火电厂DCS应用技术问题探讨

2022-09-06 来源：客趣旅游网

火电厂DCS应用技术问题探讨　刘一福

火电厂DCS应用技术问题探讨

InvestigationonTechnicalProblemsofApplicationofDCSinFossil2firedPowerPlants

刘一福

(安徽省电力试验研究院,合肥　230022)

摘　要　针对目前安徽电网下属诸火电厂分散控制系统(DCS)运行的实时情况,本文从DCS模块、应用软件、通信网络、电源等方面对DCS系统应用中遇到的影响机组安全稳定运行的故障现象和安全隐患等进行了分析和探讨,提出了进一步提高火电厂DCS应用技术

水平的建议。

关键词　分散控制系统(DCS)　安全性　故障分析　火电厂

Abstract　Inaccordancewiththepracticaloperationalsituationofdistributedcontrolsystems(DCS)incertainfossil2firedpowerplantsunderAnhuielectricpowergrid,thefaultsandhiddenhermitsinDCSsystemsofwhichaffectingsafetyoperationofthepowerunitsareanalyzedandinvestigatedfromseveralareas,e.g.,DCSmodules,applicationsoftware,networkcommunication,andpowersupply.PositivesuggestionsforenhancingapplicablelevelofDCSinfossil2firedpowerplantsarecontributed.

Keywords　Distributedcontrolsystem(DCS)　Security　Faultanalysis　Fossil2firedpowerplant

　　分散控制系统(DCS)以其高度的可靠性、强大的功能、灵活的配置在火电厂热控系统中获得了广泛的应用。它的可靠性直接关系到机组运行的安全性和经济性。随着DCS使用年限的增加,软硬件的不断升级,使得在机组运行期间所发生的各类事故中因DCS故障引起的事故已占一定的比例,轻则对机组的安全稳定运行带来影响,重则引起组组跳闸,甚至影响电网的安全。因此,DCS系统故障及其防范便成为目前需要思考和解决的问题。本文根据安徽电网下属诸火电厂近几年来DCS系统使用情况的统计和分析,对DCS应用中发生和遇到的影响机组安全稳定运行的故障现象和安全隐患进行了分析和探讨,以期引起有关DCS制造厂、热控专业技术人员的关注和重视。

造工程中发生近20块卡件输出异常或损坏(经制造厂检查确认该批卡件存在批量质量问题);某电厂1#机组燃烧器管理系统(BMS)的火检控制柜,因5A直流电源负极接线工艺不规范及电源设计不合理而造成两层给粉机突然跳闸锅炉燃烧不稳MFT等,这方面是DCS生产厂商必须引起高度重视的一个问题。如果所提供的系统在工艺上都不能满足可靠性的要求,那么哪怕原理上再吸引人,该系统也难以令人接受。

2　DCS死机和网络通信堵塞

目前DCS系统由于应用的实践还处在不断的积累过程中,许多应用软件还不是很成熟,运行也不是很稳定,DCS局部死机多和通信网络堵塞,从而影响了

DCS和机组的安全稳定运行。如经常出现操作员站死

1　模块故障、老化引起辅机跳闸和保护误动

目前的DCS系统还没有做到真正意义上的故障分散。事实上,由于DCS系统在硬件设计及其可靠性技术方面尚存在一些问题,如因DCS系统各种模块(特别是通信模块和DPU控制器)故障而被迫停运的情况时有发生。世界主要DCS厂商为提高故障的分散性,纷纷将I/O卡件的点数统一为:模拟量8点,开关量16点;而某些DCS还是模块量16点,开关量32点,客观上增加了故障点。另外仍有DCS在设计时对重要I/O点没能完全考虑采用非同一卡件的冗余配置。

影响DCS系统正常使用的另一个很重要的因素是制造工艺和安装工艺。如某电厂14#机组DCS改

机,分散处理单元(DPU)初始化、死机、脱网,冗余控制器(服务器)切换不成功,数据通信中断等。

DCS死机除了与应用软件设计是否成熟可靠的关

外,还和通信网络堵塞现象的严重程度相关,主要有以下几种因素:

①当结点连到DCS的通信网络上时,通常有一个网络接口,控制器把数据送到接口,人机界面从网络接口读取数据,读取数据应遵守网络通信协议。常用的通信协议是广播式的,即控制器以不断广播数据的方式通过节点把数据送到网络上,被需要该数据的节点接收。广播式协议的网络除了这种方式以外,还有一种方式,即由一个节点向网上的其他节点询问数据,但

《自动化仪表》第26卷第5期　2005年5月如果其他节点没有这个数据,它就反复进行询问,直至读到这个数据为止。如果网络上根本没有这个数据就会造成网络堵塞。

②在DCS长期运行的情况下,电厂的维护人员不断更替,控制器的组态也随之不断变化,但有一个现象是组态只加不减,有一部分组态实际上已无效,而DPU读取数据时仍将所有数据点都读上去,因而造成DPU负荷率过高,致使网络堵塞。

③由于MIS系统需要从DCS中读取生产实时数据,在网络中接进动态数据服务器,网络堵塞现象就变得十分频繁,从而使得各种人机界面的节点出现死机现象。

④软件升级后因硬件驱动程序不匹配引发DCS网络通信堵塞。如某电厂3#机组DCS系统由原来

V11210升级到V21311B版本,在升级时更换了主控单

煤质好转等原因,热量信号逐渐上升,2min左右给粉总操输出突降至15%,炉膛负压大,全炉膛熄火MFT动作。

3.2　原因分析

故障前给粉总操输出突降时有两个现象值得注意:一是锅炉指令与热量信号偏差达-10MW;二是运行人员将机组负荷高限由125MW降至100MW。机组投入AGC功能后,在AGC工况下负荷给定值经常改变,并未引起给粉总操输出突降,可以判断运行人员调整AGC定值的操作不存在问题。而锅炉指令BD与热量信号HR偏差达-10MW时,按控制逻辑将闭锁燃料调节器输出增加(图1),闭锁的方法为:偏差信号

(BD—HR)≤-10MW产生时,通过SFT切换模块将燃

料调节器PID输出上限由98%改为调节器当前输出值。

元DP卡、多功能卡、电子盘等,但网卡未相应升级。因新版本软件与原来的网卡驱动程序不匹配,当16、

17、19号I/O站主控单元切换后,因个别点的扰动造成

主控单元的网络驱动和网络任务没能成功启动,进而使16、17、19号I/O站故障离线,导致DCS系统紊乱而引起汽轮机跳闸的事故。

⑤在极端工况下,由外部触发因素利用NT操作系统的安全漏洞,引发偶发性的大量报警信息,导致网络异常。如某电厂2#机组曾发生因DCS版本升级后操作系统的安全漏洞导致在特定条件下(某一DPU在

2s内发出大量的“I/O驱动出错”的报警信息,正常情

图1　燃料调节器闭锁逻辑　　然而实际情况是,锅炉指令与热量信号偏差达-10MW时,燃料调节器输出没有保持原值,而是突变为

燃料调节器输出下限,说明这部分算法组态存在问题。可以认为由于控制模块存在的算法安全漏洞,致使

SFT模块与PID模块如此搭配使用产生错误。

况下“,I/O驱动出错”的报警通告次数应该是一次,出现该报文后DPU应自行复位。但该DPU并未复位,并持续发出报警信息,每秒约450余次),DCS系统网络异常,使得多个DPU离线,DCS网络通信堵塞机组被迫停机的事故。

⑥DCS运行外部环境温度高(如控制室空调、电源风扇和机柜风扇故障等造成)、供电电源波动大和切换时间过长也是导致DCS死机的一个重要原因。

一些DCS系统软件升级周期过短,给人感觉软件开发缺乏系统性,只要有问题就解决,有时在一味迎合业主的要求;在开发新功能方面,国外的系统主要考虑成熟性,因而系统组态都比国内系统较难掌握。软件升级不当,由此可能会给DCS和机组运行带来安全隐患。近年来安徽电网大机组就曾发生两起DCS版本升级后因软件设计漏洞、硬件驱动程序不匹配造成多个DPU离线、DCS系统紊乱使机组被迫停机的事故。因而无论是DCS制造厂还是电厂,对DCS系统进行技术升级应慎重考虑,在升级前充分作好相应的技术措施和安全措施,确保DCS和机组的安全稳定运行。

3　应用软件不成熟

DCS应用软件不成熟表现在软件升级过于频繁,

控制模块输出异常,DPU程序在线下载功能不完善,历史数据和SOE记录功能不完善等。某电厂3#炉曾发生两起因DCS的PID模块输出异常导致锅炉MFT的事故。

3.1　事件经过

4　DCS供电电源

DCS系统的供电电源是DCS可靠工作的重要保

障。为尽量避免因电源故障引起DCS系统失灵,各制造厂家对电源部分都十分重视,如采用N+1电源方案,两路直流电源各带50%负荷方案,两路交流电源冗余运行,一用一备方案等。最后一种方案在DCS电源切换时存在不安全隐患,即在电源电压斜坡下降的

机组协调及AGC投入,由于煤质差,给粉机转速达到最大,30s后运行人员将负荷高限由125MW降至

100MW。此后锅炉指令逐渐下降,而由于锅炉蓄热及

PROCESSAUTOMATIONINSTRUMENTATIONVol.26No.5May2005

火电厂DCS应用技术问题探讨　刘一福

过程中,电源切换装置不能可靠进行切换,致使电源电压降至DPU不能正常工作时,备用电源仍未能工作,有可能造成DPU初始化,所有数据丢失的现象。目前这个问题还难以彻底解决,因为切换电源主要取决于切换继电器的释放电压,而每个继电器不可能有完全相同的释放电压。

除了提高DCS电源部件本身的可靠性外,现多采用一路UPS电源和一路保安电源互为备用,其接线方式各有不同,但是在实际应用中仍存在诸多隐患:①近年来因UPS或保安电源故障后电源自动装置切换时间较长,导致DCS或ETS(汽机紧急跳闸系统)瞬间失电造成停机的事故时有发生。如某发电公司2#机组发生多次类似的事故。该公司两台机组ETS柜电源取自热控电源柜PDP21。PDP21电源柜有两路电源进线,一路由UPS提供,一路由保安段提供,这两路电源通过交流接触器进行切换,互为备用,之后经过两个空气开关分别送ETS柜I、II通道。该设计存在一个致命缺陷,就是当UPS或保安段某一路电源失去时,交流接触器在进行切换的过程中存在瞬间失电现象,导致ETS柜

I、II通道同时失电,造成汽轮机因AST电磁阀全部失DCS失电。

建议有关电厂对DCS电源配置存在的问题结合机组技改项目进行整改,加强技术管理,确保热控供电电源的安全、可靠。

5　DCS失灵后的后备操作

国家电力公司《防止电力生产重大事故的二十五项重点要求》第121116条规定了“操作员站及少数重要操作按钮的配置应能满足机组各种工况下的操作要求,特别是紧急故障处理的要求。紧急停机停炉按钮配置,应采用与DCS分开的单独操作回路”的要求,但目前仍有部分机组的手动停炉停机按钮没有直接接入跳闸驱动回路中,而是先进入DCS(BMS)或ETS装置的输入卡件,参加逻辑运算后,再通过输出回路送至跳闸驱动回路。这样,在DCS(BMS)或ETS故障后,运行人员无法在集控室进行手动紧急停炉。

部分机组在DCS改造后,电气仍未单独设计润滑油压低联启直流油泵的硬逻辑,这样,万一DCS瘫痪则DCS逻辑就不起作用,在润滑油压低后有可能造成直流油泵无法启动,存在汽轮机断油烧瓦的安全隐患。在2003年山东某电厂曾发生过类似的事故。因此系统设计必须充分考虑安全,系统配置还应以满足安全生产为第一位。有关特殊的安全紧急操作不能完全建立在DCS完好和运行人员手动干预的基础上。涉及机组安全停机和失电情况下安全联锁的功能以及大、小机油系统的联锁功能,除在DCS内用软逻辑实现外,还应考虑在就地用硬逻辑来实现。

电而跳闸。又如某电厂3#炉因UPS电源温度高报警,保安电源作为备用电源不能及时(ms级)由备用转为工作电源,使BMS火检柜两路电源同时丧失,全炉膛无火MFT。因此《火力发电厂安全性评价(第二版)》第1151612条对电源提出了“分散控制系统宜采用双路UPS冗余方式供电,进线分别接在不同供电母线上”的要求,把DCS系统是否拥有双路UPS冗余方式作为考核标准,是必要的;②保安段电源APS及UPS旁路电源的相位不一致。逆变器输出的单相交流电压与旁路电源的单相交流电压应该同步才能并列转换。不论旁路取自交流的那一相,逆变器都可以调整输出电压,与旁路电压同频同相。如某电厂2#机组DCS各DPU的配电方式均为UPS和APS两路同时供电,这是可控硅反向并联而成的二进一出的三端网络,并分别通过各自的13V和24V整流装置供DPU使用。当2#机组

APS失电时,由于APS侧与UPS旁路侧在电压的相位

6　结束语

上述问题已影响到机组的安全稳定运行。因此,

DCS制造厂应与时俱进,深入了解目前火电厂DCS应

用中存在的问题,针对其DCS自身的不足,无论在结构上、所采用的器件上,还是所采用的技术上,均应不断地提高和发展,使DCS在应用技术方面有新的突破,使已付诸使用或即将付诸使用的DCS软硬件具有足够的可靠性。

当然提高DCS应用的可靠性,不仅需要重视DCS本身的软硬件的安全性分析,而且必须重视与之关联的热控系统的安全性分析,特别是加强管理,规范检修工艺更为重要。

　　收稿日期:2004-09-27。

作者刘一福,男,1962年生,1989年毕业于合肥工业大学,获硕士学位,高级工程师;主要从事火电厂热控自动化系统的设计、调试和仪表的应用研究。

和频率上不一致,转换瞬间由于短路或差压大而产生很大的冲击电流,导致20#DPU中由UPS电源所带的

13V整流装置的运行中损坏,造成20#DPU失去13V

电源,引发“DEH电源失去”导致机组跳闸;③未定期

(在机组停运时)对电源进行切换试验。如某电厂3#

机组从保安段来的220VAC电源因热工220V电源柜内部保安段的零相接线端子松动而失去备用。这样在

UPS失电后因保安段电源无法自动投入运行,导致

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

全部栏目

火电厂DCS应用技术问题探讨