控制系统可靠性及应急处理研究

故障描述 DCS系统电源全部失去 DCS系统电源单路失去
故障级别 一级 二级 一级
A2 电源故障 A3 A 类控制系统（除 DCS 系统）电 源失去
全部失去（见控制器故障）
A4
B1 网络故障 B2
任一电源失去冗余
二级
一级 二级
DCS网络全部瘫痪（包括数据通讯服务器全部故障） A类控制系统任一网络失去冗余（包括数据通讯服务器单个故障） 锅炉 / 汽机主保护控制器、 DEH 基本控制器全部 故障，或A类控制系统任一对冗余控制器全部故 障且涉及安全的参数无必要后备监视手段 除一级外，A类控制系统控制器全部故障但有必 要的后备监视手段 A类控制系统（FSSS、ETS 、DEH基本等）控制 器失去冗余 非A类控制系统控制器失去冗余 操作员站全部失去监控 操作员站故障 部分操作员站失去监控 I/O模件故障 A类I/O模件故障
主保护条件 辅助条件1 辅助条件2
. . .
A N D
跳闸条件
OR
12
辅助条件n
应急处理
分散控制系统（DCS）在运行中的故障，如电源失电、 操作员站“黑屏”或“死机”、冗余控制器切换异常、 通讯中断以及模件损坏等，如果处理不当会导致故障 扩大，造成机组跳闸甚至主设备损坏事故。为建立分 散控制系统故障应急处理和长效管理机制，确保故障 发生时能够迅速、准确地组织故障处理，最大限度地 降低故障造成的影响
6
DCS通信系统须冗余设置
I/O布置的可靠性要求
任一信号的测量原件、I/O模件通道故障不能造 成保护误动和拒动。 主辅机保护信号，应按三重化冗余原则配置， MFT、ETS、单列布置辅机应三重化。 三重化冗余输入要求同一物理参数应采用三个相 互独立的一次测量元件测量，并由三根不同的电 缆接入三块不同的输入处理模件。 三重化冗余保护输出要求动作指令由三块不同的 输出处理模件及其继电器等构成一种三选二回路。
三重化判断逻辑
三重化开关量判断逻辑 三重化模拟量判断逻辑
跳闸信号1 跳闸信号2
H/L H/L H/L 2/3
跳闸信号1 பைடு நூலகம்闸信号2
跳闸信号3
2/3
跳闸条件
跳闸信号1 跳闸条件 跳闸信号2
跳闸信号3
跳闸信号3
中 选
H/L
跳闸条件
跨控制器的三重化判断逻辑
跳闸信号1 跳闸信号2
H/L H/L H/L
7
保护逻辑的可靠设计(民主表决)
信号故障处理(正确的证据) 三重化判断逻辑 相关信号构成三重化判断逻辑 辅助(智能)判断
8
控制逻辑的可靠性要求
通过冗余判断、辅助判断、智能判断等容错逻辑 设计技术提高保护、联锁功能的可靠性，确保控 制系统局部单一故障，不会造成保护拒动和误动。 信号故障处理。在出现“坏质量”或“变化率超 限”，防止保护误动。及时报警。
电力行业热工自动化技术委员会
故障分级
按故障后果分级
一级 跳机，或可能导致人身伤害、重要设备损坏
6类：电源全失；操作站全失；网络全瘫痪； FSSS全失；ETS全失；DEH全失； 二级 三级 处理不当会转为一级 暂不影响机组安全
分散控制系统设备重大故障源分级
电力行业热工自动化技术委员会
序号 A1
故障类型 DCS系统电源失去
DCS控制器须可靠冗余
硬件故障、软件出错、通信故障及失去电 源等，仍能正常承担控制任务。 能可靠在线组态。 Ⅰ类故障控制器最少。只有MFT、ETS！
双列布置辅机或设备分配在二对控制器中。
单列布置辅机分配在同一控制器中。
同一工艺分配在同一控制器中，如制粉系 统。
5
冗余通信设备应物理上分离。 除一对互为冗余通信设备同时故障外，控 制系统的通信应能正常运行。 对于多对通信设备（如交换机），任一对 通信设备都故障，对机组影响最小。 操作员站应分散布置在不同的交换机上 相关性强的控制器布置在同一对交换机上。 对机组监视影响最小。
C1 全部故障 （包括电源失去） C2 C3 单侧故障 C4 D1 D2 E 控制器故障
一级
二级 二级 三级 一级 二级 二级
电力行业热工自动化技术委员会
响应流程
故障报警
运行值班接警
达到保护动作值
紧急停机判断
确认设备正常
未到保护动作值
值长接警
报警消除
一级 二级 三级
停机判断，或转为二级
一级故障
故障分级判断
二级故障
三级故障
处理评估，可转为一级
启 动 一 级 应 急 预 案
启 动 二 级 应 急 预 案 通 知 相 关 人 员
否
通 知 相 关 人 员 到 场
日常维护程序
确定是否停机？
电源冗余→容错配置 通信冗余→容错配置 控制器故障对机组影响最小 “三重化”输入/输出配置
3
DCS电源须冗余配置
DCS供电电源、电源装置冗余配置。任一 电源或电源装置故障时，也应能保证供电。
二路电源物理上应分离。杜绝局部故障、 维护不当、小动物进入等造成二路供电同时 失去的情况。
通信设备和操作员站通过切换装置实现供 电冗余。应分组采用不同的主电源，即使切 换装置故障，在某路供电电源失去时，仍能 4 保证部分操作员站和通信正常运行。
DO1 DO2 DO3
DI1
DI2 DI3 AO1 AI1 AI2 AI3
2/3
跳闸信号1
跳闸条件 跳闸信号2 跳闸信号3
DO1
H/L
DI1 DI2 DI3
2/3
跳闸信号3
中 选
H/L
DO2 DO3
跳闸条件
跳闸信号1 跳闸信号2 跳闸信号3
中 选
AO2 AO3
中 选
跳闸条件
相关信号构成三重化判断逻辑
提高热控系统可靠性
1
控制系统的可靠性要求
故障安全。任一控制系统的部件故障，机 组仍能安全运行。
影响最小。任一控制系统的部件故障，对 机组运行影响最小。 容错最大。控制系统保证机组安全运行允 许的故障程度最大。
及时处理。及时的维护和应急处理，保证 机组安全可靠运行。
2
控制系统可靠(容错)配置
停止
运行
电流
N
/L
2/3
停止状态
10
双模拟量信号保护判断逻辑
11
辅助判断
辅助判断的主要作用防止保护误动，但不能增加 保护拒动的概率。 辅助条件与主保护条件存在着必然的联系，而且 主保护条件满足，辅助判断条件必然存在。如辅 助判断定值应低于跳闸值，一般为报警值。 辅助条件应多个，任一满足时，主保护条件满足， 保护动作。 辅助判断条件在故障时，应退出保护判断，不影 响主保护动作。