡、运算等全过程环节都应独立完成，实现真正冗余配置。二、防止DCS失灵-测点配置42 （4）应三重冗余（或同等冗余功能）配置的模拟量输入信号：机组负荷、汽机转速、轴向位移、给水泵汽机转速、凝汽器真空、主机润滑油压力、抗燃油压、主蒸汽压力、主蒸汽温度、主蒸汽流量、调节级压力。汽包水位、汽包压力、水冷壁进口流量、主给水流量、除氧器水位、炉膛负压、增压风机入口压力、一次风压力、再热汽压力、再热汽温度、常压流化床床温及流化风量、中间点温度（作为保护信号时）、主保护信号、调节级金属温度；（5）至少应双重冗余配置的模拟量输入信号：加热器水位、热井水位、凝结水流量、主机润滑油温、发电机氢温、汽机调门开度、分离器水箱水位、分离器出口温度、给水温度、送风风量、磨煤机一次风量、磨煤机出口温度、磨煤机入口负压、单侧烟气含氧量、除氧器压力、中间点温度（不作为保护信号时）、二次风流量等。当本项信号作为保护信号时，则应三重冗余（或同等冗余）配置；二、防止DCS失灵-测点配置43 (6)应具有三重冗余配置的重要热工开关量输入信号：主保护动作跳闸(MFT、ETS、GTS)信号以及联锁主保护动作的主要辅机动作跳闸保护信号等；(7)至少应采用双重冗余配置的次重要开关量输入信号：风箱与炉膛差压、一次风与炉膛差压等；(8)冗余配置的I/O信号、多台同类设备的各自控制回路的I/O信号，必须分别配置在不同的I/O模件上；(9)所有的I/O模件的通道，应具有信号隔离功能；(10)电气负荷信号应通过硬接线直接接入DCS；（11）取自不同变送器用于机组和主要辅机跳闸的保护输入信号，应直接接入相对应的保护控制器的输入模件。二、防止DCS失灵-测点配置44 案例某600MW机组的一组真空低测点为三个，但均由一个取样管采集而来，只是变送器配置三个，然后完成三取二逻辑运算。某次取样管堵塞，导致三个变送器同时动作，直接跳机。本次事故是由于测点配置不符合要求引起的典型事故，测点应从取样管开始全程独立配置，实现真正的三取二功能。 （测点配置问题） 防止保护失灵或误动也对测点提出该要求。二、防止DCS失灵-测点配置45 9.1.6 DCS电源应设计有可靠的后备手段，电源的切换时间应保证控制器不能初始化；操作员站如无双路电源切换装置，则必须将两路供电电源分别连接于不同的操作员站；系统电源故障应设置最高级别的报警；严禁非DCS系统用电设备接到DCS系统的电源装置上；公用DCS系统电源，应分别取自不同机组的电源系统,且具备无扰切换功能。DCS电源的各级电源开关容量和保险熔丝应匹配， 防止故障越级。解析：解析：DCS DCS 系统电源应满足系统电源应满足火力发电厂分散控制系统技术条件火力发电厂分散控制系统技术条件（DL/T 1083-2008DL/T 1083-2008）要求：）要求：“6.3.1.1 6.3.1.1 机组、脱硫、全厂辅助系统等重机组、脱硫、全厂辅助系统等重要系统配置要系统配置DCSDCS应能够接受电厂提供的两路交流单相电源且应具有可靠的应能够接受电厂提供的两路交流单相电源且应具有可靠的电源冗余功能，任何一路外部电源失去或故障不应引起控制系统任何部电源冗余功能，任何一路外部电源失去或故障不应引起控制系统任何部分的故障、数据丢失或异常动作。任何一路外部电源失去应在分的故障、数据丢失或异常动作。任何一路外部电源失去应在DCSDCS系统获系统获得报警。得报警。”“”“6.3.2.4 6.3.2.4 冗余电源的直流隔离或切换组件（如二极管或其冗余电源的直流隔离或切换组件（如二极管或其他部件）应冗余配置，防止因其故障造成他部件）应冗余配置，防止因其故障造成DPUDPU电源系统的故障。电源系统的故障。”二、防止DCS失灵-电源系统46 解析：DCS电源可靠性是DCS安全、可靠运行的基础，设计、运行上规范（1）总电源必须两路以上（冗余），备用电源的切换时间应应保证控制器不能初始化，系统电源故障应设有最高等级报警。（2）每个控制柜内电源设计余量足够，操作员站、服务器、控制器、通讯网络的电源以及控制单元、模件、驱动器件的工作电源均应采用冗余配置。（3）操作员站、工程师站、实时数据服务器、SIS接口服务器和通讯网络设备的电源，应采用两路电源供电并通过双电源模块接入，否则操作员站和通讯网络设备的电源应合理分配在两路电源上。（4）独立配置的重要控制子系统（如ETS、TSI、METS、DEH、MEH、火检、FSSS、循环水泵等远程控制站及I/O站电源、循泵控制蝶阀等），应有两路互为冗余的电源供电。二、防止DCS失灵-电源系统47 解析：（5）独立于DCS的安全系统的电源切换功能，以及要求切换速度快的备用电源切换功能，不应纳入DCS，而应采用硬接线逻辑回路。（6）冗余电源的任一路电源单独运行时，应保证设计裕量满足要求；公用DCS系统电源，应取分别取自两台机组,在正常运行中保证无扰切换；重要的热工双路供电回路，应取消人工切换开关；所有的热工电源（包括机柜内检修电源）必须专用，不得用于其它用途。（7）汽轮机紧急跳闸系统（ETS）和汽轮机监视仪表（TSI）所配电源必须可靠，电压波动值不得大于5，不得含有高次谐波，以保证输出继电器动作和触点可靠，同时应具备出口继电器电源监视报警功能。二、防止DCS失灵-电源系统48 案例某电厂200MW机组操作员站供电电源为一路，且全部操作员站均由该路电源供电。2010年8月6日，操作员站供电电源故障，导致操作员无法使用，机组运行失控，根据应急预案，实施紧急停机停炉。（冗余、电源问题）二、防止DCS失灵-电源系统49 9.1.13交、直流电源开关和接线端子应分开布置，直流电源开关和接线端子应有明显的标示。（新增） 解析：由于交直流问题导致的全厂停电事故的教训是惨痛的，典型的细节设计失误带来的重大事故。 典型案例：某电厂6*600MW全厂停电，6*300MW全厂停电。二、防止DCS失灵-电源系统50 9.1.7 DCS接地必须严格遵守相关技术要求，接地电阻满足标准要求；所有进入DCS的控制信号电缆必须采用质量合格的屏蔽电缆，且可靠单端接地；DCS与电气系统共用一个接地网时，DCS接地线与电气接地网只允许有一个连接点。解析：解析：火力发电厂分散控制系统技术条件火力发电厂分散控制系统技术条件（DL/T 1083-2008DL/T 1083-2008）的要求：）的要求：6.8.3 DCS6.8.3 DCS应不要求单独的接地网，接地电阻小于应不要求单独的接地网，接地电阻小于4 4欧姆的电厂电气地网欧姆的电厂电气地网应能够满足应能够满足DCSDCS接地要求。各电子机柜中应设有独立的安全地、屏蔽地及接地要求。各电子机柜中应设有独立的安全地、屏蔽地及相应接地铜牌。每套相应接地铜牌。每套DCSDCS可采用中心接地汇流排的方式，实现系统的单点可采用中心接地汇流排的方式，实现系统的单点接地。电缆屏蔽层应在机柜侧单端接地。接地。电缆屏蔽层应在机柜侧单端接地。 火力发电厂分散控制系统在线验收测试规程火力发电厂分散控制系统在线验收测试规程（DL/T659DL/T659）4.9 4.9 DCS DCS 的接地应符合制造厂的技术条件和有关标准的规定。屏蔽电缆的屏的接地应符合制造厂的技术条件和有关标准的规定。屏蔽电缆的屏蔽层应单点接地。蔽层应单点接地。DCS DCS 采用独立接地网时，若制造厂无特殊要求，则其采用独立接地网时，若制造厂无特殊要求，则其接地极与电厂电气接地网之间应保持接地极与电厂电气接地网之间应保持 10m 10m 以上的距以上的距 离，且接地电阻不离，且接地电阻不应大于应大于 22。当。当 DCS DCS 与电厂电气系统共用一个接地网时，控制系统接地与电厂电气系统共用一个接地网时，控制系统接地线与电气线与电气 接地网只允许有一个连接点，且接地电阻应小于接地网只允许有一个连接点，且接地电阻应小于 0.50.5。二、防止DCS失灵-接地系统51 解析解析： DCS接地是保证DCS电气安全的重要技术措施，应根据电气设计要求，保证接地电阻这一重要指标符合标准要求。（1）DCS机柜的外壳不允许与建筑物钢筋直接相连，其外壳、电源地、屏蔽地和逻辑地应分别接到机柜各地线上，并将各机柜地线连接后，再用两根铜芯电缆引至接地极(体)。具有“一点接地”要求的控制系统，整个接地系统最终只有一点接到地网上，并满足接地电阻指标要求。远程控制柜或I/O柜应就近独立接入电气接地网，并进行测试，确保接地满足要求。DCS输入输出信号屏蔽线要求单端接地，信号端不接地的回路，屏蔽线应直接接在机柜端的接地铜排上；信号端接地的回路，屏蔽线应在信号端接地。（2）DCS的接地网若接入厂级接地网，需在一定范围内（该范围定值由DCS厂家提供）不得