防止分散控制系統控制保護失靈事故重點要求及實施細則1.1分散控制系統（DCS）配置的基本要求1.1.1分散控制系統配置應能滿足機組任何工況下的監控要求（包括緊急故障處理），控制站及人機接口站的中央處理器（CPU）負荷率、系統網絡負荷率、分散控制系統與其他相關系統的通信負荷率、控制處理器周期、系統響應時間、事件順序記錄（SOE）分辨率、抗干擾性能、控制電源質量、控制系統接地、北斗衛星對時系統、全球定位系統（GPS）時鐘等指標應滿足相關標準的要求。1.1.2分散控制系統的控制器、系統電源、為I/O模件供電的直流電源、通信網絡等均應采用完全獨立的冗余配置，且具備無擾切換功能；采用B/S、C/S結構的分散控制系統的服務器應采用冗余配置，服務器或其供電電源在切換時應具備無擾切換功能。1.1.3分散控制系統控制器應嚴格遵循機組重要功能分開的獨立性配置原則，各控制功能應遵循任一組控制器或其他部件故障對機組影響最小的原則。1.1.4重要參數測點、參與機組或設備保護的測點應冗余配置，冗余I/O測點應分配在不同模件上。1.1.5按照單元機組配置的重要設備（如循環水泵、空冷系統的輔機）應納入各自單元控制網，避免由于公用系統中設備事故擴大為兩臺或全廠機組的重大事故。1.1.6分散控制系統電源應設計有可靠的后備手段，電源的切換時間應保證控制器不被初始化；操作員站如無雙路電源切換裝置，則必須將兩路供電電源分別連接于不同的操作員站；系統電源故障應設置最高級別的報警；嚴禁非分散控制系統用電設備接到分散控制系統的電源裝置上；公用分散控制系統電源，應分別取自不同機組的不間斷電源系統，且具備無擾切換功能。分散控制系統電源的各級電源開關容量和熔斷器熔絲應匹配，防止故障越級。1.1.7分散控制系統接地必須嚴格遵守相關技術要求，接地電阻滿足標準要求；所有進入分散控制系統的控制信號電纜必須采用質量合格的屏蔽電纜，且可靠單端接地；分散控制系統與電氣系統共用一個接地網時，分散控制系統接地線與電氣接地網只允許有一個連接點。1.1.8機組應配備必要的、可靠的、獨立于分散控制系統的硬手操設備（如緊急停機停爐按鈕），以確保安全停機停爐。1.1.9分散控制系統與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。分散控制系統與其他生產大區之間應當采用具有訪問控制功能的設備、防火墻或者相當功能的設施，實現邏輯隔離。分散控制系統與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。分散控制系統禁止采用安全風險高的通用網絡服務功能。分散控制系統的重要業務系統應當采用認證加密機制。1.1.10分散控制系統電子間環境滿足相關標準要求，不應有380V及以上動力電纜及產生較大電磁干擾的設備。機組運行時，禁止在電子間使用無線通信工具。1.1.11新改擴建工程，遠程控制柜與主系統的兩路通信電（光）纜要分層敷設。1.1.12對于多臺機組分散控制系統網絡互聯的情況，以及當公用分散控制系統的網絡獨立配置并與兩臺單元機組的分散控制系統進行通信時，應采取可靠隔離措施、防止交叉操作。1.1.13交、直流電源開關和接線端子應分開布置，直流電源開關和接線端子應有明顯的標示。1.2防止水電廠（站）計算機監控系統事故1.2.1監控系統配置基本要求。1.2.1.1監控系統的主要設備應采用冗余配置，服務器的存儲容量和中央處理器負荷率、系統響應時間、事件順序記錄分辨率、抗于擾性能等指標應滿足要求。1.2.1.2并網機組投入運行時，相關電力專用通信配套設施應同時投入運行。1.2.1.3監控系統網絡建設應滿足電氣二次系統安全防護基本原則要求。1.2.1.4嚴格遵循機組重要功能相對獨立的原則，即監控系統上位機網絡故障不應影響現地控制單元功能，監控系統控制系統故障不應影響單機油系統、調速系統、勵磁系統等功能，各控制功能應遵循任一組控制器或其他部件故障對機組影響最小，繼電保護獨立于監控系統的原則。1.2.1.5監控系統上位機應采用專用的、冗余配置的不間斷電源供電，不應與其他設備合用電源，且應具備無擾自動切換功能。交流供電電源應采用兩路獨立電源供電。1.2.1.6現地控制單元及其自動化設備應采用冗余配置的不間斷電源或站內直流電源供電。具備雙電源模塊的裝置，兩個電源模塊應由不同電源供電且應具備無擾自動切換功能。1.2.1.7監控系統相關設備應加裝防雷（強）電擊裝置，相關機柜及柜間電纜屏蔽層應通過等電位網可靠接地。1.2.1.8監控系統及其測控單元、變送器等自動化設備（子站）必須是通過具有國家級檢測資質的質檢機構檢驗合格的產品。1.2.1.9監控設備通信模塊應冗余配置，優先采用國內專用裝置，采用專用操作系統；支持調控一體化的廠站間隔層應具備雙通道組成的雙網，至調度主站（含主調和備調）應具有兩路不同路由的通信通道（主／備雙通道）。1.2.1.10水電廠基（改、擴）建工程中監控設備的設計、選型應符合自動化專業有關規程規定?，F場監控設備的接口和傳輸規約必須滿足調度自動化主站系統的要求。1.2.1.11自動發電控制（AGC）和自動電壓控制（AVC）子站應具有可靠的技術措施，對調度自動化主站下發的自動發電控制指令和自動電壓控制指令進行安全校核，確保發電運行安全。1.2.1.12監控機房應配備專用空調、環境條件應滿足有關規定要求。1.2.2防止監控系統誤操作措施。1.2.2.1嚴格執行操作票、工作票制度，使兩票制度標準化，管理規范化。1.2.2.2嚴格執行操作指令。當操作發生疑問時，應立即停止工作，并向發令人匯報，待發令人再行許可，確認無誤后，方可進行操作。1.2.2.3計算機監控系統控制流程應具備閉鎖功能，遠方、就地操作均應具備防止誤操作閉鎖功能。1.2.2.4非監控系統工作人員未經批準，不得進入機房進行工作（運行人員巡回檢查除外）。1.2.3防止網絡癱瘓要求。1.2.3.1計算機監控系統的網絡設計和改造計劃應與技術發展相適應，充分滿足各類業務應用需求，強化監控系統網絡薄弱環節的改造力度，力求網絡結構合理、運行靈活、堅強可靠和協調發展。同時，設備選型應與現有網絡使用的設備類型一致，保持網絡完整性。1.2.3.2電站監控系統與上級調度機構、集控中心（站）之間應具有兩個及以上獨立通信路由。1.2.3.3通信光纜或電纜應采用不同路徑的電纜溝（豎井）進入監控機房和主控室；避免與一次動力電纜同溝（架）布放，并完善防火阻燃和阻火分隔等安全措施，綁扎醒目的識別標志；如不具備條件，應采取電纜溝（豎井）內部分隔離等措施進行有效隔離。1.2.3.4監控設備（含電源設備）的防雷和過電壓防護能力應滿足電力系統通信站防雷和過電壓防護要求。1.2.3.5在基建或技改工程中，若改變原有監控系統的網絡結構、設備配置、技術參數時，工程建設單位應委托設計單位對監控系統進行設計，深度應達到初步設計要求，并按照基建和技改工程建設程序開展相關工作。1.2.3.6監控網絡設備應采用獨立的自動空氣開關供電，禁止多臺設備共用一個分路開關。各級開關保護范圍應逐級配合，避免出現分路開關與總開關同時跳開，導致故障范圍擴大的情況發生。1.2.3.7實時監視及控制所轄范圍內的監控網絡的運行情況，及時發現并處理網絡故障。1.2.3.8機房內溫度、濕度應滿足設計要求。1.2.4監控系統管理要求。1.2.4.1建立健全各項管理辦法和規章制度，必須制定和完善監控系統運行管理規程、監控系統運行管理考核辦法、機房安全管理制度、系統運行值班與交接班制度、系統運行維護制度、運行與維護崗位職責和工作標準等。1.2.4.2建立完善的密碼權限使用和管理制度。1.2.4.3制訂監控系統應急預案和故障恢復措施，落實數據備份、病毒防范和安全防護工作。1.2.4.4定期對調度范圍內廠站遠動信息進行測試。遙信傳動試驗應具有傳動試驗記錄，遙測精度應滿足相關規定要求。1.2.4.5規范監控系統軟件和應用軟件的管理，軟件的修改、更新、升級必須履行審批授權及責任人制度。在修改、更新、升級軟件前，應對軟件進行備份。未經監控系統廠家測試確認的任何軟件嚴禁在監控系統中使用，必須建立有針對性的監控系統防病毒、防黑客攻擊措施。1.2.4.6定期對監控設備的濾網、防塵罩進行清洗，做好設備防塵、防蟲工作。1.3分散控制系統故障的緊急處理措施1.3.1已配備分散控制系統的電廠，應根據機組的具體情況，建立分散控制系統故障時的應急處理機制，制訂在各種情況下切實可操作的分散控制系統故障應急處理預案，并定期進行反事故演習。1.3.2當全部操作員站出現故障時（所有上位機“黑屏”或“死機”），若主要后備硬手操及監視儀表可用且暫時能夠維持機組正常運行，則轉用后備操作方式運行，同時排除故障并恢復操作員站運行方式，否則應立即執行停機、停爐預案。若無可靠的后備操作監視手段，應執行停機、停爐預案。1.3.3當部分操作員站出現故障時，應由可用操作員站繼續承擔機組監控任務，停止重大操作，同時迅速排除故障，若故障無法排除，則應根據具體情況啟動相應應急預案。1.3.4當系統中的控制器或相應電源故障時，應采取以下對策：1.3.4.1輔機控制器或相應電源故障時，可切至后備手動方式運行并迅速處理系統故障，若條件不允許則應將該輔機退出運行。1.3.4.2調節回路控制器或相應電源故障時，應將執行器切至就地或本機運行方式，保持機組運行穩定，根據處理情況采取相應措施，同時應立即更換或修復控制器模件。1.3.4.3涉及機爐保護的控制器故障時應立即更換或修復控制器模件，涉及機爐保護電源故障時則應采用強送措施，此時應做好防止控制器初始化的措施。若恢復失敗則應緊急停機停爐。1.3.5冗余控制器（包括電源）故障和故障后復位時，應采取必要措施，確認保護和控制信號的輸出處于安全位置。1.3.6加強對分散控制系統的監視檢查，當發現中央處理器、網絡、電源等故障時應及時報警，通知運行人員并啟動相應應急預案。1.3.7規范分散控制系統軟件和應用軟件的管理，軟件的修改、更新、升級必須履行審批授權及責任人制度。在修改、更新、升級軟件前，應對軟件進行備份。擬安裝到分散控制系統中使用的軟件必須嚴格履行測試和審批程序，必須建立有針對性的分散控制系統防病毒措施。1.3.8加強分散控制系統網絡通信管理，運行期間嚴禁在控制器、人機接口網絡上進行不符合相關規定許可的較大數據包的存取，防止通信阻塞。1.4防止熱工保護失靈1.4.1除特殊要求的設備外（如緊急停機電磁閥控制），其他所有設備都應采用脈沖信號控制，防止分散控制系統失電導致停機停爐時，引起該類設備誤停運，造成重要主設備或輔機的損壞。1.4.2涉及機組安全的重要設備應有獨立于分散控制系統的硬接線操作回路。汽輪機潤滑油壓力低信號應直接送入事故潤滑油泵電氣啟動回路，確保在沒有分散控制系統控制的情況下能夠自動啟動，保證汽輪機的安全。1.4.3所有重要的主、輔機保護都應采用“三取二”的邏輯判斷方式，保護信號應遵循從取樣點到輸入模件全程相對獨立的原則，確因系統原因測點數量不夠，應有防保護誤動措施。1.4.4熱工保護系統輸出的指令應優先于其他任何指令。機組應設計硬接線跳閘回路，分散控制系統的控制器發出的機、爐跳閘信號應冗余配置。機、爐主保護回路中不應設置供運行人員切（投）保護的任何操作手段。1.4.5獨立配置的鍋爐滅火保護裝置應符合技術規范要求，并配置可靠的電源。系統涉及的爐膛壓力取樣裝置、壓力開關、傳感器、火焰檢測器及冷卻風系統等設備應符合相關規程的規定。1.4.6定期進行保護定值的核實檢查和保護的動作試驗，在役的鍋爐爐膛安全監視保護裝置的動態試驗（指在靜態試驗合格的基礎上，通過調整鍋爐運行工況，達到MFT動作的現場整套爐膛安全監視保護系統的閉環試驗）間隔不得超過3年。1.4.7汽輪機緊急跳閘系統（ETS）和汽輪機監視儀表（TSI）應加強定期巡視檢查，所配電源應可靠，電壓波動值不得大于±5%，且不應含有高次諧波。汽輪機監視儀表的中央處理器及重要跳機保護信號和通道必須冗余配置，輸出繼電器必須可靠。1.4.8汽輪機緊急跳閘系統跳機繼電器應設計為失電動作，硬手操設備本身要有防止誤操作、動作不可靠的措施。手動停機保護應具有獨立于分散控制系統（或可編程邏輯控制器PLC）裝置的硬跳閘控制回路，配置有雙通道四跳閘線圈汽輪機緊急跳閘系統的機組，應定期進行汽輪機緊急跳閘系統在線試驗。1.4.9重要控制回路的執行機構應具有三斷保護（斷汽、斷電、斷信號）功能，特別重要的執行機構，還應設有可靠的機械閉鎖措施。1.4.10主機及主要輔機保護邏輯設計合理，符合工藝及控制要求，邏輯執行時序、相關保護的配合時間配置合理，防止由于取樣延遲等時間參數設置不當而導致的保護失靈。1.4.11重要控制、保護信號根據所處位置和環境，信號的取樣裝置應有防堵、防震、防漏、防凍、防雨、防抖動的等措施。觸發機組跳閘的保護信號的開關量儀表和變送器應單獨設置，當確有困難而需與其他系統合用時，其信號應首先進入保護系統。1.4.12若發生熱工保護裝置（系統、包括一次檢測設備）故障，應開具工作票，經批準后方可處理。鍋爐爐膛壓力、全爐膛滅火、汽包水位（直流爐斷水）和汽輪機超速、軸向位移、機組振動、低油壓等重要保護裝置在機組運行中嚴禁退出，當其故障被迫退出運行時，應制定可靠的安全措施，并在8h內恢復；其他保護裝置被迫退出運行時，應在24h內恢復。1.4.13檢修機組啟動前或機組停運15天以上，應對機、爐主保護及其他重要熱工保護裝置進行靜態模擬試驗，檢查跳閘邏輯、報警及保護定值。熱工保護連鎖試驗中，盡量采用物理方法進行實際傳動，如條件不具備，可在現場信號源處模擬試驗，但禁止在控制柜內通過開路或短路輸入端子的方法進行試驗。1.5防止水機保護失靈1.5.1水機保護設置。1.5.1.1水輪發電機組應設置電氣、機械過速保護、調速系統事故低油壓保護、導葉剪斷銷剪斷保護（導葉破斷連桿破斷保護）、機組振動和擺度保護、軸承溫度過高保護、軸承冷卻水中斷、軸承外循環油流中斷、快速閘門（或主閥）、真空破壞閥等水機保護功能或裝置。1.5.1.2在機組停機檢修狀態下，應對水機保護裝置報警及出口回路等進行檢查及聯動試驗，合格后在機組開機前按照相關規定投入。1.5.1.3所有水機保護模擬量信息、開關量信息應接入電站計算機監控系統，實現遠方監視。1.5.1.4設置的緊急事故停機按鈕應能在現地控制單元失效情況下完成事故停機功能，必要時可在遠方設置緊急事故停機按鈕。1.5.1.5水機保護連接片應與其他保護壓板分開布置，并粘貼標示。1.5.2防止機組過速保護失效。1.5.2.1機組電氣和機械過速出口回路應單獨設置，裝置應定期檢驗，檢查各輸出觸點動作情況。1.5.2.2裝置校驗過程中應檢查裝置測速顯示連續性，不得有跳變及突變現象，如有應檢查原因或更換裝置。1.5.2.3電氣過速裝置、輸入信號源電纜應采取可靠的抗干擾措施，防止對輸入信號源及裝置造成干擾。1.5.3防止調速系統低油壓保護失效。1.5.3.1調速系統油壓監視變送器或油壓開關應定期進行檢驗，檢查定值動作正確性。1.5.3.2在無水情況下模擬事故低油壓保護動作，導葉應能從最大開度可靠全關。1.