控制系统无防护,系统死机全厂解列
2000年10月13日,某大型水电厂(装机6×550 MW。以下简称A电厂)因二次控制系统在设计和运行管理方面存在严重的安全隐患,运行中发生计算机监控系统死机,造成全厂所有运行机组同时甩负荷。
【事故经过】
2000年10月13日,500 kV A电厂—普提—洪沟一回线路检修,电厂1—4号机组运行,5、6号机组停运。11时30分机组总出力1014 MW,突然计算机监控系统操作员站和返回屏无任何实时数据显示,计算机监控系统死机。经现场检查1—4号机组出口开关均在台闸位置。总出力降至120 MW,1—4号机组调速器均有小故障信号。A电厂瞬时甩负荷894 MW,系统频率由50.05Hz急剧下降。11时31分系统主调频厂B水电厂4×175 MW机组中的1、4号机解列,甩负荷390 MW,系统频率深幅下降,最低频率为48.928Hz。A电厂临时安控系统的就地低频减负荷装置(定值为49.2Hz、0.3 s)切除负荷217 MW。低频率减负荷装置基本一轮(定值为49.0 Hz、0.3 s)和特一轮(定值为49.0Hz、20s)动作切除负荷363.3 MW,紧急事故拉闸限电264 MW,川渝电网共损失负荷854.3MW。11时46分系统频率恢复至49.80 Hz,低频率运行911s;l1时58分,停电负荷全部选出;13时15分,川渝电网恢复正常方式运行。
事故发生前,川渝电网统调负荷5850 MW。发电备用容量800 MW,事故状态下系统频率变化曲线如图1所示,从频率变化曲线看,A电厂甩负荷后,系统由50.05Hz降至49.069 Hz,A电厂临时安控系统的就地低频减负荷装置动作后,频率开始恢复,11时31分B水电厂l、4号机因调速系统原因解列,进一步加剧了系统的有功缺额,最低频率降至48.928 Hz。根据频率变化曲线,可以估计川渝电网频率变化特性为(80 MW—110 MW)/O.1Hz。
图1 事故中系统频率变化曲线
【原因分析】
1、A电厂甩负荷原因分析
A电厂计算机监控系统供应商为德国ABB公司。1999年,A电厂开发了一套MIS系统,在没有采取任何网络安全措施的情况下,将MIS系统直接接入计算机监控系统。MIS系统接入后,计算机监控系统曾出现过系统过载情况。“10.13”事故的表现现象是计算机监控系统IPU过载死机。从系统报管清单中可以看出,在计算机监控系统瘫痪前,报警信息繁多,网络与节点连接失去信号的报警信息超过40条之多,但是计算机未能保存和打印出事故发生时刻计算机监控系统运行的原始数据资料,据此电厂认为IPU死机是计算机网络故障所致。
图2 调速系统的并网信号回路
图2为A电厂机组调速系统的机组并网信号回路。A电厂500 kV主接线为3/2接线,考虑机组零起升压开机方式,机组在500 kV GIS开关侧有16种并网方式,设计由计算机监控系统的IRJ采集500kV各GIS开关位置信号,进行逻辑判断后,给出500kV GIS开关状态复合信号,也就是机组在500 kV GIS开关侧的并网信号,与发电机组出口开关合闸位置信号组成与门,然后进至机组调速系统。由此可见,一旦计算机监控系统的GIS开关状态信号消失,调速系统的机组并网信号也随之消失,调速系统将返至空载工作状态。10月13日11时30分,由于计算机监控系统失灵,所有机组调速器无法从计算机监控系统获得GIS开关的并网信号,调速系统瞬时返回至空载,自动关闭导叶,造成所有机组甩负荷。
2、B水电厂机组跳闸的原因分析
B水电厂I996年12月投运,装机4×175MW,是四川电网主调频厂。机组调速系统改造为省公司的重措项目,1999~2000年由某电机厂对1、4号机组的机械柜和电气柜进行改造,按无人值班电厂标准进行设计,机组调速系统与计算机监控系统实现通讯,并把水头信号引入调速系统,使导叶空载开度和最大电气开度限制随水头变化而变化。在1、4号机组调速系统改造完毕投入运行时,由于计算机监控系统的改造正在实施,无法实现二者之间的通讯,调速系统无法实现最大功率限制,水头信号未能引入调速系统,导叶开度限制也不能随水头变化而自动变化。厂家根据理论计算将电气开限-水头变化关系曲线编制在程序中,并将最大电气开度整定为80%~100%,且固定在存储器中。该关系曲线与实际的电气开限-水头变化关系曲线不一致。B电厂将具有严重功能缺陷的1、4号机组的调速系统投入运行。
事故发生前,B水电厂调频运行,1号机组有功170 MW,4号机组有功173 MW,当系统频率大幅下降时,调速系统自动增加负荷,机组调差系数为6%。11时31分07秒,1号机组有功191.1MW, 11时31分05秒,4号机组有功增至195.6 MW,由于调速系统无法实现最大功率限制,机组有功功率严重上限,11时31分57秒,4号发电机定子反时限过流保护动作跳闸。11时32分,I号发电机定子反时限过流保护动作跳闸。
【防范措施】
1、A电厂甩负荷后系统的频率稳定问题严重威胁着系统的安全运行,必须增设新的安全控制措施,加强第三道防线的建设,才能保证系统的频率稳定;同时需尽快制定和落实系统的“黑启动”方案。
2、A电厂机组调速系统的设计存在明显的不合理性,调速器的工作状态完全依赖于计算机监控系统,而计算机监控系统与厂内MIS系统直接连接,未采取任何隔离措施,存在严重的计算机网络安全问题。B电厂调速器在功能改造和运行管理上也存在重大缺陷,调速器竟在无最大功率限制的情况下投入运行,直接威胁到机组和电同的安全运行。在“10.13”事故的系统频率恢复过程中,一些主力水电厂的备用出力无法迅速启动,其原因均为机组的自动发电控制人为地大大限制了机组功率加减幅度,制约了机组一次调频能力的发挥。
3、电网运行管理部门应对发电机组的频率保护、励磁系统(包括PSS)、调速系统、AGC等二次控制的设计和技术改造进行技术监督,并由发电厂并网调度协议对其提出明确的要求。除此之外,还需要加强发电厂计算机监控系统的技术监督,目前机组运行越来越依赖计算机监控系统,计算机网络同样具有安全问题,重要的发电机组调节系统不能完全依赖计算机监控系统,应采用分层控制、集中管理方式。