事故预想：防止分散控制系统DCS失灵、热工保护拒动事故反措

注：分散控制系统是以微处理器为基础，采用控制功能分散、显示操作集中、兼顾分而自治和综合协调的设计原则的新一代仪表控制系统。集散控制系统简称DCS，也可直译为“分散控制系统”或“分布式计算机控制系统”。

它采用控制分散、操作和管理集中的基本设计思想，采用多层分级、合作自治的结构形式。其主要特征是它的集中管理和分散控制。DCS在电力、冶金、石化等各行各业都获得了极其广泛的应用。

为了防止分散控制系统（DCS）失灵、热工保护拒动造成的事故，要认真贯彻

《火力发电厂热工仪表及控制装置技术监督规定》（国电安运[1998]483号）

《单元机组分散控制系统设计若干技术问题规定》（电规发[1996]214号）

《火力发电厂锅炉炉膛安全监控系统在线验收测试规程》（DL／T656－1998）

《火力发电厂模拟量控制系统在线验收测试规程》（DL／T657－1998）

《火力发电厂顺序控制系统在线验收测试规程》（DL／T658－1998）

《火力发电厂分散控制系统在线验收测试规程》（DL／T659－1998）等有关技术规定，并提出以下重点要求：

1. 分散控制系统配置的基本要求。

1) DCS系统配置应能满足机组任何工况下的监控要求（包括紧急故障处理），CPU负荷率应控制在设计指标之内并留有适当裕度。

2) 主要控制器应采用冗余配置，重要I／O点应考虑采用非同一板件的冗余配置。

3) 系统电源应设计有可靠的后备手段（如采用UPS电源），备用电源的切换时间应小于5ms（应保证控制器不能初始化）。系统电源故障应在控制室内设有独立于DCS之外的声光报警。

4) 主系统及与主系统连接的所有相关系统（包括专用装置）的通信负荷率设计必须控制在合理的范围（保证在高负荷运行时不出现"瓶颈"现象）之内，其接口设备（板件）应稳定可靠。

5) DCS的系统接地必须严格遵守技术要求，所有进入DCS系统控制信号的电缆必须采用质量合格的屏蔽电缆，且有良好的单端接地。

6) 操作员站及少数重要操作按钮的配置应能满足机组各种工况下的操作要求，特别是紧急故障处理的要求。紧急停机停炉按钮配置，应采用与DCS分开的单独操作回路。

2. DCS故障的紧急处理措施：

1) 已配备DCS的电厂，应根据机组的具体情况，制定在各种情况下DCS失灵后的紧急停机停炉措施。

2) 当全部操作员站出现故障时（所有上位机"黑屏"或"死机"），若主要后备硬手操及监视仪表可用且暂时能够维持机组正常运行，则转用后备操作方式运行，同时排除故障并恢复操作员站运行方式，否则应立即停机、停炉。若无可靠的后备操作监视手段，也应停机、停炉。

3) 当部分操作员站出现故障时，应由可用操作员站继续承担机组监控任务（此时应停止重大操作），同时迅速排除故障，若故障无法排除，则应根据当时运行状况酌情处理。

4) 当系统中的控制器或相应电源故障时，应采取以下对策。

a) 辅机控制器或相应电源故障时，可切至后备手动方式运行并迅速处理系统故障，若条件不允许则应将该辅机退出运行。

b) 调节回路控制器或相应电源故障时，应将自动切至手动维持运行，同时迅速处理系统故障，并根据处理情况采取相应措施。

c) 涉及到机炉保护的控制器故障时应立即更换或修复控制器模件，涉及到机炉保护电源故障时则应采用强送措施，此时应做好防止控制器初始化的措施。若恢复失败则应紧急停机停炉。

d) 加强对DCS系统的监视检查，特别是发现CPU、网络、电源等故障时，应及时通知运行人员并迅速做好相应对策。

e) 规范DCS系统软件和应用软件的管理，软件的修改、更新、升级必须履行审批受权及责任人制度。在修改、更新、升级软件前，应对软件进行备份。

f) 未经测试确认的各种软件严禁下载到已运行的DCS系统中使用，必须建立有针对性的DCS系统防病毒措施。