v1.0可编辑可修改11自动控制系统应急预案总则一为及时、有效、迅速地处理自动控制系统失灵事件,避免控制系统失灵导致机组非停或可能造成的重大设备损坏事故,制定控制系统应急预案。二本预案按照“安全第一、预防为主、综合治理”的方针,坚持预防治理相结合的原则,以危急事件的预测、预防为基础,以对危急事件过程处理的快捷、准确为核心,以全力保证人身、设备安全为目标,以建立危急事件的长效管理的应急机制为根本,提高快速反应和应急处理能力,将危急事件造成的损失和影响降低到最低程度。三本方案所称自控系统是指在我公司生产过程中所使用的过程控制计算机系统(DCS)、可编程控制器系统(PLC)。v1.0可编辑可修改22目录1系统电源全部失去应急处置预案2操作员站全部失去监控且无后备监视手段应急处置预案3控制系统网络瘫痪应急处置预案4控制系统冗余服务器故障应急处置预案5系统单路电源失去应急处置预案6网络失去冗余应急处置预案7系统重要I/O设备(模件、模块)故障应急处置预案8服务器失去冗余应急处置预案v1.0可编辑可修改331系统电源全部失去应急处置预案故障现象(1)运行检查1)全部操作员站显示黑屏且独立控制系统供电电源失去报警装置发生声音报警。2)全部服务器停止工作。3)全部交换机停止工作。4)全部I/O控制站停止工作。(2)热控检查1)工程师站电源失去,显示器全部失电显示为黑屏。2)电子间内电源柜电源失去,电源指示为零。3)控制系统所有模件柜指示灯熄灭,主机柜内控制器电源、交换机、控制器的所有指示灯均熄灭。故障可能的原因(1)保安段电源失去。(2)UPS电源失电。(3)电源切换装置。故障分析及后果全部操作员站失去操作与监视,全部控制器停止工作,造成失电控制器所涉及的设备拒动或误动,导致机组跳闸,甚至因设备拒动或误动而损坏设备。维护处理v1.0可编辑可修改44(1)自动控制人员到控制系统总电源柜检查两路进线电源是否为220VAC,如果不正常,由电气专业检查并恢复。(2)如果进线电源为正常220VAC,自动控制人员检查控制系统总电源柜内送各机柜空气开关状态,用万用表检查到各机柜电源出线是否有接地现象,若有,检查消除接地点,再准备恢复自动控制系统供电。如果进线电源为正常220VAC,且机柜电源出线无接地现象,则检查DCS/PLC侧切除装置是否故障,若故障则更换切换装置,若无法及时更换,紧急情况下可先将其隔离,先进行系统上电工作,待系统恢复后再尽快更换。(3)自动控制人员确认可以恢复DCS/PLC供电时,应汇报值长无运行及维护人员进行现场工作后,方可对DCS/PLC进行重新上电。恢复上电前应先将DCS/PLC系统各设备的空气开关打至断开状态,然后从上级向下级的顺序进行送电工作。(3)DCS/PLC重新送电后,自动控制人员确认DCS/PLC功能全部恢复,检查设备状态、参数指示正常,汇报值长决定是否重新开机。2操作员站全部失去监控且无后备监视手段应急处置预案故障现象(1)运行检查1)全部操作员站数据显示黑屏。2)全部操作员站响应缓慢。3)全部操作员站死机,失去监控作用。(2)热控检查v1.0可编辑可修改551)工程师站的系统监视画面上,全部工作站或者控制器显示离线。2)交换机柜内减缓及部分端口指示灯全部熄灭,或者变为黄色3)操作员站电源双路切换开关电源指示灯熄灭。故障原因(1)操作员站全部电源失去。(2)监控网络全部故障。(3)服务器全部故障。维护处理(1)立即至DCS/PLC总电源柜检查DCS/PLC电源,参照系统电源全部失去应急处置预案进行处理。(2)检查DCS/PLC网络,若为网络原因,参照DCS/PLC网络瘫痪应急处置预案进行处理。(3)检查服务器运行状况,若为服务器全部故障,参照DCS/PLC冗余服务器均故障应急处置预案进行处理。3DCS/PLC网络瘫痪应急处置预案故障现象(1)运行检查1)操作员站可以显示画面,但切换流程图非常缓慢,操作员站上操作影响延迟很大或数据显示严重超时。2)全部操作员站离线,运行人员在这些离线的操作员站上操作无响应或全部参数不更新丧失监控功能。(2)热控检查v1.0可编辑可修改661)工程师站的系统监视画面上,全部工作站或者控制器显示离线。2)交换机柜内交换机全部端口指示灯熄灭或者变为黄色。3)DCS/PLC网络存在数据风暴或网络病毒。故障原因(1)交换机全部故障。(2)冗余装置的服务器全部故障。(3)网络数据风暴或网络病毒引起。故障分析和后果全部操作员站无法准确控制机组运行状态,停机停炉,甚至损坏机组设备。故障处理(1)检查上层网络交换机电源模块运行指示灯,若不亮或闪烁则说明交换机电源问题,检查交换机电源回路并进行处理。(2)检查交换机,看是否硬件故障。(3)检查I/O服务器或交换机冗余网络是否正常,查看是否有数据风暴或网络病毒。(4)检查服务器运行状态,若冗余服务器故障,则处理故障服务器并上报,立即启动DCS/PLC冗余服务器均故障应急处理。(5)系统恢复过程中随时与值班运行人员沟通,汇报系统恢复进度,以备运行人员做好相应的恢复措施。(6)系统恢复后,检查DCS/PLC各节点工作状态是否正常,若不正常及时处理;若正常,通知运行人员可根据操作员检查各画面参数是v1.0可编辑可修改77否与就地设备状态一致,并决定是否可以正常操作。4DSC/PLC冗余服务器均故障应急处理预案故障现象(1)运行状态。1)全部操作员站无响应。2)全部数据不刷新,全部控制设备(如泵、风机、调节阀)操作无效。3)所有趋势、报警、报表异常。(2)热控检查1)系统状态无法调用。2)服务器连接的网络图标异常。3)全部服务器已关机,电源失去。故障原因(1)连接服务器的网络或网络设备故障(2)服务器电源全部故障(3)服务器部分或全部任务故障退出。(4)服务器主机硬件故障(5)服务器应用程序异常故障分析和后果(1)监视画面无法监事和操作。(2)趋势、报警、报表功能异常。故障维护处理v1.0可编辑可修改88(1)检查与服务器相连的网络,若为网络原因则进行处理。(2)检查服务器电源是否正常(3)检查服务器运行的任务是否有异常。(4)登陆服务器检查软件运行情况,若服务器全部死机,直接进入服务器硬重启。(5)检查服务器主机硬件,若硬件故障则更换服务器,在更换服务器前应先确认服务器IP地址、配置文件设置正确无误后下装服务器。(6)系统恢复过程中随时与当值人员沟通,汇报系统恢复进度,以备运行人员做好相应的恢复措施。(7)通过操作员站在线查看服务器工作状态,当所有显示正常后,程序自动启动完毕,通知运行人员可根据操作员站检查各画面参数显示是否与就地设备状态一致,并决定是否可以正常操作。5系统单路电源失去应急处置预案故障现象(1)运行检查1)独立的DCS/PLC供电电源失去报警装置发失电声音报警。2)DCS/PLC设备报警画面中所有控制站单路系统电源失去报警。(2)热控检查1)系统状态图中I/O控制站一路视点报警。2)所有冗余配置的电源模件系统其中一路显示红色故障。3)DCS/PLC所有模件柜中一路电源模件指示灯熄灭。故障原因v1.0可编辑可修改99(1)保安段电源单路失电。(2)UPS电源单路失电。(3)电源柜内单路空气开关跳闸。故障分析和后果系统已失电,系统运行风险增大,若此时另一路电源不能保证正常供电,将会导致事故扩大。故障处理(1)运行人员立即通知热控人员配合处理,此时DCS/PLC系统已单路失电,应保持工况稳定,减少操作,密切监视机组运行情况,在切除部分负载前明确确认。同时必须做好两路电源均失去的风险控制措施。(2)热控人员根据故障报警准确判断电源失电的部位,到DCS/PLC总电源柜检查该路电源是否为220VAC,如果不正常,由电气专业检查并恢复正常供电。(3)当失电是否由于电源柜内单路空气开关跳闸引起,则立即检查空气开关是否正常,若不正常应立即进行更换;更换完毕后,经过试验确定正常后,再进行系统上电工作。6网络失去冗余应急处置预案故障现象(1)运行检查设备报警中出现相关网络故障报警。(2)热控检查v1.0可编辑可修改10101)系统状态图中显示局部网络故障。2)单路交换机电源失去,状态指示灯异常。3)单路交换机数据风暴。故障原因(1)单路网络交换机故障(2)单路网线松动或短路(3)网卡故障故障分析和后果系统已单网运行,运行风险增大,若此时另一路网络不能正常工作,将导致事故扩大。运行处理(1)运行人员立即通知热控人员配合处理,此时网络已失去冗余,应保持工况稳定,减少不必要的操作,密切监视机组运行情况,同时必须做好双网络均失去的风险预控措施。(2)通过故障现象判断故障的网络位置。(3)检查相关的网络交换机,检查交换机的状态指示灯,若所有的指示灯均不亮,则检查该路交换机底板或与之连接的接口和电源是否正常,若不正常,更换网线或交换机,并将各端口接线恢复至更换前状态;若正常,应进一步检查是否存在网络风暴。故障处理过程中注意避免同时中断冗余配置的两端网络。7系统重要I/o设备(模块)故障应急处理预案故障现象v1.0可编辑可修改1111(1)运行检查1)故障模件数据不刷新或显示错误,部分或全部控制设备(如泵、风机、调节阀)操作无效。2)设备报警中模件或模块通道故障报警。(2)热控检查1)I/O模块状态图中该设备显示异常。2)控制柜内I/O模块run灯不亮,模件硬件故障。3)控制柜内I/O模块com灯不亮,模件通讯故障。故障原因(1))外界因素(强电、雷击)引起I/O设备故障。(2)电子间环境因素(温度、湿度、灰尘)引起I/O设备故障。(3)I/O模块质量问题或者元器件老化。(4)模块通讯故障。故障分析和后果故障I/O模块所对应的部分或全部设备无法正常监控。运行处理(1)撤除相关联锁、保护和自动。(2)如有必要则要求热控人员强制相关信号。(3)运行人员暂停或减少相关设备的操作。维护处理(1)在工程师站上通过状态图、报警信息及现场实际状态显示确定故障的I/O模块,并进行故障处理。v1.0可编辑可修改1212(2)根据I/O清册查出I/O设备内的所有信号,并列出保护、自动调节的信号清单提示运行人员做好必要的隔离和防误动措施。(3)检查故障I/O设备数据通讯。(4)检查故障I/O设备供电电源。(5)检查接线端子排是否故障,测量模件输入输出信号,在限号正常的情况下更换到备用通道,如不能恢复,更换接线端子排。(6)检查I/O模块是否故障,若故障及时更换,在更换模块时应先确定模块的信号、版本等正确无误。8服务器失去冗余应急处理预案故障现象运行检查DCS/PLC设备报警栏中发出部分服务器故障报警信号。热控检查(1)系统状态图中显示故障的服务器状态变红。(2)连接到服务器的一段或全部网络中断。(3)部分服务器已关闭,电源失去。(4)部分服务器任务已退出。故障原因(1)连接故障服务器的网络或网络设备故障。(2)故障服务器电源故障。(3)故障服务器部分或全部任务异常退出。(4)故障服务器主机硬件故障。(5)故障服务器应急程序及系统程序异常。v1.0可编辑可修改1313故障分析或后果故障服务器停止工作,服务器失去冗余。故障处理运行处理运行人员应减少不必要的操作,并注意观察操作员站的响应情况,如有异常,立即汇报。维护处理(1)通过系统状态图及设备报警确定故障的服务器并立即进行故障检查处理。(2)检查故障服务器的网络或网络设备。(3)检查故障服务器部分或全部任务是否异常退出。(4)检查故障服务器主机硬件,若确认服务器硬件故障,则需要更换相应硬件。若硬件故障,则更换服务器。在更换服务器前先确认服务器IP地址、配置文件设置等正确无误后下装服务器。服务器重启后启动各服务进程。(6)通过操作员站在线查看服务器工作状态,当所有显示正常,程序启动完毕后,通知运行人员可以正常操作。v1.0可编辑可修改1414