彭煜民,吳云峰

(1. 南方電網(wǎng)調(diào)峰調(diào)頻發(fā)電公司 廣東 廣州 510635；2.中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實驗室，北京 102209)

0　引言

隨著社會的進(jìn)步和安全管理水平的不斷提升，“本質(zhì)安全”的理念越來越成為企業(yè)追求的目標(biāo)。本質(zhì)安全的概念可分為狹義和廣義兩種定義。狹義的本質(zhì)安全是指通過設(shè)計等手段使生產(chǎn)設(shè)備或生產(chǎn)系統(tǒng)本身具有安全性，即使在誤操作或設(shè)備發(fā)生故障時也不會發(fā)生事故。廣義的本質(zhì)安全是指通過追求企業(yè)生產(chǎn)流程中人、物、系統(tǒng)、環(huán)境、制度等諸要素的安全可靠和諧統(tǒng)一，使各種危害因素始終處于受控狀態(tài)[1]。本文主要基于狹義的本質(zhì)安全概念對抽水蓄能電站計算機監(jiān)控系統(tǒng)進(jìn)行設(shè)計探討。

1　抽水蓄能機組的控制特點

(1)抽水蓄能機組相比常規(guī)發(fā)電機組而言，具有工況轉(zhuǎn)換流程多、啟停頻繁的特點。常規(guī)水電主要工況只有發(fā)電一種，且豐水期啟動發(fā)電后一般可連續(xù)運行很長時間，設(shè)備長期保持在相對穩(wěn)定的狀態(tài)；而抽水蓄能機組除了發(fā)電工況外，還有抽水調(diào)相、發(fā)電調(diào)相、抽水、拖動機、黑啟動等工況，工況間轉(zhuǎn)換流程多，且每日均需根據(jù)電網(wǎng)調(diào)峰填谷的要求頻繁啟停進(jìn)行發(fā)電和抽水，設(shè)備動作頻次高[2]。

(2)抽水蓄能機組監(jiān)控對象多，機組和設(shè)備之間有很多信號交互需求。抽水蓄能機組除了發(fā)電電動機、水泵水輪機、變壓器、調(diào)速器、勵磁、繼電保護(hù)、輔機等設(shè)備外，還有靜止變頻器、調(diào)相壓回水相關(guān)設(shè)備、抽水調(diào)相啟動刀閘和拖動刀閘等。另外，由于抽水蓄能機組有背靠背拖動抽水調(diào)相啟動的運行方式，當(dāng)一臺機組作為發(fā)電機拖動另一臺機組抽水調(diào)相啟動時，兩臺機組之間需要進(jìn)行信息交互和設(shè)備聯(lián)動配合。

如上所述，抽水蓄能機組的控制特點給監(jiān)控系統(tǒng)提出了更高的可靠性和安全性要求，建設(shè)本質(zhì)安全型抽水蓄能電站計算機監(jiān)控系統(tǒng)對保證抽水蓄能機組的安全穩(wěn)定運行具有非常重要的意義。

2　本質(zhì)安全型抽水蓄能電站計算機監(jiān)控系統(tǒng)設(shè)計目標(biāo)

抽水蓄能電站監(jiān)控系統(tǒng)，可分為調(diào)度層、中控層、現(xiàn)地控制層，如圖1所示。各層及監(jiān)控對象之間、現(xiàn)地控制單元之間通過人機界面、控制程序、數(shù)據(jù)通信、二次回路、傳感元件等形成一個信息交互和控制系統(tǒng)。

圖1　抽水蓄能電站監(jiān)控系統(tǒng)示意圖

總結(jié)過往經(jīng)驗，與監(jiān)控系統(tǒng)相關(guān)的造成機組故障或事故的主要原因可歸結(jié)于以下幾方面：

(1)非冗余配置的重要監(jiān)控設(shè)備故障；

(2)二次回路中繼電器故障或接線端子松動；

(3)監(jiān)測元件或傳感器未正確反映設(shè)備實際狀態(tài)導(dǎo)致機組誤跳閘；

(4)設(shè)備故障前監(jiān)控系統(tǒng)未及時發(fā)現(xiàn)故障先兆并預(yù)警；

(5)設(shè)備故障后相關(guān)設(shè)備未響應(yīng)或錯誤響應(yīng)造成設(shè)備損壞；

(6)因操作功能設(shè)計不合理造成運行值班員操作失誤；

(7)因監(jiān)視功能設(shè)計不合理造成運行值班員未能及時發(fā)現(xiàn)故障報警信號。

基于以上原因分析，要構(gòu)建本質(zhì)安全型抽水蓄能電站計算機監(jiān)控系統(tǒng)，至少應(yīng)實現(xiàn)以下幾方面設(shè)計目標(biāo)：

(1)應(yīng)具有很高的運行可靠性和設(shè)備容錯水平，盡可能少出故障，發(fā)生一般設(shè)備故障應(yīng)不影響機組正常運行；

(2)應(yīng)能在設(shè)備故障前預(yù)先發(fā)現(xiàn)設(shè)備故障先兆，及時發(fā)出預(yù)警信號；

(3)應(yīng)能在設(shè)備異?；蚬收蠒r確保設(shè)備的安全；

(4)應(yīng)能保證運行監(jiān)控操作的安全性、友好性和便捷性。

3　本質(zhì)安全型抽水蓄能電站計算機監(jiān)控系統(tǒng)設(shè)計措施

3.1　提高機組運行可靠性和設(shè)備容錯水平相關(guān)設(shè)計措施

(1)重要監(jiān)控設(shè)備采用冗余配置。

要提高監(jiān)控系統(tǒng)運行的可靠性，對重要監(jiān)控設(shè)備采取冗余配置是最有效的方法。

對于監(jiān)控系統(tǒng)上位機來說，其中的應(yīng)用服務(wù)器、操作員工作站、歷史數(shù)據(jù)服務(wù)器、調(diào)度通信計算機和數(shù)據(jù)總線設(shè)備涉及運行數(shù)據(jù)的實時處理、監(jiān)控、存儲、調(diào)度通信和鏈路，是維持監(jiān)控系統(tǒng)上位機監(jiān)控功能的關(guān)鍵設(shè)備，在設(shè)計時應(yīng)冗余配置，并分別由不同的UPS電源供電。

對于監(jiān)控系統(tǒng)現(xiàn)地控制單元來說，可編程序控制器CPU模塊作為控制核心應(yīng)冗余配置，CPU模塊與I/O模塊通信的接口模塊也應(yīng)冗余配置?，F(xiàn)地控制單元(包括PLC、監(jiān)測儀表、繼電器回路等)應(yīng)由至少雙路直流電源或一路直流一路UPS電源供電。

(2)現(xiàn)地控制單元PLC宜采用遠(yuǎn)程I/O單元和現(xiàn)場總線通信方式采集和發(fā)送信號，減少信號電纜和繼電器邏輯回路。

如圖2所示，各監(jiān)控對象和自動化元件安裝分布在包括發(fā)電機層、中間層、水輪機層等各個不同的地方，現(xiàn)地控制單元PLC宜根據(jù)監(jiān)控對象的分布情況分別在各層設(shè)置遠(yuǎn)程I/O單元，分布在各處的監(jiān)控對象就近將信號接入遠(yuǎn)程I/O單元，從而減少大量的電纜敷設(shè)與連接。

隨著科技的發(fā)展，目前現(xiàn)場總線通信技術(shù)已經(jīng)非常安全可靠，除了PLC各單元之間應(yīng)采用冗余總線通信方式外，PLC與勵磁、調(diào)速器及油壓裝置、繼電保護(hù)裝置、電量變送器、電度表、振擺監(jiān)測系統(tǒng)、主變、進(jìn)水閥、尾閘等子系統(tǒng)應(yīng)盡量采用現(xiàn)場總線通信形式(如Profinet、Profibus-DP、Modbus等)進(jìn)行連接，進(jìn)一步減少電纜敷設(shè)與連接。如果通信協(xié)議相同的話，各通信終端之間宜采用環(huán)網(wǎng)連接，以提高冗余通信能力。

圖2　現(xiàn)地控制單元及監(jiān)控對象分布連接示意圖

另外設(shè)備控制邏輯應(yīng)盡可能采用程序軟件實現(xiàn)，減少繼電器和中間回路使用率，盡量采用可靠性更高的固態(tài)繼電器，降低繼電器及中間回路故障影響機組正常運行的幾率。

(3)選用經(jīng)過長期運行考驗的自動化元件，盡量規(guī)范自動化元件安裝質(zhì)量要求。

據(jù)統(tǒng)計，抽水蓄能機組啟停失敗故障中，70%以上是由自動化元件失效導(dǎo)致的。如果把監(jiān)控系統(tǒng)看作神經(jīng)中樞的話，那么作為神經(jīng)末梢的自動化元件對保證系統(tǒng)的運行可靠性具有重要作用。因此，在設(shè)計選型時，應(yīng)對各個電廠自動化元件的使用情況進(jìn)行深入調(diào)研，分析篩選出經(jīng)過長期運行考驗的自動化元件清單，在這個清單范圍內(nèi)進(jìn)行選型采購。

另外，自動化元件安裝圖紙設(shè)計時，應(yīng)根據(jù)溫度、壓力、流量、液位等元件特點，對安裝環(huán)境、安裝位置、屏蔽和接地要求等進(jìn)行說明與規(guī)范，例如溫度傳感器應(yīng)該在監(jiān)控盤柜側(cè)單點接地、流量傳感器不能安裝在管路上方，等等。

(4)程序設(shè)計時應(yīng)充分考慮各種生產(chǎn)場景時設(shè)備控制邏輯的合理性，盡可能采用多重條件判斷設(shè)計，提高設(shè)備狀態(tài)判斷的正確性和冗余性。

在程序設(shè)計時，應(yīng)深入分析每個控制對象在各種生產(chǎn)場景時的響應(yīng)配合需求，尤其要考慮各種特殊及緊急情況下設(shè)備的響應(yīng)要求，例如推力軸承高壓頂起油泵在機組啟動前、轉(zhuǎn)速不為零、轉(zhuǎn)速小于95%、測速裝置故障等不同場景時須立即啟動，當(dāng)壓力丟失、電源丟失或本體故障時應(yīng)立即啟動備用泵并報警。

另外對設(shè)備狀態(tài)應(yīng)盡可能采用多重條件或冗余傳感器判斷，例如要判斷技術(shù)供水泵是否運行，可以采集接觸器合閘位置信號、流量信號、壓力信號等綜合進(jìn)行判斷，不致因為單一信號失效導(dǎo)致狀態(tài)判斷錯誤，從而提高狀態(tài)判斷的正確性和冗余性。

3.2　提高設(shè)備故障預(yù)警能力相關(guān)設(shè)計措施

(1)針對可能引起機組跳閘的漸變式設(shè)備狀態(tài)信號設(shè)置預(yù)警信號。

當(dāng)機組各部位溫度、壓力、液位、流量、振動等運行參數(shù)出現(xiàn)嚴(yán)重異常時，須延時觸發(fā)機組跳閘停運。一般情況下，這些運行參數(shù)是漸變的。因此，在運行參數(shù)達(dá)到引起機組跳閘的設(shè)定值前，應(yīng)設(shè)置預(yù)警信號使得運行值班員能夠提前發(fā)現(xiàn)可能引起機組跳閘的設(shè)備問題，及時采取相應(yīng)措施，有效避免機組跳閘事件，保證設(shè)備安全。

(2)分析設(shè)備運行特點，有針對性地制定狀態(tài)預(yù)警策略，實現(xiàn)設(shè)備狀態(tài)智能監(jiān)測。

每個設(shè)備都有其運行特點。有些設(shè)備在機組運行過程中周期性動作，有些設(shè)備只在特定工況下才動作，有些設(shè)備之間動作的先后順序是固定的。針對這些設(shè)備特點，可以有針對性地制定狀態(tài)預(yù)警策略，例如，如果周期性動作的設(shè)備動作間隔或頻次發(fā)生變化，或者只在特定工況動作的設(shè)備在其他工況出現(xiàn)異動，或者某些設(shè)備的動作先后順序發(fā)生改變，就意味著設(shè)備存在著某些故障先兆，如果通過狀態(tài)預(yù)警策略及時警示，及時進(jìn)行分析，就可能將故障隱患防范于未然。

3.3　保證設(shè)備安全相關(guān)設(shè)計措施

(1)采取防止設(shè)備在異常情況下誤動作的設(shè)計措施。

在近些年的抽水蓄能機組調(diào)試和運行過程中，多次發(fā)生設(shè)備因異常情況誤動作而損壞的事故，比如帶負(fù)荷分?jǐn)嗟堕l、高轉(zhuǎn)速投入機械制動等。這些事故多是因為未設(shè)置必要的安全閉鎖或安全閉鎖不完善導(dǎo)致的。要防止這些事故的發(fā)生，可考慮采取以下設(shè)計措施：

① 分析設(shè)備之間的邏輯關(guān)系和生產(chǎn)工藝流程，梳理每個設(shè)備動作前需要具備的安全條件，通過硬布線回路或控制程序?qū)崿F(xiàn)設(shè)備間的安全閉鎖，有條件時可以設(shè)置硬布線回路和控制程序雙重安全閉鎖。

② 采取防止反饋信號失效導(dǎo)致設(shè)備誤動作的措施，例如對所有的電氣開關(guān)刀閘均進(jìn)行“合閘”和“分閘”位置信號綜合判斷；要防止轉(zhuǎn)速繼電器失電誤投機械制動的情況，就必須在轉(zhuǎn)速繼電器失電時讓監(jiān)控系統(tǒng)認(rèn)為轉(zhuǎn)速大于制動投入設(shè)定值，通過硬布線或控制程序防止機械制動誤投。

(2)采取保證設(shè)備在異常情況下正確可靠動作的設(shè)計措施。

當(dāng)機組狀態(tài)異常而相關(guān)設(shè)備未正確可靠動作，也會造成機組事故。對此可以考慮采取以下設(shè)計措施：

① 設(shè)置在任何情況下機組跳閘均能安全停運的機組跳閘流程，其中GCB、調(diào)速器、進(jìn)水閥、勵磁、靜止變頻器、推力軸承高壓頂起注油泵等關(guān)鍵設(shè)備跳閘操作回路應(yīng)冗余配置，可以設(shè)置冗余硬布線動作回路，也可以設(shè)置硬布線和數(shù)據(jù)通信雙路動作回路。

② 深入分析可能導(dǎo)致設(shè)備事故的各種情形，針對這些情形設(shè)置完善的機組跳閘保護(hù)和設(shè)備動作策略，在設(shè)備出現(xiàn)異常時及時跳閘停機。例如當(dāng)抽水調(diào)相工況向抽水工況轉(zhuǎn)換時，如果回水建壓后導(dǎo)葉未能及時打開，機組將產(chǎn)生很大的振動，此時就需要設(shè)置回水建壓后導(dǎo)葉未開跳閘保護(hù)，及時將機組停運，避免機組因長時間振動過大而損傷。

3.4　保證運行監(jiān)控操作安全性、友好性、便捷性相關(guān)設(shè)計措施

(1)保證操作安全性的設(shè)計措施

在進(jìn)行監(jiān)控系統(tǒng)上位機操作功能設(shè)計時，應(yīng)盡量降低運行值班人員操作失誤的可能性?？梢钥紤]采取以下設(shè)計措施：

① 每個操作按鈕的腳本程序均應(yīng)自動進(jìn)行操作適當(dāng)性判斷(可鏈接設(shè)備可用性及操作允許條件判斷變量)，當(dāng)設(shè)備的當(dāng)前狀態(tài)不滿足該操作要求時，腳本程序自動鎖止該操作按鈕，使得值班人員無法操作該按鈕；只有當(dāng)設(shè)備的狀態(tài)滿足操作要求后，操作按鈕才被激活并允許操作。

② 對于有先后順序的連續(xù)操作，設(shè)計時應(yīng)在前一個操作完成確認(rèn)后再彈出下一個操作界面，或者在前一個操作完成確認(rèn)后再激活下一個操作按鈕，確保值班人員正確操作。

③ 在進(jìn)行某些關(guān)鍵操作時，應(yīng)設(shè)計合適的提示語句和再確認(rèn)界面，讓值班人員有充足的思考回旋時間。

(2)保證監(jiān)控界面友好便捷的設(shè)計措施

要使得監(jiān)控界面更為友好便捷，可以采取以下設(shè)計措施：

① 監(jiān)控界面分系統(tǒng)進(jìn)行設(shè)計，將每個系統(tǒng)的運行圖、運行參數(shù)、狀態(tài)信息等顯示在一個界面中。另外有必要設(shè)計一個監(jiān)控主界面，把機組主接線圖、主要運行參數(shù)、調(diào)速器和勵磁系統(tǒng)主要信息集合在一個界面中，同時把流程狀態(tài)、溫度、振動監(jiān)測、主變、靜止變頻器(SFC)等重要監(jiān)控界面鏈接按鈕設(shè)置在該界面中。

② 在進(jìn)行信號狀態(tài)顯示框設(shè)計時，不應(yīng)以信號狀態(tài)是0或1來確定顯示顏色，而應(yīng)以信號文字描述所要求達(dá)到的狀態(tài)是否滿足來確定顯示顏色。例如，“某裝置電源丟失”的狀態(tài)由于信號回路接線方式的不同可能是0，也可能是1，如果以0或1來確定顯示顏色，值班人員很難判斷裝置電源是否丟失；而如果定義當(dāng)裝置電源丟失時顯示黃色，當(dāng)未收到裝置電源丟失信號時顯示灰色，值班人員將很容易判斷該信號狀態(tài)。

③ 在進(jìn)行設(shè)備可用性條件顯示框設(shè)計時，應(yīng)按照設(shè)備可用性條件滿足所需的信號狀態(tài)進(jìn)行文字描述。例如，“某設(shè)備故障”信號須作為該設(shè)備可用性判斷的條件之一，在該條件顯示框設(shè)計時，不能在顯示框旁邊寫“某設(shè)備故障”的文字描述，而應(yīng)在顯示框旁寫“某設(shè)備未故障”的文字描述，當(dāng)未收到“某設(shè)備故障”信號時點亮相應(yīng)顯示框，這樣就很明確地告訴值班人員該條件已滿足。

④ 當(dāng)重要報警信息出現(xiàn)時，該信號應(yīng)進(jìn)入報警站并發(fā)出語音警示，方便值班人員第一時間查看并確認(rèn)。若該報警實際狀態(tài)已復(fù)歸，報警信息應(yīng)在值班人員點擊確認(rèn)按鈕后從報警站清除。

⑤ 對于引起機組跳閘的重要信號，應(yīng)專門設(shè)置一個界面進(jìn)行信息顯示并在值班人員確認(rèn)前保持該狀態(tài)，使得值班人員無需翻閱事件記錄第一時間就能定位機組跳閘的直接原因。

4　結(jié)論

要構(gòu)建本質(zhì)安全型抽水蓄能電站計算機監(jiān)控系統(tǒng)，必須從保證機組可靠運行、設(shè)備安全、操作安全、人機友好的角度對自動化元件選型安裝、二次回路設(shè)計、控制程序編寫、上位機監(jiān)控功能設(shè)計等方面進(jìn)行持續(xù)不斷的優(yōu)化與完善，針對機組運行過程中可能出現(xiàn)的各種不安全因素提出具體的防范對策并落實到監(jiān)控系統(tǒng)設(shè)計中?？傊?，要真正實現(xiàn)機組運行本質(zhì)安全的目標(biāo)，需要不斷總結(jié)機組運行和實踐經(jīng)驗，對監(jiān)控系統(tǒng)各個技術(shù)細(xì)節(jié)進(jìn)行精雕細(xì)刻，這是一個長期優(yōu)化的過程。

[1] 許正權(quán)，宋學(xué)鋒，吳志剛.本質(zhì)安全管理理論基礎(chǔ)：本質(zhì)安全的詮釋[J].煤炭安全，2007(9)：75-78.

[2] 程詩，李思逸.電網(wǎng)企業(yè)本質(zhì)安全芻議[J].通信世界，2017(23)：288-289.

[3] 汪軍，方輝欽，鐘敦美，彭永，余清波，李斌. 抽水蓄能電站計算機監(jiān)控系統(tǒng)特殊性與設(shè)計要求[J].2000(22)：49-51.

[4] 彭勇，江常青，謝豐，等．工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(自然科學(xué)版)，2012(10):1396-1408.

[5] 李鴻培.2014 工業(yè)控制系統(tǒng)的安全研究與實踐[J].計算機安全，2014(5)：36-59.

[6] 王昱鑌，陳思，程楠.工業(yè)控制系統(tǒng)信息安全防護(hù)研究[J].信息網(wǎng)絡(luò)安全,2016(9):35-39.

[7] 曾瑜，郭金全.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析[J].信息網(wǎng)絡(luò)安全，2016(9)：169-172.

[8] 宋國江，肖榮華，晏培．工業(yè)控制系統(tǒng)中PLC面臨的網(wǎng)絡(luò)空間安全威脅[J].信息網(wǎng)絡(luò)安全，2016(9)：228-233.