智能变电站配置文件错误导致跳闸的事故分析

引言

智能变电站经过十余年的建设与发展，已在电力系统中大量投入运行。智能变电站二次系统通过网络化、数字化手段，将常规变电站大量由二次电缆构成的回路变为光纤和光交换机构成的变电站过程层网络中的“虚回路”，其接线连接关系定义于智能变电站配置文件中，实现交流采样、信号传输、保护跳闸等功能。

智能变电站配置文件包含变电站系统配置文件（SCD）、IED能力描述文件（ICD）、IED实例配置文件（CID）等[1]。首先在SCD文件中导入各装置对应的ICD文件，将各ICD之间的“虚端子”进行连接，形成虚回路[2]；再通过SCD文件生成CID文件等配置文件，下装至对应装置中，即可使其实现虚回路所定义的功能。

下面对一起某智能变电站因配置文件错误，导致主变保护试验时误跳运行中的10 kv分段断路器的事故进行分析讨论。

1事故简述

某日18：41，某110 kv变电站运行中的10 kv分段930断路器发生跳闸。

该站110 kv系统为单母线分段接线，10 kv系统为单母线三分段接线，共3台主变，1号主变接于110 kvI母及10 kv I母负荷；2号主变接于110 kvⅡ母及10 kvⅡ母负荷，3号主变为工程扩建中的主变，接于110 kvⅡ母及10 kvⅢ母。

事故发生前，1号主变带10 kv I母负荷运行，2号主变带10 kvⅡ母，并经10 kv分段930断路器带10 kvⅢ母负荷运行，10 kv分段920断路器热备用，3号主变各侧断路器及110 kv分段120断路器检修，运行方式及各断路器状态如图1所示。

2事故调查分析

18：41，10 kv分段930断路器跳闸后，继电保护专业人员立即前往事故现场进行分析调查，发现断路器跳闸时，故障录波显示电网系统并无故障，监控系统相关信号如表1所示。

由监控信号看出，10 kv分段930断路器跳闸前，除进行调试工作的3号主变后备保护动作出口信号外，无其他保护动作信号，且3号主变后备保护出口时间与10 kv分段930断路器跳闸时间吻合，查看启动时间为18：41：35.542的3号主变的动作信息如表2所示。

从保护动作信息可以看出，作业人员试验时模拟了主变高复流I段保护动作，保护仅对110 kv分段120断路器、3号主变高压侧103断路器、3号主变低压侧903断路器发出了跳闸信号，并未对10 kv分段930断路器发出跳闸信号，且试验时，作业人员也仅投入了3号主变后备保护跳110 kv分段120断路器、3号主变高压侧103断路器、低压侧903断路器出口软压板，10 kv分段930断路器软压板位于退出位置。该状态下，正常情况10 kv分段930断路器无跳闸的可能性，于是考虑10 kv分段930断路器跳闸相关的“虚回路”可能存在错误，随即要求现场厂家人员导出10 kv分段930备自投装置配置文件进行检查。

根据导出的10 kv分段930备自投装置配置文件，发现10 kv分段930备自投装置“虚回路”错误，接收外部跳闸开入的虚端子错误连接至3号主变跳低压侧断路器903的出口虚端子（实际应连接跳低压侧分段930的出口虚端子，见图2），导致调试人员模拟3号主变高复压过流I段保护动作出口时，3号主变跳低压侧断路器903的跳闸信号经过3号主变保护跳903出口软压板，输出至10 kv分段930备自投装置，使10 kv分段930断路器跳闸，误跳闸的回路示意图如图3所示。

因此，配置文件虚回路错误时，10 kv分段930断路器跳闸实际经过保护装置跳低压侧903断路器及软压板控制，即使布置安全措施，使保护装置不发出10 kv分段930断路器跳闸信号，且退出跳10 kv分段930断路器软压板，也无法避免误跳10 kv分段930断路器。

3事故经过及原因

3.1事故经过

为查明造成运行中的10 kv分段930备自投装置配置文件错误的原因，经问询调查，查明经过如下：

15日前，施工单位按照作业计划，在该站开展3号主变保护跳10 kv分段930断路器相关配置下装及调试。施工单位作业人员监护厂家技术服务人员根据已完成的SCD文件，生成10 kv分段930备自投装置配置文件并下装。

配置下装完成后，因10 kv分段930备自投装置组网通信无法调通，调试工作无法进行，厂家人员查找原因后答复需要更换交换机重新组网后，才能开展工作。作业人员现场商议后决定取消本次10 kv分段930备自投装置的调试工作。现场作业人员在未对已下装的配置进行验证，也未将装置配置恢复至开工前状态，并且未告知运维单位10 kv分段930备自投装置配置已下装的情况下，申请将10 kv分段930备自投装置及断路器投运。

事故发生当日,施工单位按照计划开展110 kv分段120断路器接入新增3号主变保护配置下装及调试工作，调试人员在完成交换机更换，使组网通信成功后，投入3号主变后备保护跳110 kv分段120、3号主变高压侧103、低压侧903断路器软压板,并检查10 kv分段930断路器软压板为退出状态后，模拟3号主变高复压过流I段保护动作，进行断路器传动试验。保护动作出口后，10 kv分段930断路器跳闸。

3.2事故原因

施工单位作业人员、厂家技术服务人员在10 kv分段930备自投装置配置下装当日，下装了错误的配置，在办理工作终结手续时，既没有通过备份文件还原装置配置[3]，也没有通知运维单位专业人员验收已下装的配置，使装置带“病”运行、埋下隐患，是导致本次事件的直接原因。

施工单位作业人员开展主变保护传动试验前，对试验可能导致运行的10 kv分段930断路器跳闸的风险因素辨识不足，未进一步核查10 kv分段930备自投装置前阶段的工作内容、配置是否正确，仅在检修设备侧布置了“失效”的安全措施，是导致本次事件的间接原因。

4事故暴露问题

从管理、技术角度分析，本次事故暴露出以下问题：

（1）现场作业开展不规范。作业时未执行有关规定要求，在配置文件下装后，未进行相应验证，贸然将带有错误配置的装置投入运行。施工单位对厂家人员未起到监护作用，能力不足，未能及时发现配置错误的问题，监督责任落实不到位，留下事件隐患。

（2）作业组织管理有漏洞。作业方案中对智能变电站二次作业安全风险管控不到位，未充分考虑装置配置下装的工作风险，未对配置错误影响一次运行设备的潜在风险进行管控，未明确装置配置下装作业方法，细化步骤措施。

（3）作业人员专业技能水平欠缺。施工单位现场工作人员对智能站配置工作存在知识盲区，配置文件下装作业的正确性完全寄托于厂家人员，缺乏实践经验，对潜在危险因素缺乏识别、处理能力，不能

完全把控现场作业的不安全风险，留存了不安全因素。

（4）安全防误隔离技术手段不足。该事故中的智能变电站，二次系统采用标准设计方案，3号主变保护跳高压侧103、低压侧903断路器采用光纤直接连接，即“直跳”；而跳110 kv分段120断路器、10 kv分段930断路器采用光纤经过程层交换机组网连接，即“网跳”。现场调试时，因需进行3号主变跳110 kv分段120断路器的跳闸整组试验，3号主变保护至过程层交换机的组网光纤无法断开，10 kv分段930备自投装置属于运行设备，其至过程层交换机的组网光纤也无法断开，因此调试时，3号主变保护与10 kv分段930备自投装置之间的联系无法从物理上进行“硬隔离”，仅能通过保护装置软压板及定值设置上采取“软隔离”措施，在本次事故中属于无效措施。

5事故对策

针对以上原因，采取对策建议如下：

（1）强化智能站作业风险管控。要求施工单位作业方案中关于配置下装工作，须包含有效可行的作业方案和技术措施，保障配置文件的正确性。施工单位应派出具备足够技能水平的作业人员开展工作，落实配置文件检查验证，及时发现配置中的错误。严格组织SCD文件和作业方案的审查，由专业人员审核把关，降低现场作业风险。

（2）严格智能站配置文件管控。严格要求智能变电站二次作业人员贯彻执行智能变电站配置文件管理相关规定，坚持配置文件管理“源端修改，过程受控”原则，对在运智能站配置文件实施集中统一管理[4]，细化管控措施，严格执行配置文件“下装前审查，下装后验证”，保证配置文件正确性。

（3）提升智能站相关技能水平。对相关人员开展智能站相关培训，增强作业人员发现问题、分析问题、解决问题的能力，促进专业素养提高，减少智能站配置工作对厂家的依赖。

（4）优化智能变电站设计。建议所有涉及保护跳断路器的光纤连接均改为“直跳”方式连接，使保护调试时，该保护至每个运行断路器的光纤连接均可独立断开，确保智能变电站二次安全措施可见、可控、可靠。