一起冗余DPU全停引起的機(jī)組跳閘分析

邸若冰

(陽(yáng)城國(guó)際發(fā)電有限責(zé)任公司，山西 陽(yáng)城 048102)

1 設(shè)備與系統(tǒng)概況

某公司總裝機(jī)容量6×350 MW，機(jī)組采用單元制配置。鍋爐為美國(guó)福斯特·惠勒公司設(shè)計(jì)制造的亞臨界自然循環(huán)汽包爐，汽輪機(jī)為德國(guó)西門子公司設(shè)計(jì)制造的K30-40-16N30-2X10型反動(dòng)式單軸、雙缸、雙排汽、亞臨界、一次中間再熱、節(jié)流調(diào)節(jié)凝汽式汽輪機(jī)。DCS采用西門子TELEPERM-XP自動(dòng)控制系統(tǒng)，DEH采用西門子SIMADYN-D數(shù)字電液調(diào)節(jié)系統(tǒng)。每臺(tái)機(jī)組DCS系統(tǒng)共配置11對(duì)冗余DPU，1對(duì)冗余SIMADYN-D負(fù)責(zé)DEH系統(tǒng)控制，另外還配置了專用的ETS、TSI系統(tǒng)。11對(duì)冗余的DPU融合了機(jī)組的DAS、MCS、CCS、SCS、FSSS、ECS等功能，并按照熱力系統(tǒng)劃分到11對(duì)DPU中（AP01-AP08，AP34-AP36），每對(duì)DPU通過(guò)配置各種I/O模件實(shí)現(xiàn)具體的控制功能。

2 事故經(jīng)過(guò)

2011-10-11T05:10，3號(hào)機(jī)組以協(xié)調(diào)控制方式運(yùn)行，負(fù)荷為290 MW，主汽壓力為14.5 MPa。05:10:06，操作監(jiān)視畫(huà)面發(fā)DPU AP03 IM324/304冗余通訊耦合故障、AP03全停故障、AP-AP連接故障等大量報(bào)警，機(jī)組協(xié)調(diào)控制CCS和電氣控制ECS畫(huà)面數(shù)據(jù)失去且無(wú)法操作。同時(shí)，機(jī)組負(fù)荷和主汽壓力開(kāi)始逐漸下降，汽機(jī)調(diào)門快速開(kāi)大并維持全開(kāi)，鍋爐燃料指令快速降低，高低旁閥門快開(kāi)。為了穩(wěn)定燃燒維持汽壓，運(yùn)行人員將燃料主控解為手動(dòng)控制，隨后將高旁解為手動(dòng)關(guān)閉。05:21:27，熱工值班人員現(xiàn)場(chǎng)檢查發(fā)現(xiàn)，負(fù)責(zé)CCS及ECS的DPU AP03雙側(cè)全停。后手動(dòng)啟動(dòng)AP03單側(cè)CPU成功，畫(huà)面恢復(fù)正常，協(xié)調(diào)切為機(jī)跟隨方式運(yùn)行，汽機(jī)負(fù)責(zé)調(diào)節(jié)主汽壓力。05:25:01，調(diào)門逐漸關(guān)小，主汽壓力逐漸回升，而機(jī)組負(fù)荷仍持續(xù)下降。05:26:16，主汽壓力升至9 MPa左右，但較設(shè)定值仍偏小。汽機(jī)高調(diào)門快速關(guān)至7 %，同時(shí)低旁調(diào)節(jié)打開(kāi)，實(shí)際負(fù)荷快速降至70 MW，而機(jī)組負(fù)荷小于25 %，協(xié)調(diào)切為基本方式，即啟動(dòng)狀態(tài)，汽機(jī)控制負(fù)荷，鍋爐控制燃燒，維持主汽壓力。高旁在啟動(dòng)方式下負(fù)責(zé)調(diào)節(jié)啟動(dòng)壓力7.5 MPa，這導(dǎo)致高旁逐漸全開(kāi)。05:26:50，負(fù)荷波動(dòng)至50 MW左右，發(fā)電機(jī)零功率保護(hù)跳閘，連鎖汽機(jī)跳閘。

3 原因分析

3.1 引起冗余DPU全停的原因分析

在T-XP系統(tǒng)中，互為冗余的2塊DPU(AP)控制卡，件軟、硬件完全相同，它們執(zhí)行相同的系統(tǒng)軟件和應(yīng)用程序，通過(guò)主從冗余邏輯電路(IM324/IM304模件)的控制，其中一塊運(yùn)行在工作狀態(tài)，另一塊運(yùn)行在備用狀態(tài)。主從冗余AP通過(guò)各自的高速數(shù)據(jù)總線都能訪問(wèn)同一現(xiàn)場(chǎng)I/O數(shù)據(jù)，通過(guò)各自的通訊模件(CP1430)都能訪問(wèn)同一過(guò)程控制網(wǎng)絡(luò)(工廠總線)。這樣，2塊AP可隨時(shí)刷新最新的控制數(shù)據(jù)，實(shí)現(xiàn)“自然同步”，以保證工作/備用的無(wú)擾切換?；槿哂嗟腁P通過(guò)主側(cè)的IM324模件和從側(cè)的IM304模件實(shí)現(xiàn)主從信息交互、故障診斷、控制權(quán)切換。

T-XP系統(tǒng)經(jīng)過(guò)多年的軟硬件升級(jí)已經(jīng)成為一種十分成熟穩(wěn)定的控制系統(tǒng)，在國(guó)內(nèi)應(yīng)用T-XP系統(tǒng)的發(fā)電廠中，出現(xiàn)冗余DPU全停的案例是罕見(jiàn)的。單側(cè)AP卡件故障停運(yùn)導(dǎo)致AP失去冗余或者發(fā)生故障后主從切換失去冗余，多出現(xiàn)在舊版AP卡件上，這是由于舊版AP卡件的抗射頻干擾能力較差，易出現(xiàn)奇偶校驗(yàn)錯(cuò)誤導(dǎo)致的，但6臺(tái)機(jī)組從未出現(xiàn)過(guò)冗余AP卡件全停的先例。由于AP卡件全停后，故障數(shù)據(jù)不全，只能結(jié)合部分故障數(shù)據(jù)和機(jī)組事故報(bào)表分析，并通過(guò)模擬試驗(yàn)確認(rèn)故障原因。AP03出現(xiàn)IM324/304冗余通訊耦合故障，會(huì)導(dǎo)致冗余邏輯回路失靈，出現(xiàn)2個(gè)AP都為主控制器。但設(shè)計(jì)上，從AP冗余耦合故障切換為主控制器時(shí)，為保證安全禁止其輸出。當(dāng)冗余通訊耦合故障恢復(fù)后，為保證安全防止出現(xiàn)2個(gè)主AP搶奪控制權(quán)，從AP會(huì)自動(dòng)停運(yùn)。在從AP自動(dòng)停運(yùn)時(shí)，主AP由于RAM緩存中的數(shù)據(jù)出現(xiàn)奇偶校驗(yàn)錯(cuò)誤而停運(yùn)。當(dāng)IM324/304卡件故障或連接電纜斷開(kāi)時(shí)，都會(huì)導(dǎo)致IM324/304冗余通訊耦合故障，但同時(shí)出現(xiàn)AP奇偶校驗(yàn)錯(cuò)誤是很罕見(jiàn)的。經(jīng)過(guò)模擬試驗(yàn)，在IM324/304冗余通訊耦合鏈路上的故障通常導(dǎo)致從側(cè)停運(yùn)，但無(wú)法導(dǎo)致主側(cè)停運(yùn)。只有在主側(cè)也存在故障點(diǎn)時(shí)才有可能出現(xiàn)主從全停，所以主側(cè)的IM324模件故障應(yīng)是導(dǎo)致雙側(cè)全停的根本原因。該廠5號(hào)機(jī)組曾經(jīng)出現(xiàn)過(guò)在機(jī)組停運(yùn)期間一對(duì)AP的IM324模件故障導(dǎo)致主從全停的先例。

3.2 引起機(jī)組控制異常的原因分析

AP03卡件柜負(fù)責(zé)CCS協(xié)調(diào)控制系統(tǒng)和ECS電氣控制系統(tǒng)，其中ECS系統(tǒng)控制的電氣開(kāi)關(guān)，由于控制設(shè)備全部為短指令啟停，在AP啟停過(guò)程中控制信號(hào)未突變，故無(wú)設(shè)備跳閘，系統(tǒng)在單側(cè)AP恢復(fù)后正常。CCS系統(tǒng)由AP03通訊送至DEH SIMADYN-D的負(fù)荷設(shè)定值、主汽壓力設(shè)定值等信號(hào)，以及CCS由AP03通訊送至鍋爐主控AP06卡件的鍋爐指令信號(hào)等，則在AP03全停后全部突變?yōu)?。當(dāng)鍋爐指令突變?yōu)?后，燃料指令快速下降，導(dǎo)致鍋爐燃燒減弱，主汽壓力持續(xù)下降，隨后運(yùn)行人員為穩(wěn)定燃燒將鍋爐解為手動(dòng)控制，但仍未有效阻止主汽壓力下降。而當(dāng)AP03送至高低旁路的并網(wǎng)信號(hào)丟失，導(dǎo)致高低旁誤判斷，機(jī)組甩負(fù)荷全部快開(kāi)，也加劇了機(jī)組的蒸汽參數(shù)下降。

當(dāng)AP03全故障時(shí)，SIMADYN-D中負(fù)荷控制器有效，負(fù)荷設(shè)定值PS由290 MW突變?yōu)?，壓力設(shè)定值FDS由14.5 MPa突變?yōu)?。在SIMADYN-D內(nèi)部，為防止設(shè)定值突變，都設(shè)計(jì)有限速回路，延時(shí)負(fù)荷設(shè)定值PSV以10 MW/min下降，延時(shí)壓力設(shè)定值FDSV以2.5 MPa/min速率下降。負(fù)荷控制器為限制主汽壓力在控制負(fù)荷時(shí)偏差過(guò)大而設(shè)計(jì)了壓力補(bǔ)償回路，通過(guò)修正汽機(jī)負(fù)荷配合鍋爐控制主汽壓力。負(fù)荷控制邏輯中，通過(guò)PSV加上5 MW/MPa的壓力偏差修正系數(shù)，形成最終有效負(fù)荷設(shè)定值PSW。由于實(shí)際主汽壓力下降速率約為0.5 MPa/min，延時(shí)壓力設(shè)定值FDSV以2.5 MPa/min下降，壓力偏差持續(xù)變大導(dǎo)致PSW由290 MW先基本不變?nèi)缓笾饾u變大，且在05:16:42時(shí)達(dá)到最大值300 MW，然后開(kāi)始逐漸下降。有效負(fù)荷設(shè)定值PSW下降較慢，而機(jī)組負(fù)荷由于主汽壓力降低持續(xù)下降，這就導(dǎo)致負(fù)荷控制器為維持負(fù)荷輸出指令快速變大，直至將汽機(jī)所有調(diào)門全開(kāi)。

05:21:27，AP03單側(cè)CPU啟動(dòng)成功，由于鍋爐解為手動(dòng)控制汽機(jī)遙控，SIMADYN-D切為機(jī)跟隨方式運(yùn)行調(diào)節(jié)主汽壓力，鍋爐控制機(jī)組負(fù)荷，負(fù)荷控制器切為壓力控制器。此時(shí)，負(fù)荷設(shè)定值在機(jī)跟隨下跟蹤實(shí)際負(fù)荷，負(fù)荷控制器入口偏差被切換回路增加一固定正偏差，但此時(shí)輸出早已經(jīng)維持100 %不變。壓力控制器在切換前跟蹤負(fù)荷控制器的輸出也達(dá)到最大100 %，而內(nèi)部實(shí)際壓力設(shè)定值在通訊恢復(fù)后以2.5 MPa/min的速率由0逐漸變?yōu)榛瑝呵€中實(shí)際負(fù)荷對(duì)應(yīng)的數(shù)值，壓力控制器入口偏差為負(fù)導(dǎo)致壓力控制器輸出維持100 %(反向調(diào)節(jié)器)，導(dǎo)致切機(jī)跟隨后所有調(diào)門仍維持全開(kāi)。05:25:01，當(dāng)實(shí)際延時(shí)壓力設(shè)定值恢復(fù)升至大于主汽壓力，壓力控制器入口偏差反向使其輸出減小，開(kāi)始關(guān)閉調(diào)門，壓力控制器激活。由于隨后主汽壓力值波動(dòng)下降導(dǎo)致壓力控制器輸出快速減小，關(guān)小所有調(diào)門，憋壓。當(dāng)汽機(jī)高調(diào)門關(guān)至7 %時(shí)，由于低旁調(diào)節(jié)打開(kāi)，負(fù)荷跌至70 MW。此時(shí)機(jī)組負(fù)荷小于25 %，控制方式由機(jī)跟隨切為啟動(dòng)狀態(tài)，汽機(jī)控制負(fù)荷，鍋爐控制燃燒，維持啟動(dòng)壓力7.5 MPa。由于高旁在啟動(dòng)狀態(tài)下負(fù)責(zé)維持主汽壓力7.5 MPa，而此時(shí)主汽壓較7.5 MPa高，導(dǎo)致閥門調(diào)節(jié)打開(kāi)，導(dǎo)致機(jī)組負(fù)荷進(jìn)一步下降。當(dāng)機(jī)組負(fù)荷在60 MW左右波動(dòng)時(shí)，觸發(fā)發(fā)電機(jī)零功率保護(hù)動(dòng)作，連鎖汽機(jī)跳閘。

4 事故教訓(xùn)及防范措施

(1)機(jī)組跳閘后，由于IM324/304耦合故障一直存在，導(dǎo)致從側(cè)AP多次嘗試一直無(wú)法啟動(dòng)，后對(duì)IM324/304卡件斷電后系統(tǒng)才恢復(fù)正常。隨后，對(duì)IM324/304卡件及連接電纜反復(fù)測(cè)試均未發(fā)現(xiàn)異常，基本確定為IM324卡件出現(xiàn)偶發(fā)性故障。為徹底避免故障的再次發(fā)生，對(duì)IM324/304卡件和連接電纜全部進(jìn)行了更換。對(duì)于出現(xiàn)奇偶校驗(yàn)錯(cuò)誤故障的AP卡件，西門子一般都采取拔出模件，徹底放電后重新上電使用，只有短期連續(xù)出現(xiàn)奇偶校驗(yàn)錯(cuò)誤的AP卡件才建議更換。

(2)西門子T-XP系統(tǒng)中，冗余AP總體穩(wěn)定性較好，除舊版AP易出現(xiàn)干擾導(dǎo)致的奇偶校驗(yàn)錯(cuò)誤停運(yùn)外，整體的可靠性一直較高。嚴(yán)格的軟硬件版本匹配、循環(huán)自檢機(jī)制和主從冗余切換等機(jī)制提高了T-XP系統(tǒng)的可靠性，但也同時(shí)影響了其穩(wěn)定性，這正恰恰體現(xiàn)了西門子控制系統(tǒng)在設(shè)計(jì)時(shí)遵循的“保人身設(shè)備而非保負(fù)荷”理念。在出現(xiàn)冗余AP全停之后，目前只能從常規(guī)措施上保證其穩(wěn)定性。例如：嚴(yán)格控制設(shè)備運(yùn)行環(huán)境（包括溫濕度、空氣粉塵含量）、降低AP負(fù)荷率、規(guī)范接地、防止靜電及射頻干擾等。

(3)SIMADYN-D是一種全數(shù)字化、模塊化、高動(dòng)態(tài)特性、高精度的控制系統(tǒng)，西門子將其應(yīng)用于DEH控制正是利用其快速的開(kāi)閉環(huán)控制和具備的復(fù)雜運(yùn)算操作能力，同時(shí)也可完美地和DCS系統(tǒng)融為一體。由于SIMADYN-D硬件采取1:1的100 %冗余，即內(nèi)部軟硬件完全冗余工作，所有的硬接線信號(hào)和通訊信號(hào)，以及所有的輸出信號(hào)均在柜內(nèi)實(shí)現(xiàn)100 %冗余采集和輸出，同時(shí)上下2層SIMADYN-D通過(guò)主從通訊模件CS12、CS22進(jìn)行數(shù)據(jù)比較，在主層發(fā)生硬件損壞或檢測(cè)到致命性故障時(shí)系統(tǒng)就自動(dòng)切換至從層輸出。SIMADYN-D汽機(jī)控制器軟件主要由轉(zhuǎn)速/負(fù)荷控制器、主汽壓力控制器、高排冷卻蒸汽壓力控制器、高壓排汽溫度控制器、高壓葉片壓力控制器組成。并網(wǎng)前轉(zhuǎn)速控制器控制汽機(jī)轉(zhuǎn)速，并網(wǎng)后主要由負(fù)荷控制器控制機(jī)組負(fù)荷，在機(jī)跟隨時(shí)壓力控制器控制主汽壓力，其余控制器在相關(guān)參數(shù)超限時(shí)限制控制器的輸出。所有控制器的輸出都經(jīng)過(guò)小選器小選后輸出，從而實(shí)現(xiàn)了不同控制方式下控制器的無(wú)擾切換。SIMADYN-D的控制軟件是一個(gè)邏輯復(fù)雜、功能完善、設(shè)計(jì)精密的十分成熟的控制邏輯，能實(shí)現(xiàn)機(jī)組在各種控制方式下、各種工況下的控制，能完全自動(dòng)控制汽機(jī)從盤車掛閘、暖閥、啟機(jī)、沖轉(zhuǎn)、暖機(jī)直至同期并網(wǎng)、帶初負(fù)荷。

SIMADYN-D完善的功能極大地提高了DEH的自動(dòng)化程度，同時(shí)也嚴(yán)重削弱了手動(dòng)操作功能和人工干預(yù)手段。例如，SIMADYN-D系統(tǒng)中沒(méi)有配置專用的后備上位機(jī)，只能在DCS操作終端上通過(guò)通訊實(shí)現(xiàn)操作監(jiān)視功能；DEH系統(tǒng)中除并網(wǎng)信號(hào)等少量采集信號(hào)和閥門控制信號(hào)等少量輸出信號(hào)外，其余所有信號(hào)都完全依賴于DCS的數(shù)據(jù)總線通訊至指定AP進(jìn)行操作顯示，沒(méi)有預(yù)留后備控制操作接口；在DEH中任何時(shí)候只能通過(guò)改變外部設(shè)定值(如轉(zhuǎn)速設(shè)定值、負(fù)荷設(shè)定值、壓力設(shè)定值等)來(lái)影響控制器的輸出，無(wú)法手動(dòng)直接干預(yù)控制器輸出，導(dǎo)致系統(tǒng)連基本的閥控等手動(dòng)功能也沒(méi)有；DEH所有外部設(shè)定值在邏輯中都進(jìn)行了限幅限速功能，任何時(shí)候改變?cè)O(shè)定值都必須經(jīng)過(guò)限速時(shí)間后才能真正實(shí)際改變輸出。所以，控制邏輯并非自動(dòng)程度越高越好，更不應(yīng)完全拋棄手動(dòng)操作模式。

為了提高DEH系統(tǒng)的可靠性，必須重新合理配置硬接線信號(hào)和通訊信號(hào)，對(duì)重要的信號(hào)要考慮設(shè)置冗余后備硬接線輸入。在操作員站畫(huà)面增加應(yīng)急操作功能，當(dāng)DEH系統(tǒng)控制功能異常時(shí)將控制器快速切為啟動(dòng)方式，直接手動(dòng)控制負(fù)荷，同時(shí)閉鎖DEH中的限速功能使控制器立即激活，從而避免控制器反復(fù)切換造成的參數(shù)惡化。如有可能，應(yīng)擴(kuò)展SIMADYN-D系統(tǒng)功能，使其具備上位機(jī)操作功能，以緊急后備。

(4)為了統(tǒng)一，DCS系統(tǒng)中將所有送至SIMADYN-D的通訊信號(hào)都先送至AP35中(負(fù)責(zé)汽機(jī)保護(hù))并由AP35統(tǒng)一轉(zhuǎn)發(fā)，而所有SIMADYN-D送出的信號(hào)則由各個(gè)AP通過(guò)工廠總線各自接收采集。當(dāng)AP03故障時(shí)，AP03送至AP35的信號(hào)變?yōu)?，而AP35則仍然將0信號(hào)發(fā)送，這樣無(wú)疑增加了SIMADYN-D信號(hào)質(zhì)量判斷的難度，又導(dǎo)致中轉(zhuǎn)信號(hào)的可靠性下降。所以，在充分考慮信號(hào)可靠性的前提下應(yīng)優(yōu)化通訊信號(hào)的配置和內(nèi)部控制程序，當(dāng)出現(xiàn)單個(gè)或多個(gè)AP通訊中斷時(shí)，在保證機(jī)組安全的前提下應(yīng)提供可行的操作方式，使操作員能干預(yù)SIMADYN-D的輸出，使汽機(jī)處于可控狀態(tài)。例如，在相關(guān)AP中增加控制器緊急情況下的設(shè)定值、設(shè)定值變化率、控制器輸出上下限值、控制器輸出速率等，同時(shí)在操作畫(huà)面上增加對(duì)所有閥門的限制輸出功能，如最小開(kāi)度、最大開(kāi)度等。

(5)優(yōu)化DEH中通訊信號(hào)的參數(shù)，增加信號(hào)質(zhì)量檢測(cè)靈敏度和可信度。例如壓力設(shè)定值信號(hào)原量程為0～20 MPa，根據(jù)機(jī)組實(shí)際工作壓力可改為7.5～16.67 MPa，對(duì)通訊信號(hào)應(yīng)進(jìn)行三取中等多重選擇，信號(hào)源也可考慮一定的冗余度和分散度。

(6)完善DCS系統(tǒng)的事故預(yù)案，對(duì)機(jī)組所有通訊信號(hào)進(jìn)行梳理核查，對(duì)出現(xiàn)DPU停運(yùn)通訊中斷時(shí)可以通過(guò)手動(dòng)操作避免機(jī)組停機(jī)的信號(hào)進(jìn)行優(yōu)化或技改，提高DCS抵抗局部故障的容錯(cuò)能力。

5 結(jié)束語(yǔ)

西門子T-XP系統(tǒng)硬件穩(wěn)定、可靠，軟件功能強(qiáng)大、專業(yè)，SIMADYN-D汽輪機(jī)數(shù)字電液調(diào)節(jié)系統(tǒng)控制穩(wěn)定、精度高、設(shè)計(jì)思想先進(jìn)、功能完善，但它們都在設(shè)計(jì)上過(guò)度依賴于硬件設(shè)備的可靠性。雖然DCS系統(tǒng)和DEH系統(tǒng)大量采取了硬件冗余設(shè)計(jì)，但對(duì)冗余失效情況下的異常工況基本不考慮，導(dǎo)致一旦出現(xiàn)設(shè)計(jì)預(yù)想之外的故障時(shí)，將出現(xiàn)嚴(yán)重的調(diào)節(jié)異常，甚至系統(tǒng)失控，所以在消化吸收進(jìn)口成套控制設(shè)備先進(jìn)技術(shù)時(shí)應(yīng)大膽對(duì)發(fā)現(xiàn)的安全隱患進(jìn)行合理、有效、可行的整改，進(jìn)一步提高機(jī)組的安全水平。