1、控制系统无防护,系统死机全厂解列2000 年 10 月 13 日,某大型水电厂(装机 6550 MW。以下简称 A 电厂)因二次控制系统在设计和运行管理方面存在严重的安全隐患,运行中发生计算机监控系统死机,造成全厂所有运行机组同时甩负荷。【事故经过】2000 年 10 月 13 日,500 kV A 电厂普提洪沟一回线路检修,电厂 14号机组运行,5、6 号机组停运。11 时 30 分机组总出力 1014 MW,突然计算机监控系统操作员站和返回屏无任何实时数据显示,计算机监控系统死机。 经现场检查 14 号机组出口开关均在台闸位置。 总出力降至 120 MW,14 号机组调速器均有小故障信号。
2、A 电厂瞬时甩负荷 894 MW,系统频率由 50.05Hz 急剧下降。11 时 31 分系统主调频厂 B 水电厂 4175 MW 机组中的 1、4 号机解列,甩负荷 390 MW,系统频率深幅下降,最低频率为48.928Hz。A 电厂临时安控系统的就地低频减负荷装置(定值为 49.2Hz、0.3 s)切除负荷 217 MW。低频率减负荷装置基本一轮(定值为 49.0 Hz、0.3 s)和特一轮(定值为 49.0Hz、20s)动作切除负荷 363.3 MW,紧急事故拉闸限电 264 MW,川渝电网共损失负荷 854.3MW。11 时 46 分系统频率恢复至 49.80 Hz,低频率运行 911
3、s;l1 时 58 分,停电负荷全部选出;13时 15 分,川渝电网恢复正常方式运行。事故发生前,川渝电网统调负荷 5850 MW。发电备用容量 800 MW,事故状态下系统频率变化曲线如图 1 所示,从频率变化曲线看,A 电厂甩负荷后,系统由 50.05Hz 降至 49.069 Hz,A 电厂临时安控系统的就地低频减负荷装置动作后,频率开始恢复,11 时 31 分 B 水电厂 l、4 号机因调速系统原因解列,进一步加剧了系统的有功缺额,最低频率降至 48.928 Hz。根据频率变化曲线,可以估计川渝电网频率变化特性为(80 MW110MW)/O.1Hz。图 1 事故中系统频率变化曲线【原因分
4、析】1、A 电厂甩负荷原因分析A 电厂计算机监控系统供应商为德国 ABB 公司。1999 年,A 电厂开发了一套 MIS 系统,在没有采取任何网络安全措施的情况下,将 MIS 系统直接接入计算机监控系统。MIS 系统接入后,计算机监控系统曾出现过系统过载情况。“10.13”事故的表现现象是计算机监控系统 IPU 过载死机。从系统报管清单中可以看出,在计算机监控系统瘫痪前,报警信息繁多,网络与节点连接失去信号的报警信息超过 40 条之多,但是计算机未能保存和打印出事故发生时刻计算机监控系统运行的原始数据资料,据此电厂认为 IPU死机是计算机网络故障所致。图 2 调速系统的并网信号回路图 2 为
5、A 电厂机组调速系统的机组并网信号回路。A 电厂 500 kV 主接线为3/2 接线,考虑机组零起升压开机方式,机组在 500 kV GIS 开关侧有 16 种并网方式,设计由计算机监控系统的 IRJ 采集 500kV 各 GIS 开关位置信号,进行逻辑判断后, 给出 500kV GIS 开关状态复合信号, 也就是机组在 500 kVGIS 开关侧的并网信号,与发电机组出口开关合闸位置信号组成与门,然后进至机组调速系统。由此可见,一旦计算机监控系统的 GIS 开关状态信号消失,调速系统的机组并网信号也随之消失,调速系统将返至空载工作状态。10 月 13 日 11 时 30 分,由于计算机监控系
6、统失灵,所有机组调速器无法从计算机监控系统获得 GIS 开关的并网信号,调速系统瞬时返回至空载,自动关闭导叶,造成所有机组甩负荷。2、B 水电厂机组跳闸的原因分析B 水电厂 I996 年 12 月投运,装机 4175MW,是四川电网主调频厂。机组调速系统改造为省公司的重措项目,19992000 年由某电机厂对 1、4 号机组的机械柜和电气柜进行改造,按无人值班电厂标准进行设计,机组调速系统与计算机监控系统实现通讯,并把水头信号引入调速系统,使导叶空载开度和最大电气开度限制随水头变化而变化。在 1、4 号机组调速系统改造完毕投入运行时,由于计算机监控系统的改造正在实施,无法实现二者之间的通讯,调速系统无法实现最大功率限制,水头信号未能引入调速系统,导叶开度限制也不能随水头变化而自动变化。厂家根据理论计算将电气开限-水头变化关系曲线编制在程序中,并将最大电气开度整定为80%100%,且固定在存储器中。该关系曲线与实际的电气开限-水头变化关系曲线不一致。B 电厂将具有严重功能缺陷的 1、4 号机组的调速系统投入运行。事故发生前, B 水电厂调频运行, 1 号机组有功 170 MW, 4 号机