(粤华发电有限责任公司,广东 广州 510731)
中山电厂A厂2号机组曾发生一起锅炉MFT引发的机组跳闸事故。事故的经过是,当天上午10:20左右,2号机组满负荷运行,锅炉操作员站CRT中部分电动门阀位指示均变为黄色(表示中间位置)。几分钟后,锅炉2台引风机出口风门全关,调节挡板关至3%以下。接着,锅炉MFT动作,汽轮机、发电机跳闸,FSSS操作面板显示MFT动作原因是失去全部引风机。
1 事故原因分析
(1) 热工人员检查发现,DCS 1号柜的24VDC电源有一个跳闸,该电源为SCS(顺序控制系统)站的开关量I/O模板SDM的各通道提供外部电源。经分析,该电源跳闸是引发机组跳闸的直接原因。
导致电源跳闸的主要原因是过载。事实上,只要有任何一个I/O通道出现接地,而对应的分保险不能及时烧断的话,就可能导致总电源过载跳闸。
(2) SDM的开关量输入通道要求高低电平信号,输入的无源接点需经过外部电源转换成高低电平。如图1中所示的SDM输入通道接线原理,如果24VDC电源跳闸,各输入通道变为低电平,即"0"。
事故发生时的情况是,SCS站的I/O模板中,1,2,4号SDM的外部24VDC消失,而这3块模板均组态为SCS站开关量输入模块,其中包括A、B引风机运行的信号,所以这些输入通道均变为"0",A,B引风机运行信号也为"0"。因SCS的程序组态中,A、B引风机跳闸信号是A、B引风机运行信号取反,所以A、B引风机跳闸信号均变为"1",即误发了2台引风机跳闸的信号。
(3) 根据图1中所示的SCS引风机顺序控制逻辑,如引风机跳闸,延时1 min,会联锁关引风机进口挡板和出口风门。事故发生时炉膛负压调节系统投自动运行,引风机进口挡板处于DCS自动控制中,联锁信号发挥作用,结果2台引风机的进口挡板和出口风门均被关闭。
(4) FSSS中,引风机全部跳闸或进口挡板开度均小于3%,就判断为锅炉失去全部引风机,这是MFT的条件之一。实际上2台风机的进口挡板已经全关,所以引发MFT动作,紧接着汽轮机和发电机也联锁跳闸,机组全停。
以上电源掉电的情况在1号机组DCS调试阶段也曾发生过,但因为是调试,机组未运行,没能发现安全隐患。当时考虑到设计的电源功率可能不够,将200 W换成400 W,之后未发生过类似的情况。
2号机组调试阶段,因无400 W电源备品,就采用了重新均衡分配电源负载的方法,从调试阶段到该次机组跳闸前,未出现过掉电的问题。
2 事故预防措施
(1) 增大电源功率,由200 W改成400 W。
(2) 重新分配SCS站各SDM模块外部24VDC电源,尽量保证各程序控制回路中的输入点和输出点用同一电源。这样,在电源消失后,即使输出控制误发,由于输出电源消失,控制信号也无法发出,就不会引起误动。但这仅对开关量输出控制有效,对采用模拟量信号输出控制则无效,因为该控制信号输出由模拟量模板EAM完成,与上述电源无关。如果用同一电源提供给"引风机运行"输入信号和"关引风机出口风门"输出信号,则在该电源跳闸的情况下,出口风门不会关,而引风机调节挡板开度则取决于挡板操作器处于自动还是手动状态。如果为自动,由DCS的EAM输出控制,会引起全关;如果为手操器手动,则保持原来位置不变,联锁不起作用。
(3) 重新从风机电气控制回路取样"引风机运行"及"送风机运行"的信号,如图2示,由原来的常开接点改为常闭接点。这样,在SDM输入中,信号为"0"时表示风机运行,为"1"时表示风机跳闸,然后修改SCS中的各送、引风机顺控逻辑梯形图的组态。这样在电源跳闸时,如果风机在运行,输入信号状态不会改变,也就不会引起误动作。
(4) 由该电源供电的I/O点大部分是电气回路
送来的接点及现场所有电动门开关位置信号。引起电源跳闸的原因除了可能是电源自身负载能力不够以外,还与这些信号接点是否接地、短路或者串入强电干扰有关,因此需要全面检查这些I/O接点和开关接线是否正常和绝缘是否良好。
(5) 检查SCS中其他的I/O点和逻辑回路在该电源消失时是否存在类似的问题,并加以解决。
上述措施实施后再未出现类似的问题。即使出现某SDM的I/O电源保险烧断,也仅对CRT指示构成影响,没有引发机组跳闸的重大事故。
从这起事故可以看出,随着DCS的广泛应用和功能的丰富,其可靠性也要提高,包括电源设计分配、I/O回路的设计等环节,都需综合考虑,这样才能确保系统的安全运行。