本質安全型抽水蓄能電站計算機監控系統設計探討

彭煜民,吳云峰

(1. 南方電網調峰調頻發電公司 廣東 廣州 510635；2.中國電子信息產業集團有限公司第六研究所工業控制系統信息安全技術國家工程實驗室，北京 102209)

0　引言

隨著社會的進步和安全管理水平的不斷提升，“本質安全”的理念越來越成為企業追求的目標。本質安全的概念可分為狹義和廣義兩種定義。狹義的本質安全是指通過設計等手段使生產設備或生產系統本身具有安全性，即使在誤操作或設備發生故障時也不會發生事故。廣義的本質安全是指通過追求企業生產流程中人、物、系統、環境、制度等諸要素的安全可靠和諧統一，使各種危害因素始終處于受控狀態[1]。本文主要基于狹義的本質安全概念對抽水蓄能電站計算機監控系統進行設計探討。

1　抽水蓄能機組的控制特點

(1)抽水蓄能機組相比常規發電機組而言，具有工況轉換流程多、啟停頻繁的特點。常規水電主要工況只有發電一種，且豐水期啟動發電后一般可連續運行很長時間，設備長期保持在相對穩定的狀態；而抽水蓄能機組除了發電工況外，還有抽水調相、發電調相、抽水、拖動機、黑啟動等工況，工況間轉換流程多，且每日均需根據電網調峰填谷的要求頻繁啟停進行發電和抽水，設備動作頻次高[2]。

(2)抽水蓄能機組監控對象多，機組和設備之間有很多信號交互需求。抽水蓄能機組除了發電電動機、水泵水輪機、變壓器、調速器、勵磁、繼電保護、輔機等設備外，還有靜止變頻器、調相壓回水相關設備、抽水調相啟動刀閘和拖動刀閘等。另外，由于抽水蓄能機組有背靠背拖動抽水調相啟動的運行方式，當一臺機組作為發電機拖動另一臺機組抽水調相啟動時，兩臺機組之間需要進行信息交互和設備聯動配合。

如上所述，抽水蓄能機組的控制特點給監控系統提出了更高的可靠性和安全性要求，建設本質安全型抽水蓄能電站計算機監控系統對保證抽水蓄能機組的安全穩定運行具有非常重要的意義。

2　本質安全型抽水蓄能電站計算機監控系統設計目標

抽水蓄能電站監控系統，可分為調度層、中控層、現地控制層，如圖1所示。各層及監控對象之間、現地控制單元之間通過人機界面、控制程序、數據通信、二次回路、傳感元件等形成一個信息交互和控制系統。

圖1　抽水蓄能電站監控系統示意圖

總結過往經驗，與監控系統相關的造成機組故障或事故的主要原因可歸結于以下幾方面：

(1)非冗余配置的重要監控設備故障；

(2)二次回路中繼電器故障或接線端子松動；

(3)監測元件或傳感器未正確反映設備實際狀態導致機組誤跳閘；

(4)設備故障前監控系統未及時發現故障先兆并預警；

(5)設備故障后相關設備未響應或錯誤響應造成設備損壞；

(6)因操作功能設計不合理造成運行值班員操作失誤；

(7)因監視功能設計不合理造成運行值班員未能及時發現故障報警信號。

基于以上原因分析，要構建本質安全型抽水蓄能電站計算機監控系統，至少應實現以下幾方面設計目標：

(1)應具有很高的運行可靠性和設備容錯水平，盡可能少出故障，發生一般設備故障應不影響機組正常運行；

(2)應能在設備故障前預先發現設備故障先兆，及時發出預警信號；

(3)應能在設備異?；蚬收蠒r確保設備的安全；

(4)應能保證運行監控操作的安全性、友好性和便捷性。

3　本質安全型抽水蓄能電站計算機監控系統設計措施

3.1　提高機組運行可靠性和設備容錯水平相關設計措施

(1)重要監控設備采用冗余配置。

要提高監控系統運行的可靠性，對重要監控設備采取冗余配置是最有效的方法。

對于監控系統上位機來說，其中的應用服務器、操作員工作站、歷史數據服務器、調度通信計算機和數據總線設備涉及運行數據的實時處理、監控、存儲、調度通信和鏈路，是維持監控系統上位機監控功能的關鍵設備，在設計時應冗余配置，并分別由不同的UPS電源供電。

對于監控系統現地控制單元來說，可編程序控制器CPU模塊作為控制核心應冗余配置，CPU模塊與I/O模塊通信的接口模塊也應冗余配置?，F地控制單元(包括PLC、監測儀表、繼電器回路等)應由至少雙路直流電源或一路直流一路UPS電源供電。

(2)現地控制單元PLC宜采用遠程I/O單元和現場總線通信方式采集和發送信號，減少信號電纜和繼電器邏輯回路。

如圖2所示，各監控對象和自動化元件安裝分布在包括發電機層、中間層、水輪機層等各個不同的地方，現地控制單元PLC宜根據監控對象的分布情況分別在各層設置遠程I/O單元，分布在各處的監控對象就近將信號接入遠程I/O單元，從而減少大量的電纜敷設與連接。

隨著科技的發展，目前現場總線通信技術已經非常安全可靠，除了PLC各單元之間應采用冗余總線通信方式外，PLC與勵磁、調速器及油壓裝置、繼電保護裝置、電量變送器、電度表、振擺監測系統、主變、進水閥、尾閘等子系統應盡量采用現場總線通信形式(如Profinet、Profibus-DP、Modbus等)進行連接，進一步減少電纜敷設與連接。如果通信協議相同的話，各通信終端之間宜采用環網連接，以提高冗余通信能力。

圖2　現地控制單元及監控對象分布連接示意圖

另外設備控制邏輯應盡可能采用程序軟件實現，減少繼電器和中間回路使用率，盡量采用可靠性更高的固態繼電器，降低繼電器及中間回路故障影響機組正常運行的幾率。

(3)選用經過長期運行考驗的自動化元件，盡量規范自動化元件安裝質量要求。

據統計，抽水蓄能機組啟停失敗故障中，70%以上是由自動化元件失效導致的。如果把監控系統看作神經中樞的話，那么作為神經末梢的自動化元件對保證系統的運行可靠性具有重要作用。因此，在設計選型時，應對各個電廠自動化元件的使用情況進行深入調研，分析篩選出經過長期運行考驗的自動化元件清單，在這個清單范圍內進行選型采購。

另外，自動化元件安裝圖紙設計時，應根據溫度、壓力、流量、液位等元件特點，對安裝環境、安裝位置、屏蔽和接地要求等進行說明與規范，例如溫度傳感器應該在監控盤柜側單點接地、流量傳感器不能安裝在管路上方，等等。

(4)程序設計時應充分考慮各種生產場景時設備控制邏輯的合理性，盡可能采用多重條件判斷設計，提高設備狀態判斷的正確性和冗余性。

在程序設計時，應深入分析每個控制對象在各種生產場景時的響應配合需求，尤其要考慮各種特殊及緊急情況下設備的響應要求，例如推力軸承高壓頂起油泵在機組啟動前、轉速不為零、轉速小于95%、測速裝置故障等不同場景時須立即啟動，當壓力丟失、電源丟失或本體故障時應立即啟動備用泵并報警。

另外對設備狀態應盡可能采用多重條件或冗余傳感器判斷，例如要判斷技術供水泵是否運行，可以采集接觸器合閘位置信號、流量信號、壓力信號等綜合進行判斷，不致因為單一信號失效導致狀態判斷錯誤，從而提高狀態判斷的正確性和冗余性。

3.2　提高設備故障預警能力相關設計措施

(1)針對可能引起機組跳閘的漸變式設備狀態信號設置預警信號。

當機組各部位溫度、壓力、液位、流量、振動等運行參數出現嚴重異常時，須延時觸發機組跳閘停運。一般情況下，這些運行參數是漸變的。因此，在運行參數達到引起機組跳閘的設定值前，應設置預警信號使得運行值班員能夠提前發現可能引起機組跳閘的設備問題，及時采取相應措施，有效避免機組跳閘事件，保證設備安全。

(2)分析設備運行特點，有針對性地制定狀態預警策略，實現設備狀態智能監測。

每個設備都有其運行特點。有些設備在機組運行過程中周期性動作，有些設備只在特定工況下才動作，有些設備之間動作的先后順序是固定的。針對這些設備特點，可以有針對性地制定狀態預警策略，例如，如果周期性動作的設備動作間隔或頻次發生變化，或者只在特定工況動作的設備在其他工況出現異動，或者某些設備的動作先后順序發生改變，就意味著設備存在著某些故障先兆，如果通過狀態預警策略及時警示，及時進行分析，就可能將故障隱患防范于未然。

3.3　保證設備安全相關設計措施

(1)采取防止設備在異常情況下誤動作的設計措施。

在近些年的抽水蓄能機組調試和運行過程中，多次發生設備因異常情況誤動作而損壞的事故，比如帶負荷分斷刀閘、高轉速投入機械制動等。這些事故多是因為未設置必要的安全閉鎖或安全閉鎖不完善導致的。要防止這些事故的發生，可考慮采取以下設計措施：

① 分析設備之間的邏輯關系和生產工藝流程，梳理每個設備動作前需要具備的安全條件，通過硬布線回路或控制程序實現設備間的安全閉鎖，有條件時可以設置硬布線回路和控制程序雙重安全閉鎖。

② 采取防止反饋信號失效導致設備誤動作的措施，例如對所有的電氣開關刀閘均進行“合閘”和“分閘”位置信號綜合判斷；要防止轉速繼電器失電誤投機械制動的情況，就必須在轉速繼電器失電時讓監控系統認為轉速大于制動投入設定值，通過硬布線或控制程序防止機械制動誤投。

(2)采取保證設備在異常情況下正確可靠動作的設計措施。

當機組狀態異常而相關設備未正確可靠動作，也會造成機組事故。對此可以考慮采取以下設計措施：

① 設置在任何情況下機組跳閘均能安全停運的機組跳閘流程，其中GCB、調速器、進水閥、勵磁、靜止變頻器、推力軸承高壓頂起注油泵等關鍵設備跳閘操作回路應冗余配置，可以設置冗余硬布線動作回路，也可以設置硬布線和數據通信雙路動作回路。

② 深入分析可能導致設備事故的各種情形，針對這些情形設置完善的機組跳閘保護和設備動作策略，在設備出現異常時及時跳閘停機。例如當抽水調相工況向抽水工況轉換時，如果回水建壓后導葉未能及時打開，機組將產生很大的振動，此時就需要設置回水建壓后導葉未開跳閘保護，及時將機組停運，避免機組因長時間振動過大而損傷。

3.4　保證運行監控操作安全性、友好性、便捷性相關設計措施

(1)保證操作安全性的設計措施

在進行監控系統上位機操作功能設計時，應盡量降低運行值班人員操作失誤的可能性。可以考慮采取以下設計措施：

① 每個操作按鈕的腳本程序均應自動進行操作適當性判斷(可鏈接設備可用性及操作允許條件判斷變量)，當設備的當前狀態不滿足該操作要求時，腳本程序自動鎖止該操作按鈕，使得值班人員無法操作該按鈕；只有當設備的狀態滿足操作要求后，操作按鈕才被激活并允許操作。

② 對于有先后順序的連續操作，設計時應在前一個操作完成確認后再彈出下一個操作界面，或者在前一個操作完成確認后再激活下一個操作按鈕，確保值班人員正確操作。

③ 在進行某些關鍵操作時，應設計合適的提示語句和再確認界面，讓值班人員有充足的思考回旋時間。

(2)保證監控界面友好便捷的設計措施

要使得監控界面更為友好便捷，可以采取以下設計措施：

① 監控界面分系統進行設計，將每個系統的運行圖、運行參數、狀態信息等顯示在一個界面中。另外有必要設計一個監控主界面，把機組主接線圖、主要運行參數、調速器和勵磁系統主要信息集合在一個界面中，同時把流程狀態、溫度、振動監測、主變、靜止變頻器(SFC)等重要監控界面鏈接按鈕設置在該界面中。

② 在進行信號狀態顯示框設計時，不應以信號狀態是0或1來確定顯示顏色，而應以信號文字描述所要求達到的狀態是否滿足來確定顯示顏色。例如，“某裝置電源丟失”的狀態由于信號回路接線方式的不同可能是0，也可能是1，如果以0或1來確定顯示顏色，值班人員很難判斷裝置電源是否丟失；而如果定義當裝置電源丟失時顯示黃色，當未收到裝置電源丟失信號時顯示灰色，值班人員將很容易判斷該信號狀態。

③ 在進行設備可用性條件顯示框設計時，應按照設備可用性條件滿足所需的信號狀態進行文字描述。例如，“某設備故障”信號須作為該設備可用性判斷的條件之一，在該條件顯示框設計時，不能在顯示框旁邊寫“某設備故障”的文字描述，而應在顯示框旁寫“某設備未故障”的文字描述，當未收到“某設備故障”信號時點亮相應顯示框，這樣就很明確地告訴值班人員該條件已滿足。

④ 當重要報警信息出現時，該信號應進入報警站并發出語音警示，方便值班人員第一時間查看并確認。若該報警實際狀態已復歸，報警信息應在值班人員點擊確認按鈕后從報警站清除。

⑤ 對于引起機組跳閘的重要信號，應專門設置一個界面進行信息顯示并在值班人員確認前保持該狀態，使得值班人員無需翻閱事件記錄第一時間就能定位機組跳閘的直接原因。

4　結論

要構建本質安全型抽水蓄能電站計算機監控系統，必須從保證機組可靠運行、設備安全、操作安全、人機友好的角度對自動化元件選型安裝、二次回路設計、控制程序編寫、上位機監控功能設計等方面進行持續不斷的優化與完善，針對機組運行過程中可能出現的各種不安全因素提出具體的防范對策并落實到監控系統設計中?？傊?，要真正實現機組運行本質安全的目標，需要不斷總結機組運行和實踐經驗，對監控系統各個技術細節進行精雕細刻，這是一個長期優化的過程。

[1] 許正權，宋學鋒，吳志剛.本質安全管理理論基礎：本質安全的詮釋[J].煤炭安全，2007(9)：75-78.

[2] 程詩，李思逸.電網企業本質安全芻議[J].通信世界，2017(23)：288-289.

[3] 汪軍，方輝欽，鐘敦美，彭永，余清波，李斌. 抽水蓄能電站計算機監控系統特殊性與設計要求[J].2000(22)：49-51.

[4] 彭勇，江常青，謝豐，等．工業控制系統信息安全研究進展[J].清華大學學報(自然科學版)，2012(10):1396-1408.

[5] 李鴻培.2014 工業控制系統的安全研究與實踐[J].計算機安全，2014(5)：36-59.

[6] 王昱鑌，陳思，程楠.工業控制系統信息安全防護研究[J].信息網絡安全,2016(9):35-39.

[7] 曾瑜，郭金全.工業控制系統信息安全現狀分析[J].信息網絡安全，2016(9)：169-172.

[8] 宋國江，肖榮華，晏培．工業控制系統中PLC面臨的網絡空間安全威脅[J].信息網絡安全，2016(9)：228-233.