附 录 12 防止分散控制系统失灵、热工保护拒动事故
12.1 修改及说明
中国大唐集团公司《防止电力生产重大事故的二十五项重点要求》(2005年版)实施导则全部适用。 12.2 防止分散控制系统失灵、热工保护拒动事故新条文
为了防止分散控制系统(DCS)失灵、热工保护拒动造成的事故,要认真贯彻《火力发电厂热工仪表及控制装置技术监督规定》(国电安运[1998]483号)、《单元机组分散控制系统设计若干技术问题规定》(电规发[1996]214号)、《火力发电厂锅炉炉膛安全监控系统在线验收测试规程》(DL/T656-1998)、《火力发电厂模拟量控制系统在线验收测试规程》(DL/T657-1998)、《火力发电厂顺序控制系统在线验收测试规程》(DL/T658-1998)、《火力发电厂分散控制系统在线验收测试规程》(DL/T659-1998)等有关技术规定,并提出以下重点要求: 12.2.1 分散控制系统配置的基本要求
12.2.1.1 DCS系统配置应能满足机组任何工况下的监控要求(包括紧急故障处理),CPU负荷率应控制在设计指标之内并留有适当裕度。
12.2.1.2 主要控制器应采用冗余配置,重要I/O点应考虑采用非同一板件的冗余配置。冗余配置的过程控制单元、通讯接口、通讯环路必须处于良好的热备用工作状态。
12.2.1.3 系统电源应设计有可靠的两路供电电源(如一路为UPS电源,一路为保安电源),备用电源的切换时间应小于5 ms(应保证控制器不能初始化)。操作员站如无双路电源切换装置,则必须将两路供电电源分别连接于不同的操作员站,系统电源故障应在控制室内设有独立于DCS之外的声光报警。定期检查电源回路端子排、配线、电缆接线螺丝无松动和过热现象,电源保险丝容量是否持续保持与设计图纸相一致。加强对DCS系统的UPS电源管理,定期对用于UPS的蓄电池的进行充放电试验。严禁非DCS系统用电设备,接到DCS系统的UPS电源装置上。
12.2.1.4 主系统及与主系统连接的所有相关系统(包括专用装置)的通讯负荷率设计必须控制在合理的范围(保证在高负荷运行时不出现“瓶颈”现象)之内,其接口设备(板件)应稳定可靠。定期进行各控制站、计算站、数据管理站、数据通讯总线的负荷率在线测试工作,并建立技术档案登记本,做到定期测试不逾期,不漏项。
12.2.1.5 DCS的系统接地必须严格遵守技术要求,所有进入DCS系统控制信号的电缆必须采用质量合格的屏蔽电缆,且有良好的单端接地。
12.2.1.6 规范DCS系统软件和应用软件的管理,软件的修改、更新、升级必须履行审批授权及责任人制度。在修改、更新、升级软件前, 应对软件进行备份。未经测试确认的各种软件严禁下载到已
经运行DCS系统中使用,必须建立有针对性DCS系统防病毒措施。与非生产信息系统联网时,应采取有效的隔离措施(DCS系统只单向发送)。 12.2.2 DCS故障的紧急处理措施
12.2.2.1 已配备DCS的电厂,应根据机组的具体情况,制定在各种情况下DCS失灵后的紧急停机停炉措施。
12.2.2.2 当全部操作员站出现故障时(所有上位机\黑屏\或\死机\),若主要后备硬手操及监视仪表可用且暂时能够维持机组正常运行,则转用后备操作方式运行,同时排除故障并恢复操作员站运行方式,否则应立即停机、停炉。若无可靠的后备操作监视手段,也应停机、停炉。
12.2.2.3 当部分操作员站出现故障时,应由可用操作员站继续承担机组监控任务(此时应停止重大操作),同时迅速排除故障,若故障无法排除,则应根据当时运行状况酌情处理。 12.2.2.3.1 当系统中的控制器或相应电源故障时,应采取以下对策
12.2.2.3.2 辅机控制器或相应电源故障时,可切至后备手动方式运行并迅速处理系统故障,若条件不允许则应将该辅机退出运行。
12.2.2.3.3 调节回路控制器或相应电源故障时,应将自动切至手动维持运行,同时迅速处理系统故障,并根据处理情况采取相应措施。
12.2.2.3.4 涉及到机炉保护的控制器故障时应立即更换或修复控制器模件,涉及到机炉保护电源故障时则应采用强送措施,此时应做好防止控制器初始化的措施。若恢复失败则应紧急停机停炉。 12.2.2.3.5 加强对DCS系统的监视检查,特别是发现CPU、网络、电源等故障时,应及时通知运行人员并迅速做好相应对策。
12.2.2.3.6 规范DCD系统软件和应用软件的管理,软件的修改、更新、升级必须履行审批受权及责任人制度。在修改、更新、升级软件前,应对软件进行备份。未经测试确认的各种软件严禁下载到已运行的DCS系统中使用,必须建立有针对性的DCS系统防病毒措施。 12.2.2.4 防止热工保护拒动和误动
12.2.2.4.1 DCS部分的锅炉炉膛安全监控系统(FSSS)的系统配置应符合12.1中的要求,FSSS的控制器必须冗于配置且可自动无扰切换,由继电器逻辑构成的FSSS装置应具有在线逻辑的试验功能。 12.2.2.4.2 对于独立配置的锅炉灭火保护应保证装置(系统)本身完全符合相应技术规范的要求,所配电源必须可靠,系统涉及到的炉膛压力的取压装置、压力开关、传感器、火焰检测器及冷却风系统等外围设备必须处于完好状态。
12.2.2.4.3 定期进行保护定值的核实检查和保护的动作试验,在役的锅炉炉膛安全监视保护装置的动态试验(指在静态试验合格的基础上,通过调整锅炉运行工况,达到MFT动作的现场整套炉膛安全监视保护系统的闭环试验)间隔不得超过3年。
12.2.2.4.4 对于已配有由DCS构成的FSSS及含有相关软逻辑的热工保护系统,在进行机、炉、电联锁与联动试验时,必须将全部软逻辑纳入到相关系统的试验中。
12.2.2.4.5 汽轮机紧急跳闸系统(ETS)和汽轮机监视仪表(TSI)应加强定期巡视检查,所配电源必须可靠,电压波动值不得大于±5%。TSI的CPU及重要跳机保护信号和通道必须冗余配置,输出继电器必须可靠。
12.2.2.4.6 汽轮机超速、轴向位移、振动(启动时投入)、低油压保护、低真空等(装置)定期及每次机组检修后启动前应进行静态试验,以检查跳闸逻辑、报警及停机动作值。所有检测用的传感器必须在规定的有效检验周期内。对于配置有双通道四跳闸线圈ETS的机组,在机组运行中,定期进行ETS在线,不停机跳闸动作试验。并建立技术档案登记本,做到ETS保护跳闸条件试验不逾期,不漏项。
12.2.2.4.7 若发生热工保护装置(系统、包括一次检测设备)故障,必须开具工作票经总工程师批准后迅速处理。锅炉炉膛压力、全炉膛灭火、汽包水位和汽轮机超速、轴向位移、振动(启动时投入)、低油压等重要保护装置在机组运行中严禁随意退出,当其故障被迫退出运行时,必须制定可靠的安全措施,并在8小时内恢复。其它保护装置被迫退出运行时,必须在24小时内恢复。否则应立即停机、停炉处理。
12.2.2.4.8 所有重要的主辅机保护都应采用三取二的逻辑判断方式,保护信号必须是相互独立的一次元件和输入通道。
12.2.2.4.9 所有进入热控保护系统的就地一次检测元件以及可能造成机组跳闸的就地元部件,都应有明显的标志。以防止人为原因造成热工保护误动。 12.3 实施重点
12.3.1 DCS的设计指标必须满足要求。 12.3.2 DCS的配置必须满足事故处理的要求。 12.3.3 在DCS故障时的运行操作必须要有预案。
12.3.4 做好DCS系统的维护工作,加强系统软件和用户软件的管理。 12.3.5 确保热工保护系统配置合理,符合规范要求。 12.3.6 定期进行热工保护系统的传动试验。 12.3.7 完善热工保护的投退审批制度。
12.4 防止分散控制系统失灵、热工保护拒动事故执行检查表