每年供热季来临前,都是热电联产电厂最紧张的时期:机组要带供热负荷试运,另一台机组往往在检修备机,单机运行保供压力拉满,任何一个不起眼的小隐患,都可能击穿层层防护,酿成机组非停、影响供热的大事故。
今天我们复盘的这起典型事故,就发生在某电厂供热季前的热网系统试运阶段:一次看似常规的变频器启停操作,最终导致带200MW发电负荷、50t/h供热负荷的机组直接MFT跳闸,不仅影响了发电计划,更给供热保供埋下了巨大风险。
这起事故暴露出的热控管理漏洞、系统耦合风险、应急处置短板,是很多热电联产电厂都存在的共性问题,值得所有电力同行深度警醒。
一、事故背景:高风险的单机保供工况
事故发生时,该电厂2号机组正处于A级检修状态,仅1号200MW等级热电联产机组单机运行。机组不仅要承担200MW的稳定发电负荷,还要负责热网系统的试运供热,供热流量约50t/h,属于典型的“热电联产、单机保供”高风险运行工况。
此时机组AGC、一次调频均正常投入,锅炉、汽机主辅机运行参数稳定,运行人员正按计划开展热网循环水泵变频器的试运操作——而这台变频器,正是本次事故的“导火索”。
这台变频器在2个多月前完成了组态修改,但因现场条件不具备,此后从未进行过启停操作,也未开展过完整的联动测试。
二、事故全经过:从“侥幸处置”到“无法挽回”
1. 第一次异常:变频器启动,一次风机莫名关阀
运行人员按计划启动热网循环水泵变频器,仅3秒后,监盘人员就发现了致命异常:1号炉一次风机A出口电动门,在无任何手动操作、无自动联锁触发的情况下,开始自动关闭。
不到1分钟,该电动门全关,一次风机A电流从94A骤降至46A,一次风母管压力从9kPa快速跌至7kPa,炉膛压力随之出现大幅波动。
万幸的是,监盘人员反应迅速,立即手动开启一次风机A出口电动门,30秒后阀门全开,手动调平两侧风机出力后,一次风压、炉膛压力逐步恢复正常。
此时现场人员开展了初步排查:就地无人员误操作,DCS工程师站也未查到有人对该电动门下发关阀指令。所有人都没找到异常的根源,更没有意识到,这只是事故的“预警”。
2. 第二次异常:变频器停止,机组直接MFT跳闸
第一次异常过去约20分钟后,运行人员按计划继续操作,停止这台热网循环水泵变频器。
就在变频器停止的瞬间,更严重的异常发生了:一次风机B入口调节挡板从67%的开度开始快速关闭,与此同时,一次风机A入口调节挡板自动开大至95%,试图弥补风压损失。
仅仅20秒后,一次风机A入口调节挡板也开始快速关小,炉膛压力瞬间暴跌,很快触发“炉膛压力低低”保护,锅炉MFT动作,机组联锁跳闸。
从变频器停止操作,到机组完全跳闸,全程不到10分钟。原本常规的热网试运操作,最终酿成了一起机组非计划停运事件。
三、应急处置复盘:亮点与致命短板并存
这起事故的应急处置过程,有值得肯定的规范操作,也暴露出了最终导致事故发生的核心短板,对所有电厂的应急管理都有参考意义。
值得肯定的处置亮点
1. 异常识别迅速:第一次异常发生时,监盘人员在3秒内就捕捉到了阀门的异常动作,立即汇报并手动干预,避免了一次风机全停的恶性后果。
2. 基础流程规范:MFT动作后,当班值长立即下达应急指令,停止热网试运工作,转入锅炉灭火应急处置流程,同步启动启动炉备用辅汽,严格执行了事故处理规程,避免了事故扩大导致的设备损坏。
3. 人员配合到位:从监盘人员、主值班员到值长,各岗位信息传递顺畅,指令执行到位,没有出现慌乱误操作的情况。
致命的处置短板
最核心的问题,也是最终导致事故发生的关键:第一次异常发生后,没有及时隔离故障源,没有暂停热网试运工作,对异常的风险严重低估。
在没有找到阀门误关的根本原因的情况下,现场人员依然继续执行热网变频器的停止操作,相当于在已知“炸弹”存在的情况下,依然触碰了引爆开关,最终错过了避免事故的最后机会。
四、事故根因深挖:一个低级错误,击穿了所有防护
事后,电厂联合DCS系统厂商技术人员,对全系统的组态、运行日志进行了全面复盘,最终找到了事故的根本原因——一个看似不起眼的热控组态低级错误,酿成了这起非停事故。
1. 直接根因:组态点目录重复,指令回路严重冲突
技术人员排查发现,热控人员在修改热网循环水泵变频器的逻辑组态时,点目录未及时同步更新,出现了严重的命名重复冲突:热网循环水泵变频器的启停指令回路,与一次风机系统的综合停信号回路,使用了重复的点目录命名。
这就导致,当运行人员对变频器下发启停指令时,这个指令会同时被发送到一次风机系统的控制回路,触发一次风机的关阀、停机动信号。
- 第一次启动变频器时,触发了一次风机A出口电动门的关阀指令;
- 第二次停止变频器时,直接触发了两台一次风机入口调节挡板的关闭指令,最终导致炉膛压力暴跌,MFT动作。
2. 根本原因:热控全流程管理的全面失守
一个简单的组态命名错误,为什么能躲过层层审核,最终上线运行,甚至在第一次异常后都没有被发现?这背后,是热控专业全流程管理的全面失守。
- 组态修改无管控:变频器组态修改完成后,没有执行严格的审核、测试、验收流程,仅仅完成了组态编写,就直接上传到了在线系统,没有做任何静态测试和动态联动验证。
- 长期闲置设备无管控:这台修改完组态的变频器,2个多月的时间里从未操作过,既没有做定期试运,也没有做风险评估,就直接在带负荷运行的机组上进行操作,完全无视单机保供的高风险工况。
- 异常排查不彻底:第一次异常发生后,排查仅停留在“有没有人误操作”的表面,没有深入到DCS组态、逻辑回路的根源排查,错过了避免事故的最后机会。
- 系统耦合风险无评估:作为热电联产机组,热网系统与主机锅炉系统深度耦合,但在组态修改时,完全没有评估热网系统操作对主机核心系统的影响,没有做有效的逻辑隔离,给两个系统埋下了“串信号”的隐患。
五、给所有热电同行的警示:这些红线绝对不能碰
这起事故看似是个例,但暴露出的问题,是很多热电联产电厂都存在的共性隐患。尤其是在供热季保供的关键时期,以下几条红线,绝对不能碰。
1. 热控组态管理:“无审核、不组态,无测试、不上线”
热控系统是机组的“大脑”,任何一个组态错误,都可能直接导致机组跳闸。所有电厂必须建立严格的组态管理红线:
- 所有逻辑组态修改,必须执行“编制-审核-批准”三级审批制度,严禁单人无审核完成组态修改。
- 组态修改完成后,必须先在仿真系统完成静态测试,再在停机状态下完成动态联动测试,验证无误后,方可上线运行。
- 定期开展全机组DCS点目录、逻辑回路的全面排查,重点排查新增、修改的逻辑,消除命名重复、回路冲突的隐形隐患。
2. 单机保供工况:“无风险评估,不开展任何操作”
当机组处于单机运行、带供热负荷的高风险工况时,任何非必要的操作都要暂停,必须开展的操作,要执行最严格的风险评估:
- 供热季单机运行期间,原则上不开展任何热网系统与主机系统耦合的操作,确需开展的,必须制定专项安全措施,做好事故预想,备好应急备用手段。
- 对于长期闲置、新修改组态的设备,严禁直接在带负荷的单机运行机组上操作,必须先在停机状态下完成全面测试,或在备机投运、风险可控的工况下开展试运。
3. 异常处置:“找不到根因,绝不恢复操作”
任何异常信号,都是事故的提前预警,绝对不能抱有侥幸心理。
- 发生不明原因的异常后,必须立即暂停相关操作,隔离疑似故障源,在找到根本原因、验证消除隐患之前,绝不恢复相关操作。
- 针对辅机异常动作、参数异常波动等“不明原因”的预警信号,必须组织热控、运行、设备等多专业联合排查,不能仅靠单一专业的表面排查就下结论。
4. 热电耦合系统:“做好物理与逻辑隔离,严控交叉风险”
热电联产机组的热网系统与主机系统深度耦合,是保供期间最大的风险点之一,必须做好隔离与风险管控:
- 热网系统的控制逻辑,必须与主机核心控制系统做好逻辑隔离,严禁热网系统的操作指令直接接入主机辅机的控制回路。
- 每年供热季来临前,必须对热网与主机的接口逻辑、保护定值进行全面核查,开展专项风险评估,消除交叉影响的隐患。
- 针对热网系统试运、投运过程中的异常工况,制定专项应急预案,定期开展反事故演练,提升运行人员的应急处置能力。
写在最后
热电联产机组的保供责任,一头连着电网的安全稳定,一头连着千家万户的温暖。对于我们电力人来说,安全永远是保供的底线,任何时候都不能抱有侥幸心理。
这起事故告诉我们:很多看似“天方夜谭”的低级错误,都可能酿成无法挽回的大事故;很多被我们忽略的“小隐患”,都是击穿安全防线的突破口。
唯有把每一次组态修改都做到万无一失,把每一次异常排查都做到追根究底,把每一次操作都做到风险可控,才能守住机组的安全稳定,守住供热保供的红线。
欢迎转发给身边的电力同行,一起守住安全底线。
