瀟湘水電站4號機組PLC故障導(dǎo)致斷油燒瓦事故的原因及教訓(xùn)

張方慶

（瀟湘水電站，湖南 永州 425000）

瀟湘水電站4號機組PLC故障導(dǎo)致斷油燒瓦事故的原因及教訓(xùn)

張方慶

（瀟湘水電站，湖南 永州 425000）

介紹了湖南瀟湘水電站4號機組PLC故障導(dǎo)致斷油燒瓦事故的現(xiàn)象，全面分析事故的原因，深刻吸取了燒瓦事故的教訓(xùn)。有針對性的提出了防止同類事故發(fā)生的技術(shù)措施和管理措施，為燈泡貫流式水電站計算機監(jiān)控系統(tǒng)的設(shè)計、安裝、調(diào)試、運行與維護提供了可靠的實踐經(jīng)驗。

瀟湘水電站；PLC故障；燒瓦；教訓(xùn)

1 引言

湖南瀟湘水電站地處湘江上游的永州市中心，設(shè)計裝機為4×13 MW的燈泡貫流式水輪發(fā)電機，采用中國水利水電科學(xué)研究院自動化所的H9000水電站計算機監(jiān)控系統(tǒng)對機組進行監(jiān)視與控制，該系統(tǒng)在該電站投入近10年以來一直運行正常。機組現(xiàn)地控制單元配置了GE－30系列PLC，采用100 M光纖以太網(wǎng)與上位機通訊。整個現(xiàn)地控制單元采用單網(wǎng)單CPU配置模式。機組輔助設(shè)備采用手、自動控制方式，自動控制方式是直接由PLC的一個輸出繼電器通過程序控制。2016年6月29日14∶18許，運行值班人員發(fā)現(xiàn)4號機組突然劇烈振動，水輪機管形座內(nèi)冒煙，值班人員在中控室按下緊急停機按鈕后機組失控無法執(zhí)行事故停機指令。隨后手動跳開發(fā)電機開關(guān)后，采用手動操作調(diào)速器的事故停機電磁閥將機組停下。

2 事故原因分析

2.1 檢查及初步判斷

檢查發(fā)現(xiàn)機旁屏的測溫制動柜上發(fā)電機和水輪機徑向瓦溫度達170℃，水輪機正推力瓦溫度達100℃，由此初步判斷機組劇烈振動是因燒瓦所致。在中控室上位機調(diào)取4號機組當天的歷史記錄。從4號機的歷史記錄可知，4號機組從10∶33記錄“發(fā)電機電導(dǎo)軸承高壓頂起油壓正常”后再沒有記錄機組任何狀態(tài)和故障事件，只從10∶34∶04開始多次記錄紅色事件“4號機LCU網(wǎng)絡(luò)聯(lián)接XXOPA狀態(tài)”、“4號機LCU網(wǎng)絡(luò)聯(lián)接XXOPB狀態(tài)”，這些報警信息表示上位機兩臺互為備用的工作站與4號機下位機網(wǎng)絡(luò)聯(lián)接故障。而從13∶49∶46開始，上位機人工下達了多次與下位機通訊聯(lián)接的命令，均收到網(wǎng)絡(luò)聯(lián)接故障的事件記錄。雖然4號機組設(shè)計了機組各瓦溫偏高（65℃）報警和各瓦溫過高（70℃）事故停機程序，并會將故障或事故信息實時傳送至上位機進行語音報警和實時記錄。但這次事故由于從10∶34∶04開始通訊中斷而未記錄任何事件。

而機組現(xiàn)地控制單元中的PLC電源模塊、CPU模塊、各輸入模塊均有指示，且從PLC電源模塊和CPU的狀態(tài)指示燈未發(fā)現(xiàn)異常指標燈，但輸出模塊無一輸出指示，與PLC聯(lián)接的觸摸屏顯示“PLC NOT RESPONDING”(PLC沒有響應(yīng))，且無法操作。從上位機與PLC及現(xiàn)地控制單元的觸摸屏與PLC通訊故障及PLC在機組事故狀態(tài)下無任何輸出可初步判斷PLC已出現(xiàn)硬件故障，現(xiàn)場按下機組事故停機按鈕時，PLC不執(zhí)行事故停機流程。從以上現(xiàn)象可分析導(dǎo)致4號機組燒瓦的主要原因——由于PLC的CPU出現(xiàn)致命故障，導(dǎo)致PLC控制的機組潤滑油泵啟停的繼電器失電，從而使?jié)櫥捅猛Ｖ构ぷ?，機組高位油箱快速下降。同時PLC無法執(zhí)行用戶程序，即使輸入模塊收到啟備用潤滑油泵油位信號、高位油箱油位過低信號、高位油箱事故停機油位、機組發(fā)電機、水輪機徑向軸承供油中斷事故信號均不能執(zhí)行事故停機程序，最終造成因機組潤滑油中斷而燒瓦的嚴重事故。

隨后計算機監(jiān)控廠家現(xiàn)場讀取PLC故障表顯示，CPU發(fā)生了致命的硬件故障，將CPU外殼拆開后在內(nèi)部發(fā)現(xiàn)了水漬痕跡，并且屏柜底部發(fā)現(xiàn)了老鼠屎。結(jié)合嗅覺初步判斷CPU出現(xiàn)故障是因老鼠尿引起。

2.2 事故分析

通過現(xiàn)場調(diào)查分析，造成這次事故的原因是多方面的，主要有機組計算機監(jiān)控系統(tǒng)配置不夠完善、計算機監(jiān)控系統(tǒng)對輔助設(shè)備控制方式不合理、安裝施工監(jiān)理不到位、業(yè)務(wù)培訓(xùn)不到位、吸取過往教訓(xùn)不到位等。

（1）機組計算機監(jiān)控系統(tǒng)配置不完善

瀟湘電站4號機組計算機監(jiān)控系統(tǒng)除電源采用冗余配置外，PLC主要核心部件均采用單一配置，即計算機監(jiān)控系統(tǒng)采用單網(wǎng)、單CPU的配置模式，在此基礎(chǔ)上機組主要水機保護（如超溫、超速等）未設(shè)置單獨的保護回路或保護裝置，機組所有的控制、保護、狀態(tài)監(jiān)視均寄托在單個PLC裝置上，PLC的處理器出現(xiàn)故障后，所有開出繼電器失電，所有控制信號消失，正在進行的控制流程停止執(zhí)行。導(dǎo)致PLC輸出繼電器直接控制的軸承潤滑油油泵、冷卻風機和冷卻水泵停止工作。同時監(jiān)控系統(tǒng)不能采集各被控設(shè)備數(shù)據(jù)，潤滑油中斷、軸瓦超溫等事故信號不能反饋至監(jiān)控系統(tǒng)，機組將處于“裸奔”失控狀態(tài)。最終因潤滑油耗盡，發(fā)電機、水輪機徑向瓦和推力瓦溫度急劇升高而燒毀。

4號機組這種單網(wǎng)單CPU配置模式，當發(fā)生這種PLC故障時，如值班人員未及時發(fā)現(xiàn)，極易造成燒瓦、燒發(fā)電機等嚴重的事故，即使及時發(fā)現(xiàn)，如果事先沒有應(yīng)急操作預(yù)案，或是值班人員不具備熟悉的專業(yè)技能，是無法短時進行應(yīng)急處理的，這次事故就是因為PLC出現(xiàn)故障后未及時發(fā)現(xiàn)導(dǎo)致供油中斷，同時機組控制保護失效導(dǎo)致燒瓦無法自動事故停機的嚴重事故。

由于燈泡貫流式機組輔助設(shè)備的可靠性直接關(guān)系到機組的安全運行，因此，必須有一個完整、可靠的輔助設(shè)備及其監(jiān)控系統(tǒng)。機組重要的輔助設(shè)備如冷卻水泵、潤滑油泵等均應(yīng)采用冗余配置，而對這些輔助設(shè)備采用單個PLC輸出繼電器控制時，PLC的核心部件CPU模塊必須采用冗余配置的方式，否則即使輔助設(shè)備有冗余，當CPU出現(xiàn)故障時將不起作用。CPU冗余屬于硬冗余，正常狀態(tài)下，主從CPU保持同步運行；當主CPU故障時切換到從CPU的時間極短，不會丟失數(shù)據(jù)；外設(shè)不受影響，生產(chǎn)正常進行，保障了運行可靠和設(shè)備安全。如果CPU采用了冗余，當主CPU故障后，從CPU投入，即使?jié)櫥捅猛Ｖ构ぷ?，程序會立即?qū)動另一臺潤滑油泵的控制繼電器使備用油泵投入運行，即使備用潤滑油泵未正常投入，當高位油箱油位下降至啟備用油泵油位時，PLC也會再次執(zhí)行啟備用油泵程序并將故障信息及時傳送至上位機，通過聲光及文字提醒值班人員進行處理，即使液位傳感器或其他原因PLC未正常執(zhí)行啟備用油泵程序，當油位下降至事故停機油位或機組軸承供油中斷時，PLC也會執(zhí)行事故停機流程將機組安全停下，避免事故的進一步擴大。如果機組監(jiān)控采用了冗余配置，類似燒瓦事故是完全可以避免的。

（2）計算機監(jiān)控系統(tǒng)對輔助設(shè)備監(jiān)視控制方式不合理

瀟湘水電站4號機組輔助設(shè)備有“手動”和“自動”兩種控制方式，每臺輔助“自動控制”方式是通過PLC程序控制一個輸出繼電器來實現(xiàn)的，程序中的輸出沒有采用自保持的軟元件，這種控制方法本身不存在問題，但對于PLC主要部件未采取硬件冗余措施后，就存在運行的安全風險。主要體現(xiàn)在PLC故障后輸出軟元件不能自保持而使控制繼電器掉電，被控輔助設(shè)備停止運行；因此，當燈泡貫流式水輪發(fā)電機現(xiàn)場采用單網(wǎng)單CPU的配置時，輔助設(shè)備最好采用兩個繼電器對被控輔助設(shè)備進行控制，一個用于控制啟動輔助設(shè)備，通過輔助設(shè)備接觸器的觸點保持接觸器的控制回路，正常運行過程與PLC輸出無關(guān)，一個用于控制停止被控輔助設(shè)備，這樣使輔助設(shè)備正常運行過程中與PLC的輸出無關(guān)，讓輔助設(shè)備控制回路相對獨立，當輔助設(shè)備采用一個繼電器控制時，應(yīng)采用單獨的PLC控制單元對輔助設(shè)備進行控制，這樣即使機組PLC故障也不會使輔助設(shè)備退出運行，同時機組PLC能對輔助設(shè)備的PLC進行監(jiān)視。瀟湘水電站如果采用以上技術(shù)措施，即使CPU故障，潤滑油泵也不會停止工作，導(dǎo)致燒瓦等事故發(fā)生的概率會大大降低。

（3）安裝施工監(jiān)理不到位

由于瀟湘電站的歷史原因，4號機組施工時監(jiān)理不到位，電站內(nèi)部大部分與室外相通的孔洞、高低壓配電屏柜、二次屏柜的孔洞均未完全按照《電氣裝置安裝工程盤、柜及二次接線施工及驗收規(guī)范》及《電氣裝置安裝工程電纜線路施工及驗收規(guī)范》要求封堵。導(dǎo)致老鼠潛入機組LCU屏柜內(nèi)活動，并在CPU模塊上方排尿致使電子設(shè)備出現(xiàn)短路故障。該電站投運以來，先后出現(xiàn)過電纜芯線被老鼠咬斷致通信故障的事故，中控室聲光報警系統(tǒng)因老鼠尿?qū)е略O(shè)備徹底損壞事故，而就在此次事故發(fā)生前的3月份，3號機組因老鼠鉆入發(fā)電機出口開關(guān)柜導(dǎo)致短路引起差動保護動作的重大事故，因此老鼠已多次對電站電氣設(shè)備構(gòu)了嚴重的安全威脅。如果4號機組在屏柜安裝時加強監(jiān)理，嚴格按照電氣設(shè)備安裝驗收規(guī)范進行監(jiān)督管理，或后期的運行過程中對相關(guān)孔洞進行嚴格封堵，這種PLC的故障是可以避免發(fā)生的。

（4）業(yè)務(wù)培訓(xùn)不到位

上位機的歷史記錄表明，10∶34∶04開始記錄上位機與4號機組下位機出現(xiàn)了通訊故障，從這個時間開始機組的狀態(tài)、故障信號已不能傳送至上位機，但根據(jù)后來試驗高位油箱在機組正常供油狀態(tài)下潤滑油泵停止后供油時間為8 min左右及值班人員發(fā)現(xiàn)機組燒瓦劇烈振動時間是在14∶18許，可以判斷當PLC出現(xiàn)與上位機通訊故障時，PLC并未完全停止工作，輸出回路仍能正常工作，否則不可能維持到14:00才因斷油燒瓦。這個通訊故障在上位機不但有紅色狀態(tài)提示，而且有語音報警，如果值班人員對這個報警信號有警覺能力，并及時報告或是對現(xiàn)地單位進行巡視，是可以發(fā)現(xiàn)設(shè)備故障的。再者，瀟湘水電站4臺機組同時運行，每臺機組輔助設(shè)備的狀態(tài)信號（如油壓裝置啟動、漏油泵啟動等）均傳送至上位機實時顯示，每隔一段時間就會有一個狀態(tài)信號上傳，而事故當天從10∶33后再沒有記錄機組任何狀態(tài)和故障事件，只是不停的報上位機與4號機組LCU通訊故障。如果值班人員有這個判斷能力及時發(fā)現(xiàn)并處理也不會導(dǎo)致如此嚴重的后果。而直到通訊中斷3 h后的13∶49∶46開始，上位機才人工下達了多次與下位機通訊聯(lián)接的命令，在這個時間節(jié)點仍可判斷機組還未出現(xiàn)供油中斷事故，只是CPU通訊故障。從此時間段至事故發(fā)生的40min的時間內(nèi)，多次連網(wǎng)失敗未采取現(xiàn)場檢查、及時匯報等措施，導(dǎo)致錯過了防止事故擴大的最佳時機，最終造成嚴重事故。

由于瀟湘電站投運之初是采用常規(guī)繼電器控制方式，后來逐步改造成計算機監(jiān)控后仍保留原有控制臺的設(shè)備，沒有進行全面系統(tǒng)業(yè)務(wù)培訓(xùn)，部分值班人員有采用監(jiān)視原來控制臺的儀表進行值守的習(xí)慣，這種習(xí)慣導(dǎo)致值班人員忽視了對工作站機組實時狀態(tài)的監(jiān)視。更不能理解是為了避免計算機語言報警聲的影響，將設(shè)備音響關(guān)閉，從而導(dǎo)致機組多次出現(xiàn)事故、故障信號報警后值班人員而未覺察到，又因值班人員未監(jiān)視上位的故障信號，最終均導(dǎo)致機組事故停機。如改變這種值班方式，這些事故停機是完全可避免的。

（5）吸取過往事故教訓(xùn)不到位

造成這次事故嚴重后果的另一主要原因就是吸取過往教訓(xùn)不到位，在此次事故發(fā)生前同月的6月5日，1號機組發(fā)生過同類型的險兆事故——1號機組在1號潤滑油泵退出的狀態(tài)下，2號潤滑油泵因油流小于供油流量，導(dǎo)致高位油箱油位下降至即將達到事故停機油位被值班人員及時發(fā)現(xiàn)緊急采取手動投入另一臺油泵措施，避免了事故的發(fā)生。而當時1號機組的水機保護連片自當年3月初檢修后一直是退出運行的，有關(guān)人員多次反映此問題未引起足夠的重視，相當于1號機組在無任何水機保護的狀況下“裸奔”了3個月，若機組超速、超溫和斷油等事故將無法自動事件停機，事后調(diào)取歷史記錄發(fā)現(xiàn)上位機在此之前已有“潤滑油啟備用油泵油位”報警信息，但值班人員并未覺察到，如果不及時發(fā)現(xiàn)油位下降至事故停機油位、各推力瓦、徑向軸承供油中斷時，機組也不能自動停機，只會有報警信號。如果對過往類似故障充分分析原因、充分吸取教訓(xùn)，類似燒瓦事故發(fā)生的概率會大大降低。

3 吸取的教訓(xùn)

（1）燈泡貫流式水輪發(fā)電機計算機監(jiān)控系統(tǒng)現(xiàn)地控制單元、操作員站及其工作電源應(yīng)按《水力發(fā)電廠計算機監(jiān)控系統(tǒng)設(shè)計規(guī)范》要求采用冗余的配置方式，確保監(jiān)控系統(tǒng)對機組進行可靠的監(jiān)視與控制，保證有雙網(wǎng)雙CPU的配置模式。而采用單PLC控制時，應(yīng)根據(jù)《水力發(fā)電廠計算機監(jiān)控系統(tǒng)設(shè)計規(guī)范》要求，結(jié)合現(xiàn)場實際情況設(shè)置水機事故保護的簡化的繼電器接線或PLC，或是機組輔助設(shè)備采用獨立的PLC控制。

（2）重視電纜溝、孔洞、穿越樓板、墻壁的孔洞以及高低壓配電屏柜、二次屏柜的孔洞封堵工作，防止火災(zāi)的蔓延和小動物造成的設(shè)備事故。

（3）重視水電站安全生產(chǎn)的技術(shù)措施和管理措施，完善運行操作規(guī)程并要求所有生產(chǎn)人員熟悉設(shè)備的操作規(guī)程，制定并熟悉各種發(fā)電設(shè)備的應(yīng)急預(yù)案。

（4）加強生產(chǎn)人員及相關(guān)人員的技術(shù)培訓(xùn)，熟悉各種發(fā)電設(shè)備的工藝流程、影響電站安全運行的各種技術(shù)參數(shù)，培養(yǎng)技術(shù)人員及時發(fā)現(xiàn)問題的能力，使他們對任何故障信息均有較高的警覺性，并及時向生產(chǎn)技術(shù)決策人員報告，技術(shù)決策人員具備果斷決策的能力。

（5）對發(fā)生過的事故或是險兆事故應(yīng)全面進行事故分析，查清事故的原因、查清事故的責任人并教育事故責任人、提出并實施切實可行的防止同類事故發(fā)生的技術(shù)措施和組織措施。

[1]中華人民共和國國家能源局.水電廠計算機監(jiān)控系統(tǒng)運行及維護規(guī)程[S],2016.

[2]中華人民共和國國家能源局.水力發(fā)電廠計算機監(jiān)控系統(tǒng)設(shè)計規(guī)范[S],2009.

[3]陳啟卷,李延頻.水電廠計算機監(jiān)控系統(tǒng)[M].北京:中國水利水電出版社,2006.

[4]王定一.水電廠計算機監(jiān)控與控制[M].北京:中國電力出版社,2001.

[5]中國水利水電科學(xué)研究院自動化所.H9000水電站計算機監(jiān)控系統(tǒng)說明書[Z],2011.

TV738

B

1672-5387（2017）06-0038-04

10.13599/j.cnki.11-5130.2017.06.014

2016-12-26

張方慶（1979-），男，高級工程師，從事電氣設(shè)備技術(shù)管理工作。