張方慶

（瀟湘水電站，湖南 永州 425000）

瀟湘水電站4號(hào)機(jī)組PLC故障導(dǎo)致斷油燒瓦事故的原因及教訓(xùn)

張方慶

（瀟湘水電站，湖南 永州 425000）

介紹了湖南瀟湘水電站4號(hào)機(jī)組PLC故障導(dǎo)致斷油燒瓦事故的現(xiàn)象，全面分析事故的原因，深刻吸取了燒瓦事故的教訓(xùn)。有針對(duì)性的提出了防止同類事故發(fā)生的技術(shù)措施和管理措施，為燈泡貫流式水電站計(jì)算機(jī)監(jiān)控系統(tǒng)的設(shè)計(jì)、安裝、調(diào)試、運(yùn)行與維護(hù)提供了可靠的實(shí)踐經(jīng)驗(yàn)。

瀟湘水電站；PLC故障；燒瓦；教訓(xùn)

1 引言

湖南瀟湘水電站地處湘江上游的永州市中心，設(shè)計(jì)裝機(jī)為4×13 MW的燈泡貫流式水輪發(fā)電機(jī)，采用中國(guó)水利水電科學(xué)研究院自動(dòng)化所的H9000水電站計(jì)算機(jī)監(jiān)控系統(tǒng)對(duì)機(jī)組進(jìn)行監(jiān)視與控制，該系統(tǒng)在該電站投入近10年以來(lái)一直運(yùn)行正常。機(jī)組現(xiàn)地控制單元配置了GE－30系列PLC，采用100 M光纖以太網(wǎng)與上位機(jī)通訊。整個(gè)現(xiàn)地控制單元采用單網(wǎng)單CPU配置模式。機(jī)組輔助設(shè)備采用手、自動(dòng)控制方式，自動(dòng)控制方式是直接由PLC的一個(gè)輸出繼電器通過(guò)程序控制。2016年6月29日14∶18許，運(yùn)行值班人員發(fā)現(xiàn)4號(hào)機(jī)組突然劇烈振動(dòng)，水輪機(jī)管形座內(nèi)冒煙，值班人員在中控室按下緊急停機(jī)按鈕后機(jī)組失控?zé)o法執(zhí)行事故停機(jī)指令。隨后手動(dòng)跳開(kāi)發(fā)電機(jī)開(kāi)關(guān)后，采用手動(dòng)操作調(diào)速器的事故停機(jī)電磁閥將機(jī)組停下。

2 事故原因分析

2.1 檢查及初步判斷

檢查發(fā)現(xiàn)機(jī)旁屏的測(cè)溫制動(dòng)柜上發(fā)電機(jī)和水輪機(jī)徑向瓦溫度達(dá)170℃，水輪機(jī)正推力瓦溫度達(dá)100℃，由此初步判斷機(jī)組劇烈振動(dòng)是因燒瓦所致。在中控室上位機(jī)調(diào)取4號(hào)機(jī)組當(dāng)天的歷史記錄。從4號(hào)機(jī)的歷史記錄可知，4號(hào)機(jī)組從10∶33記錄“發(fā)電機(jī)電導(dǎo)軸承高壓頂起油壓正常”后再?zèng)]有記錄機(jī)組任何狀態(tài)和故障事件，只從10∶34∶04開(kāi)始多次記錄紅色事件“4號(hào)機(jī)LCU網(wǎng)絡(luò)聯(lián)接X(jué)XOPA狀態(tài)”、“4號(hào)機(jī)LCU網(wǎng)絡(luò)聯(lián)接X(jué)XOPB狀態(tài)”，這些報(bào)警信息表示上位機(jī)兩臺(tái)互為備用的工作站與4號(hào)機(jī)下位機(jī)網(wǎng)絡(luò)聯(lián)接故障。而從13∶49∶46開(kāi)始，上位機(jī)人工下達(dá)了多次與下位機(jī)通訊聯(lián)接的命令，均收到網(wǎng)絡(luò)聯(lián)接故障的事件記錄。雖然4號(hào)機(jī)組設(shè)計(jì)了機(jī)組各瓦溫偏高（65℃）報(bào)警和各瓦溫過(guò)高（70℃）事故停機(jī)程序，并會(huì)將故障或事故信息實(shí)時(shí)傳送至上位機(jī)進(jìn)行語(yǔ)音報(bào)警和實(shí)時(shí)記錄。但這次事故由于從10∶34∶04開(kāi)始通訊中斷而未記錄任何事件。

而機(jī)組現(xiàn)地控制單元中的PLC電源模塊、CPU模塊、各輸入模塊均有指示，且從PLC電源模塊和CPU的狀態(tài)指示燈未發(fā)現(xiàn)異常指標(biāo)燈，但輸出模塊無(wú)一輸出指示，與PLC聯(lián)接的觸摸屏顯示“PLC NOT RESPONDING”(PLC沒(méi)有響應(yīng))，且無(wú)法操作。從上位機(jī)與PLC及現(xiàn)地控制單元的觸摸屏與PLC通訊故障及PLC在機(jī)組事故狀態(tài)下無(wú)任何輸出可初步判斷PLC已出現(xiàn)硬件故障，現(xiàn)場(chǎng)按下機(jī)組事故停機(jī)按鈕時(shí)，PLC不執(zhí)行事故停機(jī)流程。從以上現(xiàn)象可分析導(dǎo)致4號(hào)機(jī)組燒瓦的主要原因——由于PLC的CPU出現(xiàn)致命故障，導(dǎo)致PLC控制的機(jī)組潤(rùn)滑油泵啟停的繼電器失電，從而使?jié)櫥捅猛Ｖ构ぷ?，機(jī)組高位油箱快速下降。同時(shí)PLC無(wú)法執(zhí)行用戶程序，即使輸入模塊收到啟備用潤(rùn)滑油泵油位信號(hào)、高位油箱油位過(guò)低信號(hào)、高位油箱事故停機(jī)油位、機(jī)組發(fā)電機(jī)、水輪機(jī)徑向軸承供油中斷事故信號(hào)均不能執(zhí)行事故停機(jī)程序，最終造成因機(jī)組潤(rùn)滑油中斷而燒瓦的嚴(yán)重事故。

隨后計(jì)算機(jī)監(jiān)控廠家現(xiàn)場(chǎng)讀取PLC故障表顯示，CPU發(fā)生了致命的硬件故障，將CPU外殼拆開(kāi)后在內(nèi)部發(fā)現(xiàn)了水漬痕跡，并且屏柜底部發(fā)現(xiàn)了老鼠屎。結(jié)合嗅覺(jué)初步判斷CPU出現(xiàn)故障是因老鼠尿引起。

2.2 事故分析

通過(guò)現(xiàn)場(chǎng)調(diào)查分析，造成這次事故的原因是多方面的，主要有機(jī)組計(jì)算機(jī)監(jiān)控系統(tǒng)配置不夠完善、計(jì)算機(jī)監(jiān)控系統(tǒng)對(duì)輔助設(shè)備控制方式不合理、安裝施工監(jiān)理不到位、業(yè)務(wù)培訓(xùn)不到位、吸取過(guò)往教訓(xùn)不到位等。

（1）機(jī)組計(jì)算機(jī)監(jiān)控系統(tǒng)配置不完善

瀟湘電站4號(hào)機(jī)組計(jì)算機(jī)監(jiān)控系統(tǒng)除電源采用冗余配置外，PLC主要核心部件均采用單一配置，即計(jì)算機(jī)監(jiān)控系統(tǒng)采用單網(wǎng)、單CPU的配置模式，在此基礎(chǔ)上機(jī)組主要水機(jī)保護(hù)（如超溫、超速等）未設(shè)置單獨(dú)的保護(hù)回路或保護(hù)裝置，機(jī)組所有的控制、保護(hù)、狀態(tài)監(jiān)視均寄托在單個(gè)PLC裝置上，PLC的處理器出現(xiàn)故障后，所有開(kāi)出繼電器失電，所有控制信號(hào)消失，正在進(jìn)行的控制流程停止執(zhí)行。導(dǎo)致PLC輸出繼電器直接控制的軸承潤(rùn)滑油油泵、冷卻風(fēng)機(jī)和冷卻水泵停止工作。同時(shí)監(jiān)控系統(tǒng)不能采集各被控設(shè)備數(shù)據(jù)，潤(rùn)滑油中斷、軸瓦超溫等事故信號(hào)不能反饋至監(jiān)控系統(tǒng)，機(jī)組將處于“裸奔”失控狀態(tài)。最終因潤(rùn)滑油耗盡，發(fā)電機(jī)、水輪機(jī)徑向瓦和推力瓦溫度急劇升高而燒毀。

4號(hào)機(jī)組這種單網(wǎng)單CPU配置模式，當(dāng)發(fā)生這種PLC故障時(shí)，如值班人員未及時(shí)發(fā)現(xiàn)，極易造成燒瓦、燒發(fā)電機(jī)等嚴(yán)重的事故，即使及時(shí)發(fā)現(xiàn)，如果事先沒(méi)有應(yīng)急操作預(yù)案，或是值班人員不具備熟悉的專業(yè)技能，是無(wú)法短時(shí)進(jìn)行應(yīng)急處理的，這次事故就是因?yàn)镻LC出現(xiàn)故障后未及時(shí)發(fā)現(xiàn)導(dǎo)致供油中斷，同時(shí)機(jī)組控制保護(hù)失效導(dǎo)致燒瓦無(wú)法自動(dòng)事故停機(jī)的嚴(yán)重事故。

由于燈泡貫流式機(jī)組輔助設(shè)備的可靠性直接關(guān)系到機(jī)組的安全運(yùn)行，因此，必須有一個(gè)完整、可靠的輔助設(shè)備及其監(jiān)控系統(tǒng)。機(jī)組重要的輔助設(shè)備如冷卻水泵、潤(rùn)滑油泵等均應(yīng)采用冗余配置，而對(duì)這些輔助設(shè)備采用單個(gè)PLC輸出繼電器控制時(shí)，PLC的核心部件CPU模塊必須采用冗余配置的方式，否則即使輔助設(shè)備有冗余，當(dāng)CPU出現(xiàn)故障時(shí)將不起作用。CPU冗余屬于硬冗余，正常狀態(tài)下，主從CPU保持同步運(yùn)行；當(dāng)主CPU故障時(shí)切換到從CPU的時(shí)間極短，不會(huì)丟失數(shù)據(jù)；外設(shè)不受影響，生產(chǎn)正常進(jìn)行，保障了運(yùn)行可靠和設(shè)備安全。如果CPU采用了冗余，當(dāng)主CPU故障后，從CPU投入，即使?jié)櫥捅猛Ｖ构ぷ?，程序?huì)立即驅(qū)動(dòng)另一臺(tái)潤(rùn)滑油泵的控制繼電器使備用油泵投入運(yùn)行，即使備用潤(rùn)滑油泵未正常投入，當(dāng)高位油箱油位下降至啟備用油泵油位時(shí)，PLC也會(huì)再次執(zhí)行啟備用油泵程序并將故障信息及時(shí)傳送至上位機(jī)，通過(guò)聲光及文字提醒值班人員進(jìn)行處理，即使液位傳感器或其他原因PLC未正常執(zhí)行啟備用油泵程序，當(dāng)油位下降至事故停機(jī)油位或機(jī)組軸承供油中斷時(shí)，PLC也會(huì)執(zhí)行事故停機(jī)流程將機(jī)組安全停下，避免事故的進(jìn)一步擴(kuò)大。如果機(jī)組監(jiān)控采用了冗余配置，類似燒瓦事故是完全可以避免的。

（2）計(jì)算機(jī)監(jiān)控系統(tǒng)對(duì)輔助設(shè)備監(jiān)視控制方式不合理

瀟湘水電站4號(hào)機(jī)組輔助設(shè)備有“手動(dòng)”和“自動(dòng)”兩種控制方式，每臺(tái)輔助“自動(dòng)控制”方式是通過(guò)PLC程序控制一個(gè)輸出繼電器來(lái)實(shí)現(xiàn)的，程序中的輸出沒(méi)有采用自保持的軟元件，這種控制方法本身不存在問(wèn)題，但對(duì)于PLC主要部件未采取硬件冗余措施后，就存在運(yùn)行的安全風(fēng)險(xiǎn)。主要體現(xiàn)在PLC故障后輸出軟元件不能自保持而使控制繼電器掉電，被控輔助設(shè)備停止運(yùn)行；因此，當(dāng)燈泡貫流式水輪發(fā)電機(jī)現(xiàn)場(chǎng)采用單網(wǎng)單CPU的配置時(shí)，輔助設(shè)備最好采用兩個(gè)繼電器對(duì)被控輔助設(shè)備進(jìn)行控制，一個(gè)用于控制啟動(dòng)輔助設(shè)備，通過(guò)輔助設(shè)備接觸器的觸點(diǎn)保持接觸器的控制回路，正常運(yùn)行過(guò)程與PLC輸出無(wú)關(guān)，一個(gè)用于控制停止被控輔助設(shè)備，這樣使輔助設(shè)備正常運(yùn)行過(guò)程中與PLC的輸出無(wú)關(guān)，讓輔助設(shè)備控制回路相對(duì)獨(dú)立，當(dāng)輔助設(shè)備采用一個(gè)繼電器控制時(shí)，應(yīng)采用單獨(dú)的PLC控制單元對(duì)輔助設(shè)備進(jìn)行控制，這樣即使機(jī)組PLC故障也不會(huì)使輔助設(shè)備退出運(yùn)行，同時(shí)機(jī)組PLC能對(duì)輔助設(shè)備的PLC進(jìn)行監(jiān)視。瀟湘水電站如果采用以上技術(shù)措施，即使CPU故障，潤(rùn)滑油泵也不會(huì)停止工作，導(dǎo)致燒瓦等事故發(fā)生的概率會(huì)大大降低。

（3）安裝施工監(jiān)理不到位

由于瀟湘電站的歷史原因，4號(hào)機(jī)組施工時(shí)監(jiān)理不到位，電站內(nèi)部大部分與室外相通的孔洞、高低壓配電屏柜、二次屏柜的孔洞均未完全按照《電氣裝置安裝工程盤、柜及二次接線施工及驗(yàn)收規(guī)范》及《電氣裝置安裝工程電纜線路施工及驗(yàn)收規(guī)范》要求封堵。導(dǎo)致老鼠潛入機(jī)組LCU屏柜內(nèi)活動(dòng)，并在CPU模塊上方排尿致使電子設(shè)備出現(xiàn)短路故障。該電站投運(yùn)以來(lái)，先后出現(xiàn)過(guò)電纜芯線被老鼠咬斷致通信故障的事故，中控室聲光報(bào)警系統(tǒng)因老鼠尿?qū)е略O(shè)備徹底損壞事故，而就在此次事故發(fā)生前的3月份，3號(hào)機(jī)組因老鼠鉆入發(fā)電機(jī)出口開(kāi)關(guān)柜導(dǎo)致短路引起差動(dòng)保護(hù)動(dòng)作的重大事故，因此老鼠已多次對(duì)電站電氣設(shè)備構(gòu)了嚴(yán)重的安全威脅。如果4號(hào)機(jī)組在屏柜安裝時(shí)加強(qiáng)監(jiān)理，嚴(yán)格按照電氣設(shè)備安裝驗(yàn)收規(guī)范進(jìn)行監(jiān)督管理，或后期的運(yùn)行過(guò)程中對(duì)相關(guān)孔洞進(jìn)行嚴(yán)格封堵，這種PLC的故障是可以避免發(fā)生的。

（4）業(yè)務(wù)培訓(xùn)不到位

上位機(jī)的歷史記錄表明，10∶34∶04開(kāi)始記錄上位機(jī)與4號(hào)機(jī)組下位機(jī)出現(xiàn)了通訊故障，從這個(gè)時(shí)間開(kāi)始機(jī)組的狀態(tài)、故障信號(hào)已不能傳送至上位機(jī)，但根據(jù)后來(lái)試驗(yàn)高位油箱在機(jī)組正常供油狀態(tài)下潤(rùn)滑油泵停止后供油時(shí)間為8 min左右及值班人員發(fā)現(xiàn)機(jī)組燒瓦劇烈振動(dòng)時(shí)間是在14∶18許，可以判斷當(dāng)PLC出現(xiàn)與上位機(jī)通訊故障時(shí)，PLC并未完全停止工作，輸出回路仍能正常工作，否則不可能維持到14:00才因斷油燒瓦。這個(gè)通訊故障在上位機(jī)不但有紅色狀態(tài)提示，而且有語(yǔ)音報(bào)警，如果值班人員對(duì)這個(gè)報(bào)警信號(hào)有警覺(jué)能力，并及時(shí)報(bào)告或是對(duì)現(xiàn)地單位進(jìn)行巡視，是可以發(fā)現(xiàn)設(shè)備故障的。再者，瀟湘水電站4臺(tái)機(jī)組同時(shí)運(yùn)行，每臺(tái)機(jī)組輔助設(shè)備的狀態(tài)信號(hào)（如油壓裝置啟動(dòng)、漏油泵啟動(dòng)等）均傳送至上位機(jī)實(shí)時(shí)顯示，每隔一段時(shí)間就會(huì)有一個(gè)狀態(tài)信號(hào)上傳，而事故當(dāng)天從10∶33后再?zèng)]有記錄機(jī)組任何狀態(tài)和故障事件，只是不停的報(bào)上位機(jī)與4號(hào)機(jī)組LCU通訊故障。如果值班人員有這個(gè)判斷能力及時(shí)發(fā)現(xiàn)并處理也不會(huì)導(dǎo)致如此嚴(yán)重的后果。而直到通訊中斷3 h后的13∶49∶46開(kāi)始，上位機(jī)才人工下達(dá)了多次與下位機(jī)通訊聯(lián)接的命令，在這個(gè)時(shí)間節(jié)點(diǎn)仍可判斷機(jī)組還未出現(xiàn)供油中斷事故，只是CPU通訊故障。從此時(shí)間段至事故發(fā)生的40min的時(shí)間內(nèi)，多次連網(wǎng)失敗未采取現(xiàn)場(chǎng)檢查、及時(shí)匯報(bào)等措施，導(dǎo)致錯(cuò)過(guò)了防止事故擴(kuò)大的最佳時(shí)機(jī)，最終造成嚴(yán)重事故。

由于瀟湘電站投運(yùn)之初是采用常規(guī)繼電器控制方式，后來(lái)逐步改造成計(jì)算機(jī)監(jiān)控后仍保留原有控制臺(tái)的設(shè)備，沒(méi)有進(jìn)行全面系統(tǒng)業(yè)務(wù)培訓(xùn)，部分值班人員有采用監(jiān)視原來(lái)控制臺(tái)的儀表進(jìn)行值守的習(xí)慣，這種習(xí)慣導(dǎo)致值班人員忽視了對(duì)工作站機(jī)組實(shí)時(shí)狀態(tài)的監(jiān)視。更不能理解是為了避免計(jì)算機(jī)語(yǔ)言報(bào)警聲的影響，將設(shè)備音響關(guān)閉，從而導(dǎo)致機(jī)組多次出現(xiàn)事故、故障信號(hào)報(bào)警后值班人員而未覺(jué)察到，又因值班人員未監(jiān)視上位的故障信號(hào)，最終均導(dǎo)致機(jī)組事故停機(jī)。如改變這種值班方式，這些事故停機(jī)是完全可避免的。

（5）吸取過(guò)往事故教訓(xùn)不到位

造成這次事故嚴(yán)重后果的另一主要原因就是吸取過(guò)往教訓(xùn)不到位，在此次事故發(fā)生前同月的6月5日，1號(hào)機(jī)組發(fā)生過(guò)同類型的險(xiǎn)兆事故——1號(hào)機(jī)組在1號(hào)潤(rùn)滑油泵退出的狀態(tài)下，2號(hào)潤(rùn)滑油泵因油流小于供油流量，導(dǎo)致高位油箱油位下降至即將達(dá)到事故停機(jī)油位被值班人員及時(shí)發(fā)現(xiàn)緊急采取手動(dòng)投入另一臺(tái)油泵措施，避免了事故的發(fā)生。而當(dāng)時(shí)1號(hào)機(jī)組的水機(jī)保護(hù)連片自當(dāng)年3月初檢修后一直是退出運(yùn)行的，有關(guān)人員多次反映此問(wèn)題未引起足夠的重視，相當(dāng)于1號(hào)機(jī)組在無(wú)任何水機(jī)保護(hù)的狀況下“裸奔”了3個(gè)月，若機(jī)組超速、超溫和斷油等事故將無(wú)法自動(dòng)事件停機(jī)，事后調(diào)取歷史記錄發(fā)現(xiàn)上位機(jī)在此之前已有“潤(rùn)滑油啟備用油泵油位”報(bào)警信息，但值班人員并未覺(jué)察到，如果不及時(shí)發(fā)現(xiàn)油位下降至事故停機(jī)油位、各推力瓦、徑向軸承供油中斷時(shí)，機(jī)組也不能自動(dòng)停機(jī)，只會(huì)有報(bào)警信號(hào)。如果對(duì)過(guò)往類似故障充分分析原因、充分吸取教訓(xùn)，類似燒瓦事故發(fā)生的概率會(huì)大大降低。

3 吸取的教訓(xùn)

（1）燈泡貫流式水輪發(fā)電機(jī)計(jì)算機(jī)監(jiān)控系統(tǒng)現(xiàn)地控制單元、操作員站及其工作電源應(yīng)按《水力發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)設(shè)計(jì)規(guī)范》要求采用冗余的配置方式，確保監(jiān)控系統(tǒng)對(duì)機(jī)組進(jìn)行可靠的監(jiān)視與控制，保證有雙網(wǎng)雙CPU的配置模式。而采用單PLC控制時(shí)，應(yīng)根據(jù)《水力發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)設(shè)計(jì)規(guī)范》要求，結(jié)合現(xiàn)場(chǎng)實(shí)際情況設(shè)置水機(jī)事故保護(hù)的簡(jiǎn)化的繼電器接線或PLC，或是機(jī)組輔助設(shè)備采用獨(dú)立的PLC控制。

（2）重視電纜溝、孔洞、穿越樓板、墻壁的孔洞以及高低壓配電屏柜、二次屏柜的孔洞封堵工作，防止火災(zāi)的蔓延和小動(dòng)物造成的設(shè)備事故。

（3）重視水電站安全生產(chǎn)的技術(shù)措施和管理措施，完善運(yùn)行操作規(guī)程并要求所有生產(chǎn)人員熟悉設(shè)備的操作規(guī)程，制定并熟悉各種發(fā)電設(shè)備的應(yīng)急預(yù)案。

（4）加強(qiáng)生產(chǎn)人員及相關(guān)人員的技術(shù)培訓(xùn)，熟悉各種發(fā)電設(shè)備的工藝流程、影響電站安全運(yùn)行的各種技術(shù)參數(shù)，培養(yǎng)技術(shù)人員及時(shí)發(fā)現(xiàn)問(wèn)題的能力，使他們對(duì)任何故障信息均有較高的警覺(jué)性，并及時(shí)向生產(chǎn)技術(shù)決策人員報(bào)告，技術(shù)決策人員具備果斷決策的能力。

（5）對(duì)發(fā)生過(guò)的事故或是險(xiǎn)兆事故應(yīng)全面進(jìn)行事故分析，查清事故的原因、查清事故的責(zé)任人并教育事故責(zé)任人、提出并實(shí)施切實(shí)可行的防止同類事故發(fā)生的技術(shù)措施和組織措施。

[1]中華人民共和國(guó)國(guó)家能源局.水電廠計(jì)算機(jī)監(jiān)控系統(tǒng)運(yùn)行及維護(hù)規(guī)程[S],2016.

[2]中華人民共和國(guó)國(guó)家能源局.水力發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)設(shè)計(jì)規(guī)范[S],2009.

[3]陳啟卷,李延頻.水電廠計(jì)算機(jī)監(jiān)控系統(tǒng)[M].北京:中國(guó)水利水電出版社,2006.

[4]王定一.水電廠計(jì)算機(jī)監(jiān)控與控制[M].北京:中國(guó)電力出版社,2001.

[5]中國(guó)水利水電科學(xué)研究院自動(dòng)化所.H9000水電站計(jì)算機(jī)監(jiān)控系統(tǒng)說(shuō)明書[Z],2011.

TV738

B

1672-5387（2017）06-0038-04

10.13599/j.cnki.11-5130.2017.06.014

2016-12-26

張方慶（1979-），男，高級(jí)工程師，從事電氣設(shè)備技術(shù)管理工作。