1、華北電力科學研究院有限責任公司華北電力科學研究院有限責任公司 NORTH-CHINA ELECTRIC POWER RESEARCH INSTITUTE CO.LTD國華電力國華電力防止電力生產重大事故的二十五項重點要求防止電力生產重大事故的二十五項重點要求防止分散控制系統失靈、熱工保護拒動事故學習與探討華北電科院熱控所 魯學農引言引言關于印發關于印發防止電力生產重大事故的二十五項重點要求防止電力生產重大事故的二十五項重點要求的通知的通知 國電發國電發20005892000589號號 為進一步落實中共中央關于國有企業改革和發展若干重大問題的決定中關于“堅持預防為主，落實安全措施，確保安全生產”

2、的要求，完善各項反事故措施，進一步提高電力安全生產水平，國家電力公司通過總結分析近年來發供電企業發生重大事故的特征，在原能源部防止電力生產重大事故的二十項重點要求基礎上，增加了防止樞紐變電所全停、重大環境污染、分散控制系統失靈、熱工保護拒動、鍋爐尾部再次燃燒、鍋爐滿水和缺水等事故的重點要求，制定了防止電力生產重大事故的二十五項重點要求，現頒發執行。 做好防止電力生產重大事故的措施，是保證電力系統安全穩定經濟運行的重要條件，是制造、設計、安裝、調試、生產等各個單位的共同任務。因此，各有關方面都應認真貫徹落實二十五項重點要求。 本重點要求并不覆蓋全部反事故技術措施，各單位應根據本要求和已下發的反事

3、故技術措施，緊密結合各自實際情況，制定具體的反事故技術措施，認真貫徹執行。（一統天下時期）近幾年新的形勢和變化近幾年新的形勢和變化（二零零二年以后）二零零二年以后）2000年原國家電力公司關于防止電力生產重大事故的二十五項重點要求頒發后，一段時期內在防止重大、特大事故方面收到明顯效果。在電網容量增加、系統不斷擴大的條件下，各項事故曾經的發生呈下降趨勢。但是，隨著我國電力工業體制改革的不斷深化和近幾年電力工業的快速發展，尤其是各個發電公司的快速擴張與建設，電力生產出現了新的形勢和變化，在安全生產方面出現了一些新的情況，對安全生產管理工作也提出了新的要求。有些事故已大大減少（如電網事故），但在各發

4、電公司有些事故頻發，并且有的變得越來越突出，甚至發生了多年來未曾發生過的重大事故，如汽輪機斷油燒瓦軸系損壞事故、鍋爐爐膛外爆事故、鍋爐缺水事故、電纜著火事故以及全廠停電事故。而且新的事故類型也不斷出現。為了進一步落實中央要求，更好地推動安全生產工作有目標、有重點地防止重大惡性事故，加強安全生產，各個發電公司紛紛在原國家電力公司關于防止電力生產重大事故的二十五項重點要求的基礎上，密切聯系本公司的實際情況，制定了適用于本公司的防止電力生產重大事故的二十五項重點要求，目的在于把各項重點要求落到實處，防止特大、重大和頻發性事故的發生。 國華電力防止電力生產重大事故的國華電力防止電力生產重大事故的二十五

5、項重點要求二十五項重點要求（2010 年版）中國神華股份有限公司國華電力分公司二0 一一年一月五防止分散控制系統失靈和熱工保護拒動事故防止分散控制系統失靈和熱工保護拒動事故制訂防止分散控制系統失靈、熱工保護拒動事故措施的必要性制訂防止分散控制系統失靈、熱工保護拒動事故措施的必要性現代大型機組配置DCS分散控制系統，已是一種標準模式，是監控機組起、停、運行、及故障處理的神經中樞。DCS分散控制系統工作的安全及可靠與否，對機組安全穩定運行至關重要。隨著計算機技術及控制技術的飛速發展，DCS系統對機組的監控覆蓋面日趨完善，滲透深度越來越深入，DCS系統的設計功能，已不再局限于熱機及其熱力系統的監控和

6、聯鎖保護，擴展到發電機變壓器組、廠用電系統、升壓站等的控制，甚至自同期、自動勵磁等可靠性和品質指標要求都很高的專用設備，也有人嘗試采用DCS系統專用智能板件實施其功能，機組的安全和經濟運行，對DCS系統的依賴性也越來越大。 當前電廠中所采用的DCS系統型號、性能、功能等較多，在設備選型及系統設計時，受各種因素的影響，在系統配置上可能不盡合理、功能上不能保證十分完善、系統工作的可靠性也不盡相同。有可能因DCS系統本身問題或使用維護不當，造成機組停運或設備損壞。因此，制訂防止分散控制系統失靈、熱工保護拒動事故措施尤為必要。 防止分散控制系統（防止分散控制系統（DCSDCS）失靈、熱工保護拒動反措的

7、大原則失靈、熱工保護拒動反措的大原則 為防止分散控制系統（為防止分散控制系統（DCS）失靈、熱工保護拒動造成的事故，失靈、熱工保護拒動造成的事故，要認真貫徹要認真貫徹火力發電廠熱工控制系統設計技術規定火力發電廠熱工控制系統設計技術規定（DL/T 5175-2003）、火力發電廠鍋爐爐膛安全監控系統驗收測試規程火力發電廠鍋爐爐膛安全監控系統驗收測試規程（DL/T 655-2006）、）、火力發電廠汽輪機控制系統驗收測試規程火力發電廠汽輪機控制系統驗收測試規程（DL/T 656-2006）、）、火力發電廠模擬量控制系統驗收測試規程火力發電廠模擬量控制系統驗收測試規程（DL/T 657-2006）、

8、）、火力發電廠開關量控制系統驗收測試規程火力發電廠開關量控制系統驗收測試規程（DL/T658-2006）、）、火力發電廠分散控制系統驗收測試規程火力發電廠分散控制系統驗收測試規程（DL/T 659-2006）、）、等有關技術規定，并在等有關技術規定，并在反措反措本章節提出重點要求。本章節提出重點要求。 其他防止分散控制系統失靈、熱工保護拒動事故應遵循的技術規程、規定其他防止分散控制系統失靈、熱工保護拒動事故應遵循的技術規程、規定火力發電廠設計技術規程（DL/T 5000-2000）、電站煤粉鍋爐爐膛防爆規程 (DL/T435-2004 ）、汽輪機安全監視裝置技術條件（GBT 13399-92

9、？）、火力發電廠汽輪機電液控制系統技術條件（DL/T 996-2006）、火力發電廠分散控制系統技術條件（DL/T 1083-2008） 、火力發電廠鍋爐爐膛安全監控系統技術規程（DL/T 1091-2008） 、火力發電廠熱工保護系統設計技術規定（DL/T 5428-2009） 、熱工自動化設備檢修規程 （DL/T 774-2004） 、發電廠熱工儀表及控制系統技術監督導則（DL/T10562007）12.1分散控制系統配置的基本要求分散控制系統配置的基本要求12.1.1 DCS系統配置系統配置應能滿足機組任何工況下的監控要求應能滿足機組任何工況下的監控要求(包括緊急故包括緊急故障處理障處理

10、)，CPU負荷率應控制在負荷率應控制在設計指標設計指標之內并留有適當裕度。之內并留有適當裕度。12.1.2 主要控制器應采用冗佘配置，重要主要控制器應采用冗佘配置，重要I/O點應考慮采用非同一板點應考慮采用非同一板件的冗佘配置。件的冗佘配置。12.1.3 系統電源系統電源應設計有可靠的后備手段應設計有可靠的后備手段(如采用如采用UPS電源電源)，備用電，備用電源的切換時間應小于源的切換時間應小于5ms(應保證控制器不能初始化應保證控制器不能初始化)。嚴禁其它用電設備接到DCS 系統的UPS 電源裝置上。系統電源故障系統電源故障(電壓超限、兩路電源偏差大、風扇故障以及隔離變壓器超溫等) 應在控制

11、室內設有應在控制室內設有獨立于獨立于DCS之外的聲光報警。之外的聲光報警。12.1.4 主系統及與主系統連接的所有相關系統主系統及與主系統連接的所有相關系統(包括專用裝置包括專用裝置)的的通信通信負荷率負荷率設計必須控制在合理的范圍之內設計必須控制在合理的范圍之內(保證在高負荷運行時不出現保證在高負荷運行時不出現 “瓶頸瓶頸”現象現象) ，其接口設備，其接口設備(板件板件)應穩定可靠。應穩定可靠。12.1.5 DCS的的系統接地系統接地必須嚴格遵守技術要求，所有進人必須嚴格遵守技術要求，所有進人DCS系統控系統控制信號的電纜必須采用質量合格的屏蔽電纜，且有良好的單端接地。制信號的電纜必須采用質

12、量合格的屏蔽電纜，且有良好的單端接地。12.1.6 操作員站及少數操作員站及少數重要操作按鈕重要操作按鈕的配置應能滿足機組各種工況下的配置應能滿足機組各種工況下的操作要求，特別是緊急故障處理的要求。緊急停機停爐按鈕配置，的操作要求，特別是緊急故障處理的要求。緊急停機停爐按鈕配置，應采用與應采用與DCS分開的單獨分開的單獨操作回路操作回路。12.1.1 12.1.1 DCSDCS系統配置系統配置應能滿足機組任何工況下的監控要求應能滿足機組任何工況下的監控要求( (包括緊急故障包括緊急故障處理處理) )，CPUCPU負荷率應控制在負荷率應控制在設計指標設計指標之內并留有適當裕度。之內并留有適當裕度

13、。本條是對DCS系統能夠保障機組安全穩定運行提出的基本要求DCS系統的各控制站、計算站、數據管理站等，其儲備容量及各部件負荷率，應滿足火力發電廠分散控制系統技術條件（DL/T 1083-2008）的要求：“控制器在滿足控制對象要求的運算處理周期條件下，負荷率最高不應超過60%，平均負荷率不應超過40%；”“采用客戶機/服務器形式的控制系統，單臺服務器運行時，平均負荷不應超過40%。”12.1.2 12.1.2 主要控制器應采用冗余配置，重要主要控制器應采用冗余配置，重要I/OI/O點應考慮采用非同一板件的點應考慮采用非同一板件的冗佘配置。冗佘配置。主要控制器應采用冗余配置主要控制器應采用冗余配

14、置控制器冗余配置原則控制器冗余配置原則火力發電廠分散控制系統技術條件（DL/T 1083-2008）從控制對象角度要求 “用于機組主控和重要輔機系統的DCS的控制處理器均為主要控制器，應冗余配置；重要輔機設備可包括送風機、引風機、一次風機、空氣預熱器、制粉系統、給水泵、凝結水泵、循環水泵、真空泵、重要冷卻水泵、重要油泵等。同時規定雖然控制處理器故障，而短期內不影響機組穩定運行的輔助控制系統的DCS，可不要求冗余配置；”火力發電廠熱工控制系統設計技術規定（DL/T 5175-2003）則根據不同廠商的分散控制系統結構特點和被控對象的重要性來確定控制器模件和輸入/輸出模件(I/O模件)的冗余配置與

15、否。 “ 1 對于控制器模件通過內部總線帶多個I/O模件的情況，完成數據采集、模擬量控制、開關量控制和鍋爐爐膛安全監控任務的控制器模件均應冗余配置。 2 對于控制器模件本身帶有控制輸出和相應的信號輸入接口又通過總線與其他輸入模件通訊的情況，完成模擬量控制、鍋爐爐膛安全監控任務的控制器模件以及完成重要信號輸入任務的模件應冗余配置。”重要重要I/OI/O點應考慮采用非同一板件的冗余配置點應考慮采用非同一板件的冗余配置I/OI/O點點冗余配置原則冗余配置原則火力發電廠分散控制系統技術條件（DL/T 1083-2008）要求： 5.2.1.15“對某些重要的關鍵參數，應采用三重冗余變送器測量”； 5.

16、2.1.17“對某些僅次于關鍵參數的重要參數，應采用雙重冗余變送器測量”；火力發電廠熱工保護系統設計技術規定（DL/T 5428-2009） 5.3.6明確要求“應冗余配置的主要開關量儀表規定至少如下：二取一(1/2)：風箱與爐膛差壓、一次風與爐膛差壓。三取二(2/3)：爐膛正壓、爐膛負壓、火檢冷卻風與爐膛差壓、凝汽器真空、潤滑油壓、抗燃油壓、發電機冷卻水流量。” 5.3.7明確要求“應冗余配置的主要模擬量儀表規定至少如下：雙重冗余：再熱蒸汽溫度、軸向位移、給水泵汽機轉速、汽包壓力、總送風量、爐水循環泵進出口壓差、常壓流化床旋風分離器出口溫度、燃油壓力。三重冗余：汽包爐汽包水位、直流爐給水流量

17、、爐膛壓力、床壓及流化風量、汽輪機轉速、主蒸汽壓力、再熱蒸汽壓力、主汽溫度、磨煤機出口溫度。”火力發電廠熱工控制系統設計技術規定（DL/T 5175-2003）還要求“冗余I/O信號應通過不同的I/O模件和通道引入/引出。” 實施細則：12.1.2.1 主要控制器的冗余配置必須是熱備用方式，即后備控制器必須與主控制器同步更新數據，保證后備控制器切換為主控制器時不對輸出產生影響。12.1.2.2 控制器內包括熱工條例規定的主要自動調節系統和主要熱工保護以及重要輔機控制功能的均為主要控制器。12.1.2.3 重要IO點至少應包括主汽壓力測點、主汽溫度測點、汽包水位測點、汽包壓力測點、爐膛壓力測點以

18、及MFT的動作輸出點等。12.1.2.4 建立各機組DCS的冗余配置檔案，確認現有的冗余配置是否滿足安全生產要求，否則應及時改進。12.1.2.5 熱控人員應在日常巡視中檢查系統冗余狀況，發現有主控制器或冗余IO點退出時, 應立即查找原因消除故障，及時恢復正常的冗余狀況，保證系統安全。12.1.3 12.1.3 系統電源系統電源應設計有可靠的后備手段應設計有可靠的后備手段( (如采用如采用UPSUPS電源電源) )，備用電源的，備用電源的切換時間應小于切換時間應小于5 5ms(ms(應保證控制器不能初始化應保證控制器不能初始化) )。嚴禁其它用電設備接到DCS 系統的UPS 電源裝置上。系統電

19、源故障系統電源故障(電壓超限、兩路電源偏差大、風扇故障以及隔離變壓器超溫等) 應在控制室內設有獨立于應在控制室內設有獨立于DCSDCS之外的聲之外的聲光報警。光報警。本條對DCS系統供電電源提出要求。機組運行中，如發生DCS系統失電事故，機組將無法進行監控，可能會造成難以預料的后果。故制訂本預防性措施條款。DCS 系統電源應滿足火力發電廠分散控制系統技術條件（DL/T 1083-2008）要求：“6.3.1.1 機組、脫硫、全廠輔助系統等重要系統配置DCS應能夠接受電廠提供的兩路交流單相電源且應具有可靠的電源冗余功能，任何一路外部電源失去或故障不應引起控制系統任何部分的故障、數據丟失或異常動作

20、。任何一路外部電源失去應在DCS系統獲得報警。”“6.3.2.4 冗余電源的直流隔離或切換組件（如二極管或其他部件）應冗余配置，防止因其故障造成DPU電源系統的故障。”火力發電廠設計技術規程（DL/T 5000-2000）則明確要求分散控制系統的供電電源，一路應采用交流不間斷電源，一路來自廠用保安段電源。實施細則：12.1.3.1 機組大修期間必須進行DCS備用電源切換功能試驗，指標應滿足上述要求。12.1.3.2 系統電源故障未設計獨立于DCS之外的聲光報警的機組，應盡快獨立的聲光報警。火力發電廠分散控制系統技術條件（DL/T 1083-2008）“12.9.4 4 機爐不宜配置常規光字牌報

21、警裝置”與此矛盾，考慮到安全性要求，應執行本反措要求。12.1.3.3 系統電源故障報警后，應立即查清原因，消除缺陷，不得長時間單路電源工作。12.1.4 12.1.4 主系統及與主系統連接的所有相關系統主系統及與主系統連接的所有相關系統( (包括專用裝置包括專用裝置) )的的通信負通信負荷率荷率設計必須控制在合理的范圍之內設計必須控制在合理的范圍之內( (保證在高負荷運行時不出現保證在高負荷運行時不出現 “ “瓶頸瓶頸”現象現象) ) ，其接口設備，其接口設備( (板件板件) )應穩定可靠。應穩定可靠。本條對DCS系統的通信負荷率提出要求。DCS系統的通信負荷率，應滿足火力發電廠分散控制系統

22、技術條件（DL/T 1083-2008）的要求， “4.1.3 數據通訊負荷在最繁忙的情況下，令牌網平均通訊負荷率不應超過40%，以太網平均通訊負荷率不應超過20%。”對DCS系統所要求的還有其他指標，可以參考火力發電廠分散控制系統技術條件（DL/T 1083-2008）和其他相關技術規范的要求執行。12.1.5 12.1.5 DCSDCS的的系統接地系統接地必須嚴格遵守技術要求，所有進人必須嚴格遵守技術要求，所有進人DCSDCS系統控制信系統控制信號的電纜必須采用質量合格的屏蔽電纜，且有良好的單端接地。號的電纜必須采用質量合格的屏蔽電纜，且有良好的單端接地。 本條是對DCS系統控制信號電纜屏

23、蔽接地提出的要求。 DCS系統的接地，應滿足火力發電廠分散控制系統技術條件（DL/T 1083-2008）的要求：“6.8.3 DCS應不要求單獨的接地網，接地電阻小于4歐姆的電廠電氣地網應能夠滿足DCS接地要求。各電子機柜中應設有獨立的安全地、屏蔽地及相應接地銅牌。每套DCS可采用中心接地匯流排的方式，實現系統的單點接地。電纜屏蔽層應在機柜側單端接地。” DCS系統控制信號電纜屏蔽接地處理不當，DCS監控系統中將可能侵入外界干擾信號，造成機組意外突發事故。12.1.6 12.1.6 操作員站及少數操作員站及少數重要操作按鈕重要操作按鈕的配置應能滿足機組各種工況下的的配置應能滿足機組各種工況下

24、的操作要求，特別是緊急故障處理的要求。緊急停機停爐按鈕配置，應采用操作要求，特別是緊急故障處理的要求。緊急停機停爐按鈕配置，應采用與與DCSDCS分開的單獨分開的單獨操作回路操作回路。本條是對配置緊急停機、停爐按鈕的要求。火力發電廠分散控制系統技術條件（DL/T 1083-2008）6.6.6.2規定，為保證在DCS系統發生重大故障（如分散控制系統電源消失、通訊中斷、全部操作員站失去功能、重要控制站失去控制和保護功能等），或在緊急工況下快速、安全停機，應設置手動操作裝置，確保機組安全停運。緊急手動操作的設備應按照火力發電廠設計技術規程（DL/T 5000-2000） 12.9.4的規定執行 ：

25、“應設置下列獨立于分散控制系統的后背手操手段：汽輪機跳閘、總燃料跳閘、發電機變壓器組跳閘、鍋爐安全門（機械式可不裝）、汽包事故放水門、汽輪機真空破壞門、直流潤滑油泵、交流潤滑油泵、電機滅磁開關、柴油機啟動。” （共十項）DL/T 1083-2008 的6.6.6.3要求“緊急手動裝置應直接作用于設備或裝置，不應通過DCS通道。應布置在操作員臺便于操作的位置上，同時應有安全防護措施以防止誤動。”為了防止誤動，緊急停機停爐按鈕應采用雙按鈕或帶罩單按鈕配置。DL/T 5000-2000 12.6.1條對此強制要求“在控制臺上必須設置總燃料跳閘、停止汽輪機和解列發電機的跳閘按鈕，跳閘按鈕應直接接至停爐

26、、停機的驅動回路。” 分散控制系統配置的其他基本要求分散控制系統配置的其他基本要求12.1.7 電子間內不允許有380V 及以上動力電纜進入，不允許放置電磁干擾較大的設備，如電氣開關柜、變頻柜等設備。12.1.8 空冷控制、脫硫控制和脫硝控制采用DCS 控制的，對所用DCS 系統的環境、接地、防電磁干擾等各項指標應與主機DCS 同等要求。12.1.9 對于空冷機組的冷卻水泵以及儀用空壓機等重要公用設備的控制，應按34單元或分組納入單元機組的DCS中，以免因公用DCS故障而導致多臺機組同時停止運行。12.1.10 新建和改造機組宜設計和保留熱工硬光字牌報警裝置,或設置報警專用屏。 12.2 DC

27、S故障的緊急處理措施故障的緊急處理措施12.2.1 已配備已配備DCS的電廠，應根據機組的具體情況，制定在各種情況的電廠，應根據機組的具體情況，制定在各種情況下下DCS失靈后的緊急停機停爐措施。失靈后的緊急停機停爐措施。12.2.2 當全部當全部操作員站操作員站出現故障時出現故障時(所有上位機所有上位機“黑屏黑屏”或或“死機死機”)，若主要后備硬手操及監視儀表可用且暫時能夠維持機組正常運行，若主要后備硬手操及監視儀表可用且暫時能夠維持機組正常運行，則轉用后備操作方式運行，同時排除故障并恢復操作員站運行方式，則轉用后備操作方式運行，同時排除故障并恢復操作員站運行方式，否則應立即停機、停爐。若無可

28、靠的后備操作監視手段，也應停機、否則應立即停機、停爐。若無可靠的后備操作監視手段，也應停機、停爐。停爐。12.2.3 當部分操作員站出現故障時，應由可用操作員站繼續承擔機組當部分操作員站出現故障時，應由可用操作員站繼續承擔機組監控任務監控任務(此時應停止重大操作此時應停止重大操作)，同時迅速排除故障，若故障無法排，同時迅速排除故障，若故障無法排除，則應根據當時運行狀況酌情處理。除，則應根據當時運行狀況酌情處理。12.2.4 當系統中的控制器或相應電源故障時，應采取以下對策。當系統中的控制器或相應電源故障時，應采取以下對策。12.2.4.1輔機控制器或相應電源故障時，可切至后備手動方式運行并輔機

29、控制器或相應電源故障時，可切至后備手動方式運行并迅速處理系統故障，若條件不允許則應將該輔機退出運行。迅速處理系統故障，若條件不允許則應將該輔機退出運行。12.2.4.2 調節回路控制器或相應電源故障時，應將自動切至手動維持調節回路控制器或相應電源故障時，應將自動切至手動維持運行，同時迅速處理系統故障，并根據處理情況采取相應措施。運行，同時迅速處理系統故障，并根據處理情況采取相應措施。 12.2.4.3 涉及到機爐保護的控制器故障時應立即更換或修復控制器模涉及到機爐保護的控制器故障時應立即更換或修復控制器模件，涉及到機爐保護電源故障時則應采用強送措施，此時應做好防止件，涉及到機爐保護電源故障時則

30、應采用強送措施，此時應做好防止控制器初始化的措施。若恢復失敗則應緊急停機停爐。控制器初始化的措施。若恢復失敗則應緊急停機停爐。以上各條是對DCS系統失靈后，制訂應急處理措施的要求。實施細則：1）DCS失靈主要是指系統電源消失、系統全面癱瘓、網絡通訊中斷、全部操作員站無法工作等情況。2）各電廠要根據各個機組所配置后備硬手操及監視儀表的具體情況，明確當全部操作員站出現故障時應采取的措施和操作要點，并寫入運行規程執行。12.2.5 12.2.5 加強對加強對DCSDCS系統的系統的監視檢查監視檢查，特別是發現，特別是發現CPUCPU、網絡、電源等故障網絡、電源等故障時，應及時通知運行人員并迅速做好相

31、應對策。時，應及時通知運行人員并迅速做好相應對策。實施細則：12.2.5.1 各電廠熱工部門應建立DCS系統巡視檢查制度，明確檢查內容以及發現故障時應采取的對策和措施，并設立專門的檢查記錄本。12.2.5.2 DCS應設計具備系統設備故障自診斷功能，運行人員對于系統設備故障報警應引起高度重視，一旦發現應及時采取相應措施，并通知熱控人員立即處理。12.2.6 12.2.6 規范規范DCSDCS系統軟件和應用軟件的管理，軟件的修改、更新、升級必系統軟件和應用軟件的管理，軟件的修改、更新、升級必須履行審批授權及責任人制度。在修改、更新、升級軟件前，應對軟件進須履行審批授權及責任人制度。在修改、更新、

32、升級軟件前，應對軟件進行備份。未經測試確認的各種軟件嚴禁下載到已運行的行備份。未經測試確認的各種軟件嚴禁下載到已運行的DCSDCS系統中使用，系統中使用，必須建立有針對性的必須建立有針對性的DCSDCS系統防病毒措施。系統防病毒措施。實施細則：12.2.6.1 應用軟件的修改必須要有修改方案，并經相關技術人員確認無誤后，按審批授權及責任人制度執行。重大修改原則上應在機組停運期間進行，并應對修改結果及相關系統進行模擬試驗，確認修改達到設計要求后才能投入正常運行。 應盡量避免對運行機組DCS系統進行涉及范圍較大和較深的操作，風險大。首先可能會引起不受控制的問題，其次沒有辦法進行功能測試。12.2.

33、6.2 DCS的系統軟件和在正常運行的應用軟件必須有備份，并有專人專門保管，軟件修改、更新、升級后同時應對相應的備份更新。12.2.6.3 嚴禁在DCS控制系統上運行與該系統無關的軟件，所使用的軟盤、光盤應嚴格審查管理，確保不帶病毒。 12.3防止熱工保護拒動防止熱工保護拒動12.3.1 DCS部分的鍋爐爐膛安全監控系統部分的鍋爐爐膛安全監控系統(FSSS)的系統配置應符合的系統配置應符合12.1條中的要求，條中的要求，FSSS的控制器必須冗余配置且可自動無擾切換，同時的控制器必須冗余配置且可自動無擾切換，同時FSSS裝置應具有在線自動裝置應具有在線自動/手動火焰檢測器和全部邏輯的試驗功能。手

34、動火焰檢測器和全部邏輯的試驗功能。12.3.2對于獨立配置的鍋爐滅火保護裝置應保證裝置對于獨立配置的鍋爐滅火保護裝置應保證裝置(系統系統)本身完全符合本身完全符合相應技術規范的要求，所配電源必須可靠，系統涉及到的爐膛壓力的取相應技術規范的要求，所配電源必須可靠，系統涉及到的爐膛壓力的取壓裝置、壓力開關、傳感器、火焰檢測器及冷卻風系統等外圍設備必須壓裝置、壓力開關、傳感器、火焰檢測器及冷卻風系統等外圍設備必須處于完好狀態。處于完好狀態。12.3.3定期進行保護定值的核實檢查和定期進行保護定值的核實檢查和保護的動作試驗保護的動作試驗，在役的鍋爐爐，在役的鍋爐爐膛安全監視保護裝置的動態試驗膛安全監視

35、保護裝置的動態試驗(指在靜態試驗合格的基礎上，通過調指在靜態試驗合格的基礎上，通過調整鍋爐運行工況，達到整鍋爐運行工況，達到MFT動作的現場整套爐膛安全監視保護系統的閉動作的現場整套爐膛安全監視保護系統的閉環試驗環試驗)間隔不得超過間隔不得超過3年。年。12.3.4對于已配有由對于已配有由DCS構成的構成的FSSS及含有相關軟邏輯的熱工保護系統及含有相關軟邏輯的熱工保護系統，在進行，在進行機、爐、電聯鎖機、爐、電聯鎖與聯動試驗時，必須將全部軟邏輯納人到相關與聯動試驗時，必須將全部軟邏輯納人到相關系統的試驗中。系統的試驗中。12.3.5 汽輪機緊急跳閘系統汽輪機緊急跳閘系統(ETS)和汽輪機監視

36、儀表和汽輪機監視儀表(TSI)應加強定期巡應加強定期巡視檢查，所配電源必須可靠，電壓波動值不得大于視檢查，所配電源必須可靠，電壓波動值不得大于5%。TSI的的CPU及及重要跳機保護信號和通道必須冗佘配置，輸出繼電器必須可靠。重要跳機保護信號和通道必須冗佘配置，輸出繼電器必須可靠。12.3.6 汽輪機超速、軸向位移、振動、低油壓保護、低真空等保護汽輪機超速、軸向位移、振動、低油壓保護、低真空等保護(裝置裝置) 應定期或在每次機組檢修后起動前進行靜態試驗，以檢查跳閘邏輯、報，以檢查跳閘邏輯、報警及停機動作值。所有檢測用的傳感器必須在規定的有效檢驗周期內。警及停機動作值。所有檢測用的傳感器必須在規定

37、的有效檢驗周期內。12.3.7 若發生若發生熱工保護熱工保護裝置裝置(系統、包括一次檢測設備系統、包括一次檢測設備)故障，必須開具工故障，必須開具工作票經總工程師批準后迅速處理。鍋爐爐膛壓力、全爐膛滅火、汽包水作票經總工程師批準后迅速處理。鍋爐爐膛壓力、全爐膛滅火、汽包水位和汽輪機超速、軸向位移、振動、低油壓等重要保護裝置在機組運行位和汽輪機超速、軸向位移、振動、低油壓等重要保護裝置在機組運行中嚴禁退出中嚴禁退出;其他保護裝置被迫退出運行的，必須在其他保護裝置被迫退出運行的，必須在24h內恢復，否則應內恢復，否則應立即停機、停爐處理。立即停機、停爐處理。 12.3.8 熱工保護系統輸出的指令應

38、優先于其它任何指令。用于動作MFT 的重要輔機狀態信號應直接取自斷路器的輔助接點。機組跳閘命令不應通過數據總線傳送，也不允許通過I/O 模件到另一個控制器處理后間接去執行。 12.3.9 對單點保護應進行可靠性分析，并采取相應的防誤動、防拒動措施。 12.3.10 在機爐重要保護回路中不應設置供運行人員切（投）保護的任何操作設備和手段。 12.3.11 鍋爐MFT 跳閘繼電器設計為帶電動作方式時，應在每次檢修時對跳閘繼電器輸出觸點進行接觸電阻測試，防止因觸點氧化、存有積灰、接觸不良而引起觸點信號誤發。12.3.1 12.3.1 DCSDCS部分的鍋爐爐膛安全監控系統部分的鍋爐爐膛安全監控系統(

39、 (FSSS)FSSS)的系統配置應符合的系統配置應符合12.112.1條條中的要求，中的要求，FSSSFSSS的控制器必須冗余配置且可自動無擾切換，同時的控制器必須冗余配置且可自動無擾切換，同時FSSSFSSS裝置裝置應具有在線自動應具有在線自動/ /手動火焰檢測器和全部邏輯的試驗功能。手動火焰檢測器和全部邏輯的試驗功能。電站煤粉鍋爐爐膛防爆規程 (DL/T435-2004 ）定義的兩個概念：2.13 “爐膛安全監控系統 furnace safety supervisory system（簡稱FSSS）是保證鍋爐燃燒系統中各設備按規定的操作順序和條件安全啟停、切投，并能在危急工況下，迅速切斷

40、進入爐膛的全部燃料（包括點火燃料），防止發生爆燃、爆炸等破壞性事故的安全保護和順序控制裝置。”注：國外有的廠家所稱為“燃料器管理系統（burner management system）”、“燃料燃燒安全系統（fuel-firing safety system）”或“燃燒器控制系統（burner control system）”的主要功能與DL/T435所定義的FSSS是一樣的。2.6 “總燃料跳閘 master fuel trip （簡稱MFT）一旦出現危及鍋爐安全的危險工況時，切斷所有入爐燃料，包括點火器的燃料，它是爐膛安全監控系統主要功能的一部分。” 熱工保護的拒動，對機組的危害性是顯而易

41、見的。凡涉及到的熱工主保護(例FSSS、ETS、以及部分含有軟邏輯的熱工保護系統) 裝置，其配置和技術指標必須滿足DCS系統的相應標準要求。凡涉及到熱工主保護的測點信號，均按重要DCS信號來考慮。熱工保護必須健全，應按規程完善保護系統。12.3.212.3.2對于獨立配置的鍋爐滅火保護裝置應保證裝置對于獨立配置的鍋爐滅火保護裝置應保證裝置( (系統系統) )本身完全符合本身完全符合相應技術規范的要求，所配電源必須可靠，系統涉及到的爐膛壓力的取壓相應技術規范的要求，所配電源必須可靠，系統涉及到的爐膛壓力的取壓裝置、壓力開關、傳感器、火焰檢測器及冷卻風系統等外圍設備必須處于裝置、壓力開關、傳感器、

42、火焰檢測器及冷卻風系統等外圍設備必須處于完好狀態。完好狀態。在此應區分“DCS部分的鍋爐爐膛安全監控系統(FSSS)”和“獨立配置的鍋爐滅火保護裝置”。本條款強調獨立配置鍋爐滅火保護裝置，也必須嚴格符合相應技術規范要求，對電源可靠性、外部設備完好性、信號通道冗余配置等，提出了有針對性的要求。實施細則：12.3.2.1 壓力開關等必須定期校驗，作好每次校驗前后的動作值記錄，并存檔；當發現整定值在運行后有較大變化（上次校驗動作值與本次校驗前動作值差值較大）時，應縮短校驗周期，必要時更換壓力開關，以保證動作值的準確和穩定。12.3.2.2 爐膛壓力的取樣管路及裝置應定期吹掃，以防止取樣管路及裝置堵塞

43、；爐膛壓力取樣管路及裝置的結構不能進行吹掃的，應盡快進行改進。12.3.2.3 加強對上述設備及裝置的檢查、維護和校驗。 12.3.312.3.3定期進行保護定值的核實檢查和定期進行保護定值的核實檢查和保護的動作試驗保護的動作試驗，在役的鍋爐爐膛，在役的鍋爐爐膛安全監視保護裝置的動態試驗安全監視保護裝置的動態試驗( (指在靜態試驗合格的基礎上，通過調整鍋指在靜態試驗合格的基礎上，通過調整鍋爐運行工況，達到爐運行工況，達到MFTMFT動作的現場整套爐膛安全監視保護系統的閉環試驗動作的現場整套爐膛安全監視保護系統的閉環試驗) )間隔不得超過間隔不得超過3 3年。年。實施細則：12.3.3.1 進行

44、動態試驗必須有試驗方案，以保證試驗的安全、正確和全面。12.3.3.2 應建立定期保護定值核實檢查和保護動作試驗的檔案，以便全面評價保護系統的可靠性。本條對在役的鍋爐爐膛安全監視保護裝置的實際動態試驗進行強制要求：不僅要做實際動作試驗，而且間隔不得超過3年。發電廠熱工儀表及控制系統技術監督導則（DL/T10562007）8.12 “ 熱工保護連鎖系統應定期進行試驗，并應遵循如下原則：保護連鎖試驗應盡量采用物理方法進行，不能采用物理方法的可在測量設備校驗準確的前提下，在現場信號源點處模擬試驗條件進行。機組大修后，啟動前應進行所有主輔設備的保護連鎖試驗，小修或停用時間超過7天的機組，啟動前應進行機

45、爐大連鎖、鍋爐保護連鎖、汽輪機保護連鎖等主要保護連鎖試驗和檢修期間變動的以及運行中出現異常的保護系統的保護連鎖試驗。”12.3.412.3.4對于已配有由對于已配有由DCSDCS構成的構成的FSSSFSSS及含有相關軟邏輯的熱工保護系統，及含有相關軟邏輯的熱工保護系統，在進行在進行機、爐、電聯鎖機、爐、電聯鎖與聯動試驗時，必須將全部軟邏輯納人到相關系統與聯動試驗時，必須將全部軟邏輯納人到相關系統的試驗中。的試驗中。本條是對機、爐、電聯鎖、聯動試驗的要求，強調必須測試全部軟邏輯。對后備操作按鈕應進行單獨試驗，保證其可靠性。12.3.5 12.3.5 汽輪機緊急跳閘系統汽輪機緊急跳閘系統( (ET

46、S)ETS)和汽輪機監視儀表和汽輪機監視儀表( (TSI)TSI)應加強定期巡應加強定期巡視檢查，所配電源必須可靠，電壓波動值不得大于視檢查，所配電源必須可靠，電壓波動值不得大于5%5%。TSITSI的的CPUCPU及重要及重要跳機保護信號和通道必須冗佘配置，輸出繼電器必須可靠。跳機保護信號和通道必須冗佘配置，輸出繼電器必須可靠。12.3.6 12.3.6 汽輪機超速、軸向位移、振動、低油壓保護、低真空等保護汽輪機超速、軸向位移、振動、低油壓保護、低真空等保護( (裝裝置置) ) 應定期或在每次機組檢修后起動前進行靜態試驗，以檢查跳閘邏輯、，以檢查跳閘邏輯、報警及停機動作值。所有檢測用的傳感器

47、必須在規定的有效檢驗周期內。報警及停機動作值。所有檢測用的傳感器必須在規定的有效檢驗周期內。實施細則12.3.6.1 每次機組檢修后啟動前必須對汽輪機緊急跳閘系統（ETS）逐個保護條件進行靜態試驗，并且對于有條件進行動態試驗的保護（如低油壓保護、低真空保護等），應采取動態試驗。12.3.6.2 對于軸振動測量不但要進行傳感器的位移特性校驗，而且還要對整個軸振動測量系統進行振動幅值和頻響特性校驗。 參考汽輪機安全監視裝置技術條件（GBT 13399-92 ？）、火力發電廠汽輪機電液控制系統技術條件（DL/T 996-2006）的相關要求。12.3.7 12.3.7 若發生若發生熱工保護熱工保護裝

48、置裝置( (系統、包括一次檢測設備系統、包括一次檢測設備) )故障，必須開具故障，必須開具工作票經總工程師批準后迅速處理。鍋爐爐膛壓力、全爐膛滅火、汽包水工作票經總工程師批準后迅速處理。鍋爐爐膛壓力、全爐膛滅火、汽包水位和汽輪機超速、軸向位移、振動、低油壓等重要保護裝置在機組運行中位和汽輪機超速、軸向位移、振動、低油壓等重要保護裝置在機組運行中嚴禁退出嚴禁退出; ;其他保護裝置被迫退出運行的，必須在其他保護裝置被迫退出運行的，必須在2424h h內恢復，否則應立即內恢復，否則應立即停機、停爐處理。停機、停爐處理。發電廠熱工儀表及控制系統技術監督導則（DL/T10562007）8.3 “熱控系統應隨主設備準確可靠地投入運行。若發生保護裝置故障，應開具工作票經總工程師批準后迅速處理。鍋爐爐膛壓力、全爐膛滅火、汽包水位和汽輪機超速、軸向位移、振動、低油壓等重要保護裝置在機組運行中嚴禁退出;其他保護裝置被迫退出運行的，必須在24h內恢復，否則應立即