【安全环保】：二十五项反措条文解读+案例学习

9.1 防止分散控制系统供电系统事故  

[条文］ 9.1.1 分散控制系统电源应设计有可靠的后备手段，

电源的切换时间应保证控制器、服务器不被初始化；操作员站如

无双路电源切换装置，则必须将两路供电电源分别连接于不同的

操作员站；系统电源故障应设置最高级别的报警；严禁非分散控

制系统系统用电设备接到分散控制系统系统的电源装置上；公用

分散控制系统系统电源，应分别取自不同机组的不间断电源系统,

且具备无扰切换功能。分散控制系统电源的各级电源开关容量和

熔断器熔丝应匹配，防止故障越级。 

[条文解读］DCS 电源可靠性是DCS安全、可靠运行的基础，应给及高度

重视。应从设计、运行维护上规范。电源必须两路以上，备用电

源的切换时间应应保证控制器不能初始化，系统电源故障应设有

最高等级报警。同时，每个DCS机柜中都应保证电源有足够的设

计余量，同时操作员站、服务器、控制器、通讯网络的电源均应

采用冗余配置。在每次机组启动前，应安排电源切换试验并做相

应记录。 

应保证控制器中所有控制单元、模件、驱动器件的工作电源

为冗余供电，由控制器提供给现场的查询、驱动电源应为冗余供

电。任何一路电源失去或故障，应能够保证控制器在最大负荷下

运行。 

操作员站、工程师站、实时数据服务器、SIS接口服务器和

通讯网络设备的电源，应采用两路电源供电并通过双电源模块接

入，否则操作员站和通讯网络设备的电源应合理分配在两路电源

上。 

独立配置的重要控制子系统（如ETS、TSI、METS、DEH、MEH、

火检、FSSS、循环水泵等远程控制站及I/O站电源、循泵控制蝶

阀等），应有两路互为冗余的电源供电，当一路电源失去时仍可

保证系统连续正常工作，并设置电源故障报警。独立于DCS的安

全系统的电源切换功能，以及要求切换速度快的备用电源切换功

能，不应纳入DCS，而应采用硬接线逻辑回路。 

冗余电源的任一路电源单独运行时，应保证设计裕量满足要

求；公用DCS 系统电源，应取分别取自两台机组,在正常运行中

保证无扰切换；重要的热工双路供电回路，应取消人工切换开关；

所有的热工电源（包括机柜内检修电源）必须专用，不得用于其

它用途。 

汽轮机紧急跳闸系统（ETS）和汽轮机监视仪表（TSI）所配

电源必须可靠，电压波动值不得大于±5％。机组检修时电气专

业应对电源的质量进行测试，不得含有高次谐波，以保证输出继

电器动作和触点可靠，同时应具备出口继电器电源监视报警功

能。 

[案例］某电厂200MW 机组操作员站供电电源为一路，且全

部操作员站均由该路电源供电。某年8月6日，操作员站供电电

源故障，导致所有操作员站无法使用，机组运行失控，根据相应

应急预案，实施了紧急停机停炉操作。 

[条文］9.1.2 交、直流电源开关和接线端子应分开布置，交、

直流电源开关和接线端子应有明显的标示。 

[条文解读］本[条文］是为防止因交流系统与直流系统之间混接而造成事

故。电力系统中交流系统和直流系统是两个独立系统，一旦两个

系统互连，会引发信号回路和由直流供电的保护系统误动。

[案例］某厂曾经发生过因检修人员在故障处理时，误将交流电源接入直流，

导致三台600MW燃煤机组跳闸，直接甩掉1630MW负荷，电网频

率由50.02Hz最低降至49.84Hz，造成严重电网事故。 

[条文］9.1.3分散控制系统（DCS）使用的不间断电源（UPS）

电源装置应做定期维护，蓄电池应定期进行充放电试验，应对

UPS 装置及电源冗余切换装置出口电源进行录波试验，确保供电

质量。如有条件，宜对所有UPS电源进行远程实时监控，并作相

应UPS故障报警。 

[条文解读］控制系统电源是保证控制系统实现机组安全功能的基础，一

旦电源失去，再强大的处理器，再高级别的智能控制功能也无法

发挥应有的作用。不间断电源，起到了保证控制电源稳定供应的

关键作用。如果对不间断电源缺少必要的巡视和维护，UPS系统

将会随运行时间的延长及系统环境的影响，设备运行性能将不断

下降，等到某一临界点，将失去设备基本功能，控制系统的供电

安全将不能得到保证。在UPS的实践应用中，经常出现“重使用、

轻维护”的作业倾向，因此要使专业人员认识到，长期对UPS缺

乏维护或维护不力，UPS同样会变得不安全，反而会形成供电安

全的假象，造成更大的安全隐患。 

[案例］某发电厂2号机组满负荷运行，12月25日23时41

分运行人员发现锅炉壁温测点大面积坏点，该类测点是由 IDAS

从炉顶采集通过双绞线接入 DCS。同时出现 UPS 馈电柜频率在

42Hz 至 52Hz 之间波动，B 侧氢冷器调节阀反馈波动，B汽泵调

节油压力突升，2号机定冷水流量突降，7号8号低加疏水温度

大幅波动等现象。12月26日00时57分，DCS发“INFIT优化

控制电源2故障”报警，经检查电源空开烧毁。进行两路UPS电

源切换实验，确定UPS 2A与厂用同时供电合格，UPS 2B由于电

容损坏，供电输出含有高次谐波，供电质量较差，导致事故发生。 

［案例］某发电企业4号机组4月28日2时06分，运行人

员监盘发现所有CRT、DEH 操作员站黑屏，TSI 监视系统、水位

电视、火焰电视全部失去监视，小机505控制盘有电。立即就地

检查炉膛燃烧情况，发现炉膛灭火，各给煤机给煤率为零，就地

关闭炉侧减温水电动门，检查一次风机转速下降，就地事故按钮

停2、3、4、5 号制粉系统、一次风机及密封风机运行，检查燃

油速断阀关闭；同时检查汽轮机运行情况，检查就地机头转速表

无显示，立即派主值检查除氧器、汽包水位情况。2时 51 分，

UPS 负荷恢复供电。 

UPS 主控板故障是导致UPS死机的直接原因，经过向厂家技

术人员咨询，认为主控板器件老化，引起程序运行不稳定、数据

紊乱是UPS主控板故障的主要原因。具体主控板故障原因待厂家

进一步检测后确定。DCS失电后，一次风机变频器由于失去指令

自动降低至最低转速 300r/min，一次风压降低，制粉系统出力

降低，燃烧恶化，造成锅炉灭火。热控控制系统两路电源均取自

同一台UPS，此设计配置不可靠，当UPS故障后必然导致DCS失

电。 

[条文］ 9.1.4 热控设备需要两路直流电源互备时，严禁采用

大功率二极管将厂用直流两段电源进行耦合。 

[条文解读］采用二极管将两路直流并联运行，优点是实现了直流供电

的无扰连续供电，但是无法做到两段直流电源完全的物理隔离，

失去了两段直流的独立性，一旦一点接地，两段直流都会接地，

对直流接地查找带来困难，同时所有使用直流电源的保护系统存

在无法正确动作的风险。 

[案例］某机组330MW机组MFT保护动作，机组跳闸，运行

人员和热控人员检查发现MFT四个220V直流跳闸继电器线圈全

部烧毁，继电器失磁动作。通过检查事故记录，发现事故发生时，

直流电源系统有数次220V直流系统显示达455V电压。后经分析，

电气两段直流供电系统均有接地，一套为正极接地，一套为负极

接地，220V直流系统将电压拉到455V，额定电压为220V直流的

继电器线圈直接烧毁，造成停机。 

[案例］某电厂三号机组为600MW燃煤机组，某年7月25日，

该机组110V 一段、二段直流母线发生断续接地，两段直流绝缘

监察装置均发出了直流接地报警信号，电气专业会同热工专业人

员采用分别停送电方式进行接地点排查，均未找到直流接地点。

后电气专业及热工专业人员在锅炉燃油速断阀处发现厂房漏雨，

雨水直接溅落在电磁阀接线盒内导致直流接地。将MFT机柜电源

断开，直流接地报警消失，直流系统恢复正常。 

[条文］9.1.5 DCS各等级电压电源应按照“专电专用”原则，

严禁接入其他非核心负载，例如机柜风扇、指示灯、操作面板、

检修用电源、伴热电源、照明电源等。 

[条文解读］设置本[条文］的目的在于强调所有的热控保护电源必须根据

供电对象的重要性进行分类供电，属于核心的控制设备不应与非

核心的辅助设备同源供电，否则电源冗余配置既无法提高供电可

靠性，也增加了高优先级设备的故障风险。 

[案例］某年11月30日09时13分，某电厂4号机组检修

后，启动过程中因为紧急跳闸系统触摸屏内部故障，导致触摸屏

供电回路熔断器烧断，紧急跳闸系统电源电压迅速被拉低到 7V

直流电压，紧急跳闸系统配置的PLC供电电压低保护动作，触发

机组润滑油压低（常闭接点）保护动作，机组跳闸。事后查明，

触摸屏与保护回路共用同一电源，且给触摸屏供电熔丝容量选择

偏大，是导致此次故障的主要原因。 

[案例］某燃气联合循环机组正常运行时突发故障，控制系

统13 号控制器无法工作，被控设备失去控制。经热工专业人员

检查，发现控制系统13号控制器所在DCS系统盘柜风扇接线瞬

间接地，由于风扇电源是由控制器盘柜内电源供电，造成整个控

制器盘柜电源失去，柜内控制器无法工作。 

[条文］9.1.6 DCS应具有可靠的电源失电报警功能。当外部供

电或内部供电任一路电源故障时，均能在人机界面显示故障信

息，触发报警。 

[条文解读］本[条文］是根据DL/T 1056-2019 《发电厂热工仪表及控制系统技

术监督导则》而制订的，其目的在于强调对各类电源报警的重要

性。安全稳定可靠的供电系统对控制系统的重要性毋庸置疑,但

实际工作中经常发生两路冗余供电系统中，一路供电回路失电未

被发现，系统长期运行在单路供电状态，一旦另一路供电不稳定，

则系统随时面临完全失电的风险,因此发生任一路电源故障时，

必须及时报警，提醒运行人员注意，防止事态扩大。 

[条文］9.1.7 DCS网络通信设备电源应双路配置，电源的切换

时间应保证网络通信设备不被初始化，且应有失电报警功能。 

[条文解读］网络通信回路是分散控制系统的核心，一旦网络通信功能失

去，机组存在失控风险。一般对网络通信设备的供电均采用双路

冗余供电，以提高供电可靠性，但在实际工作中，对网络通信供

电的重要性不够重视。某电厂曾发生网络通信单路电源跳闸后，

系统没有相应报警，维护人员没有及时发现，致使网络通信长期

处在失去一路电源的单电源供电的危险工况之中，所幸在供电源

尚未发生电源故障，否则网络通信中断故障在所难免。 

[条文］ 9.1.8 分散控制系统设计阶段时，用于重要联锁保护

的输入输出信号，应避免多个信号通过短接线或母线共用直流正

极或负极，或应根据控制设备的重要等级进行分组，各组电源分

别配以熔丝或空气开关做电气隔离，尽可能降低集中供电风险。 

[条文解读］现实环境中，为扩展电源供电输出端口，一般采取通过一连

串短接线或短接片将电源正极或负极引导到不同接线端子，此类

配置相对简洁、操作性强，但面临各种风险。其一，短接线或短

接片接触不良，导致部分端子失电；其二，一旦电源某一极接地

或短路，则所有电源用户供电都会受到影响。前一个问题可以采

取将短接线组做环形联接，即被称作“菊花链”联接，后一个问

题则只能采用将重要用户的供电回路与次要用户的供电回路分

开，单设空气开关或熔丝。 

［案例］某机组正常运行时，突发汽轮机1号2号高压主汽

阀、1号2号高压调节阀、1号2号中压主汽阀和冷再逆止阀关

闭，机组负荷两秒之内由644MW降至0MW，发电机保护动作，汽

轮机跳闸。事后检查发现，事故关闭的阀门关闭指令共用负24V

直流供电，由于供电端子松动，导致涉事故阀门直流负端电压失

去，驱动各阀门关闭。 

［案例］某燃气联合循环机组“一拖一”背压运行，机组总

负荷 340MW，事故发生时，DCS 报警“3 号凝结水泵故障”、“汽

机顶轴油泵B故障”、“1号2号开式水泵故障”、“汽机2号定冷

水泵故障”、“汽机高排逆止门故障”、“10CBA12.AB012卡件故障”

等大量报警，DCS系统多个转机、电动门状态反馈消失。汽轮机

跳闸，首出“汽机中压缸排汽温度高”。事后查明，多个DI模件

和SOE模件的正24V直流通过短接条连接在一起，形成电源串联

供电，电气专业在检修1号中压并汽电动门时，裸露的备用线芯

与电动头的金属外壳接触短路，连带电动头反馈信号电缆接地放

电，接地电流将串联在一起的18枚DI供电熔丝及4枚SOE供电

熔丝熔断，对应所有反馈信号消失。 

［案例］某电厂2号机组正常运行时，左右两侧中压主气门

均关闭信号同时发出，锅炉再热器保护MFT动作停机。现场检查

发现右侧中压主气门阀位反馈电缆被高温烫毁短路，造成反馈装

置的供电电源开关跳开。由于该电源开关同时为左右两侧中压主

气门阀位反馈供电，电源开关跳开使左右两侧中压主气门关闭信

号发出，导致机组跳闸。 

[条文］ 9.1.9 热控设备进行改造后，应针对电源回路复核空

气开关或熔丝的额定参数，确保设备的用电容量不超过空气开关

或熔丝的额定容量，同时核算上下级电源匹配功耗，防止因空气

开关或熔丝越级跳闸或熔断导致失电事故范围扩大。 

[条文解读］空气开关及熔丝容量核定应在初始设计阶段进行，但是在机

组热工设备改造时，由于参与项目的各方在信息沟通方面有可能

存在问题，造成实际供电容量与供货厂家的设备耗能之间不匹

配。此类问题由于涉及多方责任，有可能造成项目盲区，此时业

主单位应负起责任，对设计单位提出明确的要求，明确落实责任，

为今后设备的安全运行打下坚实基础。在设计图纸上复核有关配

置参数后,应进一步与现场安装元件、装置及配线的实际情况进

行核对，防止出现未按图纸施工或装配差错等问题。 

［案例］某年3月19日，某电厂3号机组正常运行,机组负

荷240MW。23 时 17 分，汽轮机DEH控制系统发MSV1，ICV，CV

伺服板故障报警，发电机负荷降低至0；汽机转速下降，31、32

汽泵转速下降，主汽压力升高，手动启动电泵。23时18分手动

锅炉MFT和汽轮机打闸。经事故分析认定，DEH伺服卡24V供电

电源保险容量设计不合理，一路供电电源电流长期运行在保险额

定电流处过热熔断，另一路也随即过流断路，造成电液伺服控制

器失去所有24V工作电源导致高压主汽门和中压调门关闭，机组

停机。 

[条文］9.1.10 独立于DCS外的重要控制系统（如主燃料跳闸

（MFT）控制柜、紧急跳闸系统（ETS）电源柜、汽轮机监控仪表

系统（TSI）等）电源应冗余配置，并设置电源故障声光报警。 

[条文解读］中提到的独立控制装置是机组保护系统不可分割的重

要组成部分，如果此类装置全部或部分失去功能，则机组整套保

护系统将会存在重大隐患，保护误动或拒动事故将不可避免，因

此其重要程度必须等同于DCS保护控制系统，其对电源的要求也

应与DCS保护控制系统保持一致。 

[案例］某年9月25日18时49分，某电厂3号机组负荷

305MW，18 时 49分04秒ETS系统发出“ 220V 交流电源报警”、

“110V 直流报警”、“24V 直流报警”，18时 49分 05秒，汽轮机

主汽门关闭，ETS发出“ETS电源失去”；锅炉MFT首出“汽轮机

跳闸”。现场检查，发现ETS 24V 直流电源模块故障。经过事故

原因排查及分析，确认24V直流电源模块质量不可靠，制造工艺

粗糙，变压器电感线圈存在焊点虚焊，致使模块带载能力下降，

PLC 无法工作，引发AST电磁阀失电，汽轮机跳闸。该电厂近年

来有同类电源装置多次发生模块损坏，但专业人员防范意识不

强，对ETS的供电安全不够重视。 

[条文］9.1.11 DCS 冗余电源应每年至少进行一次切换试验，

如机组连续运行超过一年，则下次启动前应开展电源切换试验。 

[条文解读］DCS 电源的冗余配置是保证供电可靠的先决条件，对冗余电

源的切换试验是对供电可靠性的实际验证，能够真实反映实际供

电效果，因此定期开展电源切换试验是热工专业的一项重点工

作。本条目对试验周期设置了必要的时间限定，同时根据机组实

际运行工况做了相应的规定。