闞俊超

(大唐華東電力試驗研究院，合肥 230031)

0 引 言

隨著DCS控制系統(tǒng)在大型發(fā)電機組的廣泛應用，其可靠性對機組安全、穩(wěn)定、經(jīng)濟運行和電網(wǎng)穩(wěn)定的影響逐漸增大，因此DCS系統(tǒng)的冗余功能顯得尤為重要，控制器、系統(tǒng)電源、I/O模件電源、通訊網(wǎng)絡等均應采用完全獨立的冗余配置，在發(fā)生設備故障時，應具備無擾切換功能。從通訊故障導致機組非停的案例入手，對DCS典型通訊故障問題進行原因分析，總結故障處理的經(jīng)驗教訓，并制定相應的預防措施，旨在提高DCS控制系統(tǒng)的安全可靠性。同時各發(fā)電企業(yè)應在設計、生產(chǎn)準備、基建、出廠驗收和調試等階段，按照相關規(guī)程規(guī)范對DCS通訊功能進行全面檢查及性能調試，使各項指標滿足規(guī)程要求。確保發(fā)電機組不因DCS通訊問題造成非停損失甚至失控[1]。

1 典型案例分析

1.1 通訊卡件切換失敗案例分析

1.1.1 事件經(jīng)過

某1 000 MW超超臨界機組運行期間，負荷940 MW，機組處于CCS方式，AGC投入、RB功能投入。給水系統(tǒng)A、B汽泵運行，A汽泵轉速4 645 r/min，B汽泵轉速4 650 r/min。17∶31∶59，A汽泵3個轉速反饋信號突然出現(xiàn)同步上升至5 323 r/min且無法調節(jié)，與當前轉速指令4 860 r/min偏差超限，A汽泵自動控制功能退出，A汽泵MEH保持遙控及操作員自動狀態(tài)。在MEH調節(jié)器作用下，為降低A汽泵轉速，A汽泵低調門持續(xù)關閉，轉速信號無明顯變化，而給水流量呈下降趨勢，故此時A汽泵轉速信號應為虛假指示。給水流量下降后，雖然給水主控指令及B汽泵指令在PID作用下快速上升，但仍無法維持鍋爐給水流量。17∶33∶06，給水流量降至2 215 t/h，與設定值(2 554 t/h)偏差超限，給水主控及CCS方式隨即切除，由運行人員手動控制機組運行。

CCS方式切除后，A汽泵轉速信號出現(xiàn)反復波動，波動幅度達±700 r/min，給水流量發(fā)生快速變化，此時垂直水冷壁出口混合集箱溫度呈上升趨勢。17∶34∶48，A汽泵轉速信號突降至3 710 r/min，與設定值偏差超限，觸發(fā)MEH“轉速故障”信號，A汽泵跳閘。由于CCS、給水主控均已切除，機組RB功能未觸發(fā)。此時運行人員手動控制機組運行，由于參數(shù)波動劇烈，17∶41∶20，鍋爐垂直水冷壁混合集箱溫度超過鍋爐MFT動作值，1號機組跳閘。跳閘曲線如圖1所示。

圖1 非停前后給水系統(tǒng)主要參數(shù)趨勢

1.1.2 原因分析

A汽泵轉速信號突升至5 323 r/min，與轉速指令(4 860 r/min)偏差的絕對值超過300 r/min，A汽泵自動控制功能退出，但A汽泵MEH仍保持遙控及操作員自動狀態(tài)，MEH依據(jù)虛假的轉速信號持續(xù)調節(jié)。因此A汽泵在轉速信號異常后，轉速指令與實際轉速偏差絕對值超限，造成A汽泵自動切除但未切除MEH操作員自動，是本次非停的直接原因。MEH操作員自動未能及時切除，轉速指令與反饋偏差大于1 000 r/min后，A汽泵聯(lián)鎖跳閘。

該電廠1號機組給水泵的轉速信號傳輸回路為：3個DP820轉速卡將轉速信號傳送至一對冗余配置的CI840通訊卡，再經(jīng)過一對冗余配置的PDP800通訊卡與ABB總線控制器相連。非停后，現(xiàn)場檢查轉速信號傳輸回路，發(fā)現(xiàn)CI840通訊卡中的主卡報故障信號，通信傳輸由副卡接管。而此時回傳的轉速信號均為異常狀態(tài)，無法更新。手動復位通訊卡后，轉速信號恢復正常。

停機后開展試驗，利用信號發(fā)生器模擬轉速脈沖信號發(fā)至CI840通訊卡，并手動進行“主→備”通訊卡切換，發(fā)現(xiàn)此時控制器接收的轉速信號再次出現(xiàn)示值異常的現(xiàn)象。經(jīng)進一步檢查發(fā)現(xiàn)，通訊卡CI840的參數(shù)配置不當，導致主卡故障后無法實現(xiàn)無擾切換，是本次非停的根本原因，切換過程中通訊信號異常，引發(fā)后續(xù)保護動作、參數(shù)失穩(wěn)。

1.2 控制器未設置冗余切換案例分析

1.2.1 事件經(jīng)過

某600 MW超超臨界機組運行期間，CCS方式運行，機組負荷576 MW，凝汽器A真空為90.7 kPa，凝汽器B真空為92.2 kPa。1A、1B循環(huán)水泵運行。09∶05∶53，1號機組DCS循環(huán)水遠程站畫面所有模擬量信號顯示異常，調閱歷史記錄檢查發(fā)現(xiàn)遠程站AI信號變成壞點：部分DI信號出現(xiàn)翻轉，原有的“0”信號均翻轉為“1”，而原有的“1”信號保持不變；RTD信號未報“壞質量”但數(shù)值錯誤。此時1A、1B循環(huán)水出口蝶閥全關信號誤發(fā)，09∶06∶08，1A、1B循環(huán)水泵停運。凝汽器A、B真空開始快速下降，1號機組凝汽器A真空壓力開關63-1/LV1-1、63-4/LV1-1動作，滿足真空低保護條件，觸發(fā)凝汽器真空低主保護動作，汽機ETS動作，鍋爐MFT、發(fā)電機出口開關聯(lián)跳。跳閘曲線如圖2所示。

圖2 機組真空低停機曲線

1號機組循泵出口蝶閥狀態(tài)、指令以及循泵溫度等信號均由就地遠程站通過遠程節(jié)點卡，經(jīng)光纖與1號機組電子間的CTRL16控制器進行數(shù)據(jù)通訊。異常工況發(fā)生時，負責與CTRL16控制器通訊的循泵系統(tǒng)遠程節(jié)點卡故障，循環(huán)水泵出口蝶閥關反饋信號(DI)翻轉，開關量點由“0”變“1”，信號誤發(fā)，而1A、1B循環(huán)水泵跳閘指令是由汽機電子間CTRL16/66控制器通過硬接線直接送至電氣回路進行控制，誤跳1A、1B循環(huán)水泵。

1.2.2 原因分析

1號機組2臺循泵出口蝶閥全關信號誤發(fā)造成循環(huán)水泵停運，出口蝶閥因通訊中斷無法及時關閉，導致1號機組循環(huán)水流量和母管壓力快速下降引發(fā)機組凝汽器真空低保護動作，是此次非停的直接原因。

該機組16 號控制器配置有一套遠程控制站，由16號控制器下MAU A 卡通過光纖連接至遠程站的REMOTE NODE 卡做為遠程站與16號控制器的通訊連接；66號控制器下MAU B 卡通過光纖連接至遠程站的REMOTE NODE 卡做為遠程站與66號控制器的通訊連接，如圖3所示。16號和66號控制器為冗余的一對控制器。MAU A 卡與B 卡之間無直接物理連接，兩者之間的切換通過控制器切換實現(xiàn)。該遠程站主要控制1A、1B 循環(huán)水泵出口蝶閥指令及狀態(tài)反饋。1A、1B 循環(huán)水泵啟停指令及反饋在汽機電子間通過CTRL16/66控制器使用硬接線直接送至電氣回路進行控制。

圖3 遠程NODE卡與MAU卡連接示意圖

由于遠程站通訊中斷，導致CTRL16/66控制器至遠程站指令輸出通道阻斷，運行發(fā)出1A、1B循環(huán)水泵出口蝶閥關指令(D0)，就地液壓機構未動作，母管循環(huán)水通過1號機組出口蝶閥倒流，未能進入凝汽器，進而造成1號機組循環(huán)水流量和母管壓力快速下降，循環(huán)水流量不足以維持機組真空，最終導致1號機組凝汽器真空低保護動作。

DCS系統(tǒng)CTRL16/66控制器為主輔冗余配置，循環(huán)水系統(tǒng)遠程站的遠程節(jié)點卡(包括電源、光纖等通訊回路)也是對應的冗余配置。該控制器組態(tài)設置時將“Disable Controller Failover on Node Failure”功能開啟，即當遠程節(jié)點卡故障時不觸發(fā)控制器切換，因此負責與CTRL16控制器通訊的循泵系統(tǒng)遠程節(jié)點卡故障后，CTRL66控制器未能及時接管是本次非停的根本原因。

1.3 卡件與控制器單網(wǎng)配置停機案例分析

1.3.1 事件經(jīng)過

某200 MW燃-汽輪機再熱循環(huán)機組運行期間，AGC投入，其中3號燃機負荷100 MW，排氣溫度550 ℃，4號汽機負荷42 MW，抽汽供熱流量69 t/h。12∶24∶31，3號燃機報警界面發(fā)出L30COMM_IOIO PACK COMMUNICATIONS FAULT(卡件通訊故障)、L27DZ_ALM(直流電壓低)、L94BLN_ALM(直流電壓低觸發(fā)自動停機)等報警，此時3號燃機自動停機程序異常觸發(fā)，3號燃機開始降負荷，12∶25∶25，3號燃機發(fā)變組負荷降到0 MW，3號燃機發(fā)變組解列。

1.3.2 原因分析

經(jīng)檢查報警列表信息和相關控制邏輯發(fā)現(xiàn)：觸發(fā)3號燃機自動停機程序的直接原因是報警信號L94BLN_ALM的觸發(fā)，即MarkVIe控制盤125 V電壓低于90 V時，延時3 s觸發(fā)L94BLN_ALM信號報警，觸發(fā)自動停機程序。經(jīng)查閱歷史曲線，如圖4所示，發(fā)現(xiàn)燃機MarkVIe控制盤電壓在12∶24∶31開始下降，到 12∶24∶37恢復正常，持續(xù)時間6 s，期間電壓值最低下降至0 V。

圖4 直流電壓降低導致機組停機曲線

經(jīng)過對MarkVIe控制盤報警信息、PPDA電源卡報警日志、現(xiàn)場控制設備檢查及停機后相關驗證性試驗得知，導致此次3號燃機自動停機的根本原因是3號燃機的PPDA電源卡電源監(jiān)測與MarkVIe控制盤之間發(fā)生通訊故障。

在機組停機后，對3號燃機PPDA電源卡件進行網(wǎng)線熱插拔試驗，模擬PPDA電源卡通訊故障狀態(tài)，發(fā)現(xiàn)MarkVIe控制盤直流電壓直接變?yōu)? V，并顯示電壓壞質量，檢查MarkVIe控制盤報警信息、電源卡件報警日志信息與自動停機前觸發(fā)的報警完全一致。

控制盤內網(wǎng)絡交換機發(fā)生軟故障導致發(fā)生卡件通訊故障(L30COMM_IO)，導致3號燃機的PPDA電源卡電源監(jiān)測與MarkVIe控制盤之間發(fā)生通訊故障，控制器內接收到的直流電壓信號變?yōu)? V，且時間超過3 s，觸發(fā)L94BLN_ALM報警，執(zhí)行3號燃機自動停機程序。

2 問題分類分析

通過上述案例的分析，機組因通訊問題導致的機組非停原因主要集中在以下幾方面：通訊卡件切換失敗，通訊功能未完善以及機組未配置網(wǎng)絡通訊冗余，也存在諸如電子元器件損壞、網(wǎng)絡堵塞等原因。

在1.1案例中，該廠所配的CI840通訊卡參數(shù)配置不當，主卡故障后無法實現(xiàn)主副卡無擾切換，切換過程中通訊信號異常，進而造成后續(xù)保護動作、參數(shù)失穩(wěn)。由于MEH功能設置不完善，導致轉速異常時MEH仍然依據(jù)異常的轉速信號持續(xù)調節(jié)。此外，在RB邏輯設計方面不全面，忽視了未投入?yún)f(xié)調控制狀態(tài)下單側輔機跳閘時，RB聯(lián)鎖跳磨和投入等離子點火裝置等運行方式對于運行人員的重要幫助作用。

在1.2案例中，DCS故障報警功能不完善，出現(xiàn)遠程節(jié)點卡故障等現(xiàn)象時，缺少監(jiān)視和報警方式。在通訊功能設置方面，遠程節(jié)點卡故障不觸發(fā)控制器切換設置不當(即開啟“Disable Controller Failover on Node Failure”功能)。該機組DCS系統(tǒng)卡件已連續(xù)運行8 年之久，即將到達DCS設備的劣化周期，維護人員對DCS系統(tǒng)卡件劣化程度掌握不深入，風險預控不到位。在機組運行方面，對循環(huán)水遠程站通訊異常中斷的風險認識不足，未考慮到通訊中斷可能造成的開關量點狀態(tài)翻轉這種極端情況。

在1.3案例中，PPDA電源卡為單網(wǎng)運行，不能實現(xiàn)雙重冗余功能。在機組停備時，對PPDA電源卡進行驗證性試驗，發(fā)現(xiàn)拔出其中一根送至R-SW2的網(wǎng)線時，電壓信號立即丟失；恢復后，拔出另一根送至S-SW2的網(wǎng)線時，PPDA卡件及MarkVIe盤沒有任何報警，即該機組未設置通訊冗余功能。在試驗過程中，發(fā)現(xiàn)缺少關于MarkVIe的完整的網(wǎng)絡拓撲圖，每塊卡件送至交換機的走向不明確。維護人員對MarkVIe控制盤內交換機的設備性能劣化情況和潛在缺陷了解不充分，對可能出現(xiàn)的異常狀況處理手段不足。

在國內其他因DCS通訊問題導致的非停案例中，也存在部分老舊機組通訊卡件局部電路板腐蝕的情況。如大多數(shù)沿海地區(qū)機組，循環(huán)水泵往往在就地設置了遠程IO站，通過通訊方式與主機DCS連接。沿海地區(qū)空氣濕度大、鹽分含量高，對電子元器件的損害嚴重，導致與本地控制器通訊異常，甚至導致部分DO指令誤發(fā)現(xiàn)象[2]。

還有一些機組出現(xiàn)了因通訊網(wǎng)絡風暴造成機組異常運行的情況。某機組正常運行，各運行參數(shù)正常。突然所有電腦顯示故障，CRT畫面無數(shù)據(jù)顯示，運行人員無法監(jiān)視調整。經(jīng)查發(fā)現(xiàn)機組DCS系統(tǒng)通訊癱瘓，人機界面完全失控。將A網(wǎng)徹底隔離，只留B網(wǎng)工作，然后重新啟動操作員站，逐個控制器恢復通訊，DCS系統(tǒng)監(jiān)控功能基本恢復正常。檢查為DCS系統(tǒng)通訊主干網(wǎng)絡A、B 網(wǎng)發(fā)生通訊網(wǎng)絡風暴，在DCS系統(tǒng)通訊主干網(wǎng)絡A、B 網(wǎng)有大量垃圾數(shù)據(jù)包存在，存在一定風險，將DCS系統(tǒng)通訊主干網(wǎng)絡A、B 網(wǎng)及下屬所有站點(包括DPU)同時斷電重啟，重新檢查、清空下裝控制組態(tài)，徹底清除網(wǎng)絡上的信息。

機組的安全穩(wěn)定運行，除了與通訊冗余功能是否成熟可靠有關外，還與通信網(wǎng)絡暢通情況相關。隨著智慧電廠的逐步推進，越來越多的數(shù)據(jù)將會與MIS、SIS等系統(tǒng)進行通訊連接，讀取生產(chǎn)實時數(shù)據(jù)，在網(wǎng)絡中接進動態(tài)數(shù)據(jù)服務器，網(wǎng)絡堵塞現(xiàn)象就變得十分頻繁，使得各種人機界面的節(jié)點出現(xiàn)死機現(xiàn)象。此外，軟硬件的更新不同步也會造成程序與功能不匹配，在控制器切換時，因個別點的擾動造成控制器的網(wǎng)絡驅動和網(wǎng)絡任務啟動失敗，造成控制器的故障離線。

機組從基建到正常生產(chǎn)運行期間，由于專業(yè)人員的不斷更替，各控制器的組態(tài)也隨之變化，但隨著時間的推移，控制器只會增加邏輯，沒有刪除原有的無用的邏輯組態(tài)，DPU讀取數(shù)據(jù)時仍會讀取原有數(shù)據(jù)點，也會造成DPU的負荷率過高，甚至造成網(wǎng)絡堵塞，進而導致機組DCS出現(xiàn)異?，F(xiàn)象[3]。

3 治理措施

由于現(xiàn)場的工作環(huán)境較差，通訊鏈路受到各種負面因素的干擾較大，例如機械碰撞、電磁場干擾、人為檢修等等，故障率較高。通訊同軸電纜任何一處節(jié)點中斷，所有設備的通信全部斷開，數(shù)據(jù)丟失，甚至造成更大的經(jīng)濟損失[4]。

針對DCS發(fā)生通訊故障的原因，通?？梢詫φ麄€通訊回路的接線進行檢查及緊固、通過與其他通訊卡件類比進行故障排查、通過短接方式測量同軸通訊電纜的電阻確認電纜正常、通過檢查網(wǎng)絡交換機等方式進行通訊鏈路的全過程排查。

在日常機組運行及檢修維護過程中，可從以下幾方面加強日常DCS的維護工作，確保DCS網(wǎng)絡的穩(wěn)定運行：

1)加強巡檢周期制度的落實。機組正常運行時，加強對DCS光字牌中控制器的報警、負荷率及存儲容量等關鍵信息的監(jiān)視。定期對電子間，特別是所處環(huán)境惡劣的遠程IO站進行系統(tǒng)維護，檢查控制機柜散熱風扇是否運轉正常、環(huán)境溫濕度、機柜濾網(wǎng)及通風口是否清潔通風無阻；運行期間，不宜在控制機柜3 m以內的范圍內使用對講機；對引入干擾的現(xiàn)場設備，除檢查回路接線應完好外，還應對該設備加裝屏蔽罩。

2)在機組檢修期間，嚴格按照規(guī)范要求開展控制器及網(wǎng)絡冗余功能、接地電阻、抗射頻干擾、模件信號處理精度、網(wǎng)絡負荷率以及網(wǎng)絡風暴等定期測試工作。在開展通信冗余試驗時，投切通信網(wǎng)絡上任意節(jié)點的設備，應自動無擾動切換至冗余總線進行；檢查系統(tǒng)數(shù)據(jù)應無丟失、設備故障報警正確、診斷畫面顯示應與試驗實際相符。遠程IO站通訊卡件應設置主備，信號通過通信方式分別傳輸至DCS主備控制器，當任一遠程IO站通訊卡件故障時，數(shù)據(jù)傳輸功能應立即切換至備用卡件，此時對應的DCS控制器應立即切換。根據(jù)測試結果制定備品備件計劃、系統(tǒng)維護計劃及相關應急預案。

3)對于通訊信號采用光纖傳輸?shù)?，應嚴格按照?guī)范要求對光纖的反射率及衰減率進行測試。在機組檢修期間應對光纖進行端面潔凈度測試并清洗。為了保證通訊質量，光纖電纜應盡可能遠離動力電纜，特別要遠離變頻設備的動力電纜。檢修維護過程中做好防護措施，應避免人員觸電及誤操作、卡件損壞、光纖接頭污染及尾纖受潮、光纖插拔更換過程中可能造成的灰塵掉落、手指觸碰、插拔損耗等。

4)隨著機組運行時間的推移，應做好DCS設備的劣化分析和設備的及時改造工作，確?？刂葡到y(tǒng)內任一組件發(fā)生故障，均不應影響整個系統(tǒng)的工作。系統(tǒng)的參數(shù)、報警和自診斷功能應高度集中在LCD上顯示和控制，控制系統(tǒng)需在功能上和物理上分散配置[5]。

5)DCS系統(tǒng)網(wǎng)絡與其他如MIS、SIS等系統(tǒng)連接，應在DCS內設置符合電力系統(tǒng)二次防護要求的防火墻，對DCS網(wǎng)絡與所有外部系統(tǒng)之間的通訊。接口(網(wǎng)關、端口)進行實時在線監(jiān)視，有效杜絕病毒的運行和傳播，有效防范外部系統(tǒng)的非法入侵和信息竊取。保證系統(tǒng)的安全性、可靠性，外部計算機系統(tǒng)設備或外部網(wǎng)絡通訊方面的故障，不影響整個DCS系統(tǒng)的正常運行。

4 結 語

通過對幾起非停案例的分析，對DCS通訊故障的原因進行了解析，有些問題已經(jīng)嚴重影響了機組的安全穩(wěn)定運行。因此在日常生產(chǎn)及維護過程中，應注意搜集各類DCS通訊故障問題，并進行分析總結，做到舉一反三。同時，加強日常技術監(jiān)督工作的深度和力度，堅決貫徹執(zhí)行各項規(guī)程及標準的相關要求，并制定出有效的安全措施。針對DCS網(wǎng)絡系統(tǒng)的全過程鏈路，注意日常維護過程中的問題防范，加強性能測試過程中的問題模擬，發(fā)現(xiàn)和解決設備及系統(tǒng)隱患。通過日常工作的做優(yōu)做細，以及設備技術改造，努力減少DCS的不安全因素，可以提高DCS通訊網(wǎng)絡的可靠性。