张方庆

（潇湘水电站，湖南 永州 425000）

潇湘水电站4号机组PLC故障导致断油烧瓦事故的原因及教训

张方庆

（潇湘水电站，湖南 永州 425000）

介绍了湖南潇湘水电站4号机组PLC故障导致断油烧瓦事故的现象，全面分析事故的原因，深刻吸取了烧瓦事故的教训。有针对性的提出了防止同类事故发生的技术措施和管理措施，为灯泡贯流式水电站计算机监控系统的设计、安装、调试、运行与维护提供了可靠的实践经验。

潇湘水电站；PLC故障；烧瓦；教训

1 引言

湖南潇湘水电站地处湘江上游的永州市中心，设计装机为4×13 MW的灯泡贯流式水轮发电机，采用中国水利水电科学研究院自动化所的H9000水电站计算机监控系统对机组进行监视与控制，该系统在该电站投入近10年以来一直运行正常。机组现地控制单元配置了GE－30系列PLC，采用100 M光纤以太网与上位机通讯。整个现地控制单元采用单网单CPU配置模式。机组辅助设备采用手、自动控制方式，自动控制方式是直接由PLC的一个输出继电器通过程序控制。2016年6月29日14∶18许，运行值班人员发现4号机组突然剧烈振动，水轮机管形座内冒烟，值班人员在中控室按下紧急停机按钮后机组失控无法执行事故停机指令。随后手动跳开发电机开关后，采用手动操作调速器的事故停机电磁阀将机组停下。

2 事故原因分析

2.1 检查及初步判断

检查发现机旁屏的测温制动柜上发电机和水轮机径向瓦温度达170℃，水轮机正推力瓦温度达100℃，由此初步判断机组剧烈振动是因烧瓦所致。在中控室上位机调取4号机组当天的历史记录。从4号机的历史记录可知，4号机组从10∶33记录“发电机电导轴承高压顶起油压正常”后再没有记录机组任何状态和故障事件，只从10∶34∶04开始多次记录红色事件“4号机LCU网络联接XXOPA状态”、“4号机LCU网络联接XXOPB状态”，这些报警信息表示上位机两台互为备用的工作站与4号机下位机网络联接故障。而从13∶49∶46开始，上位机人工下达了多次与下位机通讯联接的命令，均收到网络联接故障的事件记录。虽然4号机组设计了机组各瓦温偏高（65℃）报警和各瓦温过高（70℃）事故停机程序，并会将故障或事故信息实时传送至上位机进行语音报警和实时记录。但这次事故由于从10∶34∶04开始通讯中断而未记录任何事件。

而机组现地控制单元中的PLC电源模块、CPU模块、各输入模块均有指示，且从PLC电源模块和CPU的状态指示灯未发现异常指标灯，但输出模块无一输出指示，与PLC联接的触摸屏显示“PLC NOT RESPONDING”(PLC没有响应)，且无法操作。从上位机与PLC及现地控制单元的触摸屏与PLC通讯故障及PLC在机组事故状态下无任何输出可初步判断PLC已出现硬件故障，现场按下机组事故停机按钮时，PLC不执行事故停机流程。从以上现象可分析导致4号机组烧瓦的主要原因——由于PLC的CPU出现致命故障，导致PLC控制的机组润滑油泵启停的继电器失电，从而使润滑油泵停止工作，机组高位油箱快速下降。同时PLC无法执行用户程序，即使输入模块收到启备用润滑油泵油位信号、高位油箱油位过低信号、高位油箱事故停机油位、机组发电机、水轮机径向轴承供油中断事故信号均不能执行事故停机程序，最终造成因机组润滑油中断而烧瓦的严重事故。

随后计算机监控厂家现场读取PLC故障表显示，CPU发生了致命的硬件故障，将CPU外壳拆开后在内部发现了水渍痕迹，并且屏柜底部发现了老鼠屎。结合嗅觉初步判断CPU出现故障是因老鼠尿引起。

2.2 事故分析

通过现场调查分析，造成这次事故的原因是多方面的，主要有机组计算机监控系统配置不够完善、计算机监控系统对辅助设备控制方式不合理、安装施工监理不到位、业务培训不到位、吸取过往教训不到位等。

（1）机组计算机监控系统配置不完善

潇湘电站4号机组计算机监控系统除电源采用冗余配置外，PLC主要核心部件均采用单一配置，即计算机监控系统采用单网、单CPU的配置模式，在此基础上机组主要水机保护（如超温、超速等）未设置单独的保护回路或保护装置，机组所有的控制、保护、状态监视均寄托在单个PLC装置上，PLC的处理器出现故障后，所有开出继电器失电，所有控制信号消失，正在进行的控制流程停止执行。导致PLC输出继电器直接控制的轴承润滑油油泵、冷却风机和冷却水泵停止工作。同时监控系统不能采集各被控设备数据，润滑油中断、轴瓦超温等事故信号不能反馈至监控系统，机组将处于“裸奔”失控状态。最终因润滑油耗尽，发电机、水轮机径向瓦和推力瓦温度急剧升高而烧毁。

4号机组这种单网单CPU配置模式，当发生这种PLC故障时，如值班人员未及时发现，极易造成烧瓦、烧发电机等严重的事故，即使及时发现，如果事先没有应急操作预案，或是值班人员不具备熟悉的专业技能，是无法短时进行应急处理的，这次事故就是因为PLC出现故障后未及时发现导致供油中断，同时机组控制保护失效导致烧瓦无法自动事故停机的严重事故。

由于灯泡贯流式机组辅助设备的可靠性直接关系到机组的安全运行，因此，必须有一个完整、可靠的辅助设备及其监控系统。机组重要的辅助设备如冷却水泵、润滑油泵等均应采用冗余配置，而对这些辅助设备采用单个PLC输出继电器控制时，PLC的核心部件CPU模块必须采用冗余配置的方式，否则即使辅助设备有冗余，当CPU出现故障时将不起作用。CPU冗余属于硬冗余，正常状态下，主从CPU保持同步运行；当主CPU故障时切换到从CPU的时间极短，不会丢失数据；外设不受影响，生产正常进行，保障了运行可靠和设备安全。如果CPU采用了冗余，当主CPU故障后，从CPU投入，即使润滑油泵停止工作，程序会立即驱动另一台润滑油泵的控制继电器使备用油泵投入运行，即使备用润滑油泵未正常投入，当高位油箱油位下降至启备用油泵油位时，PLC也会再次执行启备用油泵程序并将故障信息及时传送至上位机，通过声光及文字提醒值班人员进行处理，即使液位传感器或其他原因PLC未正常执行启备用油泵程序，当油位下降至事故停机油位或机组轴承供油中断时，PLC也会执行事故停机流程将机组安全停下，避免事故的进一步扩大。如果机组监控采用了冗余配置，类似烧瓦事故是完全可以避免的。

（2）计算机监控系统对辅助设备监视控制方式不合理

潇湘水电站4号机组辅助设备有“手动”和“自动”两种控制方式，每台辅助“自动控制”方式是通过PLC程序控制一个输出继电器来实现的，程序中的输出没有采用自保持的软元件，这种控制方法本身不存在问题，但对于PLC主要部件未采取硬件冗余措施后，就存在运行的安全风险。主要体现在PLC故障后输出软元件不能自保持而使控制继电器掉电，被控辅助设备停止运行；因此，当灯泡贯流式水轮发电机现场采用单网单CPU的配置时，辅助设备最好采用两个继电器对被控辅助设备进行控制，一个用于控制启动辅助设备，通过辅助设备接触器的触点保持接触器的控制回路，正常运行过程与PLC输出无关，一个用于控制停止被控辅助设备，这样使辅助设备正常运行过程中与PLC的输出无关，让辅助设备控制回路相对独立，当辅助设备采用一个继电器控制时，应采用单独的PLC控制单元对辅助设备进行控制，这样即使机组PLC故障也不会使辅助设备退出运行，同时机组PLC能对辅助设备的PLC进行监视。潇湘水电站如果采用以上技术措施，即使CPU故障，润滑油泵也不会停止工作，导致烧瓦等事故发生的概率会大大降低。

（3）安装施工监理不到位

由于潇湘电站的历史原因，4号机组施工时监理不到位，电站内部大部分与室外相通的孔洞、高低压配电屏柜、二次屏柜的孔洞均未完全按照《电气装置安装工程盘、柜及二次接线施工及验收规范》及《电气装置安装工程电缆线路施工及验收规范》要求封堵。导致老鼠潜入机组LCU屏柜内活动，并在CPU模块上方排尿致使电子设备出现短路故障。该电站投运以来，先后出现过电缆芯线被老鼠咬断致通信故障的事故，中控室声光报警系统因老鼠尿导致设备彻底损坏事故，而就在此次事故发生前的3月份，3号机组因老鼠钻入发电机出口开关柜导致短路引起差动保护动作的重大事故，因此老鼠已多次对电站电气设备构了严重的安全威胁。如果4号机组在屏柜安装时加强监理，严格按照电气设备安装验收规范进行监督管理，或后期的运行过程中对相关孔洞进行严格封堵，这种PLC的故障是可以避免发生的。

（4）业务培训不到位

上位机的历史记录表明，10∶34∶04开始记录上位机与4号机组下位机出现了通讯故障，从这个时间开始机组的状态、故障信号已不能传送至上位机，但根据后来试验高位油箱在机组正常供油状态下润滑油泵停止后供油时间为8 min左右及值班人员发现机组烧瓦剧烈振动时间是在14∶18许，可以判断当PLC出现与上位机通讯故障时，PLC并未完全停止工作，输出回路仍能正常工作，否则不可能维持到14:00才因断油烧瓦。这个通讯故障在上位机不但有红色状态提示，而且有语音报警，如果值班人员对这个报警信号有警觉能力，并及时报告或是对现地单位进行巡视，是可以发现设备故障的。再者，潇湘水电站4台机组同时运行，每台机组辅助设备的状态信号（如油压装置启动、漏油泵启动等）均传送至上位机实时显示，每隔一段时间就会有一个状态信号上传，而事故当天从10∶33后再没有记录机组任何状态和故障事件，只是不停的报上位机与4号机组LCU通讯故障。如果值班人员有这个判断能力及时发现并处理也不会导致如此严重的后果。而直到通讯中断3 h后的13∶49∶46开始，上位机才人工下达了多次与下位机通讯联接的命令，在这个时间节点仍可判断机组还未出现供油中断事故，只是CPU通讯故障。从此时间段至事故发生的40min的时间内，多次连网失败未采取现场检查、及时汇报等措施，导致错过了防止事故扩大的最佳时机，最终造成严重事故。

由于潇湘电站投运之初是采用常规继电器控制方式，后来逐步改造成计算机监控后仍保留原有控制台的设备，没有进行全面系统业务培训，部分值班人员有采用监视原来控制台的仪表进行值守的习惯，这种习惯导致值班人员忽视了对工作站机组实时状态的监视。更不能理解是为了避免计算机语言报警声的影响，将设备音响关闭，从而导致机组多次出现事故、故障信号报警后值班人员而未觉察到，又因值班人员未监视上位的故障信号，最终均导致机组事故停机。如改变这种值班方式，这些事故停机是完全可避免的。

（5）吸取过往事故教训不到位

造成这次事故严重后果的另一主要原因就是吸取过往教训不到位，在此次事故发生前同月的6月5日，1号机组发生过同类型的险兆事故——1号机组在1号润滑油泵退出的状态下，2号润滑油泵因油流小于供油流量，导致高位油箱油位下降至即将达到事故停机油位被值班人员及时发现紧急采取手动投入另一台油泵措施，避免了事故的发生。而当时1号机组的水机保护连片自当年3月初检修后一直是退出运行的，有关人员多次反映此问题未引起足够的重视，相当于1号机组在无任何水机保护的状况下“裸奔”了3个月，若机组超速、超温和断油等事故将无法自动事件停机，事后调取历史记录发现上位机在此之前已有“润滑油启备用油泵油位”报警信息，但值班人员并未觉察到，如果不及时发现油位下降至事故停机油位、各推力瓦、径向轴承供油中断时，机组也不能自动停机，只会有报警信号。如果对过往类似故障充分分析原因、充分吸取教训，类似烧瓦事故发生的概率会大大降低。

3 吸取的教训

（1）灯泡贯流式水轮发电机计算机监控系统现地控制单元、操作员站及其工作电源应按《水力发电厂计算机监控系统设计规范》要求采用冗余的配置方式，确保监控系统对机组进行可靠的监视与控制，保证有双网双CPU的配置模式。而采用单PLC控制时，应根据《水力发电厂计算机监控系统设计规范》要求，结合现场实际情况设置水机事故保护的简化的继电器接线或PLC，或是机组辅助设备采用独立的PLC控制。

（2）重视电缆沟、孔洞、穿越楼板、墙壁的孔洞以及高低压配电屏柜、二次屏柜的孔洞封堵工作，防止火灾的蔓延和小动物造成的设备事故。

（3）重视水电站安全生产的技术措施和管理措施，完善运行操作规程并要求所有生产人员熟悉设备的操作规程，制定并熟悉各种发电设备的应急预案。

（4）加强生产人员及相关人员的技术培训，熟悉各种发电设备的工艺流程、影响电站安全运行的各种技术参数，培养技术人员及时发现问题的能力，使他们对任何故障信息均有较高的警觉性，并及时向生产技术决策人员报告，技术决策人员具备果断决策的能力。

（5）对发生过的事故或是险兆事故应全面进行事故分析，查清事故的原因、查清事故的责任人并教育事故责任人、提出并实施切实可行的防止同类事故发生的技术措施和组织措施。

[1]中华人民共和国国家能源局.水电厂计算机监控系统运行及维护规程[S],2016.

[2]中华人民共和国国家能源局.水力发电厂计算机监控系统设计规范[S],2009.

[3]陈启卷,李延频.水电厂计算机监控系统[M].北京:中国水利水电出版社,2006.

[4]王定一.水电厂计算机监控与控制[M].北京:中国电力出版社,2001.

[5]中国水利水电科学研究院自动化所.H9000水电站计算机监控系统说明书[Z],2011.

TV738

B

1672-5387（2017）06-0038-04

10.13599/j.cnki.11-5130.2017.06.014

2016-12-26

张方庆（1979-），男，高级工程师，从事电气设备技术管理工作。