何鐵光

（大唐華銀攸縣能源有限公司，湖南 株洲 412307)

1 概述

某燃機電廠3臺400 MW F級的燃氣—蒸汽聯(lián)合循環(huán)機組(V94.3A型，德國西門子公司生產(chǎn))分別于2006年5-7月投入運行。1,2號機組經(jīng)市(直轄市)電網(wǎng)調(diào)度批準，由西門子公司燃燒與熱控工程師進行燃燒調(diào)整試驗，3號機組正常運行。

此3臺機組的監(jiān)控系統(tǒng)均采用西門子公司的TELEPERM XP系統(tǒng)(簡稱“TXP系統(tǒng)”)，同時設置1套公用系統(tǒng)。各機組TXP系統(tǒng)間數(shù)據(jù)通訊由SINCE NET總線承擔，而SINCE NET總線系統(tǒng)又分為工廠總線和終端總線2部分。各機組TXP系統(tǒng)的工廠總線、終端總線分別與公用系統(tǒng)的公用總線、終端總線連接，工廠總線共有9個網(wǎng)絡交換器(ESM)，由光纖或電纜串接，正常運行狀態(tài)下呈“C”型網(wǎng)運行狀態(tài)，其中任一網(wǎng)絡交換器具有冗余配置功能，并通過相應配置具有網(wǎng)絡斷點監(jiān)測功能。即當網(wǎng)絡交換器人工設置冗余配置功能后，如“C”型網(wǎng)中出現(xiàn)1個斷點時，則冗余配置功能生效，以保證網(wǎng)絡始終保持“C”型網(wǎng)運行；如“C”型網(wǎng)中出現(xiàn)2個及以上斷點時，網(wǎng)絡則會異常。該廠機組監(jiān)控系統(tǒng)及網(wǎng)絡設備的運行維護由德國西門子公司(以下簡稱“SPPA”)承擔。

2 事故經(jīng)過

2013-12-04，該燃機電廠西門子監(jiān)控系統(tǒng)網(wǎng)絡故障導致單臺機組跳閘，在網(wǎng)絡恢復過程中產(chǎn)生網(wǎng)絡阻塞引發(fā)另外2臺機組同時跳閘，發(fā)生全廠對外全停的電力安全事故。

2013-12-04T14:25，3號機組因機組TXP系統(tǒng)工廠總線通訊故障，機組保護動作跳閘，跳閘時負荷300 MW。15:36，1，2及3號機組TXP系統(tǒng)及公用系統(tǒng)監(jiān)視界面異常，1，2號機組跳閘，跳閘時機組負荷分別為222 MW，310 MW，導致全廠對外停電。

2.1 3號機組情況

14:25，3號機組跳閘后，通過查看SOE事件記錄，查明機組跳閘原因是工廠總線通訊故障。檢查機組監(jiān)控系統(tǒng)的網(wǎng)絡及通訊設備，發(fā)現(xiàn)其中一個網(wǎng)絡交換器(編號為5P)故障報警，隨即對其進行復位重置，但是故障未消除，報警仍然存在。經(jīng)研究后決定利用廠內(nèi)備件對該網(wǎng)絡交換器進行在線更換，更換后故障報警消失。

2.2 1，2號機組情況

在對3號機組監(jiān)控系統(tǒng)中的網(wǎng)絡交換器(編號為5P)更換后數(shù)分鐘后，1，2號機組在15:36同時跳閘，相關監(jiān)視界面也同時出現(xiàn)異常。

2.3 機組恢復并網(wǎng)運行情況

3臺機組跳閘后，按照SPPA工程師建議，將3號機組TXP系統(tǒng)與公用系統(tǒng)之間網(wǎng)絡斷開，隨后1，2號機組監(jiān)控界面及監(jiān)控系統(tǒng)網(wǎng)絡通訊恢復正常。

對該機組TXP系統(tǒng)所屬網(wǎng)絡交換器、連接線等逐一排查后，發(fā)現(xiàn)其中一個網(wǎng)絡交換器(編號為4P)的連接口松動(RJ45接頭)。通過查閱歷年維護記錄，根據(jù)SPPA電氣工程師建議，利用備件網(wǎng)絡交換器(原編號為5P，原屬3號機組)對網(wǎng)絡交換器(編號為7P)進行了更換。測試后網(wǎng)絡恢復正常，并于2013-12-05向市電網(wǎng)調(diào)度申請依次并網(wǎng)。

3 原因分析

3.1 直接原因

3.1.1 網(wǎng)絡設備故障

3號機組TXP監(jiān)控系統(tǒng)網(wǎng)絡交換器(編號為4P)的連接接口松動(RJ45接頭)，同時網(wǎng)絡交換器(編號為7P)設備發(fā)生故障，造成系統(tǒng)出現(xiàn)2個斷點，破壞了“C”型網(wǎng)運行結構，導致3號機組TXP系統(tǒng)通訊中斷，引發(fā)3號機組工廠總線通訊故障保護跳閘。

3.1.2 更換功能相異的網(wǎng)絡設備

在3號機組TXP監(jiān)控系統(tǒng)網(wǎng)絡交換器存在異常信號的情況下，廠方工作人員采取了更換備件的措施。由于該系統(tǒng)的日常維護均由生產(chǎn)廠商西門子公司承擔，而該公司未對電廠工作人員進行相關設備技術交底，致使廠方工作人員更換3號機組網(wǎng)絡交換器時，因外觀相同難以辨別功能差異而使用了不同型號的交換器，造成3號機組TXP系統(tǒng)形成“O”型網(wǎng)絡，導致通訊網(wǎng)絡阻塞，進而引發(fā)1，2號機組因通訊故障保護跳閘。

3.2 間接原因

3.2.1 網(wǎng)絡設備重要故障告警功能不足

西門子機組監(jiān)控系統(tǒng)對3號機組網(wǎng)絡交換器連接口(RJ45接頭)松動和另一網(wǎng)絡交換器故障的情況未能及時、有效地告警提示運行人員，導致系統(tǒng)同時出現(xiàn)2個斷點，致使3號機組保護跳閘。

3.2.2 網(wǎng)絡通訊故障隔離措施不到位

西門子機組監(jiān)控系統(tǒng)對網(wǎng)絡通訊故障缺乏有效防護手段和隔離措施。由于3號機組與1，2號機組網(wǎng)絡相連接，3號機組因更換網(wǎng)絡交換器不當致使機組通訊網(wǎng)絡阻塞，隨即引發(fā)1，2號機組通訊網(wǎng)絡阻塞，最終導致1，2號機組保護跳閘。

4 暴露的問題

4.1 技術交底不徹底

電廠機組監(jiān)控系統(tǒng)制造廠商德國西門子公司在系統(tǒng)原理、網(wǎng)絡設計、通訊原理、設備配置等方面的技術交底不徹底，相關技術培訓不到位，其用戶使用手冊的指導性不足。

4.2 運行維護自主性不強

電廠機組監(jiān)控系統(tǒng)日常運行維護過于依賴制造廠商，維護模式主要是通過遠程獲取運行參數(shù)來進行信息判別，并由廠商負責定期巡視檢查，導致電廠運管人員難以全面了解掌握機組的運行狀況。

4.3 網(wǎng)絡與信息安全專業(yè)技術力量薄弱

電廠網(wǎng)絡與信息安全管理和技術人員不足，熱控專業(yè)人員對網(wǎng)絡設備配置、系統(tǒng)網(wǎng)絡原理了解甚少，未對崗位人員進行專業(yè)能力培訓考核，電廠網(wǎng)絡與信息安全專業(yè)技術水平亟待加強。

5 防范措施

5.1 開展同類燃氣機組生產(chǎn)監(jiān)控系統(tǒng)的排查工作

要對所屬機組生產(chǎn)監(jiān)控系統(tǒng)進行排查統(tǒng)計，有條件時可對國外電力生產(chǎn)監(jiān)控系統(tǒng)信息安全狀況開展專題研究，提出切實可行的風險防控及安全防護措施，避免類似事故的發(fā)生。

5.2 強化電力二次系統(tǒng)安全防護和等級保護工作

要按照電力二次系統(tǒng)安全防護規(guī)定及相關網(wǎng)絡安全管理要求，對類似監(jiān)控系統(tǒng)開展安全評估及等級保護測評工作，切實保證機組監(jiān)控網(wǎng)絡與信息系統(tǒng)的安全、穩(wěn)定運行。

5.3 加強網(wǎng)絡與信息安全管理

要提高對網(wǎng)絡與信息安全的認識，加強組織領導，完善相關工作制度、流程，增強信息安全防范意識，派送技術人員參加相關信息安全培訓，切實提高網(wǎng)絡與信息安全管理水平。

5.4 完善網(wǎng)絡與信息安全應急預案

要規(guī)范編制應急預案并定期舉行應急演練，不斷整改發(fā)現(xiàn)的問題，提高電廠網(wǎng)絡與信息安全應急管理水平。