安全生产,生命至上。安全就是一切。
本系列收录日常生产中的典型案例,希望通过这些血和泪换来的教训的学习,大家不断提高的安全意识和综合素质,不断提高全系统的安全生产水平。
案例1.某公司炉跳机保护信号冗余度不足,诱发机组跳闸。
2014年7月9日,西南某公司#32机组ETS保护动作,首出故障原因是‘MFT动作’;但DCS系统检查不到MFT动作信号,MFT发送到ETS系统的信号回路绝缘完好。
原因分析:
锅炉MFT跳闸回路发送到汽轮机保护ETS系统的动断触点信号仅有一路,冗余度不足;MFT动作继电器辅助触点、硬接线回路、信号输入I/O通道等均有可能故障或受外界影响误发信号,引发‘炉跳机’保护动作。
暴露问题:
(1)部分主要保护按照‘宁误动,不拒动’原则设计,保护信号冗余度不足,可靠性较低。该保护设计不满足《防止电力生产事故的二十五项重点要求》(国能安全【2014】161 号)第9.4.3条‘所有重要的主、辅机保护都应采取“三取二”逻辑判断方式,保护信号影遵循从取样点到输入模件全程相对独立的原则,缺应系统原因侧点数不够,应有防保护误动措施’的要求。
(2)对不满足条件的重要保护的整改不及时。
防范措施:
(1)根据《火力发电厂热工自动化系统可靠性评估技术导则》(DL/T 261-2012)第6.2.3.4条要求,MFT继电器应送出三路动断触点至ETS装置,在ETS内进行三取二逻辑判断后跳闸;三保护信号从取样到I/O数据采集,应全程保持独立性。
(2)对原安装设计设备回路进行检查,必要时更换继电器及其信号传输回路。
(3)严格把关设计、安装过程。
案例2.炉膛压力取样防堵装置堵塞,炉膛压力保护误动
2013年12月05日,某公司#5机组炉膛压力高高1、炉膛压力高高2开关动作,保护误动,锅炉MFT。
原因分析:
1.事故后检查发现,炉膛压力高高1、炉膛压力高高2压力开关位于蒸汽吹灰枪附近,受水汽影响非常严重,且两个测点取样管严重堵塞。一般,压力取样装置安装在烟气流动线路的外侧,远离蒸汽吹灰枪,接近炉膛顶部。
2.炉膛压力防堵装置内没有防堵结构,是空罐子,防堵效果很差。事情的发生可能是由于热态的焦或灰堵住取样口,并对取样系统内的空气进行加热,导致压力迅速升高,保护误动。
3.没有一本规程完整明确提出相关的要求。
《电站煤粉锅炉炉膛防爆规程》(DL/T 435 -2004)第3.2.8条‘炉膛压力检测。……取样点四周不应有吹灰孔等强气流扰动。’仅相对吹灰孔提要求。
《电力建设施工及验收技术规范——第5部分:热工自动化》(DL/T 5190.5-2004)第 4.3.1.4条‘炉膛压力取源部件的位置应符合锅炉厂规定,宜设置在燃烧室火焰中心的上部’;第4.3.3条‘测量带有灰尘或气粉混合物等介质的压力时,应采取具有防堵和/或吹扫结构的取压装置’。强调防堵与吹扫。
《火力发电厂热工自动化就地设备安装、管路及电缆设计技术规定》(DL/T 518202004)第4.1.11条‘测量带有粉尘的混浊介质的压力时,应设置具有防堵或吹扫结构的取源部件’ 第4.1.12条‘炉膛压力取源部件,宜设置在燃烧室火焰中心的上部(具体位置由锅炉厂确定),取源部件应具有防堵或吹扫设施’。要求几乎完成同上一条。
暴露问题:
(1)未考虑到吹灰器蒸汽对炉膛压力取样管的影响。
(2)对基建器期间对防堵装置验收不严格、或不清楚其原理。
(3)对相关规程不熟悉。
防范措施:
(1)远离蒸汽吹灰枪,在炉膛火焰中心中上部、气流扰动小的地方重新选择合适的炉膛压力取样点(烟气气流外上部,接近炉顶)。
(2)更换不合格的防堵装置或加装吹扫装置。
(3)、取样筒倾角大于450的要求,取样筒口光滑。
(4)参考《火力发电厂热工自动化系统检修运行维护规程》(DL/T 774-2015)第5.4.2.3.3条要求,细化现场设备定期工作内容,加强取样管路定期吹灰、利用停炉机会对炉膛内部取样口进行检查、清理积灰、结焦体。
案例3.某公司因逻辑用保护的信号和画面显示的信号又不一致,在做阀门活动试验时,锅炉MFT保护误动
2015年4月20日11:46,某公司#1机进行主汽门、调门全程活动性试验,当运行人员按操作票顺序执行至第6 条“高压主汽门试验”, #1高压主汽门全关时,...# 2高压主汽门全关位置开关存在积水现象。
原因分析:
(1)送往FSSS做MFT逻辑的 #2高压主汽门全关位置...# 2高压主汽门全关行程开关误发,并一直保持着。当正在进行全程活动性试验的#1高压主汽门全关后,两个高压主汽门关闭的信号就同时出现,且旁路处于关闭状态,汽轮机停机信号发出,从而触发锅炉MFT保护动作。
(2)#2主汽门门杆的漏汽凝结成水后沿着电缆渗入位置开关,引起高压主汽门全关信号不正常动作。
(3)控制系统用于逻辑保护的信号和画面显示的信号源头不一致,不能起到有效的监控作用。
(4)各种规程中没有要求‘保护信号必须在操作员站显示’条款,只有‘可靠性’规程中规定,各种故障状态必须在操作员站显示,以供运行分析的要求。(太显而易见,反而没人重视)
暴露问题:
(1)对主汽门位置开关检查维护不及时。机组启动时主汽门门杆漏汽,主汽门位置开关的防水措施不到位,导致漏汽凝结后沿电缆渗入位置开关。
(2)保护梳理工作中有欠缺,使得控制系统用于逻辑联锁保护的信号和画面显示的信号源头不一致。
防范措施
(1)将重要联锁保护信号显示在操作员上,保证联锁保护信号与操作员画面显示的信号一致,便于监控。
(2)在进行重要在线试验前,应由热工先期进行信号检查,发现问题及时解决。
(3)发生漏汽漏水现象后,热工专业应及时做好防护措施,并检查相关设备是否存在积水、绝缘下降的现象。
案例4.某公司电缆软管倒灌水至一次风机6A因出口挡板电动头,导致一次风机跳闸。
2015年7月11日22:41,#6机组运行人员发现一次风机6A跳闸,联跳磨煤机6A/6C,机组负荷减至500MW。风机跳闸后,运行人员确认跳闸原因系“风机运行且出口挡板全关”保护动作所导致,进一步检查一次风机6A出口挡板电动头内部有积水,清理积水并对电动头内部控制卡件进行烘潮处理,仍无法正常操作,后经检修人员更换控制卡件后电动头操作正常,7月12日15:10,一次风机6A 重新投入运行。
原因分析:
(1)一次风机6A出口挡板电动头内部进水,导致一次风机6A跳闸。
(2)“灿鸿”台风引起暴雨,造成电缆桥架进水,雨水经电缆桥架沿一次风机6A出口挡板电动头电缆软管倒灌到电动头内部,引起电动头控制卡件短路故障。
暴露问题:
(1)增加电缆软管时,墨守成规,不考虑是否发挥电缆软管防烫、防磨、防砸功能。
(2)对电缆桥架、电缆软管未作雨水引流措施。
防范措施:
(1)对全厂电动头电缆软管进行检查,对电缆软管从上到下走向的电动头进行电缆软管钻孔疏水引流处理。
(2)未按装电缆软管的设备,其电缆如不存在烫、砸、磨的风险,不再增加保护管。
案例5.重要保护的一次元件可靠性差,导致轴向位移保护误动
2012年5月6日,某发电公司#14机组(300MW)在电负荷200MW时,汽机保护系统ETS发轴向位移ETS动作信号,AST电磁阀动作,汽机跳闸,大联锁保护动作,锅炉MFT动作,发电机逆功率保护动作跳闸。
原因分析:
(1)历史数据显示轴向位移保护轴向位移1信号点(在保护动作时位移值由-0.48mm突增+1.78mm;而其它的瓦温、振动、轴向位移无明显变化;轴向位移1外部回路绝缘良好。轴向位移1探头是上海生产的,性能不稳定,是本次保护误动的直接原因。
(2).轴向位移保护采用二取一逻辑判断,是本保护误动的间接原因。
(3)元件采购过程,购买了没有经生产验证、证明设备性能可靠性的设备,是本次保护误动重要原因。
暴露问题:
(1)对元器件采购把关不严
(2)风险意识差,对规程不熟悉。
防范措施:
(1)对关键保护元件,应采用经大量机组验证的可靠性高一级元件,提高保护的可靠性。
(2)轴向位移保护,应按‘3取2’或‘4取2’的逻辑判断要求设计,所有一次信号,均应有品质判断功能,降低保护误动的概率。
案例6.某公司轴向位移保护设计不规范,诱发的保护误动
2016年2月1日10时10分,#2机组(350MW)负荷245MW,主蒸汽温度568℃,压力20MPa,再热蒸汽温度561℃,压力3.15MPa,给水流量794t/h,给煤量114t/h,A、D、E磨煤机运行,A、B一次风机、送风机和引风机运行,A、B汽动给水泵运行。其他各系统和设备运行参数正常,轴位移1显示0.34mm 、轴位移2显示0.36mm #2机组供热正常。10...# 2机组跳闸,负荷至0,锅炉MFT,热工首发“汽机跳闸”信号。汽机ETS首发“轴向位移大停机”信号。
事件原因:
(1) #2机# 1轴承瓦振信号跳变,热控人员在 #2机TSI机柜内端子...# 1轴承瓦振信号线的过程中,由于用力稍大,使得邻近的接线不牢固的#2机组轴向位移信号1线开路,输出值原来的0.34mm升至2.46mm。轴向位移大停机信号经2选1后输送至ETS,导致保护动作。
(2)重要跳机保护未按‘3取2’或‘4取2’(或或与)逻辑设计,而采用2选1保护设计。
(3)未及时紧固接线,信号线标号不清楚,光线不充足。
暴露问题:
(1)公司对重要保护的逻辑设计不重视。
(2)公司日常检修维护不到位,部分日常工作为要求进行。
防范措施:
(1)优化轴向位移保护逻辑。
(2)改善TSI柜的照明,加强日常维护工作的管理。
案例7:某公司300MW机组更换小机LVDT引发的停机事故
2015年4月3日12时51分,运行人员发现汽动给水泵油动机的一个开度反馈突然由41.54降为-25,机组其它参数稳定。热工检修人员13时05分赶到达现场,检查发现汽动给水泵油动机LVDT1连杆脱落,即办理工作票进行检修,14时08工作票办理完毕。14时18分在重新连接LVDT1时,LVDT1反馈值瞬间升高至55%,小机调门指令由25%升至34%,汽动给水泵转速突然升高,相应给水流量由930t/h升至1180t/h,汽包水位随即升高,因偏差大给水自动切除,运行人员立即手动调整水位,调整无效,汽包水位最高升至305mm,14时20分,汽包水位高保护动,机组跳闸。
原因分析:
(1)小机LVDT采用2选高值,当LVDT1连杆脱落时,自动判断为坏点,不影响运行。但‘坏点’判断仅限对信号是否超出量程范围作出判断,所以当重新连接LVDT1时,LVDT1显示值瞬间升至55%,并立刻参与逻辑运算。
(2)热工处理缺陷前将LVDT1反馈故障跳小机保护切除,未将阀门控制卡上LVDT1接线拆除;或未将LDTV1信号强制为0.
(3)自动回路判断阀门开度远大于调门指令,且偏差超出允许值,程序立刻执行自/手动切换命令,小机调门指令在瞬间由25%上升至34%。原则上,控制器只有在手动情况下才执行控制指令跟踪阀位的功能,不存在阀门阀位越变现象。而在本事故中,功能模块执行顺序不正确,因而出现首先执行控制器指令跟踪功能,后执行自动/手动切换功能(因时间太短,未完全跟踪)的现象。
(4)运行人员反应不及时。
暴露的问题
(1)小机LVDT1脱落现象暴露出热工人员检修质量不过关、日常巡检不到位。
(2)早期控制系统在控制逻辑的完整性和可靠性存在漏洞。
(3)热工人员对控制系统逻辑功能过度信赖,对可能发生的问题估计不足,采取的安全措施不全面。(4)公司运行人员对故障处理失败带来的危害性估计不足,执行安全措施意志不坚定。
防范措施
(1)对LVDT1进行重新连接并紧固,同时对LVDT2螺栓进行了紧固。对振动剧烈环境中的接线进行排查,采取紧固、增加垫片、备用螺母等措施。加强日常巡检,同时完善相关逻辑(增加缓冲判断环节、调整模块执行顺序),避免类似缺陷再次发生。
(2)处理重要系统缺陷时,从故障处理过程中可能发生的对人身与机组安全产生各种极端危险的影响出发,做好危险点分析和安全技术措施;如在当前无法确保人身安全与设备安全的情况下,应积极向上级反应,待安全条件具备后再进行故障处理。
(3)运行人员在处理重要故障前,认真检查安全措施是否齐全、是否已经执行;如条件不具备或热工人员无法确保安全的工况下,应在低负荷段、停机状态下进行检修等。
(4)热工部门认真执行工程质量验收工作、加强热工人员的技能及安全培训。
案例8:某公司300MW机组锅炉总风量低保护冗余信号未分散配置模件而引发MFT。
2015年6月27日,某公司 #3机组锅炉总风量小于...# 3机组#10DPU柜D2卡件故障,导致故障卡件上的两路总风量小于25%信号误发,锅炉最小总风量保护MFT动作。
原因分析:
#10DPU柜内D2卡件上第17、18通道为锅炉总风量低于25%信号的输出通道,且此信号输出继电器采用常闭节点(正常工作时带电);当卡件故障或失电时,输出继电器失电,导致风量低信号发出,触发了锅炉总风量低MFT保护动作。
暴露问题:
(1)重要保护冗余信号未充分分散配置。DCS系统#10DPU柜内D2卡件上设置两个锅炉总风量低于25%通道输出,一旦卡件故障或失电,将造成锅炉总风量低于25%保护(三取二)中的两个条件成立,保护动作。
(2)热控设备管理部大小修管理不到位,在以往的大小修作业中没有认真梳理排查装置性安全隐患。
防范措施:
(1)根据《火力发电厂热工保护系统设计技术规定》(DL/T 5428 -2009)第5.3.5.3条“冗余I/O信号应通过不同的I/O模件和通道引入引出”及《防止电力生产事故的二十五项重点要求》(国能安全[2014]161号)第9.4.3条‘ 所有重要的主、辅机保护都应采用“三取二”的逻辑判断方式,保护信号应遵循从取样点到输入模件全程相对独立的原则……’的要求,增加DO卡件,分散配置最小风量信号输出信号。
(2)对主保护和重要辅机保护进行梳理,发现保护冗余输入信号的分散性不满足规程要求的,应积极进行整改,避免再次发生因卡件故障导致的保护误动。
案例9:某电厂300MW机组磨煤机轴承烧毁事故
某电厂锅炉采用东方锅炉厂生产的亚临界压力中间一次再热的自然循环锅炉,制粉系统为中间储仓式制粉系统,四台钢球磨煤机承担机组的制粉工作。2014年某月某日,机组带满负荷运行,四台磨煤机正常工作。突然,巡视人员现场发现B磨煤机轴承烧红,通知集控运行人员及时将B磨停下。运行人员及时调看B磨煤机轴承温度,发现轴承温度已达到270℃。且温度上升趋势是平缓上升,最后经检修人员确认轴承已经烧毁。
原因分析:
(1)作为机组的重要辅机,磨煤机设置有轴承温度高于60℃联锁停止磨煤机的保护,但是在温度达到270℃时保护未动作,经热控人员检查发现是由于逻辑里面的连接的保护测点不是实际的温度测点。
(2)未设置有温度超温声光报警,在温度达到报警值时未及时提醒运行人员。
(3)运行人员监盘不力,温度上升过程高达2个小时,在2个小时的时间里运行人员未发现磨煤机B轴承温度异常。
暴露问题:
(1)重要参数未设置声光报警。
(2)机组保护逻辑试验时,未按要求在现场测点处模拟。
(3)运行人员监盘不认真。
防范措施:
(1)严格执行标准规范,机组停机时间达到标准规定的时间时应做所有辅机及主机的保护逻辑静态试验。
(2)做静态试验时采取在源点加模拟信号的方法进行。
(3)增设重要参数的报警窗口。
案例10.某公司不按要求的方法进行联锁保护试验,导致再热器空烧保护误动。
2013年8月27日,某发电公司#2机组(660MW)在A修后点火启动过程中,热工人员根据值长命令将防再热器空烧保护投入运行。该保护投入不久,锅炉MFT动作,机组停机。
原因分析:
(1)事故后调查发现,减温水截止阀关闭信号被误当作低旁关闭信号被接入再热器防空烧保护回路。由于某种原因,减温水截止阀关闭,从而触发了再热器防空烧MFT保护动作;
(2)该保护误动的另一原因是,调试单位及发电公司的热工人员在调试过程中和列次机组启动前未严格执行热工连锁保护试验‘实做’的要求进行试验,而是采用了软件模拟的方法进行试验,丧失了多次发现保护逻辑缺陷的机会。
暴露问题:
(1)公司在基建调试过程中,相关检修人员没有认真参与。
(2)公司的联锁保护试验防范不规范,把关不严。
防范措施:
(1)认真执行连锁保护的试验要求,从严制定联锁保护试验卡,规范试验防范;如涉及阀门开或关、电机启或停、压力高或低、液位高或低等重要保护信号,应明确要求采用物理方法进行。
(2)严格把关试验的过程,杜绝不规范的试验方法。
案例11. 投/退凝气器真空保护,导致ETS误动。
2012年5月15日,某发电公司在机组(350MW)启动过程中,热工人员根据值长命令将凝汽器真空保护低保护投入运行后,机组凝汽器真空低ETS保护动作,机组跳闸。
原因分析:
(1)事故后调查发现,热工人员在真空压力开关回装完毕后,忘记打开取样管的二次门,凝汽器真空低信号一直保持着;该保护投入后,凝气器真空低保护立刻动作,是本次事故的直接原因。
(2)该机组采用双PLC控制器实现ETS保护功能,一般情况下不可以先查阅保护信号的状态、或保护状态的提示,再执行投保护的方式;控制器功能落后是本次事故的间接原因。
(3)热工人员投保护前,未事先检查保护信号的状态是否正确,是本次事故的重要原因。
暴露问题:
(1)热工人员工作不仔细,或部分热工人员对重要保护的逻辑不够熟悉。
(2)构成ETS功能逻辑的PLC功能落后,ETS逻辑设计思想落后,无法实现先监控后投保护的正常操作过程。(盲人骑瞎马,哪有不跳机?)
防范措施:
(1)完善保护投入制度,要求热工人员在投保护前,应通过所有可能的方法,判断保护信号是否正常。
(2)投保护前,如因资料欠缺或其它原因一时不能确定(专攻方向不同造成的)的,应咨询精通本领域的同事,而后进行工作
(2)更新PLC控制器,优化ETS保护系统,实现保护信号及保护状态的监控、保护系统投入的功能。
案例12.将阀门行程开关动作信号等同于阀门状态信号,导致磨煤机误动
2013年3月11日,某发电公司 #2机组(350MW)...# 3、#4煤粉排出阀同时瞬时出现关闭信号,引起磨煤机E跳闸,保护误动2次。
原因分析:
(1).事后调查发现阀门电缆绝缘较差,在某种外在干扰因素的影响下,煤粉排出阀的关闭行程开关两根信号线之间出现瞬时短路,误发煤粉排出阀关闭行程开关动作信号;
(2).由于在磨煤机保护里,将煤粉排出阀关闭行程开关动作信号等同于煤粉排出阀关闭状态,最终导致磨煤机跳闸信号。
暴露问题:
(1).混淆阀门开、关状态与阀门开关行程状态的之间的关系。(可靠性规程:其它执行机构与行程开关的规定)
防范措施:
(1).从阀门驱动模块特定端口取阀门关状态信号。
(2).采用阀门开行程未动作信号与关行程开关动作信号共同搭建阀门关状态。
案例13:某电厂因低加旁路电动门未联锁打开,锅炉MFT动作
2015年05月27日02时30分左右,某电厂#1机#1一次风机动叶执行机构反馈全开,而后又全关,主汽温度降低,最低降至400℃,当时负荷为441MW,02时34分,#6低加水位高于640mm,低加解列条件触发,#6低加入口电动门和#5低加出口电动门联锁关闭,#5、#6低加旁路电动门联锁开指令发出,而阀门就地未动作,导致除氧器水位无法补水,02:44分,除氧器水位低于1500mm,两台给水泵跳闸,锅炉MFT动作。
原因分析
(1)一次风机动叶执行机构反馈跳变。
一次风机动叶执行机构为Limitorque牌电动执行器,在长期使用过程中多次发生动叶摆动影响机组运行的情况,分析认为可能为执行器的控制板发生故障,导致执行器的控制系统紊乱,自身进行开关,影响风机出力。
(2)#5、#6低加旁路电动门联锁未能打开。
#1机跳闸后,04:30分,模拟低加解列试验,#5、#6低加旁路电动门可以正常联锁打开。结合#1机组启动前的阀门试验以及停机以后运行人员的手动试验结果判断,在低加解列过程中,低加旁路阀前后可能存在较大的压差、旁路阀执行器的力矩太小等因素,导致低加旁路阀联锁打开失败。
(3)主汽温度低保护未正常动作。
机组运行中,主汽温低保护没有正常动作,分析可能导致保护拒动的原因:a.该保护在机组性能试验过程中退出,试验完成后热工人员未及时投入,并未做好保护投退记录;b.保护系统无保护运行状态监控画面,运行人员未能及时发现主汽温保护未投。
暴露问题
(1)热工专业三级监督管理人员均未认真履行自己职责,对一次风机动叶多次发生不明原因的摆动故障(特别是重要热工设备)不够重视,没有认真检查、分析、采取有效的消除或预防措施,导致一次风机动叶发生全开全关现象。
(2)热工保护逻辑设计没有保护‘投/退’监控画面,运行人员无法监控保护是否有效‘投/退’,也未尽到负责投/退保护的责任。
(3)热工在检修工作结束后也未彻底检查是否存在强制信号。
(4)相关专业人员没有认真讨论,低加水位高保护及联锁逻辑执行顺序、时间点把握不太合理。
(5)低加旁路阀门执行器的力矩太小,关键时候无法带载工作。
防范措施
(1)加强热工专业三级监督管理。加强热工专业的三级管理,对重要设备的故障、反复发生的故障应认真限期整改;各级技术人员、负责人员应认真检查、分析故障的结症,采用有效措施,消除故障;短期无法消除的故障,应采取可靠的预防措施。。
(2)设计较为完善的热工保护‘投/退’管理系统、保护运行状态监控专用画面,保障运行人员可以有效地监控保护投入情况。
(3)与相关专业的认真讨论,优化低加水位高保护联锁的逻辑。低加水位高保护动作过程中,使低加旁路阀前后差压保持在较低的程度。
(4)安装力矩较大的旁路电动执行器,或将执行器的力矩调整到较大且满足带载运行的位置上。
(5)加强教育,提高热工人员责任性。在机组启动前、工作结束前等几个关键阶段,应认真复核,在确认无强制信号、设备正常后,方可结束工作。
案例14.某公司#32机组操作员站同时离线
2014年4月7日,某公司#32机组主机两只数据交换机突然同时失电,导致所有操作员站离线,严重影响运行人员正常操作。
原因分析:
公司DCS控制系统两台数据交换机的电源仅使用一只复合式的电源切换器(正常情况下,可以同时输出一路UPS、一路保安电源),当该电源切换器损坏无输出时,两台数据交换机同时失电,导致操作员站离线;复合式的电源切换器,是本系统的一个瓶颈设备。
暴露问题:
对电源装置冗余度、危险分散的重要性认识不够。数据交换器电源设计的不满足《火力发电厂热工自动化系统可靠性评估技术导则》(DL/T 261-2012)第6.5.1.1.a).1)条‘操作员站、工程师站、数据服务器、通信网络的工作电源,应分别单独通过切换装置接入。否则,操作员站和通信网络设备的电源应合理分配在两路电源上’的要求。
防范措施:
增设电源切换装置,冗余的数据交换机分别配置独立的电源切换装置,消除电源瓶颈,提高系统的可靠性。
案例15.某公司#6机组汽泵组TSI电源模块均故障导致重要参数失去监控,机组紧急停运。
2015年10月29日 02:03,6号机组负荷550MW,三期集控运行人员发现控制室大屏发“MTSI POWER LOSS”报警,汽泵组6A/6B及电泵振动、轴向位移参数显示坏值,即刻撤出机组AGC,保持负荷稳定,并立即通知仪控人员处理。仪控人员到现场后进行了初步检查,发现是汽泵组TSI柜两个电源模块都有故障,安全风险很大,运行汇报省调同意后,#6机组于2:33解列调停消缺。
原因分析:
(1)汽泵组TSI柜两块电源模块都发生故障,导致轴向位移、振动等重要参数显示坏值,无法监控,需停运处理。
(2)汽泵组TSI柜两个电源模块其中一块电源模块故障后,由于另外一块电源模块也老化,导致其带负荷能力下降,无法独立支撑小机TSI机柜的运行。对换下的电源模块检测发现脉宽调制芯片供电电容老化,导致芯片供电不足无法正常运行。
暴露问题:
(1)检修电源时,未开盖检查,未能及时发现电容老化现象。
(2)电源切换试验时,速度过快,单电源的带载能力没有得到充分考验,未发现不合格电源。
防范措施:
(1)按DL/T774-2015的要求检修,及时发现异常电源装置。
(2)电源切换试验时,应让单电源独立支撑机柜运行8小时以上,考验单电源的带载能力。
(3)根据风险分散原则,增加一对TSI电源,各小机TSI配置独立的电源装置。
案例16.某公司用METS输出命令触发汽动给水泵RB,导致汽动给水泵RB不动作
2013年03月12日,某公司#4机组(660MW)负荷650MW,4A、4B、4C、4D、4E、4F制粉系统运行,4A、4B汽动给水泵运行,其余各辅机运行正常,机组各参数正常;18:54分17秒, #4机4A汽动给水泵B主油泵跳闸(B相接地),54分18秒4A汽动给水泵A主油泵及直流油泵联启;在启动过程中,因4A汽动给水泵低油压保安油蓄能器未能起到缓冲压力作用,滑油压力由0.2MPa瞬间降至0.046MPa,4A汽动给水泵主汽门关闭(停运),给水泵RB功能未动作。
原因分析:
4A小机交流油泵联动过程中,挂闸油压低,隔膜阀上腔油压降低,隔膜阀打开,造成ASL低3个开关同时动作,MEH判断停机(非故障跳闸), 发出停止指令,小机主气门以及调门关闭。由于RB逻辑内给水泵RB触发条件为METS发出的小机跳闸命令信号,而过程中未触发相应开关动作,METS系统PLC无动作指令输出,RB逻辑未收到RB触发信号,所以RB未动作。
暴露问题:
对RB的基本定义不清楚。
《火力发电厂辅机故障减负荷》(DL/T1213-2013)第3.3条(RB定义) ‘辅机故障降负荷。当机组发生部分主要辅机跳闸故障,使机组最大理论出力低于当前实际负荷,机组协调控制系统将机组负荷快速降低到所有辅机实际所能达到的相应出力,并能控制机组参数在允许范围内保持机组继续运行。’定义中指出触发RB的条件是主要辅机跳闸故障,不是METS发出的停机命令;否则,就缩小了定义的适用范围。在本案中,是小机跳闸故障(无论何种原因)。
防范措施:
(1)根据《火力发电厂辅机故障减负荷》(DL/T1213-2013)第4.2.4条机组触发RB条件‘辅机跳闸或停运’的要求优化二期RB功能(如安全油压低三取二)。
(2)类似的,如ETS系统直接向MFT发跳闸命令,也作相应的改进。
案例17.某公司#2瓦温度高保护单点设计,导致保护误动跳机。
2014年07月05日, #1机负荷280MW,# 1机 #2瓦温度(左侧)先从...# 2瓦温度下降至105℃左右(报警值107℃),热工保护又自动恢复投入状态,最后当 #2瓦温度再次上升到1...# 2瓦温度测点对应的双支热电阻的工作用热电阻工作不稳定。(类似,天津某公司的供热泵温度高保护误动作)
原因分析:
(1)参数设计时,曲解了信号恢复正常后保护自动复位的要求。《火力发电厂热工自动化系统可靠性评估技术导则》(DL/T261-2012)第6.2.4.1.b).6)条‘参与保护的缓变参数,应设置信号变化率越限报警且保护自动切除功能,信号恢复时,保护功能应自动复归、报警信号应手动手动复归’中,‘信号恢复’应指故障元件经处理后可以正确测量被测的物理参数;而本案中#2瓦温度下降至动作值之下的105℃时,远未到达轴承正常瓦温79℃,热工保护就自动恢复;当#2瓦温度再次缓慢上升时,热工保护误动,机组跳闸。
(2)没有充分利用双支热电阻的冗余特性,也是本次保护误动的原因之一。
暴露问题:
(1)对恢复测点恢复正常状态理解不正确。信号恢复,是相对与相关设备正常运行时参数,不是低于报警值或动作值的意思。
(2)未充分利用双支热电阻的有利条件优化保护系统。
(3)完善保护信号的品质判断,可以延缓保护动作的时间;软件方法,可以在某种程度上缓解误动的可能,但不能杜绝。
防范措施:
(1)根据《火电厂热控系统可靠性配置与事故预防》第6.2.4.1条e)款‘用于联锁保护的测量信号,应有坏点质量保护剔除功能并作为二级报警信号在大屏幕上报警(无论信号点是否冗余),信号正常后应自动恢复保护功能’的要求,提高‘正常复位’的条件,重新优化保护系统。
(2)或参照《火电厂热控系统可靠性配置与事故预防》中第14个优化案例,将双支温度点中的跳闸值和报警值组成与逻辑判断,输出并报警;或采用热电偶测温,避免误动。
案例18.某公司接入I/O卡件电气信号地线冗余度不足,维护时引发机组跳闸
2014年7月18日,某公司 #1机组DCS控制系统# 29DPU-B4 I/O卡件发生故障,在更换B4卡件过程中, A6卡件中的#1发变组出口QS1(5011-6隔离刀闸)闭合状态消失(并网信号消失),触发高旁快开功能、关闭四段抽汽电动阀,汽动给水泵转速下降,省煤器入口流量低低保护动作,机组停机。
原因分析:
经检查发现,众多送至DCS电气开关量信号公用一根接地线,接入点为B4卡件;公用方式是接地线通过I/O卡件底座总线实现不同卡件、不同开关量信号之间的地线连接;当更换B4卡件时,其它卡件上电气开关量信号的地线同时失去,信号显示断开状态。
暴露问题:
(1)设计、基建过程中,忽视了对电气DI信号公用地线冗余的重要性。《火力发电厂热工自动化就地设备安装管路及电缆设计技术规定》(5182-2004)第6.3.4条‘同一安装单位中的开关量输出(DO)与开关量输入(DI)可以合用一根电缆’;《火力发电厂热工自动化就地设备安装管路及电缆设计技术规定》(5182-2004)条文说明第6.3.1条‘在允许和许可的情况下,电缆合并可以节省投资,减少拉放电缆的工作量,但要注意,不能给安装接线及运行维护带来麻烦’等,以及其他一些规程,均只说明电缆在某种情况下可以合并,但没有DI公用地线是否可以合并,及如何合并的要求。
(2)热工人员在基建时,对电气接入信号的方式不清楚。
防范措施:
(1)在设计、基建过程中,重视冗余配置(包括接线),提高可靠性。
(2)在DCS系统DI模件上,增加地线,至少满足各电气开关量输入DI模件均接入独立的地线。
案例19.某公司因逻辑用保护的信号和画面显示的信号又不一致,在做阀门活动试验时,锅炉MFT保护误动
2015年4月20日11:46,某公司#1机进行主汽门、调门全程活动性试验,当运行人员按操作票顺序执行至第6 条“高压主汽门试验”, #1高压主汽门全关时,...# 2高压主汽门全关位置开关存在积水现象。
原因分析:
(1)送往FSS做MFT逻辑的 #2高压主汽门全关位置...# 2高压主汽门全关行程开关误发,并一直保持着。当正在进行全程活动性试验的#1高压主汽门全关后,两个高压主汽门关闭的信号就同时出现,且旁路处于关闭状态,汽轮机停机信号发出,从而触发锅炉MFT保护动作。
(2)#2主汽门门杆的漏汽凝结成水后沿着电缆渗入位置开关,引起高压主汽门全关信号不正常动作。
(3)控制系统用于逻辑保护的信号和画面显示的信号源头不一致,不能起到有效的监控作用。
(4)各种规程中没有要求‘保护信号必须在操作员站显示’条款,只有‘可靠性’规程中规定,各种故障状态必须在操作员站显示,以供运行分析的要求。(太显而易见,反而没人重视)
暴露问题:
(1)对主汽门位置开关检查维护不及时。机组启动时主汽门门杆漏汽,主汽门位置开关的防水措施不到位,导致漏汽凝结后沿电缆渗入位置开关。
(2)保护梳理工作中有欠缺,使得控制系统用于逻辑联锁保护的信号和画面显示的信号源头不一致。
防范措施
(1)将重要联锁保护信号显示在操作员上,保证联锁保护信号与操作员画面显示的信号一致,便于监控。
(2)在进行重要在线试验前,应由热工先期进行信号检查,发现问题及时解决。
(3)发生漏汽漏水现象后,热工专业应及时做好防护措施,并检查相关设备是否存在积水、绝缘下降的现象。
案例20.某公司#6机组汽泵组TSI电源模块均故障导致重要参数失去监控,机组紧急停运。
2015年10月29日 02:03,6号机组负荷550MW,三期集控运行人员发现控制室大屏发“MTSI POWER LOSS”报警,汽泵组6A/6B及电泵振动、轴向位移参数显示坏值,即刻撤出机组AGC,保持负荷稳定,并立即通知仪控人员处理。仪控人员到现场后进行了初步检查,发现是汽泵组TSI柜两个电源模块都有故障,安全风险很大,运行汇报省调同意后,#6机组于2:33解列调停消缺。
原因分析:
(1)汽泵组TSI柜两块电源模块都发生故障,导致轴向位移、振动等重要参数显示坏值,无法监控,需停运处理。
(2)汽泵组TSI柜两个电源模块其中一块电源模块故障后,由于另外一块电源模块也老化,导致其带负荷能力下降,无法独立支撑小机TSI机柜的运行。对换下的电源模块检测发现脉宽调制芯片供电电容老化,导致芯片供电不足无法正常运行。
暴露问题:
(1)检修电源时,未开盖检查,未能及时发现电容老化现象。
(2)电源切换试验时,速度过快,单电源的带载能力没有得到充分考验,未发现不合格电源。
防范措施:
(1)按DL/T774-2015的要求检修,及时发现异常电源装置。
(2)电源切换试验时,应让单电源独立支撑机柜运行8小时以上,考验单电源的带载能力。
(3)根据风险分散原则,增加一对TSI电源,各小机TSI配置独立的电源装置。