DCS软件设置不当造成安全隐患的典型案例及其分析.pdfVIP

DCS软件设置不当造成安全隐患 的典型案例及其分析 湖南省电力试验研究院 (湖南，长沙，10007)朱晓星刘武林 摘要：DCS系统在工监控制过程中占有极其重要的地位，英安全性是不容忽视 的。通过对某火电厂DCS系统在调试中出现的“虚假启动”故障现象的分析、原 因查找，指出Dcs软件设置不当将造成安全隐患，强调DCS软件设置的重要性。 关键词：DCS、软件设置、安全隐患、分析 0前言 DCS自1975年问世以来，经历了二千多年的发展历程，软硬件日趋成熟稳定．已经 在我国各重要工业生产控制领域取得了广泛的应用。但同时应该看到，在DCS系统逐渐更 新、功能日益强大的同时，软件设置也更加复杂。对这些设置没有完全掌握或稍有疏忽， 就可能给工业控制带来潜在的安全隐患。 1典型案例 某火电厂正在调试中的600MW机组采用了ABB贝利控制有限公司当时最先进的 SPI Composer+PGP(版本为V3．1 名为His；另两台为客户端。6台PGP通过网线组成局域网互连。 某日下午15：25左右，正在进行空气动力场试验的运行人员突然惊异地发现风烟系 统厕面上的所有风机和绝大多数二位式阀门的状态都显示为红色(代表运行，打开)；查看 其他画面，也发现绝大多数设备均呈现红色，这些全体“运行”的设备立刻引起了运行人员 的恐慌。热控调试队员当即对面面和组态进行了检查，发现绝大多数用129号功能块 设备均呈现红色；但调出的MSDD操作面板上并无已启，已开反馈(原本是停，关的设备还 是已停／已关反馈)，只是代表指令的红色圆点都在表示设备初始状态的第四个按钮上；而 RCM操作面板上代表指令的红色圆点确实在启动位置。 经相关人员对组态和就地的检查，绝大多数出现上述现象(以下统称为“虚假启动” 现象)的MSDD驱动设备并没有真正启动，打开，经确认后只有#2小机#2主油泵被实际 启动；但RCM驱动的设备，按钮确实在无人操作的情况下发出了启动，投入指令：两个RCM 驱动的继电器被证实动作，十几个联锁开关确实被投入。 40 虽然大多数都是“虚假启动”，但确实动作了的几个开关、设备还是引起了各方面的重 视：设备会自己启动!那还了得!于是正在运行的设备当即停了下来，准备试运的设备也 都往后推迟。重大设备全部中断动力电源，运行人员严密监视、巡查，责令热控调试人员 查找原因。 通过面面操作或对模件复位，所有设备操作面板恢复正常状态。但第二天下午16：oo 许，又发现部分设备艘钮出现“虚假启动”和误发指令现象，其中由MSDD驱动的有电泵、 磨煤机、制粉系统，风烟系统，开式水等系统的部分电动门；由RCM驱动的有c磨低压油泵 的联锁开关。 2现象分析 2．1 MSDD所驱动设备的“虚假启动”现象： 接到常数1，所以这种状态不应该出现。 2．2RCM所驱动设备的误发指令现象： ， #2小机#2主油泵被实际启动，已经证实是由于联锁开关(RCM驱动)被投入导致， 当时在组态中柃查发现该RCM确实发出了投入指令。但由于当时画面尚未完善，该RCM 块还没有做相应的操作按钮，且组态巾s(置位)位没有连接任何信号，故无任何外部方 法可使其输出1。其他误发指令的RCM站也均证实非人为操作或逻辑导致。 3原因探讨 经过各方面的综合分析，导致以上现象的最可能的几个原因有： 3．1 DCS供电电压不稳 DCS供电电源电压不稳可能导致主模件不能正常工作。但不能正常工作的主模件应该 被初始化，现象应该表现为所有控制设备及测点全显示预定义的紫色。有人认为可能电压 的波动并没有大到使主模件初始化，但造成了主模件工作紊乱，使MSDD功能块s2的常 数1变为0，并使RCM自动输出l。 分析：由于当时刚启动了6KV的设备(#1引风机)，且电气系统正在调试中，不一 定完善．故“由于电压不稳引起”的说法有一定可能胜。只是当时给DCS系统供电的UPS 电源没有进行故障录波，不能查到当时电压是否波动，故无法证实。不过卜h于这种现象以 前从未出现，当时电气也未进行特殊工作，却在两天里接连出现同样现象，这个理南就略 显牵强。 3．2接地系统有问题 接地系统有问题也可能导致主模件不能正常工作，引起各种特殊现象的出现。但经过 点接地(电缆的屏蔽在FECS、DCS侧均接地)外，其它均按照设计图纸规范接地，没