2000年10月13日,某大型水電廠(chǎng)（裝機6×550 MW。以下簡(jiǎn)稱(chēng)A電廠(chǎng)）因二次控制系統在設計和運行管理方面存在嚴重的安全隱患，運行中發(fā)生計算機監控系統死機，造成全廠(chǎng)所有運行機組同時(shí)甩負荷。
【事故經(jīng)過(guò)】
2000年10月13日，500 kV A電廠(chǎng)—普提—洪溝一回線(xiàn)路檢修，電廠(chǎng)1—4號機組運行，5、6號機組停運。11時(shí)30分機組總出力1014 MW，突然計算機監控系統操作員站和返回屏無(wú)任何實(shí)時(shí)數據顯示，計算機監控系統死機。經(jīng)現場(chǎng)檢查1—4號機組出口開(kāi)關(guān)均在臺閘位置?？偝隽抵?20 MW，1—4號機組調速器均有小故障信號。A電廠(chǎng)瞬時(shí)甩負荷894 MW，系統頻率由50.05Hz急劇下降。11時(shí)31分系統主調頻廠(chǎng)B水電廠(chǎng)4×175 MW機組中的1、4號機解列，甩負荷390 MW，系統頻率深幅下降，最低頻率為48.928Hz。A電廠(chǎng)臨時(shí)安控系統的就地低頻減負荷裝置（定值為49.2Hz、0.3 s）切除負荷217 MW。低頻率減負荷裝置基本一輪（定值為49.0 Hz、0.3 s）和特一輪（定值為49.0Hz、20s）動(dòng)作切除負荷363.3 MW，緊急事故拉閘限電264 MW，川渝電網(wǎng)共損失負荷854.3MW。11時(shí)46分系統頻率恢復至49.80 Hz，低頻率運行911s；l1時(shí)58分，停電負荷全部選出；13時(shí)15分，川渝電網(wǎng)恢復正常方式運行。
事故發(fā)生前，川渝電網(wǎng)統調負荷5850 MW。發(fā)電備用容量800 MW，事故狀態(tài)下系統頻率變化曲線(xiàn)如圖1所示，從頻率變化曲線(xiàn)看，A電廠(chǎng)甩負荷后，系統由50.05Hz降至49.069 Hz，A電廠(chǎng)臨時(shí)安控系統的就地低頻減負荷裝置動(dòng)作后，頻率開(kāi)始恢復，11時(shí)31分B水電廠(chǎng)l、4號機因調速系統原因解列，進(jìn)一步加劇了系統的有功缺額，最低頻率降至48.928 Hz。根據頻率變化曲線(xiàn)，可以估計川渝電網(wǎng)頻率變化特性為(80 MW—110 MW)/O.1Hz。

圖1 事故中系統頻率變化曲線(xiàn)
【原因分析】
1、A電廠(chǎng)甩負荷原因分析
A電廠(chǎng)計算機監控系統供應商為德國ABB公司。1999年，A電廠(chǎng)開(kāi)發(fā)了一套MIS系統，在沒(méi)有采取任何網(wǎng)絡(luò )安全措施的情況下，將MIS系統直接接入計算機監控系統。MIS系統接入后，計算機監控系統曾出現過(guò)系統過(guò)載情況?！?0.13”事故的表現現象是計算機監控系統IPU過(guò)載死機。從系統報管清單中可以看出，在計算機監控系統癱瘓前，報警信息繁多，網(wǎng)絡(luò )與節點(diǎn)連接失去信號的報警信息超過(guò)40條之多，但是計算機未能保存和打印出事故發(fā)生時(shí)刻計算機監控系統運行的原始數據資料，據此電廠(chǎng)認為IPU死機是計算機網(wǎng)絡(luò )故障所致。

圖2 調速系統的并網(wǎng)信號回路
圖2為A電廠(chǎng)機組調速系統的機組并網(wǎng)信號回路。A電廠(chǎng)500 kV主接線(xiàn)為3/2接線(xiàn)，考慮機組零起升壓開(kāi)機方式，機組在500 kV GIS開(kāi)關(guān)側有16種并網(wǎng)方式，設計由計算機監控系統的IRJ采集500kV各GIS開(kāi)關(guān)位置信號，進(jìn)行邏輯判斷后，給出500kV GIS開(kāi)關(guān)狀態(tài)復合信號，也就是機組在500 kV GIS開(kāi)關(guān)側的并網(wǎng)信號，與發(fā)電機組出口開(kāi)關(guān)合閘位置信號組成與門(mén)，然后進(jìn)至機組調速系統。由此可見(jiàn)，一旦計算機監控系統的GIS開(kāi)關(guān)狀態(tài)信號消失，調速系統的機組并網(wǎng)信號也隨之消失，調速系統將返至空載工作狀態(tài)。10月13日11時(shí)30分，由于計算機監控系統失靈，所有機組調速器無(wú)法從計算機監控系統獲得GIS開(kāi)關(guān)的并網(wǎng)信號，調速系統瞬時(shí)返回至空載，自動(dòng)關(guān)閉導葉，造成所有機組甩負荷。
2、B水電廠(chǎng)機組跳閘的原因分析
B水電廠(chǎng)I996年12月投運，裝機4×175MW，是四川電網(wǎng)主調頻廠(chǎng)。機組調速系統改造為省公司的重措項目，1999～2000年由某電機廠(chǎng)對1、4號機組的機械柜和電氣柜進(jìn)行改造，按無(wú)人值班電廠(chǎng)標準進(jìn)行設計，機組調速系統與計算機監控系統實(shí)現通訊，并把水頭信號引入調速系統，使導葉空載開(kāi)度和最大電氣開(kāi)度限制隨水頭變化而變化。在1、4號機組調速系統改造完畢投入運行時(shí)，由于計算機監控系統的改造正在實(shí)施，無(wú)法實(shí)現二者之間的通訊，調速系統無(wú)法實(shí)現最大功率限制，水頭信號未能引入調速系統，導葉開(kāi)度限制也不能隨水頭變化而自動(dòng)變化。廠(chǎng)家根據理論計算將電氣開(kāi)限-水頭變化關(guān)系曲線(xiàn)編制在程序中，并將最大電氣開(kāi)度整定為80%～100%，且固定在存儲器中。該關(guān)系曲線(xiàn)與實(shí)際的電氣開(kāi)限-水頭變化關(guān)系曲線(xiàn)不一致。B電廠(chǎng)將具有嚴重功能缺陷的1、4號機組的調速系統投入運行。
事故發(fā)生前，B水電廠(chǎng)調頻運行，1號機組有功170 MW，4號機組有功173 MW，當系統頻率大幅下降時(shí)，調速系統自動(dòng)增加負荷，機組調差系數為6%。11時(shí)31分07秒,1號機組有功191.1MW， 11時(shí)31分05秒，4號機組有功增至195.6 MW，由于調速系統無(wú)法實(shí)現最大功率限制，機組有功功率嚴重上限，11時(shí)31分57秒，4號發(fā)電機定子反時(shí)限過(guò)流保護動(dòng)作跳閘。11時(shí)32分，I號發(fā)電機定子反時(shí)限過(guò)流保護動(dòng)作跳閘。

【防范措施】
1、A電廠(chǎng)甩負荷后系統的頻率穩定問(wèn)題嚴重威脅著(zhù)系統的安全運行，必須增設新的安全控制措施，加強第三道防線(xiàn)的建設，才能保證系統的頻率穩定；同時(shí)需盡快制定和落實(shí)系統的“黑啟動(dòng)”方案。
2、A電廠(chǎng)機組調速系統的設計存在明顯的不合理性，調速器的工作狀態(tài)完全依賴(lài)于計算機監控系統，而計算機監控系統與廠(chǎng)內MIS系統直接連接，未采取任何隔離措施，存在嚴重的計算機網(wǎng)絡(luò )安全問(wèn)題。B電廠(chǎng)調速器在功能改造和運行管理上也存在重大缺陷，調速器竟在無(wú)最大功率限制的情況下投入運行，直接威脅到機組和電同的安全運行。在“10.13”事故的系統頻率恢復過(guò)程中，一些主力水電廠(chǎng)的備用出力無(wú)法迅速啟動(dòng)，其原因均為機組的自動(dòng)發(fā)電控制人為地大大限制了機組功率加減幅度，制約了機組一次調頻能力的發(fā)揮。
3、電網(wǎng)運行管理部門(mén)應對發(fā)電機組的頻率保護、勵磁系統(包括PSS)、調速系統、AGC等二次控制的設計和技術(shù)改造進(jìn)行技術(shù)監督，并由發(fā)電廠(chǎng)并網(wǎng)調度協(xié)議對其提出明確的要求。除此之外，還需要加強發(fā)電廠(chǎng)計算機監控系統的技術(shù)監督，目前機組運行越來(lái)越依賴(lài)計算機監控系統，計算機網(wǎng)絡(luò )同樣具有安全問(wèn)題，重要的發(fā)電機組調節系統不能完全依賴(lài)計算機監控系統，應采用分層控制、集中管理方式。

?