國家能源局25項重點要求熱控部分解析1二十五項反措的發展變化及編制依據落實二十五項反措的基本要求防止分散控制系統控制保護失靈事故三一二反措其它章節關于熱控部分的要求四2一、二十五項反措的發展變化及編制依據3

一、二十五項反措的發展變化及編制依據《安全生產中急需解決的若干技術問題》《關于防止電力生產重大事故的重點要求》《關于防止電力生產事故的二十項重點要求》1980年電力工業部15項1987年水利電力部18項1992年能源部20項2000年國家電力公司25項《關于防止電力生產事故的二十五項重點要求》各集團公司各自制定反措細則2014年國家能源局25項《防止電力生產事故的二十五項重點要求》44一、二十五項反措的編制依據1.《火力發電廠鍋爐爐膛安全監控系統在線驗收測試規程》DL/T655-2006）2.《火力發電廠汽輪機控制系統在線驗收測試規程》（DL/T656-2006）3.《火力發電廠模擬量控制系統在線驗收測試規程》（DL/T657-2006）4.《火力發電廠順序控制系統在線驗收測試規程》（DL/T658-2006）5.《火力發電廠分散控制系統技術規范書》(QDG1-K401-2004)6.《火力發電廠熱工保護系統設計技術規定》(DL/T5428-20097.《火力發電廠設計技術規程（第12章熱工自動化部分）》(DL/T5000-2000)5一、二十五項反措的編制依據8.《火力發電廠分散控制系統在線驗收測試規程》（DL/T659-2006）9.《火力發電廠鍋爐爐膛安全監控系統技術規程》(DL/T1091-2008)10.《火力發電廠分散控制系統技術條件》(DL/T1083-2008)11.《發電廠熱工儀表及控制系統技術監督導則》（DL/T1056-2007）12.《火力發電廠熱工自動化系統檢修運行維護規程》(DL/T774-2004)13.《火力發電廠廠級監控信息系統技術條件》（DL/T924-2005）14.《大中型火力發電廠設計規范》（GB50660-2011）15.《火力發電廠熱工自動化就地設備安裝、管路及電纜設計技術規定》（DL/T5182-2004）6一、二十五項反措的編制依據16.《電力建設施工及驗收技術規范-第5部分：熱工儀表及控制裝置》（DL/T5190.5-2004）17.《火力發電廠輔助系統（車間）熱工自動化設計技術規定》（DL/T5227-2005）18.《電網與電廠計算機監控系統及調度數據網絡安全防護規定》（國家經貿委令第30號（2002））19.《電力二次系統安全防護規定》（電監會5號令）7二、落實二十五項反措的基本要求8二、落實二十五項反措的基本要求1.堅持“安全第一、預防為主、綜合治理”的方針在規劃設計階段、安裝調試階段、生產維護階段、更新改造階段都要堅決落實“二十五項反措”的基本要求9三、防止分散控制系統控制、保護失靈事故10三、防止分散控制系統控制保護失靈2014年，集團公司火電機組強迫停運事件統計：年度鍋爐汽機電氣熱控環保燃料其他總計2013132453933111126220141153137251300221同比-17-18-2-82-1-1-4111三、防止分散控制系統控制保護失靈鍋爐原因占60%2014年強迫停運按專業分12三、防止分散控制系統控制保護失靈13三、防止分散控制系統控制保護失靈

a、現場設備異常引起的占據首位約36.4%，b、控制系統軟硬件引起的占據次位約28%，c、電纜接線、模件松動引起的約占18.2%d、檢修維護不當引起的為13.6%

某省電廠因熱控專業問題引起故障原因統計14三、防止分散控制系統控制保護失靈某集團熱控專業2000-2013年非停原因匯總棒狀圖15三、防止分散控制系統控制保護失靈某集團熱控專業2000-2013年非停原因百分比圖16三、防止分散控制系統控制保護失靈熱工缺陷原因分類原因電源故障硬件故障軟件故障現場設備故障TSI裝置故障其他故障臺次6351342同比62-1-401集團內熱工缺陷原因分類統計：17三、防止分散控制系統控制保護失靈9.1.1分散控制系統配置應能滿足機組任何工況下的監控要求（包括緊急故障處理），控制站及人機接口站的中央處理器（CPU）負荷率、系統網絡負荷率、分散控制系統與其他相關系統的通信負荷率、控制處理器周期、系統響應時間、事件順序記錄（SOE）分辨率、抗干擾性能、控制電源質量、全球定位系統（GPS）時鐘等指標應滿足相關標準的要求。9.1分散控制系統(DCS)配置的基本要求18三、防止分散控制系統控制保護失靈19分散控制系統(DCS)配置的基本要求一般要求CPU負荷率在極端工況下不大于60%。DCS模擬量控制掃描周期一般要求250ms，要求快速處理的控制回路可為125ms。溫度等緩慢控制對象掃描周期可在500-750ms之間。開關量掃描周期一般為100ms,ETS系統應不大于50ms，OPC和0PT部分邏輯掃描周期不大于20ms。根據DL/T659-2006《火力發電廠分散控制系統驗收測試規程》中規定，在繁忙工況下DCS數據通信總線負荷率不超過30%，以太網通信負荷率不得超過20%。從操作信號發出到DCS的I/O輸出發生變化的時間不應大于2S。SOE測點分辨率不大于1ms，SOE通道應有4ms防抖動濾波處理，不同控制器的SOE模件應有可靠的時鐘同步措施。1919三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例一

1997年，浙江某電廠7-8號機組發生頻繁發生死機造成的機組停運事故，試生產的三個月內曾發生22次DCS故障和死機，機組因此跳機8次，主要原因就是通訊總線負荷率過高。通訊負荷率超標

建議對策：盡量按照工藝系統進行控制器分組，減少控制器間的通訊量。20三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例二

2008年，某電廠擴建機組因為造價原因DCS控制器配置對數較少，控制器負荷率嚴重超標，最高達到86%，在機組整套啟動前做試驗的過程中發生延時等計時模塊工作異常，導致設備聯鎖保護動作異常，主要原因就是控制器負荷率過高?？刂破髫摵陕食瑯私ㄗh對策：在控制允許的情況下，根據不同系統要求，適當降低控制器掃描周期，或增加控制器對數。21三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例三某電廠2號機組負荷200MW，8時23分，各控制器依次發時鐘故障報警，部分主控制器先后離線，備用控制器變主控后一段時間也先后離線。原因是主副時鐘控制軟件分裝在工程師站和一個操作員站，兩個時鐘時間不同步，造成控制器離線。該廠5號機組在2002年試運期間曾發生DCS時鐘與GPS時鐘不同步，引發DCS操作員站失靈事件。由于網上傳送的數據均帶時間標簽，時鐘紊亂后給運行機組帶來嚴重后果。系統時鐘不可靠22三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.2分散系統的控制器、系統電源、為I/O模件供電的直流電源、通信網絡等均應采用完全獨立的冗余配置，且具備無擾切換功能；采用B/S、C/S的分散控制系統的服務器

應采用冗余配置，服務器或其供電電源在切換時應具備無擾切換功能。23三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求《火力發電廠分散控制系統技術條件》（DL/T1083-2008）從控制對象角度要求“用于機組主控和重要輔機系統的DCS的控制處理器均為主要控制器，應冗余配置；重要輔機設備可包括送風機、引風機、一次風機、空氣預熱器、制粉系統、給水泵、凝結水泵、循環水泵、真空泵、重要冷卻水泵、重要油泵等。同時規定雖然控制處理器故障，而短期內不影響機組穩定運行的輔助控制系統的DCS，可不要求冗余配置；”24三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例四

2013年11月16日某廠#2機組#19控制器故障切換導致汽包水位低報警，汽包水位最低到-328.69mm后逐步恢復，2臺小機指令突變至12.4%。事后檢查#19控制器主從已切換，查看歷史曲線以及設備日志，發現#19站主控制單元A故障報警后恢復正常?？刂破髑袚Q不能無擾，在控制器故障時部分數據出現了跳變。25三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例五某電廠DCS為采用B/S、C/S結構的DCS系統，其服務器為單臺設計，由于運行年限較長，服務器出現故障死機，導致上下位信息無法交換，操作員操作指令無法下發，控制器的控制和監視信息無法上傳，監控畫面無法刷新，最后只能啟動停機預案。本次事故是典型的系統核心節點硬件設計缺陷導致。說明關鍵服務器冗余設置的必要性26三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.3分散控制系統控制器應嚴格遵循機組重要功能分開的獨立性配置原則

，各控制功能應遵循任一組控制器或其他部件故障對機組影響最小的原則。9.1.3是從獨立性原則考慮，從控制器包含機組功能角度來闡述控制器的配置原則,防止DCS某一對控制器故障導致機組停運，應避免將重要功能集中在一對控制器的配置方式，達到最大程度實現風險分散的目的。新增加的條款27三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求重要的并列或主備用運行的輔機或者輔助設備控制，應按下列原則配置控制器：

1.送風機、引風機、一次風機、凝結水泵和非母管制的循環水泵等兩臺并列運行的重要輔機，以及A、B段廠用電控制裝置，應分別配置在不同的控制器中，但允許送風機和引風機等按介質流程組合在一個控制器內。

2.給水泵控制系統應分泵配置到不同的控制器中，但允許同一給水泵的MEH和METS配置在一個控制器中。

3.磨煤機、給煤機、風門和油燃燒器等多臺組合運行的重要設備應按工藝流程要求組合，至少配置三控制站?！痘鹆Πl電廠熱工自動化系統可靠性評估技術導則》（DLT261-2012）9.2.1.1條也有具體要求28三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求《火力發電廠熱工保護系統設計規定》（DLT5428-2009）5.3.5.條對獨立性的具體規定：（1）停機、停爐保護邏輯系統應當有獨立的邏輯、獨立的冗余控制器、獨立的輸入/輸出系統和獨立的電源。且應在功能上物理上獨立于其他邏輯，不得與任何其他邏輯系統（如MCS和SCS等）組合在一起。（2）保護邏輯系統應僅限于單臺機，不應多機共用，一套保護邏輯系統。（3）冗余I／O信號應通過不同的I/0模件和通道引入/引出。（4）觸發停機、停爐保護信號開關量儀表和模擬量變送器／傳感器應單獨設置；當確有困難而需與其他系統合用時，信號應首先進入保護系統，然后再通過隔離設施引至其他系統。

（5）觸發停機、停爐保護信號的開關量儀表和模擬量變送器/傳感器的取樣系統不應與其他系統的發訊器合用，冗余配置的開關量儀表或模擬量變送器，傳感器也不應使用同一取樣系統。

（6）停機、保護動作命令不應通過通信總線傳送。觸發停機停爐的信號應為硬接線。29三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例六某電廠在300MW機組的DCS設計過程中，采用減少控制器配置數量的設計方式以降低硬件成本進行，將協調、燃料、風量控制放在同一對控制器內，造成該控制器負荷較大，2004年7月，該控制器故障，最終導致鍋爐滅火。功能配置不當是該次事故的主要原因，沒有進行主要輔機功能的分散布置?？刂破髫摵陕蔬^高。建議對策：增加控制器對數，將主要輔機系統分控制器分散配置，既降低了系統單控制器故障的安全風險，同時也降低了控制器負荷率。30三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例七某電廠脫硫DCS將2臺增壓風機分在一個控制器，4臺漿液循環泵分在另一個控制器，隨著國家環保政策的改變，在取消脫硫系統旁路擋板后，此種分配方式顯然是違反反措要求的。改進措施：進行技術改造，重新分配測點，優化邏輯，消除隱患。31三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.4

重要參數測點、參與機組或設備保護的測點應冗余配置，冗余I/O測點應分配在不同模件上。《火力發電廠分散控制系統技術條件》（DL/T1083-2008）：5.2.1.15“對某些重要的關鍵參數，應采用三重冗余變送器測量”；5.2.1.17“對某些僅次于關鍵參數的重要參數，應采用雙重冗余變送器測量”《火力發電廠熱工保護系統設計技術規定》（DL/T5428-2009）5.3.6明確要求“主要開關量儀表應冗余配置；《火力發電廠熱工控制系統設計技術規定》（DL/T5175-2003）還要求“冗余I/O信號應通過不同的I/O模件和通道引入/引出。《火力發電廠熱工自動化系統可靠性評估技術導則》（DL/T261-2012）9.2.3.2條“機組重要信號I/O配置”32三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求推薦配置原則（不限于此）：1.應三重冗余（或同等冗余功能）配置的模擬量輸入信號：機組負荷，汽輪機轉速、軸向位移、給水泵汽輪機轉速、凝汽器真空、主機潤滑油壓力、抗燃油壓、主蒸汽壓力、主蒸汽溫度、主蒸汽流量、調節級壓力、汽包水位、汽包壓力、水冷壁進口流量、主給水流量、除氧器水位、爐膛負壓、增壓風機入口壓力、一次風壓力、再熱器壓力、再熱器溫度、常壓流化床床溫及流化風量、中間點溫度（作為保護信號時）、主保護信號、調節級金屬溫度等。33三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求2.至少應雙重冗余配置的模擬量輸入信號：加熱器水位、凝汽器水位、凝結水流量、主機潤滑油溫、發電機氫溫、汽輪機調門開度、分離器水箱水位、分離器出口溫度、給水溫度、送風風量、磨煤機一次風量、磨煤機出口溫度、磨煤機入口負壓、單側煙氣含氧量、除氧器壓力、中間點溫度（非保護）、二次風流量等。3.應具有三重冗余配置重要熱工開關量輸入信號：主保護動作跳閘（MFT、ETS、GTS）信號以及聯鎖主保護動作的主要輔機動作跳閘保護信號等。4.至少采用雙重冗余配置的次要重要開關量輸入信號：風箱與爐膛差壓，一次風和爐膛差壓等。34三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求5.冗余配置的I/O信號、多臺同類設備的各自控制回路的I/O信號，必須分別配置在不同的I/O模件上。6.所有的I/O模件的通道，應具有信號隔離功能。7.電氣負荷信號應通過硬接線直接接入DCS。8.取自不同變送器用于機組和主要輔機跳閘的保護輸入信號，應直接接入相對應的保護控制的輸入模件。35三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例八某電廠的600MW機組低真空保護測量采用三個獨立的壓力變送器，但是三個壓力變送器的取樣管接至一個壓力取樣源，然后進行三取二邏輯運算作為低真空保護跳機信號。某次取樣管堵塞，導致三個變送器同時動作，直接跳機。本次事故是由于測點配置不符合要求引起的典型事故，說明I/O點全程獨立配置的必要性。建議對策：測點應從取樣管開始全程獨立配置，實現真正的三取二功能。36三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例九某電廠的汽包水位保護測量采用三個獨立的變送器，也分配在不同的I/O模件中，但是三個模件都在一個分支上。某次分支電源故障，導致三個變送器同時動作，直接發生MFT。本次事故是由于測點配置不符合要求引起的典型事故，說明I/O點全程獨立配置的必要性。同時在分配要考慮到不同設備廠家的特點。37三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.5按照單元機組配置的重要設備（如循環水泵、空冷系統的輔機）應納入各自單元控制網，避免由于公用系統中設備事故擴大為兩臺或全廠機組的重大事故。增加定義了公用系統和單元機組控制設備的范圍，明確了原來有機組公用系統控制設計存在隱患問題。但循環水泵控制應根據本廠實際情況而定，有的單位兩臺機組循環泵入口增加了聯絡門，這樣循環水系統就變成了公用系統。38三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十39某電廠建設有兩臺600MW機組，其中兩臺機組的公用系統采用公用系統DCS進行控制，公用系統配置一對控制器。其中兩臺機組的循環水泵控制配置在公用系統的DCS控制系統內，在2008年6月，該電廠公用系統DCS的主控制器發生故障，備用控制器切換不成功，造成兩臺機組的循環水泵全部跳閘，引起兩臺機組均因真空降低而跳閘停機。39三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十單元機組的控制設備沒有配置在單元機組控制內，而錯誤的配置在公用控制系統內?？刂破髑袚Q不能實現無擾切換。將兩臺機組的循環泵控制分別接入到單元機組DCS內控制。因控制器切換存在擾動，應聯系供應商解決，同時應核對是否存在長信號控制設備現象，如有均應改為脈沖控制方式，減少因控制故障、電源故障等原因引起循環水泵跳閘。40三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.6分散控制系統電源應設計有可靠的后備手段，電源的切換時間應保證控制器不被初始化；操作員站如無雙路電源切換裝置，則必須將兩路供電電源分別連接于不同的操作員站；系統電源故障應設置最高級別的報警；嚴禁非分散控制系統用電設備接到分散控制系統的電源裝置上；公用分散控制系統電源，應分別取自不同機組的不間斷電源系統，且具備無擾切換功能。分散控制系統電源的各級電源開關容量和熔斷器熔絲應匹配，防止故障越級。41三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求1.強調了DCS系統各級電源的容量匹配要求。2.補充規定了公用系統電源的配置原則。3.嚴禁系統電源外接非系統的設備。4.新條款不再要求配置獨立與DCS之外的聲光報警而改為設置系統最高級別報警5.針對一些廠家操作員站電源是一路電源的情況，要求將操作員站平均分配到不同電源供電。6.取消了備用電源切換時間小于5ms的要求，考慮到設備性能提高及各廠家設備切換時間要求差異不同，因此只要達到系統不能初始化最終目標即可42三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.6條款編制依據：DCS系統電源應滿足《火力發電廠分散控制系統技術條件》（DL/T1083-2008）要求：“6.3.1.1機組、脫硫、全廠輔助系統等重要系統配置DCS應能夠接受電廠提供的兩路交流單相電源且應具有可靠的電源冗余功能，任何一路外部電源失去或故障不應引起控制系統任何部分的故障、數據丟失或異常動作。任何一路外部電源失去應在DCS系統獲得報警。”“6.3.2.4冗余電源的直流隔離或切換組件（如二極管或其他部件）應冗余配置，防止因其故障造成DPU電源系統的故障?！?3三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十一某電廠200MW機組全部操作員站電源為一路，2010年8月，操作員站電源故障，全部操作員站無法使用，機組失去監視，因短時間無法恢復，只好緊急手動停機停爐。操作員站電源配置不合理僅有一路供電。

如配備有可靠電源切換裝置，則應將UPS電源和保安段電源經電源切換裝置后提供給各操作員站。如無電源切換裝置，則應將操作員站平均分配到不同電源供電。44三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十二某電廠4號機組上午10點帶203MW負荷運行。10點17分21秒，ETS電源失電（同時還有兩臺空預器控制電源喪失），AST電磁閥失電動作，汽輪機跳閘，2秒鐘后MFT動作，10點18分45秒發電機逆功率保護動作，5041和5042斷路器和滅磁開關跳閘，機組解列。事發后熱控人員檢查發現ETS系統電源空氣開關1MK、2MK均處于分閘狀態，查看DCS歷史記錄無汽輪機跳閘首出，因此分析確認汽輪機跳閘停機原因是ETS系統失電導致。ETS系統失電原因為400V保安4B段電壓產生瞬時波動電壓下降（電源并未失去，在切換過程中更易產生電?。?545三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十二造成ETS電源切換器啟動并切換。在ETS電源切換時，主、輔電源同時在合閘狀態（采用接觸器切換，在切換過程中觸點未完全斷開，有電弧產生），保安4B段電源B相與UPS（電源切換裝置輸入電源）存在有短時合環現象，壓差過大產生沖擊電流，將該回路系統上的空開沖跳，直到合環回路消除。而其他有切換器的電源回路是保安A相與UPS供電，與ETS不是一個回路系統，在ETS系統發生短時合環時，未受到沖擊，沒有出現跳閘。4646三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十二47ETS電源切換裝置不滿足使用要求。

加強冗余電源切換實驗管理，定期進行電源切換，了解切換裝置是否存在問題，及時更換不符合要求的電源裝置。47三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.7分散控制系統接地必須嚴格遵守相關技術要求，接地電阻滿足標準要求；所有進入分散控制系統的控制信號電纜必須采用質量合格的屏蔽電纜，且可靠單端接地；分散控制系統與電氣系統共用一個接地網時，分散控制系統接地線與電氣接地網只允許有一個連接點。48三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求499.1.7條款編制依據：《火力發電廠分散控制系統技術條件》（DL/T1083-2008）的要求：6.8.3DCS應不要求單獨的接地網，接地電阻小于4歐姆的電廠電氣地網應能夠滿足DCS接地要求。各電子機柜中應設有獨立的安全地、屏蔽地及相應接地銅牌。每套DCS可采用中心接地匯流排的方式，實現系統的單點接地。電纜屏蔽層應在機柜側單端接地。49三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求50《火力發電廠分散控制系統在線驗收測試規程》（DL/T659）4.9DCS的接地應符合制造廠的技術條件和有關標準的規定。屏蔽電纜的屏蔽層應單點接地。DCS采用獨立接地網時，若制造廠無特殊要求，則其接地極與電廠電氣接地網之間應保持10m以上的距離，且接地電阻不應大于2Ω。當DCS與電廠電氣系統共用一個接地網時，控制系統接地線與電氣接地網只允許有一個連接點，且接地電阻應小于0.5Ω。50三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十三

某電廠#4機組運行過程中突然發生B送風機“軸承溫度高”，引發B送風機跳閘，檢查發現B送風機軸承溫度三點同時突變超90℃，引起B送風機跳閘，從測點的升溫速率來看，判斷是誤發軸承溫度高信號，事后經調查分析，該三個軸承溫度點是用一根16芯電纜接入到DCS內，但是該電纜未在機柜內接地，未在DCS柜內接地的原因是因為該電纜在現場存在未知接地點，因擔心電纜屏蔽層兩點接地形成環路，影響測量，因此在外部發生接地后將DCS柜內屏蔽接地拆除。51三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十三電纜接地不符合要求，沒有在機柜內單端接地，因現場環境較為復雜，信號干擾因素較多，將干擾信號引入測量通道。違反全程冗余原則，重要信號的冗余應該盡量采用不同電纜接入，避免因屏蔽不好引起整個電纜所承接的信號全部產生干擾。查找電纜外部接地點，去除電纜現場接地缺陷，將電纜在DCS柜內進行單端接地，保證接地電阻符合標準。另外新鋪設兩根屏蔽電纜或者利用現場其他兩根以上屏蔽電纜的備用芯，將溫度信號分電纜接入到DCS，切記一組信號務必使用不同電纜接入。52三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十四

某廠2×300MW機組，DCS采用和利時MACS系統，DEH控制采用FOXBORO的I/A系統，1號機組穩定運行過程中，出現高調門大幅度抖動現象。檢查接地系統，發現根據設計要求，和利時DCS接地只采用了統一的接地銅排，而FOXBORO系統要求有獨立的系統接地和屏蔽地，實際安裝中將FOXBORO機柜的系統地和屏蔽地與和利時系統接地銅排全部接在一起。將FOXBORO系統接地和屏蔽接地獨立后，觀察發現DEH閥門抖動現象消失，問題解決。接地線連接位置不當。建議：各種分散控制系統對接地的要求不盡相同，為保證系統的可靠運行，建議應嚴格按照DCS廠家要求進行配置。5353三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.8機組應配備必要的、可靠的、獨立于分散控制系統的硬手操設備（如緊急停機停爐按鈕），以確保安全停機停爐。54三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求55559.1.8條款編制依據：《火力發電廠分散控制系統技術條件》（DL/T1083-2008）6.6.6.2規定，為保證在DCS系統發生重大故障（如分散控制系統電源消失、通訊中斷、全部操作員站失去功能、重要控制站失去控制和保護功能等），或在緊急工況下快速、安全停機，應設置手動操作裝置，確保機組安全停運。緊急手動操作的設備應按照《火力發電廠設計技術規程》（DL/T5000-2000）12.9.4的規定執行：“應設置下列獨立于分散控制系統的后備手操手段：汽輪機跳閘、總燃料跳閘、發電機—變壓器組跳閘、鍋爐安全門、汽包事故放水門、汽輪機真空破壞門、直流潤滑油泵、交流潤滑油泵、電機滅磁開關、柴油機啟動。”55三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求565656569.1.8條款編制依據：DL/T1083-2008的6.6.6.3要求“緊急手動裝置應直接作用于設備或裝置，不應通過DCS通道。應布置在操作員臺便于操作的位置上，同時應有安全防護措施以防止誤動。”為了防止誤動，緊急停機停爐按鈕應采用雙按鈕或帶罩單按鈕配置。DL/T5000-200012.6.1條對此強制要求“在控制臺上必須設置總燃料跳閘、停止汽輪機和解列發電機的跳閘按鈕，跳閘按鈕應直接接至停爐、停機的驅動回路?！?6三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.9分散控制系統與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。分散控制系統與其他生產大區之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施，實現邏輯隔離。分散控制系統與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相關設施。分散控制系統禁止采用安全風險高的通用網絡服務功能。分散控制系統的重要業務系統應當采用認證加密機制。57三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求58三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十五某日，某電廠運行人員發現#4機組操作指令執行有幾秒的滯后。檢查發現#4機組各操作員站，工程師站均感染了一種名為lovgate的病毒。該病毒擠占用計算機內存空間，造成操作員站反應遲緩。分析是#4機組有一臺操作員站作為專門的通訊機與廠內MIS系統連接。病毒可能是通過MIS系統的網絡傳播至操作員站，引起機組操作指令執行嚴重遲緩。通過對#4機組所有人機接口站殺毒，同時安裝病毒防火墻，各操作員站運行速度恢復正常。同時，暫時將DCS與廠MIS網隔離。計劃再加裝硬件防火墻，并定期更新硬防火墻軟件。防病毒措施及生產區和管理區缺少可靠的加密認證措施引起。59三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.10分散控制系統電子間環境滿足相關標準要求，不應有380V及以上動力電纜及產生較大電磁干擾的設備，機組運行時，禁止在電子間使用無線通訊工具。60三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十六

2004年7月18日，某電廠1號機組運行，機組容量600MW，機組負荷540MW，電氣人員在DCS電子間例行巡查維護時，通過對講機與現場人員進行通信，導致機組負荷瞬間由540MW降至248MW，機組運行出現嚴重異常，汽包水位快速變化，水位控制異常，汽包水位越線導致機組跳閘。經分析，跳閘原因是通信工具干擾了功率測點的測量或傳輸，引起控制系統控制異常。違反新反措9.1.10條款，條款規定禁止運行期間在電子間使用無線通訊工具。隨著技術進步，目前一般DCS系統電子間對手機、對講機一類的無線通訊設備的抗干擾能力較好，多數不會發生問題，為確保DCS系統的安全可靠，應盡量避免在電子間使用大功率無線通訊設備。61三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求案例十七某電廠#11發電機組容量為410t/hCFB+100MW汽輪發電機組。DCS系統為MetsomaxDNA系統。機組運行過程中，DCS系統部分工藝畫面偶爾會出現參數顯示異常的情況，其現象為測點顯示為紅色陰影，數據無法正常顯示，但該現象很快會自動恢復正常。檢查發現部分DPU到交換機的網線都是從電纜橋架中敷設的，網線與其它電纜混在一起，沒有與其它電纜隔離。這些電纜類型復雜，有信號電纜，也有控制電纜和動力電纜，通信網絡很容易受到電磁干擾。后在大修期間進行通訊改造后問題得到解決。違反新反措9.1.10條款，電子間不應有380V及以上動力電纜。該案例是動力電纜同通訊電纜沒有進行有效隔離引發。將通訊電纜同動力電纜有效進行隔離。62三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.11遠程控制柜與主系統的兩路通信電(光)纜要分層敷設。63三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.12對于多臺機組分散控制系統網絡互聯的情況，以及當公用分散控制系統的網絡獨立配置并與兩臺單元機組的分散控制系統進行通信時，應采取可靠隔離措施、防止交叉操作。64三、防止分散控制系統控制保護失靈分散控制系統(DCS)配置的基本要求9.1.13交直流電源開關和接線端子應分開布置，直流電源開關和接線端子應有明顯標示。65三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施9.3.1已配備分散控制系統的電廠，應根據機組的具體情況，建立分散控制系統故障時的應急處理機制，制定在各種情況下切實可操作的分散控制系統故障應急處理預案，并定期進行反事故演習。9.3分散控制系統故障的緊急處理措施用建立分散控制系統應急處理機制和預案來替代緊急停機停爐措施，新條款表述更準確一些。增加管理要求，要求定期進行反事故演習。66三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施9.3.2當全部操作員站出現故障時（所有上位機“黑屏”或“死機”），若主要后備硬手操及監視儀表可用且暫時能夠維持機組正常運行，則轉用后備操作方式運行，同時排除故障并恢復操作員站運行方式，否則應立即執行停機、停爐預案。若無可靠的后備操作監視手段，應執行停機、停爐預案。新反措要求執行停機停爐預案而不是停機停爐67三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施案例十七2003年10月18日，某廠#1機組的熱控MAX1000控制系統的兩臺RTP死機,網絡數據交換中斷,控制系統的整個上位機無法顯示實時數據,DEH及MEH系統正常，39分鐘后CCS向兩臺小機的的控制指令勻速增加，待運行發現切除自動并降低汽泵轉速已經來不及，造成汽包水位越線，機組跳閘。如果有網絡數據中斷的應急預案，事故就有可能避免。68三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施9.3.3當部分操作員站出現故障時，應由可用操作員站繼續承擔機組監控任務，停止重大操作，同時迅速排除故障，若故障無法排除，則應根據具體情況啟動相應應急預案。新反措要求執行預案而不是酌情處理69三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施9.3.4當系統中的控制器或相應電源故障時，應采取以下對策：9.3.4.1輔機控制器或相應電源故障時，可切至后備手動方式運行并迅速處理系統故障，若條件不允許則應將該輔機退出運行。9.3.4.2調節回路控制器或相應電源故障時，應將執行器切至就地或本機運行方式，保持機組運行穩定，根據處理情況采取相應措施，同時應立即更換或修復控制器模件。9.3.4.3涉及機爐保護的控制器故障時應立即更換或修復控制器模件，涉及機爐保護電源故障時則應采用強送措施，此時應做好防止控制器初始化的措施。若恢復失敗則應緊急停機停爐。70三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施9.3.5冗余控制器（包括電源）故障和故障后復位時，應采取必要措施，確認保護和控制信號的輸出處于安全位置。增加冗余控制故障和故障后的復位處理的注意事項。71三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施案例十八某電廠4號機組，機組容量600MW，2008年5月18日，ETS內模件故障，保護誤動作，機組跳閘。故障原因：ETS系統PLC由“REM”狀態切至“RUN”狀態過程中，程序初始化掃描，數據庫中的DO點瞬間發生翻轉。觸發MFT保護信號。未采取必要措施，確保保護和控制信號的輸出處于安全位置。違反新二十五項反措9.3.5條款。加強重要系統的維護管理，相關操作應有應對措施，防止系統初始化引發信號翻轉觸發保護誤動。72三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施9.3.6加強對分散控制系統的監視檢查，當發現中央處理器、網絡、電源等故障時，應及時通知運行人員并啟動相應應急預案。啟動預案---做好對策。73三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施案例十九74

某電廠，#3機組容量125MW，機組的DCS控制系統是采用和利時HS2000系統，2004年8月9日14點20分，運行人員發現#3機組DCS系統出現嚴重異常，大多數設備操作失靈，機組的正常運行受到嚴重威脅。熱工人員趕到現場，進入#3機DCS電子間后，發現電子間空調已經停止工作，環境溫度超過50℃，從工程師站的CRT上看到僅有#11站的DPU還在工作，其余3個站已經下網。74三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施案例十九新反措9.3.6條款規定要加強對分散控制系統的監視檢查，本事件是由于監視檢查不到位，沒有及時發現DCS間環境溫度過高，引發系統失靈。

DCS系統對環境溫度的要求較高，由于環境溫度高，或柜體散熱效果不好，造成DCS控制器故障離線，卡件工作異常的現象較為普遍，另外高溫造成設備老化過快，系統故障率加倍升高。因此要加強DCS設備的巡檢管理，有必要應設置環境溫度和柜內溫度超溫報警。另外應編制有針對性的DCS系統故障預案，當出現問題時，嚴格按照預案實施，避免事故擴大化。75三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施9.3.7規范分散控制系統軟件和應用軟件的管理，軟件的修改、更新、升級必須履行審批授權及責任人制度。在修改、更新、升級軟件前，應對軟件進行備份。擬安裝到分散控制系統中使用的軟件必須嚴格履行測試和審批程序，必須建立有針對性的分散控制系統防病毒措施。76三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施案例二十某電廠＃3機組突然全部死機，數據無法刷新，無法進行操作，僅能通過大屏進行監控。檢查發現人機接口站存在scvhost.exe進程占用大量資源。發生死機的MMI站的CPU負荷率達到100％。后經過殺毒和安裝防火墻后系統恢復正常。新反措9.3.7條規定必須建立有針對性的分散控制系統防病毒措施。說明該單位缺少防病毒措施，造成病毒感染。

DCS系統的防病毒管理，除了DCS同相關SIS等外部系統通訊要進行縱向物理隔離認證措施外，還要從管理上進行嚴格要求，禁止隨意使用U盤光盤等存儲設備在DCS人機接口站進行存儲操作，同時嚴禁使用操作站U口對手機類設備進行充電。77三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施案例二十一2008年6月，某電廠運行人員發現機組汽輪機高調門突然關閉到0%，負荷從480MW迅速下降，主蒸汽壓力突升，運行人員被迫手動緊急停爐，汽輪機跳閘，發電機解列。經分析，發現在進行DCS在線下裝時，汽輪機閥位限制邏輯下裝前為120%，下裝后閥位限制更改為0.25%，因此，該邏輯下裝后，造成汽輪機調門由25%關閉至0%，機組迅速甩負荷。78三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施案例二十一新反措9.3.7條規定擬安裝到分散控制系統中使用的軟件必須嚴格履行測設和審批程序。DCS系統軟件管理不規范。下裝的軟件內閥位限制由120%變更為0.5%，說明兩種可能：一是人為誤更改了工程師站的組態程序，二是使用了較早期（機組調試期）的軟件備份版本進行的邏輯變更。

加強機組工程師站的管理，軟件變更后應及時備份存儲，標記好備份日期，下裝到控制器中的邏輯要經過充分論證和測試.應是在現運行邏輯的基礎上修改確認后下裝，不可用較長時間以前的版本。79三、防止分散控制系統控制保護失靈分散控制系統故障的緊急處理措施9.3.8加強分散控制系統網絡通信管理，運行期間嚴禁在控制器、人機接口網絡上進行不符合相關規定許可的較大數據包的存取，防止通信阻塞。80三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.1除特殊要求的設備外（如緊急停機電磁閥控制），其他所有設備都應采用脈沖信號控制，防止分散控制系統失電導致停機停爐時，引起該類設備誤停運，造成重要主設備或輔機的損壞9.4防止熱工保護失靈增加了DO輸出信號型式要求，要求脈沖信號控制，防止誤停，因DCS失電后長信號消失，導致設備停止運行，而脈沖指令控制必須設備接受到停止指令才會停運，從根本上消除誤停的風險。該類非停事件多有發生。81三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十一2014年4月30日某廠#2機組汽包水位低低MFT動作。檢查發現21-03MFP控制器故障，造成2A、2B給水泵再循環門氣動電磁閥指令（常帶電）失電后，給水泵再循環門全開，汽包水位低低MFT動作。采用長信號控制，未采用脈沖信號控制。兩個給水泵循環門控制在一個控制器內，互為備用的主要輔機控制在一對控制器內，沒有分散設置。1.應進行普查，除AST電磁閥需要長信號控制，其他系統的啟?；蛘唛_關均應采用脈沖控制方式。2.具備條件建議將兩個給水泵的控制邏輯分配到不同控制器內，將一組控制器故障對機組影響最小原則。82三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十二某電廠，2005年3月4日11時26分，1號機組1B循泵跳閘，CRT上循泵畫面全部變紅，立即緊急停運1B磨煤機；23秒后1A循泵跳閘，值班員手動MFT，汽機聯鎖跳閘，發電機逆功率動作解列。汽機旁路聯鎖快開，6KV廠用電系統快切成功，強制關閉汽機旁路，關閉所有進凝汽器疏水門。對1A循泵控制畫面報警復位后，于11時29分，起動1A循泵正常。隨后按正常停機程序操作停機。原因：檢查發現1號機組循環水泵房遠程I/O柜10CKA45的雙路SITOP電源模件中的其中一塊內部元件燒損，上一級空氣開關跳閘。故障直接原因為一路電源模件故障時導致柜內直流24V瞬間失電。循環水泵A、B出口蝶閥控制采用24V常帶電控制方式，在系統電源瞬間失去時，控制電磁閥失電瀉油，循環水泵A、B出口蝶閥關閉，A、B循環水泵出口壓力高保護動作跳閘，機組停機。83三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十二本次事故中單路電源故障導致整個系統電源瞬間失去，暴露出DCS系統電源設計存在嚴重隱患，兩路電源沒有可靠隔離。循環水泵A、B出口蝶閥控制采用24V常帶電控制方式，不是采用脈沖控制方式。現場檢查損壞的電源，發現電路板表面鹽份較大，說明臨海區域的氣候條件潮濕與鹽分濃度高，對電子設備存在腐蝕風險。

將DCS卡件的兩路24伏系統電源之間采用二極管進行隔離。將A、B循環泵出口蝶閥控制改為脈沖控制方式。加強DCS的管理，保證DCS系統所處環境的溫度和濕度，特別是外圍輔助系統的盤柜更應重點維護。84三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.2涉及機組安全的重要設備應有獨立于分散控制系統的硬接線操作回路。汽輪機潤滑油壓力低信號應直接送入事故潤滑油泵電氣啟動回路，確保在沒有分散控制系統控制的情況下能夠自動啟動，保證汽輪機的安全。為確保機組故障后能夠安全停運，添加了影響機組安全的重要設備應該有獨立于DCS系統之外的硬接線回路。在DL5000-2000《火力發電廠設計技術規程》中有相關配置要求。9.4.2條款和9.1.8條款基本意思相同85三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十三某熱電廠100MW#4機組，由于DCS系統控制器離線故障手動打閘停機后，但#0高備變高壓側303開關自投不成功，兩臺交流潤滑油泵失電，由于該廠潤滑油壓低聯啟直流油泵的聯鎖未做電氣硬邏輯聯鎖，故直流油泵未自動聯啟，同時沒有及時手動啟動直流油泵，導致汽機#4瓦燒瓦。、聯鎖僅在DCS內設置，沒有設置電氣硬接線回路，保證機組重要設備安全的硬接線回路是必要的。

增設硬接線的油壓低聯動電氣直流油泵的聯鎖，同時為保證信號可靠，應設置雙冗余以上的測點配置，保證全程測量冗余，冗余測點采用“或”邏輯配置。86三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十四

某電廠350MW機組3月20日進行“汽泵小機速關閥活動”定期試驗，實驗過程中造成小汽機主汽門關閉（疑似試驗電磁閥與小機電跳閘磁閥電纜間高溫融化粘連絕緣不良），小機跳閘，電泵聯起，機組RB動作（100%汽泵、50%電泵），先后聯跳E磨、D磨、C磨后，爐膛壓力快速降低至-2000Pa，鍋爐MFT動作，同時所有操作員站電腦黑屏、主控室及廠房照明電源消失，汽機副值就地檢查發現主機交流油泵未聯啟，立即手動啟動主機直流油泵，轉子靜止后，投主機盤車時發現主機盤車無法投入，機組無法恢復運行，后解體發現主機#2、#3、#4軸瓦及軸頸磨損。（電源消失源于6KV廠用電由于快切裝置閉鎖指令與快切指令邏輯匹配不當造成切換不成功，且機組UPS及保安段同時失電，蓄電池在聯鎖啟動直流密封油泵后因電壓快速降至UPS輸入電壓閉鎖值187V以下導致UPS裝置關機。）87三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十四RB邏輯設計不合理，發生給水泵RB后，先后停止三臺磨運行，鍋爐進風量急劇下降，而引風量僅僅靠自動調節方式進行控制，因此發生負壓越線。電氣UPS的蓄電池因長期使用且定期充放電驗證不足，事故過程中因直流密封油泵聯起將蓄電池電壓拉低到187V，UPS因輸入交流停電、直流電壓低保護動作而停止工作。DCS電源配置是采用電氣UPS一路，保安段一路，配置合理，本次恰巧由于電氣原因發生兩路電源同時消失。汽輪機交直流油泵的油壓低聯動在DCS內實現，沒有外部硬連鎖，在DCS失電后，造成交直流油泵無法連鎖啟動，事故擴大。88三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十四建議：

RB邏輯的驗證一般都是機組基建投產前必須實施并合格的項目，但是部分單位為實現RB試驗成功多為做好充分準備進行的特定條件下進行。因此投產后機組發生RB，成功率不高。隨后的機組大修以及進行脫硫脫硝除塵改造項目的開展，伴隨著引風機、一次風機改型以及增設增壓風機，鍋爐的特性發生變化，但各單位的RB邏輯多數未進行調整和試驗驗證，因此產生很多安全隱患。因此建議當涉及到機組的風、煤、水的輸送設備改造，都應重新對RB邏輯進行梳理并進行試驗測試。保安電源雖然可靠性較高，但是系統內保安電源發生故障的事件也時有發生，并且保安段故障時，柴油發電機啟動發電需要有一定的延時，DCS系統無法保證該時間延時時間的正常運行，因此建議在DCS保安電源輸入端增加小UPS提升電源質量。增加汽輪機交直流油泵的獨立于DCS的硬聯鎖邏輯。并且要保證硬聯鎖信號的可靠。89三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.3所有重要的主、輔機保護都應采用“三取二”的邏輯判斷方式，保護信號應遵循從取樣點到輸入模件全程相對獨立的原則，確因系統原因測點數量不夠，應有防保護誤動措施?？偨Y近年來主、輔機保護誤動與拒動事故，較大部分是由于保護沒有嚴格全程按照“三取二”的原則進行設計，故增添第9.4.3條款內容。DL/T5428-2009《火力發電廠熱工保護系統設計技術規定》內提出了相關規定。90三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十五2014年10月14日某廠＃6機組6A汽泵誤跳閘，前置泵進出口壓差低保護的設計為“前置泵出口壓力和前置泵進口壓力相減低于0.85MPa，延時跳閘”?，F場檢查發現6A前置泵出口壓力變送器故障，測量值偏低引起前置泵進出口壓差低保護誤動。該保護采用前置泵出口壓力變送器單點信號作為保護動作條件，保護系統的可靠性較低。單點跳閘不可靠。采用兩個變送器測量值相減作為保護跳閘條件不可靠。任何一個變送器故障都可能引起保護誤動，誤動概率增加。

建議對策:采用差壓開關作為保護跳閘測量設備，按照“3取2”配置，保證全程測量冗余，將變送器壓力差作為報警驗證信號。91三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十六2000年7月19日11時39分，某電廠#2機OIS顯示器上除氧器水位由2050mm突降至-17mm，4#給水泵跳閘，3#備用給水泵聯動未成功，運行人員立即在硬手操站上強合3#給水泵，啟動就跳（除氧器水位低跳閘條件存在）。在搶合不成功的同時，“UPS蓄電池組運行”、“SCS主模件故障”光字報警，11時11分因鍋爐水位無法維持，打閘停爐。故障原因：1、除氧器水位就地變送器接線虛接導致除氧器水位低誤發，觸發給水泵保護跳閘。2、運行給水泵跳閘、備用泵在DLS站啟動就跳引發廠用電壓波動過大，UPS逆變器感受整流輸出尖峰電壓而切至旁路，致使UPS不能切至蓄電池，且切至旁路的輸出電壓波形出現毛刺（用波形測試儀測得），所以PCU癱瘓，OIS顯示異常。92三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十六1.除氧器水位單點跳給水泵可靠性較差且沒有壞點判斷功能。2.DCS系統電源品質不可靠，DCS本身對電源波動的抗干擾能力不足。1.增加除氧器水位測量測點，做到全程冗余三取二跳泵，并且應該增加壞點判斷功能，壞點應屏蔽跳泵邏輯。2.確保DCS電源品質，如電氣提供電源品質經常出現問題且DCS系統本身抗干擾能力不強可在熱工DCS輸入電源側增加小容量獨立UPS，提高電源品質。93三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.4熱工保護系統輸出的指令應優先于其他任何指令。機組應設計硬接線跳閘回路，分散控制系統的控制器發出的機、爐跳閘信號應冗余配置。機、爐主保護回路中不應設置供運行人員切（投）保護的任何操作手段。鑒于熱工保護系統的重要性和機組嚴重故障工況的安全控制，提出第9.4.4條款。強調說明保護輸出指令優先的原則，機組應設置獨立DCS之外的硬跳閘回路，DCS發出的跳閘信號也要冗余配置。DL5000-2000《火力發電廠設計技術規程》12.6.1條提出主保護不能有運行人員可以操作的保護投切方式。94三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.5獨立配置的鍋爐滅火保護裝置應符合技術規范要求，并配置可靠的電源。系統涉及的爐膛壓力取樣裝置、壓力開關、傳感器、火焰檢測器及冷卻風系統等設備應符合相關規程的規定。

DL/T435-2004《電站煤粉鍋爐爐膛防爆規程》、DL5000-2000《火力發電廠設計規程》、DL/T5428-2009《火力發電廠熱工保護系統設計技術規定》、DL/T655-2006《火力發電廠鍋爐爐膛安全監控系統驗收測試規程》中提出了相關要求。95三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十七962004年3月10日，某電廠#1爐火檢控制柜電源故障，火檢控制柜油AA層、AB層，煤A層、B層火焰放大器失電，機組A、B層給粉機突然跳閘，鍋爐燃燒不穩，汽包水位失控，鍋爐MFT動作，失電原因是電源設計不合理，多個放大器共用一個公用24V負極，且5A直流電源負極接線插頭因制造廠使用線徑較細（直徑0.5毫米）,在壓接中未能將兩根線壓緊，使一根線接觸不良發熱燒斷，造成直流24V負極開路。電源配置不合理，每個火檢電源都應分開獨立配置并設置容量匹配的電源保險。另外火檢柜電源來源應確?？煽?，避免總電源失電，機組保護誤動。電源接線方式不合理，一個接線端子壓接兩根接線。如確實需要并接可使用標準并接端子排。96三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.6定期進行保護定值的核實檢查和保護的動作試驗，在役的鍋爐爐膛安全監視保護裝置的動態試驗（指在靜態試驗合格的基礎上，通過調整鍋爐運行工況，達到MFT動作的現場整套爐膛安全監視保護系統的閉環試驗）間隔不得超過3年。保護動態試驗對機組有一定的潛在危險性，一般都是安排在機組啟停機過程中擇機進行。97三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.7汽輪機緊急跳閘系統和汽輪機監視儀表應加強定期巡視檢查，所配電源應可靠，電壓波動值不得大于±5%，且不應含有高次諧波。汽輪機監視儀表的中央處理器及重要跳機保護信號和通道必須冗余配置，輸出繼電器必須可靠。98三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.8汽輪機緊急跳閘系統跳機繼電器應設計為失電動作，硬手操設備本身要有防止誤操作、動作不可靠的措施。手動停機保護應具有獨立于分散控制系統(或可編程邏輯控制器PLC)裝置的硬跳閘控制回路，配置有雙通道四跳閘線圈汽輪機緊急跳閘系統的機組，應定期進行汽輪機緊急跳閘系統在線試驗。99三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十八100

2008年6月30日21時18分18分，某電廠8號機組汽機高中壓主汽門突然關閉，機組跳閘。故障原因：手動停機按鈕絕緣下降觸發汽機跳閘。暴露問題：兩個手動停機按鈕并聯設計。硬手操的停機按鈕接線方式不可靠，新二十五項反措9.4.8要求硬手操設備本身要有防止誤操作和動作不可靠的措施。兩個停機按鈕應當串聯接線，同時每個按鈕應至少包含四個分別獨立的接點，分別作用如下：其中每個按鈕的一、二接點并聯后再串聯（兩或一與）作為手動直接動作AST電磁閥；兩個按鈕的第三個接點串聯后進入ETS系統跳機；兩個按鈕的第四個接點并聯后進入DCS的SOE系統。100三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.9重要控制回路的執行機構應具有三斷保護（斷汽、斷電、斷信號）功能，特別重要的執行機構，還應設有可靠的機械閉鎖措施。“可靠的機械閉鎖措施”就是機械限位等措施。

另外重要的執行機構應具有必要的后備就地手動操作功能。101三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例二十九1021022004年4月5日，某廠#1機組汽包水位自動調節投入，執行機構開度從64%降至5%左右，汽包水位迅速下降，汽包水位保護動作，鍋爐滅火。檢查發現給水泵液偶執行機構AO通道信號隔離器的24VDC電源接線松動，造成執行器機構關閉。線路松動執行器不具備電信號保位功能雖然通過加強管理可以減少線路松動發生的可能，但是并不能從根本上避免，因此重要的執行器應該具備三斷保護功能，才能從根本上避免類似事件的發生。102三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十2013年5月21日，某電廠3機組發變組跳閘，汽輪機跳閘，鍋爐手動MFT。檢查汽輪機ETS首出為“定子冷卻水流量低”。發變組保護C屏首出“發電機斷水保護”動作。調出歷史曲線，發現定子冷卻水壓力調節閥全關，定子冷卻水流量降為零，因此保護動作，就地檢查發現執行器定位器故障導致調節閥全關。執行器沒有機械限位功能。定子冷卻水執行器誤關（原因案例未闡述）

建議對策：部分關鍵執行器在不影響設備安全使用的前提下可采用機械限位方式限制最小閥門開度，避免極端情況發生。例如給水泵常采用機械限位方式設置最小執行器開度，定冷水系統調節門也可以采用該方式。103三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.10主機及主要輔機保護邏輯設計合理，符合工藝及控制要求，邏輯執行時序、相關保護的配合時間配置合理，防止由于取樣延遲等時間參數設置不當而導致的保護失靈。104華電電力科學研究院HUADIANELECTRICPOWERRESEARCHINSTITUTE三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十一

湖南某電廠一期工程2×300MW機組，2004年5月13日，#2爐因爐膛負壓低引起MFT動作，聯鎖電動給水泵順序啟動。3分鐘后，電動給水泵由于工作油溫過高，溫度保護動作跳閘。發現引起電泵溫度保護動作的原因是聯鎖順序啟動電泵過程中應該開啟的電泵冷卻水電動門沒有聯鎖開啟，從而導致電泵工作油溫迅速上升至跳閘值。導致這次電泵順控啟動后沒有聯鎖開啟冷卻水電動門異常的原因是邏輯存在時間配合上的問題，邏輯設計汽泵跳閘或MFT后聯動電泵順控功能組，由于電泵順控邏輯頁執行周期200ms，冷卻水門邏輯頁執行周期500ms，電泵順控指令時長小于200ms，冷卻水門邏輯頁存在60%幾率接收不到指令。105三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十一組態時間配合異常。違反新反措9.4.10條款，新條款要求邏輯執行時序、相關保護的配合時間配置合理，防止由于取樣延遲等時間參數設置不當而導致的保護失靈。建議將電泵聯動順控指令時長加大到大于系統邏輯執行周期，避免指令執行不到的現象發生，一般由于工藝特性、頁面掃描周期等問題引發的保護拒動隱患較難發現。106三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十二

2004年12月13日21時00分，某電廠除氧器供汽汽源由輔助蒸汽切至四段抽汽時，除氧器內局部壓力波動，導致除氧器水位第二路和第三路測量變送器（同一取樣點）正壓側取樣平衡罐內的恒定壓力降低，差壓變小，出現虛假測量，第二路和第三路的測量水位瞬間升高，在16秒內引起除氧器水位三取二信號偏差大于設定值200mm，三取二邏輯模塊判斷除氧器水位測量值不可信，變為壞點，三取二水位信號輸出為0，因此“除氧器水位低”保護動作（保護定值950mm），觸發電動給水泵和22號汽動給水泵跳閘，鍋爐MFT動作，首出為“給水泵全?！薄?07三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十二除氧器水位低保護邏輯設計不合理，不符合實際工藝的控制要求。判斷水位為壞點應屏蔽保護動作或采用水位正常點作為控制信號，不應將信號輸出至零。除氧器水位變送器存在共用取樣點的現象，違反保護信號應遵循從取樣點到輸入模件全程相對獨立的原則。給水泵全停非常規MFT保護動作內容（對于汽包爐）。1.應舉一反三，普查其它模擬量三取二保護是否存在類似問題。2.一般來說信號故障后的壞點判斷功能的試驗是我們保護實驗的盲區，建議應完善保護試驗內容和方法，確保試驗內容更全面。3.取樣點共用是相對比較普遍的問題，對此問題應引起

足夠的重視。4.給水泵停運不能馬上產生汽包水位低，給水泵允許強投一次，因此建議汽包爐取消給水泵全停跳MFT。108108三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十三2006年01月10日下午16：30，某電廠#8機組B汽動給水泵進行修后恢復工作。熱控機控專業按照《＃8B汽動給水泵恢復調試措施》要求，解除了＃8機組“RB”功能，進行B小機啟動前保護及B小機調門特性試驗。18：30#8B小機保護試驗完畢，19時38分，發電部運行主值在恢復投入＃8機組“RB”功能時，由于“RB”信號還沒有自動復位（時限未到），RB信號發出，19時38分31秒,“RB”動作，8F磨跳閘，19時38分42秒，8D磨跳閘。同時，給水流量從1044t/h降至563t/h，當時A汽泵在自動狀態，電泵在手動狀態。8A汽泵轉速指令迅速從4273rpm降至4020rpm，流量從525t/h降至259t/h，此時，8A汽泵再循環調節閥打開速度與系統不匹配（再循環門開到80%以上需要10秒以上時間，汽泵的保護邏輯設計是給水流量低260t/h“與”再循環門閥門開度小于80%延時10秒），造成8A汽泵入口流量低跳閘，導致煤/水比失調，鍋爐水冷壁螺旋管溫度四點以上超溫。19時39分20秒，鍋爐MFT動作。109三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十三給水泵再循環門開啟到80%以上需要10秒多的時間，而保護設置延時10秒，造成只要給水流量低超過10秒鐘就會發生給水泵跳閘的現象，違反新二十五項反措9.4.10條款，延時時間設置不當導致的保護失靈。保護投切管理不規范，保護投入前沒有檢查是否存在保護動作條件。按照設備實際特性，合理設置保護動作的延時時間，避免保護失靈。制定標準的保護投切操作卡卡或操作手冊，規范保護投入前的檢查內容和檢查方式，避免保護誤動情況的發生。110三、防止分散控制系統控制保護失靈

防止熱工保護失靈9.4.11重要控制、保護信號根據所處位置和環境，信號的取樣裝置應有防堵、防震、防漏、防凍、防雨、防抖動的等措施。觸發機組跳閘的保護信號的開關量儀表和變送器應單獨設置，當確有困難而需與其他系統合用時，其信號應首先進入保護系統。條款對重要保護的取樣裝置配置要求進行了闡述。以及確立了保護信號優先調用原則。111三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十四

2004年6月2日，某電廠某機組在正常穩定運行情況下，鍋爐突然發生MFT，機組跳閘。MFT首出原因為“風量<25%”。事后調查原因是A磨入口風量測量裝置堵塞，A磨入口風量測量變壞點，連帶總風量變成壞點，因無風量壞點屏蔽保護功能，總風量變壞點觸發“風量小于25%”保護動作，發生鍋爐MFT，機組停運。112三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十四風量測量無防堵裝置或者防堵裝置不可靠，違反新反措9.4.11條款，新反措要求重要控制、保護信號根據所處位置和環境，信號的取樣裝置應有防堵、防震、防漏、防凍、防雨、放抖動的措施。風量壞點雖然有判斷，但是未能閉鎖風量低保護，另用各磨風量相加作為總風量匯總量之一不可靠。

建議加裝合格性能可靠的防堵裝置，總風量保護建議采用一次風量加二次風量的和，不建議采用二次風量加各磨入口風量的和，風量保護應該有壞點閉鎖保護的功能。另外建議在不影響安全的情況下增加風量的輔助判斷功能，例如一次風量可增加一次風機運行、風機出入口風門開位、一次風壓正常等判斷條件，防止保護誤動。113三、防止分散控制系統控制保護失靈

防止熱工保護失靈案例三十五