抽水蓄能机组调相程序漏洞典型案例分析应尧

抽水蓄能机组调相程序漏洞典型案例分析应尧
发布时间：2021-10-11T06:37:31.692Z 来源：《中国科技人才》2021年第19期作者：应尧[导读] 2020年9月15日凌晨，仙居抽水蓄能电站机组在完成首次调相压气后，出现了主充气阀与补气阀自行异常打开且后续无法正常关闭的情况。

导致大量压缩气体进入转轮室与尾水管内部，空气压缩机启动后一定时间内仍源源不断的向机组输送压缩空气。

后对程序进行全面检查，发现了两处典型漏洞，联合哈电厂家进行更改。

浙江仙居抽水蓄能有限公司浙江省台州市 317300
摘要：2020年9月15日凌晨，仙居抽水蓄能电站机组在完成首次调相压气后，出现了主充气阀与补气阀自行异常打开且后续无法正常关闭的情况。

导致大量压缩气体进入转轮室与尾水管内部，空气压缩机启动后一定时间内仍源源不断的向机组输送压缩空气。

后对程序进行全面检查，发现了两处典型漏洞，联合哈电厂家进行更改。

本文介绍了仙居电站调相程序的典型漏洞、修改方法、新程序的实验方案，简略介绍哈电编译程序的典型方法以及经验总结。

关键词：抽水蓄能、调相压水、程序漏洞；
1故障原因分析
1.1设备基本情况
仙居公司4台机组的水轮机及其辅助设备由哈尔滨电机厂有限责任公司（以下简称哈电）设计制造。

调相系统包含：主充气阀、补气阀、蜗壳平压阀、蜗壳排气阀、调相回水排气阀五个液压阀门（简称调相五阀）；一套调相PLC控制系统（施耐德）；若干电磁阀与连接油管路；尾水液位开关4个（液位过高、液位升高、液位高、液位低）。

其中调相PLC控制系统球阀PLC控制系统共用一个控制柜，调相电磁阀组与球阀电磁阀组共用一个机械液压柜。

调相系统运行原理：监控向现地调相PLC发送“调相压水令”——开始调相压水，调相PLC发出主充气阀、补气阀、蜗壳平压阀打开令，发出调相回水排气阀关闭令，待水位下降至“液位升高”浮子后，发出主充气阀关闭令，水位下降至“液位低”浮子后，发出补气阀关闭令，向监控反馈第一次调相压水完成——当液位回升至“液位高”时发出补气阀打开令，继续上升至“液位升高”时发出主充气阀打开令，液位降低至“液位高”时发出主充气阀关闭令，液位继续降低至“液位低”时发出补气阀关闭令，正常情况下补气阀的开关即可使液位保持在“液位高”与“液位低”之间——监控向现地调相PLC发出回水令——调相PLC发出主充气阀、补气阀、蜗壳平压阀关闭令，发出蜗壳排气阀打开令（8秒后PLC发关闭令）、调相回水排气阀打开令（70秒后PLC发关闭令）——监控检测机组功率到达-70MW后向调相PLC发出调相回水排气阀关闭令——PLC关闭调相回水排气阀，收到水位回升至“液位过高”且调相五阀全部关闭信号后向监控反馈调相回水完成，流程结束。

1.2哈电调相程序典型书写方法及发现的程序漏洞
哈电的程序编译往往采用拼音缩写的书写方式，如“收到补气阀关闭位置信号”书写为di_bqfg，“补气阀关闭令”书写为cmd_bqfg，bqfg 代表补气阀关，ysyx代表压水运行，yswc1代表第一次压水完成，swx1代表第一个水位信号（液位过高），5yyfk代表5号液压阀开（调相五阀中的调相回水排气阀）。

调相程序分为输入、控制、输出三个部分。

输入部分主要运行监控过来的总令，如上述运行流程中提到的调相压水令、调相回水令、调相回水排气阀关闭令，将短暂的脉冲量转化为可以保持的中间量。

输出部分则包含点亮调相五阀电磁阀的命令语句、命令的复归语句、向监控发送压水完成或报警的信号语句。

最主要的控制部分则描述了何种情况下、何种液位条件下如何去控制调相五阀的开关。

控制部分的程序段又可分为三个部分：调相压水开始直至第一次压水完成、补气控制、回水控制，三段程序轮流控制应该控制的调相五阀，基本没有交叉。

漏洞一：在调相压水开始时用于打开主充气阀与补气阀的语句如下图。

图6 优化程序对比1
2.2针对漏洞二修改时间差
将控制程序中，逻辑判断的输出时间由5s改为2s，电磁阀输出时间由2s改为3s，因逻辑判断的输出时间短于电磁阀输出时间，即使在极端情况下不能收到阀门位置反馈信号，逻辑判断的输出也可以由电磁阀输出令复归，当满足主充气阀、补气阀的关闭条件时，可以再次发
出电磁阀输出令关闭主充气阀、补气阀。

图7 优化程序对比3
3新程序试验及结果
针对以上对新程序进行试验，验证修改后的正确性。

试验方法如下：
1、确认调相五阀为关闭位置，PLC状态灯正确，继电器点亮正确；
2、解开信号线X02:15，检查补气阀关闭位置信号丢失，将其接回；
3、解开信号线X02:27，检查排气阀关闭位置信号丢失，将其接回；
4、将调相控制切至“手动”
5、按下“调相压水按钮”，阀门执行如下：
主气阀打开约20秒
补气阀打开约25秒
蜗壳平压阀打开
主气阀关闭
液位降低至液位低以下
补气阀关闭
6、解开信号线X02:27，检查调相回水排气阀关闭位置信号丢失，将其接回，检查信号恢复，检查主气阀、补气阀开启令未发出，则验证更改有效；
7、解开信号线X02:15，检查补气阀关闭位置信号丢失；
8、用吸铁石复归液位低，在动作液位低，检查主气阀、补气阀关闭令发出；
9、过半分钟后，按“调相回水按钮”，阀门执行如下：
调相回水排气阀打开70秒
主气阀关闭令发出
补气阀关闭令发出，电磁阀灯点亮（验证程序更改有效）蜗壳平压阀关闭
蜗壳排气阀打开
蜗壳排气阀关闭
70秒后调相回水排气阀关闭
10、恢复信号线X02:15，检查补气阀关闭位置信号恢复。

11，确认调相五阀为关闭位置，PLC状态灯正确，继电器点亮正确，试验结束。

按照以上步骤完成试验，结果合格，证实更改有效。

4经验总结
程序的编译应层级分明，归类清晰，按照事件的发展进程按顺序编写，尽量避免一句程序段适用多种情形，对于有DI输入信号的语句，要充分考虑其误动、断线、抖动所可能引发的后果。

对于有动作后果的语句，特别是误成立时有不良后果的语句，要精确的描述成立条件，确保其不会在不该成立的情况下成立。

如本偏报告中的漏洞一，未精确描述语句功能用在首次压气，导致在首次压气完成后仍能成立，确没有相应语句进行闭环去关闭。

对于最终出口去动作阀门的DO输出语句，要仔细检查是否有极端情况下导致无法输出的可能；如本偏报告中的漏洞二，tp语句就是存在无法复归的可能，后续需要与厂家商量是否能改成if语句。

所有使用tp语句这类带上升沿的语句，要注意是否存在无法复归的极端情况，如若发生是否会发生不良后果；如本偏报告中的漏洞二，会发生无法复归的情况。

尽可能减少未知性能信号元件的DI输入量在程序中关键位置的使用，DI输入量是由信号元件通过电缆再经过一系列端子排送至PLC中的DI模块，继而参与逻辑运算。

元件性能、端子松动、螺丝滑牙、线路接地、端子损坏等多种可能都会导致误信号，可靠性低。

例如本偏报告中的漏洞二的复归语句一直采用位置信号来复归，一旦位置信号未收到，就引发其他意想不到的后果，而采用输出即复归的方法就可以避免，输出信号本身由逻辑运算产生，错误风险低。

通篇检查程序中的延时设置与脉冲设置，检查前后逻辑是否存在冲突。

如例如本偏报告中的漏洞二，“逻辑判断”的输出时间5s，“电磁阀输出”时间为2s，用“电磁阀输出”来复归“逻辑判断”的程序段本生无法生效。

5结语：机组的稳定运行主要还是依托于质量过关的硬件与人员维护。

程序控制只是为了减少人员工作量以及尽可能的避免人员误操作。

相对于机组而言，没有最完美的程序，只有在使用过程中不断的改进，使其最适应于机组工况。

本文通过阐述笔者遇到过的问题及解决思路为新建蓄能机组的运维人员提供了一些经验。

参考文献：
[1]汪健;徐国华;马永军;李垠钢. 机组调相压水过程中流程及控制的分析 [J]. 1.华东桐柏抽水蓄能发电有限责任公司2.杭州富春江电力工程有限公司,2019.
[2]周攀;邓拓夫;秦俊.抽水蓄能机组调相压水系统设计与控制策略[J].国网新源控股有限公司技术中心, 2017.
[3] 胡浩;姜红伟.调相压水系统设计时应考虑的因素[J].安徽绩溪抽水蓄能有限公司,2013.
[4] 杨秀伟.可编程控制器在调相压水控制系统中的应用[J].哈尔滨电机厂有限责任公司,2013.
[5] 郑小刚;谷振富.抽水蓄能机组调相压水过程的控制[J]. 1.华东天荒坪抽水蓄能有限责任公司2.河北张河湾蓄能发电有限责任公司,2019.。