一種隱藏的監(jiān)控系統(tǒng)缺陷處理探討

2022-08-01 07:46:26于在甫

四川水力發(fā)電 2022年3期

于在甫

(華電金沙江上游水電開發(fā)有限公司蘇洼龍分公司，四川成都 610041)

0 引言

隨著我國水電建設(shè)的不斷發(fā)展，水電站監(jiān)控的發(fā)展也經(jīng)歷了人工監(jiān)控、電話調(diào)度和遠動化監(jiān)控，以及以計算機為核心、以現(xiàn)代化數(shù)據(jù)通信為基礎(chǔ)的計算機監(jiān)控系統(tǒng)等階段。水電廠應(yīng)用計算機監(jiān)控系統(tǒng)對提高自動化水平，保證安全運行，提高經(jīng)濟效益，改善勞動條件，促進技術(shù)進步都具有十分重要的意義。

根據(jù)電力行業(yè)相關(guān)標準要求，機組現(xiàn)地控制單元，即電站計算機監(jiān)控系統(tǒng)下位機的順序控制和調(diào)節(jié)需要具備機組正常開、停機順序控制及緊急停機順序控制[1]。在電站的實際應(yīng)用中，一般會根據(jù)機組事故等級，將機組緊急停機順序控制程序分為三類：電氣事故停機、機械事故停機、緊急事故停機。

同時，水電站各類輔助設(shè)備信息化、智能化越來越高，技術(shù)人才逐漸緊缺，都對水電站監(jiān)控系統(tǒng)的穩(wěn)定性、可靠性帶來一定影響。各個監(jiān)控設(shè)備廠家針對這一需求，也對各自的計算機監(jiān)控系統(tǒng)進行了迭代升級。根據(jù)相關(guān)要求，對監(jiān)控系統(tǒng)軟件的修改，應(yīng)制定相應(yīng)的技術(shù)方案并經(jīng)技術(shù)管理部門審定后執(zhí)行。經(jīng)過模擬測試和現(xiàn)場試驗，合格后方可投入正式運行。實施軟件改進前，應(yīng)對當前運行的應(yīng)用軟件進行備份并做好記錄。改進實施完成后，應(yīng)做好最新應(yīng)用軟件的備份，及時更新軟件功能手冊及相關(guān)運行手冊。若軟件改進涉及到多臺設(shè)備，且不能一次完成時，宜采用軟件改進跟蹤表，以便跟蹤記錄改進的實施情況[2]。

在計算機監(jiān)控系統(tǒng)不斷升級的過程中，仍不可避免地會出現(xiàn)一些BUG。由于主、客觀原因，調(diào)試人員在升級完程序后進行調(diào)試或者試驗時，并不能完全真實地模擬機組所有狀態(tài)，導(dǎo)致這些BUG不能得到及時的處理，給計算機監(jiān)控系統(tǒng)帶來隱藏的故障或缺陷。由于這類故障或缺陷的隱蔽性，在機組正常運行時不會暴露出來，一旦出現(xiàn)往往會帶來極大的危害。本文描述的這類缺陷在計算機監(jiān)控系統(tǒng)缺陷中，屬于典型的程序邏輯錯誤，給機組控制流程帶來隱藏缺陷。因為涉及到機組緊急停機流程，一旦機組發(fā)生事故，就可能繼續(xù)擴大，發(fā)生機組二級過速甚至飛逸事故。

1 電廠及故障狀況

四川某水電站，計算機監(jiān)控系統(tǒng)按照“無人值班(少人值守)”的原則設(shè)計，能受到現(xiàn)地控制單元(LCU)、中控室、四川省電力調(diào)度中心的監(jiān)視和控制[3]。上位機采用北京中水科技水電科技開發(fā)有限公司開發(fā)的H9000水電廠計算機監(jiān)控系統(tǒng)結(jié)構(gòu)及配置:下位機LCU采用國電南京自動化股份有限公司供貨，以施耐德可編程控制器(PLC)為基礎(chǔ)構(gòu)成(在建的遠程控制系統(tǒng)亦由國電南京自動化股份有限公司供貨及技術(shù)支持)。

該電站計算機監(jiān)控系統(tǒng)具有以下主要功能:

(1)數(shù)據(jù)采集和處理；

(2)安全運行監(jiān)視；

(3)自動發(fā)電控制(AGC)；

(4)自動電壓控制(AVC)；

(5)人機接口及操作；

(6)設(shè)備運行管理指導(dǎo)；

(7)系統(tǒng)自動診斷與自動恢復(fù)；

(8)系統(tǒng)通信。

在一次機組檢修過程中，開展機組監(jiān)控系統(tǒng)事故流程模擬試驗，發(fā)現(xiàn)當模擬“機組轉(zhuǎn)速大于二級過速(145% Ne)”事故源，機組能夠按照要求啟動緊急停機流程，并“動作快速門”(緊急落門)。但是，當同時模擬“調(diào)速器手動，且轉(zhuǎn)速大于115%”、“機組轉(zhuǎn)速大于二級過速(145%Ne)”時，機組并不能正常“動作快速門”。

該電站采用引水調(diào)壓式，通過壓力鋼管將水庫水源引致調(diào)壓室,經(jīng)過調(diào)壓室工作閘門控制將水源送至水輪機組。在機組正常運轉(zhuǎn)時，只通過導(dǎo)葉控制機組轉(zhuǎn)速及機組狀態(tài)轉(zhuǎn)換過程。當機組發(fā)生嚴重事故，導(dǎo)葉關(guān)閉失敗或者機組轉(zhuǎn)速過快(大于額定轉(zhuǎn)速145%)，就要通過落下調(diào)壓室工作閘門來切斷水源，防止事故擴大。

在監(jiān)控系統(tǒng)機組LCU控制程序中，對機組事故進行了分類，分別有電氣事故、機械事故、緊急事故。對于緊急事故，根據(jù)事故原因的不同，動作結(jié)果分為落工作門與不落工作門兩種。經(jīng)過本次檢修測試發(fā)現(xiàn)，當同時發(fā)生導(dǎo)致落門與不落門的事故時，不落門的事故源會覆蓋需要落門的事故啟動源，導(dǎo)致工作門不再需要時及時落下，造成極大的安全隱患。

2 缺陷原因

機組事故流程控制主要由計算機監(jiān)控系統(tǒng)下位機控制，主控為機組LCU，輔控為水機保護柜PLC。該電站下位機由國電南京自動化股份有限公司供貨，采用施耐德品牌可編程控制器。經(jīng)分析，此缺陷的原因主要是下位機PLC控制程序BUG導(dǎo)致。

該電站下位機LCU采用施耐德品牌昆騰系列PLC，調(diào)試軟件為UNITY Pro，主程序及程序段根據(jù)具體需求，采用以下語言編寫:

功能塊圖FBD、梯形圖(LD) 語言、指令列表IL、結(jié)構(gòu)化文本ST、序列控制SFC。

所有編程語言可在同一項目中混用，并符合IEC 61131-3標準。UNITY Pro附帶的擴展功能塊庫中包含各種功能，從簡單布爾運算的功能塊、進行字符串和數(shù)組操作的功能塊到對復(fù)雜控制回路進行控制的功能塊都有[4]。

一個完整的控制程序可由以下元素構(gòu)成:

主任務(wù)(MAST)、快速任務(wù)(FAST)、1～4個Aux任務(wù)、為其分配一項已定義任務(wù)的段、用于處理由時間控制的事件的段(Tlmerx)、用于處理由硬件控制的事件的段(EVTx)、子程序段。

該電站下位機LCU控制程序有一個主程序 MAIN-PROC和許多子程序段構(gòu)成。機組運行至今，機組LCU及水機保護PLC控制程序共進行過“加裝機組運行過程中主軸密封水中斷啟動事故停機流程”、“區(qū)分機組事故停機、緊急停機過程”、“將事故停機、緊急停機事故過程分優(yōu)先級”等多項修正和升級。

在機組LCU及水機保護PLC控制程序升級過程中，監(jiān)控廠家及業(yè)主單位都對監(jiān)控系統(tǒng)各項功能進行了測試，并對機組流程進行了試驗。歷次試驗中，均未發(fā)現(xiàn)監(jiān)控系統(tǒng)BUG出現(xiàn)故障。

經(jīng)查，此次BUG故障發(fā)生在幾種不同語言編寫的程序段中，其中機組緊急停機事故判定程序采用功能塊圖FBD語言編寫，程序段主要內(nèi)容見圖1。

如圖1所示，在機組開關(guān)量、中斷量同時報“機組轉(zhuǎn)速大于145%Ne故障”信號時(圖1中轉(zhuǎn)速大于145%信號滿足)，且信號保持時長大于300毫秒(途中信號過濾)，將會給事故啟動源中間變量“RESON”置值為3(圖1中啟動源置為3)，然后經(jīng)綜合判定、上升沿觸發(fā)、流程閉鎖等一系列程序流，再分別對控制對象置值、對控制接受置值、對流程步驟置值、對啟動原因置值、對下位機LCU號置值，并執(zhí)行子程序調(diào)用。在此過程中，流程將機組控制流程控制接受值“RCEVIVE．CMMD”置為2。當機組控制流程接受值“RCEVIVE．CMMD”等于“2”時，流程跳轉(zhuǎn)到另一組由結(jié)構(gòu)化文本ST語言編寫的程序段，此后將機組流程轉(zhuǎn)為緊急事故停機流程，再將機組工況轉(zhuǎn)換流程步驟跳轉(zhuǎn)到第200步，進入機組緊急停機流程見圖2。

當模擬“機組轉(zhuǎn)速大于二級過速”事故時，機組LCU監(jiān)控程序按照以上方式，觸發(fā)緊急停機流程，然后根據(jù)事故源中間變量REASON的值來判定動作快速門，即：當“REASON”大于0且小于5時給落門控制零，并保持120秒確保工作門落門到位，然后繼續(xù)執(zhí)行投數(shù)固配壓閥、向電調(diào)柜發(fā)出緊急停機令、事故跳發(fā)電機出口斷路器DL2第1組跳閘線圈、事故跳發(fā)電機出口斷路器DL2第2組跳閘線圈、跳滅磁開關(guān)等一系列操作。當“REASON”的值不是0～5之間時，不執(zhí)行落門程序，直接執(zhí)行投數(shù)固配壓閥、向電調(diào)柜發(fā)出緊急停機令、事故跳發(fā)電機出口斷路器DL2第1組跳閘線圈、事故跳發(fā)電機出口斷路器DL2第2組跳閘線圈、跳滅磁開關(guān)等一系列操作。

當同時模擬“調(diào)速器手動且轉(zhuǎn)速大于115%”、“機組轉(zhuǎn)速大于二級過速(145% Ne)”時，存在兩個事故判定源。“調(diào)速器手動且轉(zhuǎn)速大于115%”事故將事故源中間變量REASON的值置為7，而“機組轉(zhuǎn)速大于二級過速(145%Ne)”將事故源中間變量REASON置為3。

根據(jù)施耐德編程手冊可知，F(xiàn)BD功能塊程序執(zhí)行的順序由信號流決定，并行功能塊執(zhí)行順序由功能塊的執(zhí)行編號指示，執(zhí)行編號數(shù)值代表執(zhí)行次序。由圖1可以看出，將事故源中間變量REASON置為3的功能塊執(zhí)行編號為16，將事故源中間變量REASON置為6的功能塊執(zhí)行編號為51。由此可知，當這兩個事故源同時存在時，程序執(zhí)行過程中，中間變量REASON先被置為3，后被置為7，最后按照REASON置為7來執(zhí)行后續(xù)程序，此時，程序?qū)⑴卸C組緊急停機狀態(tài)為不落門的一種。這也是在本次檢修中，當同時模擬的兩個事故源時，機組不能正常動作快速門的原因。而且，一旦進入緊急停機流程，將按照當前緊急停機流程啟動源執(zhí)行，即便事故擴大至需要動作工作門的事故時，由于已經(jīng)在緊急停機流程中，新的事故源即便被識別也不會執(zhí)行。當存在兩種情況會導(dǎo)致需要落工作門的事故時，工作門無法落下：

圖2 進入機組緊急停機流程

(1)同時發(fā)生需要落門和不需要落門的緊急停機事故；

(2)先發(fā)生了不需要落門的緊急停機事故，然后事故擴大發(fā)生了需要落門的緊急停機事故。

從圖1可以看出，不僅事故源“調(diào)速器手動，且轉(zhuǎn)速大于115%”存在時，會導(dǎo)致“機組轉(zhuǎn)速大于二級過速(145% Ne)”事故源無法觸發(fā)，緊急停機的最后三個事故源存在時(分別將REASON置為5、6、7)，都將閉鎖前四個需要動作事故門，使緊急停機流程無法觸發(fā)。如果最后三個事故源先滿足條件的話，也將占用緊急停機流程，導(dǎo)致前四個事故源無法觸發(fā)。

根據(jù)《NB /T 35004- 2013水力發(fā)電廠自動化設(shè)計技術(shù)規(guī)范》規(guī)定，當機組發(fā)生下列事故時，應(yīng)關(guān)閉快速事故閘門或蝶閥、球閥、圓筒閥，并啟動水力機械事故停機流程:

(1)機組過速到最大瞬態(tài)轉(zhuǎn)速的規(guī)定值加3%額定轉(zhuǎn)速(二級過速)時，電氣轉(zhuǎn)速信號器動作；

(2)機組過速到最大瞬態(tài)轉(zhuǎn)速的規(guī)定值加5%額定轉(zhuǎn)速(二級過速)時，機械液壓過速保護裝置或機械過速開關(guān)動作。

機組在發(fā)生事故的時候，特別是過速事故時，都是從額定轉(zhuǎn)速增加到一級過速(115%Ne)，然后發(fā)展到二級過速。如果監(jiān)控系統(tǒng)不能正確動作，將會給機組穩(wěn)定運行帶來極大的安全隱患。

3 缺陷處理

為了消除缺陷，修復(fù)機組監(jiān)控流程BUG，可以采取兩種方式：

第一種方式：將需要動作于落門的緊急停機事故與不動作落門緊急停機流程獨立開，即將緊急停機流程分為兩個，不動作于落門的一級緊急流程獨立動作，當動作于落門的二級停機流程動作后，閉鎖一級緊急停機流程，執(zhí)行二級緊急停機流程，確保在事故擴大時工作閘門能夠可靠動作。這樣修改的優(yōu)點是：不管兩事故同時發(fā)生、還是不需要動作落門的事故先發(fā)生，一旦需要動作落門事故發(fā)生，就會執(zhí)行落門的緊急停機事故。缺點是：程序改動較大，在程序改動的過程中，有帶來其他漏洞的風(fēng)險。

第二種方式：在緊急停機7個啟動源中，將需要落門的緊急停機事故啟動源程序塊(FBD功能塊)調(diào)整到不需要落門的緊急停機事故啟動源程序塊之后。這樣修改的優(yōu)點是：當同時發(fā)生需要落工作門和不需要落工作門的緊急停機事故時，能夠保證機組緊急停機事故正常落門，程序改動較小。缺點是：如果不需要落門的緊急停機事故先發(fā)生，后續(xù)事故擴大發(fā)生了需要落門的緊急停機事故時，工作門不能正常落下。

經(jīng)該電站與監(jiān)控系統(tǒng)供應(yīng)商共同協(xié)商后，計劃先按照方案2執(zhí)行，待后期改造時再處理遺留問題。檢修單位根據(jù)業(yè)主意見，將機組LCU及水機保護PLC控制程序根據(jù)方案2進行了修改，并對機組重新進行了流程試驗。經(jīng)試驗驗證：當發(fā)生機組緊急停機事故時(模擬事故信號)，機組緊急流程能夠正常動作；當同時發(fā)生需要落門的緊急停機事故以及不需要落門的緊急停機事故時，機組緊急停機流程能夠正常動作，并能夠正常地動作于落工作閘門。

4 結(jié) 語

根據(jù)計算機監(jiān)控系統(tǒng)試驗驗收規(guī)程要求，監(jiān)控系統(tǒng)試驗驗收工作中，需要通過各種人機接口設(shè)備(如現(xiàn)地/廠站，鍵盤/按鈕等)發(fā)出控制命令或模擬啟動條件啟動控制流程。各種命令或啟動條件所引發(fā)的控制操作(包括成功與失敗)、提示、登錄、報警及相應(yīng)處理等應(yīng)滿足受檢產(chǎn)品技術(shù)條件規(guī)定，且最終的控制流程及設(shè)置的有關(guān)參數(shù)應(yīng)與現(xiàn)場設(shè)備要求一致[5]。在水電站監(jiān)控系統(tǒng)設(shè)備調(diào)試過程中，需要模擬各類機組事故來驗證機組事故流程能否正常啟動。然而，機組事故發(fā)生時存在很多不確定性，甚至可能多類事同時發(fā)生。在面對各類復(fù)雜情況下，怎樣驗證監(jiān)控系統(tǒng)流程是否正常啟動，怎樣檢查各類設(shè)備動作情況，是監(jiān)控調(diào)試人員需要重點關(guān)注的事情。