2000年10月13日,某大型水電廠（裝機6×550 MW。以下簡稱A電廠）因二次控制系統(tǒng)在設(shè)計和運行管理方面存在嚴重的安全隱患，運行中發(fā)生計算機監(jiān)控系統(tǒng)死機，造成全廠所有運行機組同時甩負荷。
【事故經(jīng)過】
2000年10月13日，500 kV A電廠—普提—洪溝一回線路檢修，電廠1—4號機組運行，5、6號機組停運。11時30分機組總出力1014 MW，突然計算機監(jiān)控系統(tǒng)操作員站和返回屏無任何實時數(shù)據(jù)顯示，計算機監(jiān)控系統(tǒng)死機。經(jīng)現(xiàn)場檢查1—4號機組出口開關(guān)均在臺閘位置。總出力降至120 MW，1—4號機組調(diào)速器均有小故障信號。A電廠瞬時甩負荷894 MW，系統(tǒng)頻率由50.05Hz急劇下降。11時31分系統(tǒng)主調(diào)頻廠B水電廠4×175 MW機組中的1、4號機解列，甩負荷390 MW，系統(tǒng)頻率深幅下降，最低頻率為48.928Hz。A電廠臨時安控系統(tǒng)的就地低頻減負荷裝置（定值為49.2Hz、0.3 s）切除負荷217 MW。低頻率減負荷裝置基本一輪（定值為49.0 Hz、0.3 s）和特一輪（定值為49.0Hz、20s）動作切除負荷363.3 MW，緊急事故拉閘限電264 MW，川渝電網(wǎng)共損失負荷854.3MW。11時46分系統(tǒng)頻率恢復至49.80 Hz，低頻率運行911s；l1時58分，停電負荷全部選出；13時15分，川渝電網(wǎng)恢復正常方式運行。
事故發(fā)生前，川渝電網(wǎng)統(tǒng)調(diào)負荷5850 MW。發(fā)電備用容量800 MW，事故狀態(tài)下系統(tǒng)頻率變化曲線如圖1所示，從頻率變化曲線看，A電廠甩負荷后，系統(tǒng)由50.05Hz降至49.069 Hz，A電廠臨時安控系統(tǒng)的就地低頻減負荷裝置動作后，頻率開始恢復，11時31分B水電廠l、4號機因調(diào)速系統(tǒng)原因解列，進一步加劇了系統(tǒng)的有功缺額，最低頻率降至48.928 Hz。根據(jù)頻率變化曲線，可以估計川渝電網(wǎng)頻率變化特性為(80 MW—110 MW)/O.1Hz。

圖1 事故中系統(tǒng)頻率變化曲線
【原因分析】
1、A電廠甩負荷原因分析
A電廠計算機監(jiān)控系統(tǒng)供應商為德國ABB公司。1999年，A電廠開發(fā)了一套MIS系統(tǒng)，在沒有采取任何網(wǎng)絡安全措施的情況下，將MIS系統(tǒng)直接接入計算機監(jiān)控系統(tǒng)。MIS系統(tǒng)接入后，計算機監(jiān)控系統(tǒng)曾出現(xiàn)過系統(tǒng)過載情況?！?0.13”事故的表現(xiàn)現(xiàn)象是計算機監(jiān)控系統(tǒng)IPU過載死機。從系統(tǒng)報管清單中可以看出，在計算機監(jiān)控系統(tǒng)癱瘓前，報警信息繁多，網(wǎng)絡與節(jié)點連接失去信號的報警信息超過40條之多，但是計算機未能保存和打印出事故發(fā)生時刻計算機監(jiān)控系統(tǒng)運行的原始數(shù)據(jù)資料，據(jù)此電廠認為IPU死機是計算機網(wǎng)絡故障所致。

圖2 調(diào)速系統(tǒng)的并網(wǎng)信號回路
圖2為A電廠機組調(diào)速系統(tǒng)的機組并網(wǎng)信號回路。A電廠500 kV主接線為3/2接線，考慮機組零起升壓開機方式，機組在500 kV GIS開關(guān)側(cè)有16種并網(wǎng)方式，設(shè)計由計算機監(jiān)控系統(tǒng)的IRJ采集500kV各GIS開關(guān)位置信號，進行邏輯判斷后，給出500kV GIS開關(guān)狀態(tài)復合信號，也就是機組在500 kV GIS開關(guān)側(cè)的并網(wǎng)信號，與發(fā)電機組出口開關(guān)合閘位置信號組成與門，然后進至機組調(diào)速系統(tǒng)。由此可見，一旦計算機監(jiān)控系統(tǒng)的GIS開關(guān)狀態(tài)信號消失，調(diào)速系統(tǒng)的機組并網(wǎng)信號也隨之消失，調(diào)速系統(tǒng)將返至空載工作狀態(tài)。10月13日11時30分，由于計算機監(jiān)控系統(tǒng)失靈，所有機組調(diào)速器無法從計算機監(jiān)控系統(tǒng)獲得GIS開關(guān)的并網(wǎng)信號，調(diào)速系統(tǒng)瞬時返回至空載，自動關(guān)閉導葉，造成所有機組甩負荷。
2、B水電廠機組跳閘的原因分析
B水電廠I996年12月投運，裝機4×175MW，是四川電網(wǎng)主調(diào)頻廠。機組調(diào)速系統(tǒng)改造為省公司的重措項目，1999～2000年由某電機廠對1、4號機組的機械柜和電氣柜進行改造，按無人值班電廠標準進行設(shè)計，機組調(diào)速系統(tǒng)與計算機監(jiān)控系統(tǒng)實現(xiàn)通訊，并把水頭信號引入調(diào)速系統(tǒng)，使導葉空載開度和最大電氣開度限制隨水頭變化而變化。在1、4號機組調(diào)速系統(tǒng)改造完畢投入運行時，由于計算機監(jiān)控系統(tǒng)的改造正在實施，無法實現(xiàn)二者之間的通訊，調(diào)速系統(tǒng)無法實現(xiàn)最大功率限制，水頭信號未能引入調(diào)速系統(tǒng)，導葉開度限制也不能隨水頭變化而自動變化。廠家根據(jù)理論計算將電氣開限-水頭變化關(guān)系曲線編制在程序中，并將最大電氣開度整定為80%～100%，且固定在存儲器中。該關(guān)系曲線與實際的電氣開限-水頭變化關(guān)系曲線不一致。B電廠將具有嚴重功能缺陷的1、4號機組的調(diào)速系統(tǒng)投入運行。
事故發(fā)生前，B水電廠調(diào)頻運行，1號機組有功170 MW，4號機組有功173 MW，當系統(tǒng)頻率大幅下降時，調(diào)速系統(tǒng)自動增加負荷，機組調(diào)差系數(shù)為6%。11時31分07秒,1號機組有功191.1MW， 11時31分05秒，4號機組有功增至195.6 MW，由于調(diào)速系統(tǒng)無法實現(xiàn)最大功率限制，機組有功功率嚴重上限，11時31分57秒，4號發(fā)電機定子反時限過流保護動作跳閘。11時32分，I號發(fā)電機定子反時限過流保護動作跳閘。

【防范措施】
1、A電廠甩負荷后系統(tǒng)的頻率穩(wěn)定問題嚴重威脅著系統(tǒng)的安全運行，必須增設(shè)新的安全控制措施，加強第三道防線的建設(shè)，才能保證系統(tǒng)的頻率穩(wěn)定；同時需盡快制定和落實系統(tǒng)的“黑啟動”方案。
2、A電廠機組調(diào)速系統(tǒng)的設(shè)計存在明顯的不合理性，調(diào)速器的工作狀態(tài)完全依賴于計算機監(jiān)控系統(tǒng)，而計算機監(jiān)控系統(tǒng)與廠內(nèi)MIS系統(tǒng)直接連接，未采取任何隔離措施，存在嚴重的計算機網(wǎng)絡安全問題。B電廠調(diào)速器在功能改造和運行管理上也存在重大缺陷，調(diào)速器竟在無最大功率限制的情況下投入運行，直接威脅到機組和電同的安全運行。在“10.13”事故的系統(tǒng)頻率恢復過程中，一些主力水電廠的備用出力無法迅速啟動，其原因均為機組的自動發(fā)電控制人為地大大限制了機組功率加減幅度，制約了機組一次調(diào)頻能力的發(fā)揮。
3、電網(wǎng)運行管理部門應對發(fā)電機組的頻率保護、勵磁系統(tǒng)(包括PSS)、調(diào)速系統(tǒng)、AGC等二次控制的設(shè)計和技術(shù)改造進行技術(shù)監(jiān)督，并由發(fā)電廠并網(wǎng)調(diào)度協(xié)議對其提出明確的要求。除此之外，還需要加強發(fā)電廠計算機監(jiān)控系統(tǒng)的技術(shù)監(jiān)督，目前機組運行越來越依賴計算機監(jiān)控系統(tǒng)，計算機網(wǎng)絡同樣具有安全問題，重要的發(fā)電機組調(diào)節(jié)系統(tǒng)不能完全依賴計算機監(jiān)控系統(tǒng)，應采用分層控制、集中管理方式。

?