本质安全型抽水蓄能电站计算机监控系统设计探讨

2018-04-19 11:34彭煜民吴云峰
网络安全与数据管理 2018年3期
关键词:机组监控工况

彭煜民,吴云峰

(1. 南方电网调峰调频发电公司 广东 广州 510635;2.中国电子信息产业集团有限公司第六研究所工业控制系统信息安全技术国家工程实验室,北京 102209)

0 引言

随着社会的进步和安全管理水平的不断提升,“本质安全”的理念越来越成为企业追求的目标。本质安全的概念可分为狭义和广义两种定义。狭义的本质安全是指通过设计等手段使生产设备或生产系统本身具有安全性,即使在误操作或设备发生故障时也不会发生事故。广义的本质安全是指通过追求企业生产流程中人、物、系统、环境、制度等诸要素的安全可靠和谐统一,使各种危害因素始终处于受控状态[1]。本文主要基于狭义的本质安全概念对抽水蓄能电站计算机监控系统进行设计探讨。

1 抽水蓄能机组的控制特点

(1)抽水蓄能机组相比常规发电机组而言,具有工况转换流程多、启停频繁的特点。常规水电主要工况只有发电一种,且丰水期启动发电后一般可连续运行很长时间,设备长期保持在相对稳定的状态;而抽水蓄能机组除了发电工况外,还有抽水调相、发电调相、抽水、拖动机、黑启动等工况,工况间转换流程多,且每日均需根据电网调峰填谷的要求频繁启停进行发电和抽水,设备动作频次高[2]。

(2)抽水蓄能机组监控对象多,机组和设备之间有很多信号交互需求。抽水蓄能机组除了发电电动机、水泵水轮机、变压器、调速器、励磁、继电保护、辅机等设备外,还有静止变频器、调相压回水相关设备、抽水调相启动刀闸和拖动刀闸等。另外,由于抽水蓄能机组有背靠背拖动抽水调相启动的运行方式,当一台机组作为发电机拖动另一台机组抽水调相启动时,两台机组之间需要进行信息交互和设备联动配合。

如上所述,抽水蓄能机组的控制特点给监控系统提出了更高的可靠性和安全性要求,建设本质安全型抽水蓄能电站计算机监控系统对保证抽水蓄能机组的安全稳定运行具有非常重要的意义。

2 本质安全型抽水蓄能电站计算机监控系统设计目标

抽水蓄能电站监控系统,可分为调度层、中控层、现地控制层,如图1所示。各层及监控对象之间、现地控制单元之间通过人机界面、控制程序、数据通信、二次回路、传感元件等形成一个信息交互和控制系统。

图1 抽水蓄能电站监控系统示意图

总结过往经验,与监控系统相关的造成机组故障或事故的主要原因可归结于以下几方面:

(1)非冗余配置的重要监控设备故障;

(2)二次回路中继电器故障或接线端子松动;

(3)监测元件或传感器未正确反映设备实际状态导致机组误跳闸;

(4)设备故障前监控系统未及时发现故障先兆并预警;

(5)设备故障后相关设备未响应或错误响应造成设备损坏;

(6)因操作功能设计不合理造成运行值班员操作失误;

(7)因监视功能设计不合理造成运行值班员未能及时发现故障报警信号。

基于以上原因分析,要构建本质安全型抽水蓄能电站计算机监控系统,至少应实现以下几方面设计目标:

(1)应具有很高的运行可靠性和设备容错水平,尽可能少出故障,发生一般设备故障应不影响机组正常运行;

(2)应能在设备故障前预先发现设备故障先兆,及时发出预警信号;

(3)应能在设备异常或故障时确保设备的安全;

(4)应能保证运行监控操作的安全性、友好性和便捷性。

3 本质安全型抽水蓄能电站计算机监控系统设计措施

3.1 提高机组运行可靠性和设备容错水平相关设计措施

(1)重要监控设备采用冗余配置。

要提高监控系统运行的可靠性,对重要监控设备采取冗余配置是最有效的方法。

对于监控系统上位机来说,其中的应用服务器、操作员工作站、历史数据服务器、调度通信计算机和数据总线设备涉及运行数据的实时处理、监控、存储、调度通信和链路,是维持监控系统上位机监控功能的关键设备,在设计时应冗余配置,并分别由不同的UPS电源供电。

对于监控系统现地控制单元来说,可编程序控制器CPU模块作为控制核心应冗余配置,CPU模块与I/O模块通信的接口模块也应冗余配置。现地控制单元(包括PLC、监测仪表、继电器回路等)应由至少双路直流电源或一路直流一路UPS电源供电。

(2)现地控制单元PLC宜采用远程I/O单元和现场总线通信方式采集和发送信号,减少信号电缆和继电器逻辑回路。

如图2所示,各监控对象和自动化元件安装分布在包括发电机层、中间层、水轮机层等各个不同的地方,现地控制单元PLC宜根据监控对象的分布情况分别在各层设置远程I/O单元,分布在各处的监控对象就近将信号接入远程I/O单元,从而减少大量的电缆敷设与连接。

随着科技的发展,目前现场总线通信技术已经非常安全可靠,除了PLC各单元之间应采用冗余总线通信方式外,PLC与励磁、调速器及油压装置、继电保护装置、电量变送器、电度表、振摆监测系统、主变、进水阀、尾闸等子系统应尽量采用现场总线通信形式(如Profinet、Profibus-DP、Modbus等)进行连接,进一步减少电缆敷设与连接。如果通信协议相同的话,各通信终端之间宜采用环网连接,以提高冗余通信能力。

图2 现地控制单元及监控对象分布连接示意图

另外设备控制逻辑应尽可能采用程序软件实现,减少继电器和中间回路使用率,尽量采用可靠性更高的固态继电器,降低继电器及中间回路故障影响机组正常运行的几率。

(3)选用经过长期运行考验的自动化元件,尽量规范自动化元件安装质量要求。

据统计,抽水蓄能机组启停失败故障中,70%以上是由自动化元件失效导致的。如果把监控系统看作神经中枢的话,那么作为神经末梢的自动化元件对保证系统的运行可靠性具有重要作用。因此,在设计选型时,应对各个电厂自动化元件的使用情况进行深入调研,分析筛选出经过长期运行考验的自动化元件清单,在这个清单范围内进行选型采购。

另外,自动化元件安装图纸设计时,应根据温度、压力、流量、液位等元件特点,对安装环境、安装位置、屏蔽和接地要求等进行说明与规范,例如温度传感器应该在监控盘柜侧单点接地、流量传感器不能安装在管路上方,等等。

(4)程序设计时应充分考虑各种生产场景时设备控制逻辑的合理性,尽可能采用多重条件判断设计,提高设备状态判断的正确性和冗余性。

在程序设计时,应深入分析每个控制对象在各种生产场景时的响应配合需求,尤其要考虑各种特殊及紧急情况下设备的响应要求,例如推力轴承高压顶起油泵在机组启动前、转速不为零、转速小于95%、测速装置故障等不同场景时须立即启动,当压力丢失、电源丢失或本体故障时应立即启动备用泵并报警。

另外对设备状态应尽可能采用多重条件或冗余传感器判断,例如要判断技术供水泵是否运行,可以采集接触器合闸位置信号、流量信号、压力信号等综合进行判断,不致因为单一信号失效导致状态判断错误,从而提高状态判断的正确性和冗余性。

3.2 提高设备故障预警能力相关设计措施

(1)针对可能引起机组跳闸的渐变式设备状态信号设置预警信号。

当机组各部位温度、压力、液位、流量、振动等运行参数出现严重异常时,须延时触发机组跳闸停运。一般情况下,这些运行参数是渐变的。因此,在运行参数达到引起机组跳闸的设定值前,应设置预警信号使得运行值班员能够提前发现可能引起机组跳闸的设备问题,及时采取相应措施,有效避免机组跳闸事件,保证设备安全。

(2)分析设备运行特点,有针对性地制定状态预警策略,实现设备状态智能监测。

每个设备都有其运行特点。有些设备在机组运行过程中周期性动作,有些设备只在特定工况下才动作,有些设备之间动作的先后顺序是固定的。针对这些设备特点,可以有针对性地制定状态预警策略,例如,如果周期性动作的设备动作间隔或频次发生变化,或者只在特定工况动作的设备在其他工况出现异动,或者某些设备的动作先后顺序发生改变,就意味着设备存在着某些故障先兆,如果通过状态预警策略及时警示,及时进行分析,就可能将故障隐患防范于未然。

3.3 保证设备安全相关设计措施

(1)采取防止设备在异常情况下误动作的设计措施。

在近些年的抽水蓄能机组调试和运行过程中,多次发生设备因异常情况误动作而损坏的事故,比如带负荷分断刀闸、高转速投入机械制动等。这些事故多是因为未设置必要的安全闭锁或安全闭锁不完善导致的。要防止这些事故的发生,可考虑采取以下设计措施:

① 分析设备之间的逻辑关系和生产工艺流程,梳理每个设备动作前需要具备的安全条件,通过硬布线回路或控制程序实现设备间的安全闭锁,有条件时可以设置硬布线回路和控制程序双重安全闭锁。

② 采取防止反馈信号失效导致设备误动作的措施,例如对所有的电气开关刀闸均进行“合闸”和“分闸”位置信号综合判断;要防止转速继电器失电误投机械制动的情况,就必须在转速继电器失电时让监控系统认为转速大于制动投入设定值,通过硬布线或控制程序防止机械制动误投。

(2)采取保证设备在异常情况下正确可靠动作的设计措施。

当机组状态异常而相关设备未正确可靠动作,也会造成机组事故。对此可以考虑采取以下设计措施:

① 设置在任何情况下机组跳闸均能安全停运的机组跳闸流程,其中GCB、调速器、进水阀、励磁、静止变频器、推力轴承高压顶起注油泵等关键设备跳闸操作回路应冗余配置,可以设置冗余硬布线动作回路,也可以设置硬布线和数据通信双路动作回路。

② 深入分析可能导致设备事故的各种情形,针对这些情形设置完善的机组跳闸保护和设备动作策略,在设备出现异常时及时跳闸停机。例如当抽水调相工况向抽水工况转换时,如果回水建压后导叶未能及时打开,机组将产生很大的振动,此时就需要设置回水建压后导叶未开跳闸保护,及时将机组停运,避免机组因长时间振动过大而损伤。

3.4 保证运行监控操作安全性、友好性、便捷性相关设计措施

(1)保证操作安全性的设计措施

在进行监控系统上位机操作功能设计时,应尽量降低运行值班人员操作失误的可能性。可以考虑采取以下设计措施:

① 每个操作按钮的脚本程序均应自动进行操作适当性判断(可链接设备可用性及操作允许条件判断变量),当设备的当前状态不满足该操作要求时,脚本程序自动锁止该操作按钮,使得值班人员无法操作该按钮;只有当设备的状态满足操作要求后,操作按钮才被激活并允许操作。

② 对于有先后顺序的连续操作,设计时应在前一个操作完成确认后再弹出下一个操作界面,或者在前一个操作完成确认后再激活下一个操作按钮,确保值班人员正确操作。

③ 在进行某些关键操作时,应设计合适的提示语句和再确认界面,让值班人员有充足的思考回旋时间。

(2)保证监控界面友好便捷的设计措施

要使得监控界面更为友好便捷,可以采取以下设计措施:

① 监控界面分系统进行设计,将每个系统的运行图、运行参数、状态信息等显示在一个界面中。另外有必要设计一个监控主界面,把机组主接线图、主要运行参数、调速器和励磁系统主要信息集合在一个界面中,同时把流程状态、温度、振动监测、主变、静止变频器(SFC)等重要监控界面链接按钮设置在该界面中。

② 在进行信号状态显示框设计时,不应以信号状态是0或1来确定显示颜色,而应以信号文字描述所要求达到的状态是否满足来确定显示颜色。例如,“某装置电源丢失”的状态由于信号回路接线方式的不同可能是0,也可能是1,如果以0或1来确定显示颜色,值班人员很难判断装置电源是否丢失;而如果定义当装置电源丢失时显示黄色,当未收到装置电源丢失信号时显示灰色,值班人员将很容易判断该信号状态。

③ 在进行设备可用性条件显示框设计时,应按照设备可用性条件满足所需的信号状态进行文字描述。例如,“某设备故障”信号须作为该设备可用性判断的条件之一,在该条件显示框设计时,不能在显示框旁边写“某设备故障”的文字描述,而应在显示框旁写“某设备未故障”的文字描述,当未收到“某设备故障”信号时点亮相应显示框,这样就很明确地告诉值班人员该条件已满足。

④ 当重要报警信息出现时,该信号应进入报警站并发出语音警示,方便值班人员第一时间查看并确认。若该报警实际状态已复归,报警信息应在值班人员点击确认按钮后从报警站清除。

⑤ 对于引起机组跳闸的重要信号,应专门设置一个界面进行信息显示并在值班人员确认前保持该状态,使得值班人员无需翻阅事件记录第一时间就能定位机组跳闸的直接原因。

4 结论

要构建本质安全型抽水蓄能电站计算机监控系统,必须从保证机组可靠运行、设备安全、操作安全、人机友好的角度对自动化元件选型安装、二次回路设计、控制程序编写、上位机监控功能设计等方面进行持续不断的优化与完善,针对机组运行过程中可能出现的各种不安全因素提出具体的防范对策并落实到监控系统设计中。总之,要真正实现机组运行本质安全的目标,需要不断总结机组运行和实践经验,对监控系统各个技术细节进行精雕细刻,这是一个长期优化的过程。

[1] 许正权,宋学锋,吴志刚.本质安全管理理论基础:本质安全的诠释[J].煤炭安全,2007(9):75-78.

[2] 程诗,李思逸.电网企业本质安全刍议[J].通信世界,2017(23):288-289.

[3] 汪军,方辉钦,钟敦美,彭永,余清波,李斌. 抽水蓄能电站计算机监控系统特殊性与设计要求[J].2000(22):49-51.

[4] 彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[J].清华大学学报(自然科学版),2012(10):1396-1408.

[5] 李鸿培.2014 工业控制系统的安全研究与实践[J].计算机安全,2014(5):36-59.

[6] 王昱镔,陈思,程楠.工业控制系统信息安全防护研究[J].信息网络安全,2016(9):35-39.

[7] 曾瑜,郭金全.工业控制系统信息安全现状分析[J].信息网络安全,2016(9):169-172.

[8] 宋国江,肖荣华,晏培.工业控制系统中PLC面临的网络空间安全威胁[J].信息网络安全,2016(9):228-233.

猜你喜欢
机组监控工况
双馈式可变速抽水蓄能机组运行控制
热网异常工况的辨识
The Great Barrier Reef shows coral comeback
变工况下离心泵性能研究
660MW亚临界机组清洁疏水系统节能改造
不同工况下喷水推进泵内流性能研究
我国首台采用四支路技术抽水蓄能机组投入试运行
基于非负矩阵分解的高速列车走行部工况识别
你被监控了吗?
Zabbix在ATS系统集中监控中的应用