对以DCS为核心的控制系统进行安全性评估的方法初探.docVIP

PAGE  PAGE 561 对以DCS为核心的控制系统 进行安全性评估的方法初探 王东伟　薛 蛟 （河津发电厂） 关键词　生产现场、控制系统、保护、安全性评估 摘要　利用机组检修的机会，以本厂的人员技术水平和仪器水平为基础，对以DCS为核心的控制系统的安全性做了一次较为深入的检查和评估，发现并利用改进、加强维护管理等手段解决了一些潜在危险点。 引言 从1985年开始，以DCS为核心的控制系统在我国诸多的火力发电厂逐步投入运行，经过近20年的发展和实践，已取得了成熟的经验，其功能和应用范围正在深入和扩大。在此期间，DCS系统的安全可靠性一直是业内关注和讨论的热点，也是许多厂商、专家及现场技术人员对各种DCS系统不断改进的重点。 DCS系统是以计算机和通讯技术为基础的复杂的系统设备，开发商、设计人员、调试人员和维护人员在不同的时间段，以不同的手段和标准测试、评价系统的安全可靠性。对于一套使用在特定发电厂的DCS系统而言，发电厂的热工人员要在长期的运行中维护好系统，必须在使用现场对以DCS为核心的控制系统的安全性进行定期的检查和评估。 笔者所在的河津发电厂装备了两台日本三菱重工生产的350MW燃煤机组，所用的DCS设备为三菱公司（长崎）生产的的DIASYS-IDOL DCS系统，该系统采用冗余以太网络，通讯协议为IEEE 802.3，DCS系统由CCS、SCS、DEH、BMS等18个过程控制站及OPS、EWS等组成。 2001年河津发电厂两台机组先后投入运行后，从2002年开始，我们利用机组检修的机会，以本厂的人员技术水平和仪器水平为基础，对以DCS为核心的控制系统的安全性做了一次较为深入的检查和评估，发现并解决了一些具体问题。在本文中笔者谈谈进行此项工作的经验和体会，希望各位专家和同仁批评指正。 确定对控制系统进行安全性检查和评估的标准 在以DCS系统为核心的控制系统出现问题时，其损害是多方面和多层次的，按照危害程度我们将其分为以下三个层次： 机、炉主保护拒动，造成锅炉本体、汽轮机本体或者主要辅机的损毁。 DCS系统局部或者整体故障，造成机组非正常停运。 DCS故障造成部分控制对象控制效果下降，影响机组自动投入，造成机组工况不稳定。 按照我们认为a)款中出现的后果是要绝对避免的，如果通过检查和评估发现控制系统存发生保护拒动的潜在可能性，就认为控制系统处于不安全状态，必须采取必要的改进手段消除危险性。 在本文中我们对DCS系统为核心的控制系统进行安全性检查和评价按照此标准进行。 对控制系统进行安全性检查和评估的步骤和方法 对整个系统的保护动作原理进行分析 下图是我厂机组控制系统保护动作的原理示意图。从图中可以看出，机炉保护的构成有过程量、手动按钮、DCS系统监视信号三种；汽机保护的出口分别到汽轮机跳闸电磁阀、超速电磁阀，锅炉保护的出口到燃油总阀、油枪输油电磁阀和磨煤机出口关断挡板。直接引入保护回路的系统和设备有CCS、BMS、DEH等三个过程控制站和机炉保护盘以及就地电磁阀。 此保护系统的特点是： 既有DCS系统的过程控制站，也有继电器搭接而成的保护盘和就地电磁阀，设备构成复杂。 BMS过程控制站既是炉保护动作的输出口，本身又是保护源之一。 3.2 控制系统保护拒动的潜在危险点分析 对于上图所示的保护系统，我们首先对其各个环节采取极端的方式进行故障预想，将所有能够想到并难以排除的危险点进行分析，利用停机检修的机会采取一定的手段进行验证。 分析、验证的结果如下表所示： 序号故障预想可能引发后果验证方法 及结果是否形成危险点1BMS1双CPU故障信号送到锅炉保护盘，形成MFT保护信号；由于BMS1双CPU故障，导致自身控制失灵，“关闭油枪电磁阀”指令无法发出。利用停机进行现场模拟试验。发现BMS1双CPU故障时，其输出到油枪电磁阀的指令（DO）为低电平，但是因为“油枪电磁阀”为双位控制，所以油枪电磁阀无法关闭。√2BMS2双CPU故障信号送到锅炉保护盘，形成MFT保护信号；由于BMS2双CPU故障，导致自身控制失灵，“关闭磨煤机出口挡板”指令无法发出。利用停机进行现场模拟试验。发现BMS2双CPU故障时，“关闭磨煤机出口挡板”指令（DO）强制输出为“0”，因为磨煤机出口挡板电磁阀为高电平信号控制，所以可以强制关闭×3锅炉保护盘电源故障因为锅炉保护盘内所用的继电器接点全部为常开接点，并且运行时正常状态为断开，所以可能因此导致锅炉保护全部退出。利用停机进行现场模拟试验。发现当保护盘失电时，全部保护失去功能，并且集控室盘台无任何报警信号。√4锅炉保护盘内保护出口继电器线圈开路因为锅炉保护盘内所有保护都要从出口继电器送出，所以可能因此导致锅炉保护全部拒动。利用停机进行现场