一起冗余DPU全停引起的机组跳闸分析.doc

起冗余DPU全停引起的机组跳闸分析邸若冰邙日城国际发电有限责任公司，山西阳城048102）［摘 要］:通过一起西门子T-XP机组冗余DPU故障全停引起的机组跳闸事件，分析 了引起异常发生的设备原因以及设计原因，提出了相应的技术防范措施［关键词］:T-XP； DPU；冗余全停；技术措施1. 设备与系统概况某公司总装机容量6X350MW,机组采用单元制配置，锅炉为美国福斯特•惠勒公司设 计制造的亚临界自然循环汽包锅炉，汽轮机为德国西门子公司设计制造的K30-40-16 N30-2X10型反动式单轴、双缸、双排汽、亚临界、一次中间再热、节流调节、凝汽式汽轮 机DCS采用西门子TELEPERM-XP自动控制系统，DEH采用西门子SIMADYN-D数字电液调节 系统每台机组DCS系统共配置11对冗余DPU, 1对冗余SIMADYN-D负责DEH系统控制，另 外还配置了专用的ETS、TSI系统□对冗余的DPU融合了机组的DAS、MCS、CCS、SCS、 FSSS、ECS等功能，并按照热力系统划分到11对DPU中（AP01-AP08, AP34-AP36）,每对DPU 通过配置各种I/O模件来实现具体的控制功能。

2. 事故经过20H年10月n日凌晨05:10, #3机组负荷290MW,主汽压力14. 5MPa,协调控制方式投入 05:10:06,操作监视画面发DPU AP03 IM324/304冗余通讯耦合故障、AP03全停故障、AP-AP 连接故障等大量报警，机组协调控制CCS和电气控制ECS画面数据失去且无法操作同时机组 负荷和主汽压力开始逐渐下降，汽机调门快速开大并维持全开，锅炉燃料指令快速降低，高 低旁阀门快开运行人员为稳定燃烧维持汽压将燃料主控解为手动控制，随后将高旁解手动 关闭05:21:27,热工值班人员现场检查发现负责CCS及ECS的DPUAP03双侧全停，后手动启 动AP03单侧CPU成功画面恢复正常，协调切为机跟随方式运行，汽机负责调节主汽压力 05:25:01，调门由全开逐渐关小主汽压力逐渐回升，而机组负荷仍持续下降05:26:16,主 汽压力升至9 MPa左右但较设定值仍偏小汽机高调门快速关至7%,同时低旁调节打开，实际 负荷快速降至70MW,而机组负荷小于25%协调切为基本方式即启动状态，汽机控制负荷锅炉 控制燃烧维持主汽压力高旁在启动方式下负责调节启动压力7. 5 MPa,这导致高旁逐渐全 幵。

05:26:50,负荷波动至50MW左右，发电机由于零功率保护跳闸，连锁汽机跳闸3. 原因分析1）引起冗余DPU全停的原因分析在T-XP系统中，互为冗余的两块DPU （AP）控制卡件软、硬件完全相同，它们执行相同 的系统软件和应用程序，通过主从冗余逻辑电路（IM324/IM304模件）的控制，其中一块运 行在工作状态，另一块运行在备用状态主从冗余AP通过各自的高速数据总线都能访问同一 现场I/O数据，通过各自的通讯模件（CP1430）都能访问同一过程控制网络（工厂总线）， 这样两块AP可随时刷新最新的控制数据实现“自然同步”，以保证工作/备用的无扰切换 互为冗余的AP通过主侧的IM324模件和从侧的IM304模件实现主从信息交互、故障诊断、控制 权切换T-XP经过多年的软硬件升级已经成为一种十分成熟稳定的控制系统，在国内应用T-XP 系统的发电厂中，出现冗余DPU全停的案例是极为罕见的单侧AP卡件故障停运导致AP失去 冗余或者发生故障后主从切换失去冗余，多出现在旧版AP卡件上，这是由于旧版AP卡件的抗 射频干扰能力较差易出现奇偶校验错误导致的，但6台机组从未出现过冗余AP卡件全停的先 例。

由于AP卡件启停后故障映像数据不全，只能结合部分故障数据和机组事故报表分析，并 通过模拟试验确认故障的原因AP03出现IM324/304冗余通讯耦合故障，这会导致冗余逻辑 回路失灵出现2个AP都为主控制器，但设计上从AP冗余耦合故障切换为主控制器时为保证安 全禁止其输出当冗余通讯耦合故障恢复后，为保证安全防止出现2个主AP抢夺控制权，从 AP会自动停运在从AP自动停运时主AP由于RAM缓存中的数据出现奇偶校验错误而停运当 IM324/304卡件故障或连接电缆断开时都会导致IM324/304冗余通讯耦合故障，但同时出现AP 奇偶校验错误是很罕见的经过模拟试验，在IM324/304冗余通讯耦合链路上的故障通常导 致从侧停运，但无法导致主侧停运出现主从全停必然在主侧也存在故障点才有可能，所以 主侧的IM324模件故障应是导致双侧全停的根本原因，而我厂#5机组就曾经出现过在机组停 运期间一对AP的IM324模件故障导致主从全停的先例2）引起机组控制异常的原因分析AP03卡件柜负责CCS协调控制系统和ECS电气控制系统，其中ECS系统控制的电气幵关由 于控制设备全部为短指令启停，在AP启停过程中控制信号未突变无设备跳闸，系统在单侧AP 恢复后正常。

CCS系统由AP03通讯送至DEH SIMADYN-D的负荷设定值、主汽压力设定值等信号， 以及CCS由AP03通讯送至锅炉主控AP06卡件的锅炉指令信号等，则在AP03全停后全部突变为 Oo当锅炉指令突变为0后，燃料指令快速下降导致锅炉燃烧减弱主汽压力持续下降，随后运 行人员为稳定燃烧将锅炉解为手动控制，但仍未有效阻止主汽压力下降而当AP03送至高低 旁路的并网信号丢失，导致高低旁误判断机组甩负荷全部快开，也加剧了机组的蒸汽参数下 降当AP03全故障时SIMADYN-D中负荷控制器有效，负荷设定值PS由290MW突变为0,压力设 定值FDS由14. 5MPa突变为0,而SIMADYN-D内部为防止设定值突变都设计有限速回路延时负 荷设定值PSV以10MW/Min下降，延时压力设定值FDSV以2. 5MPa/Min速率下降负荷控制器为 限制主汽压力在控制负荷时偏差过大而设计了压力补偿回路，通过修正汽机负荷配合锅炉控 制主汽压力负荷控制逻辑中通过PSV加上5MW/MPa的压力偏差修正系数形成最终有效负荷设 定值PSW由于实际主汽压力下降速率约为0. 5MPa/Min,延时压力设定值FDSV以2. 5MPa/Min 下降，压力偏差持续变大导致PSW由290MW先基本不变然后逐渐变大在05:16:42时达到最大 300MW,然后开始逐渐下降。

有效负荷设定值PSW下降较慢而机组负荷由于主汽压力降低持续 下降，这就导致负荷控制器为维持负荷输出指令快速变大直至将汽机所有调门全开05:21:27 AP03单侧CPU启动成功，由于锅炉解为手动控制汽机遥控，SIMADYN-D切为机 跟随方式运行调节主汽压力，锅炉控制机组负荷，负荷控制器切为压力控制器此时负荷设 定值在机跟随下跟踪实际负荷，负荷控制器入口偏差被切换回路增加一固定正偏差，但此时 输出早已经维持100%不变压力控制器在切换前跟踪负荷控制器的输出也达到最大100%,而 内部实际压力设定值在通讯恢复后由0以2. 5MPa/Min速率逐渐变为滑压曲线中实际负荷对应 的数值，压力控制器入口偏差为负导致压力控制器输出维持100% （反向调节器），这就导致 切机跟随后所有调门仍维持全开o05:25:01,当实际延时压力设定值恢复升至大于主汽压力， 压力控制器入口偏差反向使其输出减小开始关闭调门，压力控制器激活由于随后主汽压力 值波动下降导致压力控制器输出快速减小，关小所有调门憋压当汽机高调门关至7%时由于 低旁调节打开负荷跌至70MW,此时机组负荷小于25%控制方式由机跟随切为启动状态，汽机 控制负荷锅炉控制燃烧维持启动压力7. 5MPa由于高旁在启动状态下负责维持主汽压力 7. 5MPa,而此时主汽压较7. 5MPa高导致阀门调节打开，这就导致了机组负荷进一步下降。

当 机组负荷在60MW左右波动时，触发发电机零功率保护动作，连锁汽机跳闸4.事故教训及防范措施1） 机组跳闸后由于IM324/304耦合故障一直存在导致从侧AP多次尝试一直无法启动， 后对IM324/304卡件断电后系统才恢复正常随后对IM324/304卡件及连接电缆反复测试均未 出现异常，基本确定为IM324卡件出现偶发性故障为彻底避免故障的再次发生，我们对 IM324/304卡件和连接电缆全部进行了更换对于出现奇偶校验错误故障的AP卡件西门子一 般都采取拔出模件彻底放电后重新上电使用，只有短期连续出现奇偶校验错误的AP卡件才建 议更换2） 西门子T-XP系统中冗余AP总体稳定性较好，除旧版AP易出现干扰导致的奇偶校验错 误停运外，整体的可靠性一直较高严格的软硬件版本匹配、循环自检机制和主从冗余切换 等机制提高了T-XP系统的可靠性，但也同时影响了其稳定性，但这正恰恰体现了西门子控制 系统在设计时遵循的“保人身设备而非保负荷”理念在出现冗余AP全停之后我们曾质询西 门子是否可优化或改进冗余AP切换机制，但出于设计理念的不同西门子无法给予有效可行的 改进措施，也暂时无法提供软件升级补丁优化冗余切换，所以只能从常规措施上保证其稳定 性，例如严格控制设备运行环境（包括温湿度、空气粉尘含量）、降低AP负荷率、规范接地、 防止静电及射频干扰等。

3） SIMADYN-D是一种全数字化、模块化、高动态特性、高精度的控制系统，西门子将 其应用于DEH控制正是利用其快速的开闭环控制和复杂运算操作能力，同时也可完美的和DCS 系统融为一体由于SIMADYN-D硬件采取1:1的100%冗余，即内部软硬件完全冗余工作，所有 的硬接线信号和通讯信号，以及所有的输出信号均在柜内实现100%冗余采集和输出，同时上 下两层SIMADYN-D通过主从通讯模件CS12、CS22进行数据比较，在主层发生硬件损坏或检测 到致命性故障时系统自动切换至从层输出o SIMADYN-D汽机控制器软件主要由转速/负荷控制 器、主汽压力控制器、高排冷却蒸汽压力控制器、高压排汽温度控制器、高压叶片压力控制 器组成并网前转速控制器控制汽机转速，并网后主要由负荷控制器控制机组负荷，在机跟 随时压力控制器控制主汽压力，其余控制器在相关参数超限时限制控制器的输出所有控制 器的输出都经过小选器小选后输出，从而实现了不同控制方式下控制器的无扰切换 SIMADYN-D的控制软件是一个逻辑复杂、功能完善、设计精密的十分成熟的控制逻辑，能实 现机组在各种控制方式下、各种工况下的控制，能完全自动控制汽机从盘车挂闸、暖阀、启 机、冲转、暖机直至同期并网、带初负荷。

SIMADYN-D过于完善的功能极高的提高了 DEH的自动化程度，也严重削弱了手动操作功能 和人工干预手段例如SIMADYN-D系统中没有配置专用的后备上位机，只能在DCS操作终端上 通过通讯实现操作监视功能；DEH系统中除并网信号等少量采集信号和阀门控制信号等少量 输出信号外，其余所有信号都完全依赖于DCS的数据总线通讯至指定AP进彳亍操作显示，没有 预留后备控制操作接口；在DEH中任何时候只能通过改变外部设定值例如转速设定值、负荷 设定值、压力设定值等来影响控制器的输出，无法手动直接下预控制器输出，这也导致系统 连基本的阀控等手动功能也没有；DEH所有外部设定值在逻辑中都进行了限幅限速功能，任 何时候改变设定值都必须经过限速时间后才能真正实际改变输出所以控制逻辑并非自动程 度越高越好，更不应完全抛弃手动操作模式为了提高DEH系统的可靠性，必须重新合理配置硬接线信号和通讯信号，对重要的信号 要考虑设置冗余后备硬接线输入在操作员站画面增加应急操作功能，当DEH系统控制功能 异常时将控制器快速切为启动方式直接手动控制负荷，同时闭锁DEH中的限速功能使控制器 立即激活，从而避免控制器反复切换造成的参数恶化。

如有可能应扩展SIMADYN-D系统功能, 使其具备上位机操作功能以紧急后备4） DCS系统中为了统、将所有送至SI。