《防止电力生产事故的二十五项重点要求》25项反措热控部分解析

国家能源局25项重点要求热控部分解析二十五项反措的发展变化及编制依据落实二十五项反措的基本要求防止分散控制系统控制保护失灵事故三一二反措其它章节关于热控部分的要求四一、二十五项反措的发展变化及编制依据一、二十五项反措的发展变化及编制依据《安全生产中急需解决的若干技术问题》《关于防止电力生产重大事故的重点要求》《关于防止电力生产事故的二十项重点要求》1980年电力工业部15项1987年水利电力部18项1992年能源部20项2000年国家电力公司25项《关于防止电力生产事故的二十五项重点要求》各集团公司各自制定反措细则2014年国家能源局25项《防止电力生产事故的二十五项重点要求》4一、二十五项反措的编制依据1.《火力发电厂锅炉炉膛安全监控系统在线验收测试规程》DL/T655-2006）2.《火力发电厂汽轮机控制系统在线验收测试规程》（DL/T656-2006）3.《火力发电厂模拟量控制系统在线验收测试规程》（DL/T657-2006）4.《火力发电厂顺序控制系统在线验收测试规程》（DL/T658-2006）5.《火力发电厂分散控制系统技术规范书》(QDG1-K401-2004)6.《火力发电厂热工保护系统设计技术规定》(DL/T5428-20097.《火力发电厂设计技术规程（第12章热工自动化部分）》(DL/T5000-2000)一、二十五项反措的编制依据8.《火力发电厂分散控制系统在线验收测试规程》（DL/T659-2006）9.《火力发电厂锅炉炉膛安全监控系统技术规程》(DL/T1091-2008)10.《火力发电厂分散控制系统技术条件》(DL/T1083-2008)11.《发电厂热工仪表及控制系统技术监督导则》（DL/T1056-2007）12.《火力发电厂热工自动化系统检修运行维护规程》(DL/T774-2004)13.《火力发电厂厂级监控信息系统技术条件》（DL/T924-2005）14.《大中型火力发电厂设计规范》（GB50660-2011）15.《火力发电厂热工自动化就地设备安装、管路及电缆设计技术规定》（DL/T5182-2004）一、二十五项反措的编制依据16.《电力建设施工及验收技术规范-第5部分：热工仪表及控制装置》（DL/T5190.5-2004）17.《火力发电厂辅助系统（车间）热工自动化设计技术规定》（DL/T5227-2005）18.《电网与电厂计算机监控系统及调度数据网络安全防护规定》（国家经贸委令第30号（2002））19.《电力二次系统安全防护规定》（电监会5号令）二、落实二十五项反措的基本要求二、落实二十五项反措的基本要求1.坚持“安全第一、预防为主、综合治理”的方针2.在规划设计阶段、安装调试阶段、生产维护阶段、更新改造阶段都要坚决落实“二十五项反措”的基本要求三、防止分散控制系统控制、保护失灵事故三、防止分散控制系统控制保护失灵2014年，集团公司火电机组强迫停运事件统计：年度锅炉汽机电气热控环保燃料其他总计2013132453933111126220141153137251300221同比-17-18-2-82-1-1-41三、防止分散控制系统控制保护失灵锅炉原因占60%2014年强迫停运按专业分三、防止分散控制系统控制保护失灵三、防止分散控制系统控制保护失灵a、现场设备异常引起的占据首位约36.4%，b、控制系统软硬件引起的占据次位约28%，c、电缆接线、模件松动引起的约占18.2%d、检修维护不当引起的为13.6%某省电厂因热控专业问题引起故障原因统计三、防止分散控制系统控制保护失灵次数2613121211119776051015202530现场设备异常检修维护不当接地与接线故障电源故障参数整定不当DEH故障单点保护DCS故障逻辑问题RB不成功次数某集团热控专业2000-2013年非停原因汇总棒状图三、防止分散控制系统控制保护失灵某集团热控专业2000-2013年非停原因百分比图次数22%11%11%11%10%10%8%6%6%5%现场设备异常检修维护不当接地与接线故障电源故障参数整定不当DEH故障单点保护DCS故障逻辑问题RB不成功三、防止分散控制系统控制保护失灵热工缺陷原因分类原因电源故障硬件故障软件故障现场设备故障TSI装置故障其他故障台次6351342同比62-1-401集团内热工缺陷原因分类统计：三、防止分散控制系统控制保护失灵9.1.1分散控制系统配置应能满足机组任何工况下的监控要求（包括紧急故障处理），控制站及人机接口站的中央处理器（CPU）负荷率、系统网络负荷率、分散控制系统与其他相关系统的通信负荷率、控制处理器周期、系统响应时间、事件顺序记录（SOE）分辨率、抗干扰性能、控制电源质量、全球定位系统（GPS）时钟等指标应满足相关标准的要求。9.1分散控制系统(DCS)配置的基本要求三、防止分散控制系统控制保护失灵19分散控制系统(DCS)配置的基本要求一般要求CPU负荷率在极端工况下不大于60%。DCS模拟量控制扫描周期一般要求250ms，要求快速处理的控制回路可为125ms。温度等缓慢控制对象扫描周期可在500-750ms之间。开关量扫描周期一般为100ms,ETS系统应不大于50ms，OPC和0PT部分逻辑扫描周期不大于20ms。根据DL/T659-2006《火力发电厂分散控制系统验收测试规程》中规定，在繁忙工况下DCS数据通信总线负荷率不超过30%，以太网通信负荷率不得超过20%。从操作信号发出到DCS的I/O输出发生变化的时间不应大于2S。SOE测点分辨率不大于1ms，SOE通道应有4ms防抖动滤波处理，不同控制器的SOE模件应有可靠的时钟同步措施。19三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求案例一1997年，浙江某电厂7-8号机组发生频繁发生死机造成的机组停运事故，试生产的三个月内曾发生22次DCS故障和死机，机组因此跳机8次，主要原因就是通讯总线负荷率过高。通讯负荷率超标建议对策：尽量按照工艺系统进行控制器分组，减少控制器间的通讯量。三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求案例二2008年，某电厂扩建机组因为造价原因DCS控制器配置对数较少，控制器负荷率严重超标，最高达到86%，在机组整套启动前做试验的过程中发生延时等计时模块工作异常，导致设备联锁保护动作异常，主要原因就是控制器负荷率过高。控制器负荷率超标建议对策：在控制允许的情况下，根据不同系统要求，适当降低控制器扫描周期，或增加控制器对数。三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求案例三某电厂2号机组负荷200MW，8时23分，各控制器依次发时钟故障报警，部分主控制器先后离线，备用控制器变主控后一段时间也先后离线。原因是主副时钟控制软件分装在工程师站和一个操作员站，两个时钟时间不同步，造成控制器离线。该厂5号机组在2002年试运期间曾发生DCS时钟与GPS时钟不同步，引发DCS操作员站失灵事件。由于网上传送的数据均带时间标签，时钟紊乱后给运行机组带来严重后果。系统时钟不可靠三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求9.1.2分散系统的控制器、系统电源、为I/O模件供电的直流电源、通信网络等均应采用完全独立的冗余配置，且具备无扰切换功能；采用B/S、C/S的分散控制系统的服务器应采用冗余配置，服务器或其供电电源在切换时应具备无扰切换功能。三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求《火力发电厂分散控制系统技术条件》（DL/T1083-2008）从控制对象角度要求“用于机组主控和重要辅机系统的DCS的控制处理器均为主要控制器，应冗余配置；重要辅机设备可包括送风机、引风机、一次风机、空气预热器、制粉系统、给水泵、凝结水泵、循环水泵、真空泵、重要冷却水泵、重要油泵等。同时规定虽然控制处理器故障，而短期内不影响机组稳定运行的辅助控制系统的DCS，可不要求冗余配置；”三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求案例四2013年11月16日某厂#2机组#19控制器故障切换导致汽包水位低报警，汽包水位最低到-328.69mm后逐步恢复，2台小机指令突变至12.4%。事后检查#19控制器主从已切换，查看历史曲线以及设备日志，发现#19站主控制单元A故障报警后恢复正常。控制器切换不能无扰，在控制器故障时部分数据出现了跳变。三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求案例五某电厂DCS为采用B/S、C/S结构的DCS系统，其服务器为单台设计，由于运行年限较长，服务器出现故障死机，导致上下位信息无法交换，操作员操作指令无法下发，控制器的控制和监视信息无法上传，监控画面无法刷新，最后只能启动停机预案。本次事故是典型的系统核心节点硬件设计缺陷导致。说明关键服务器冗余设置的必要性三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求9.1.3分散控制系统控制器应严格遵循机组重要功能分开的独立性配置原则，各控制功能应遵循任一组控制器或其他部件故障对机组影响最小的原则。•9.1.3是从独立性原则考虑，从控制器包含机组功能角度来阐述控制器的配置原则,防止DCS某一对控制器故障导致机组停运，应避免将重要功能集中在一对控制器的配置方式，达到最大程度实现风险分散的目的。新增加的条款三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求重要的并列或主备用运行的辅机或者辅助设备控制，应按下列原则配置控制器：1.送风机、引风机、一次风机、凝结水泵和非母管制的循环水泵等两台并列运行的重要辅机，以及A、B段厂用电控制装置，应分别配置在不同的控制器中，但允许送风机和引风机等按介质流程组合在一个控制器内。2.给水泵控制系统应分泵配置到不同的控制器中，但允许同一给水泵的MEH和METS配置在一个控制器中。3.磨煤机、给煤机、风门和油燃烧器等多台组合运行的重要设备应按工艺流程要求组合，至少配置三控制站。《火力发电厂热工自动化系统可靠性评估技术导则》（DLT261-2012）9.2.1.1条也有具体要求三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求《火力发电厂热工保护系统设计规定》（DLT5428-2009）5.3.5.条对独立性的具体规定：（1）停机、停炉保护逻辑系统应当有独立的逻辑、独立的冗余控制器、独立的输入/输出系统和独立的电源。且应在功能上物理上独立于其他逻辑，不得与任何其他逻辑系统（如MCS和SCS等）组合在一起。（2）保护逻辑系统应仅限于单台机，不应多机共用，一套保护逻辑系统。（3）冗余I／O信号应通过不同的I/0模件和通道引入/引出。（4）触发停机、停炉保护信号开关量仪表和模拟量变送器／传感器应单独设置；当确有困难而需与其他系统合用时，信号应首先进入保护系统，然后再通过隔离设施引至其他系统。（5）触发停机、停炉保护信号的开关量仪表和模拟量变送器/传感器的取样系统不应与其他系统的发讯器合用，冗余配置的开关量仪表或模拟量变送器，传感器也不应使用同一取样系统。（6）停机、保护动作命令不应通过通信总线传送。触发停机停炉的信号应为硬接线。三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求案例六某电厂在300MW机组的DCS设计过程中，采用减少控制器配置数量的设计方式以降低硬件成本进行，将协调、燃料、风量控制放在同一对控制器内，造成该控制器负荷较大，2004年7月，该控制器故障，最终导致锅炉灭火。功能配置不当是该次事故的主要原因，没有进行主要辅机功能的分散布置。控制器负荷率过高。建议对策：增加控制器对数，将主要辅机系统分控制器分散配置，既降低了系统单控制器故障的安全风险，同时也降低了控制器负荷率。三、防止分散控制系统控制保护失灵分散控制系统(DCS)配置的基本要求案例七某电厂脱硫DCS将2台增压风机分在一个控制器，4台浆液循环泵分在另一个控制器，随着国家环保政策的改变