事件标题:某电厂1号机组因UPS并联系统单点故障导致全厂控失电非停事件
核心简述:某电厂一台已连续运行228天的300MW机组,因不间断电源(UPS)系统内部控制板故障,引发并联冗余机制失效,导致机组核心控制系统(DCS、ETS等)两路电源同时瞬时失电,最终触发汽轮机跳闸与锅炉主燃料跳闸(MFT),造成机组非计划停运。
二、事件原因深度拆解
- 技术根源:DSP控制失效引发“假冗余”系统崩溃
“冗余不独立”的设计缺陷:1号机组的关键控制电源(DCS、ETS、FSSS、DEH)虽有两路,但均取自同一套UPS系统的同一个负荷柜。其配置的两台UPS(1号和2号)采用了数字信号处理器(DSP)并联控制技术,理论上可实现“一用一备”。然而,共用输出母线形成了物理上的单点瓶颈,为共因故障埋下隐患。
故障连锁机理:1号UPS的主控板发生隐性故障(报“整流器过温”),此故障导致其DSP并联控制逻辑失效。故障UPS在异常切换至旁路模式时,未能正常离线,反而通过异常信号强制将正常运行的2号UPS也拖入旁路模式。两台UPS在切换过程中同时发生短时失电,致使后端的整个负荷柜供电中断。
-
- 保护动作逻辑:失电即跳闸的刚性连锁
- ETS失电是直接原因:汽轮机危急遮断系统(ETS)的AST电磁阀设计为“失电动作”型。UPS电源丢失直接导致电磁阀失电打开,泄掉安全油压,高中压主汽门和调门迅速关闭,汽轮机跳闸。
- DCS瘫痪丧失控制:分散控制系统(DCS)的多个DPU控制器、操作员站、工程师站因失电而重启,历史数据记录中断,系统完全丧失监视与控制能力,最终引发锅炉MFT。
- 管理短板:对深层隐患的忽视与反措执行不到位
- 检修存在盲区:在2024年的机组A级检修中,虽然更换了UPS的电容、风扇等易损件,但忽视了对主控板、电源板等核心逻辑板件的状态评估与预防性更换。对已运行多年的板级元件老化风险预判不足。
- 反事故措施(反措)未落地:未能严格落实行业及集团关于防止DCS电源失电风险的相关要求,特别是未实现“两路独立电源应取自不同电源段(如一路UPS、一路厂用保安段)”这一根本性原则,过度依赖存在单点故障隐患的并联UPS架构。
- 三、事故教训与深刻借鉴
-
- “并联”不等于“可靠”:双机并联(1+1)的热冗余方案,若存在共用控制逻辑或输出母线的薄弱环节,一个控制板(DSP)的故障就可能引发“雪崩效应”,使冗余设计形同虚设。在关键保护系统设计中,物理隔离的异源供电远比逻辑上的并联更可靠。
- ETS电源是生命线,必须“真冗余”:汽轮机跳闸系统(ETS)的供电是保障机组安全停机的最后防线。其两路电源必须实现物理和电气上的完全独立,确保在任何单一电源系统故障时,另一路电源能无扰动接管,避免保护误动或拒动。
- 需建立板级元件的全寿命管理概念:对于已投运多年的老旧机组,预防性检修不能仅停留在电容、风扇等功率部件。主控板、通信板、电源板等逻辑与控制核心板件,同样存在明确的老化寿命,应纳入周期性的检测、评估和更换计划。
四、防范与系统性整改措施
| 措施维度 | 具体整改内容 |
|---|---|
| 电源架构根本性改造 | 实施“去耦合”设计:利用停机窗口,将DCS、ETS等核心系统的第二路供电电源,从原UPS负荷柜改接至厂用保安段,构建真正的UPS与厂用电“双路异源”供电体系,彻底消除共因故障点。 |
| 设备深度治理与隐患排查 | 板件专项诊断与更换:联合设备厂家,对故障UPS的DSP控制板进行根本原因分析,并对同型号UPS的所有逻辑板件进行全面检测。基于分析结果,制定关键板件的预防性更换策略和周期。 |
| 运维规程与试验强化 | 建立定期带载切换试验机制:不仅进行UPS自身的切换试验,更要定期进行“UPS电源”与“保安段电源”之间的带真实负载的切换试验,验证备用电源回路的真实带载能力和切换可靠性,确保“备而能用”。 |
| 监控预警与应急优化 | 增设关键电源状态监视:在DCS操作画面上,增设UPS母线电压、保安段进线电压的实时监视与超限、失压声光报警功能,为运行人员提供更早、更直观的故障预警,争取事故处理时间。 |
核心启示:本次事件暴露了在追求系统集成化和自动化过程中,对基础电源可靠性设计的潜在忽视。它再次警示我们,在火力发电厂这类复杂工业系统中,“独立”与“隔离”是比“并联”与“集成”更基础、更重要的可靠性原则。必须打破对单一高级别电源系统(如UPS)的路径依赖,从架构上构建真正物理隔离、异源冗余的供电网络,才能从根本上抵御此类“小故障、大停电”的恶心事故。
