#Классика@catx2
Всем привет. В комментариях к моей заметке про «ночь страха» в Нью-Йорке меня упрекнули, что зря я с нотками превосходства про отечественный подход к противодействию авариям в энергосистеме говорю. Чтож. В 2003 году в энергосистеме США произошла авария, которая с лихвой перекрыла все предыдущие по масштабу – 55 миллионов человек остались без света. И всё из-за неистребимого человеческого фактора.
Но прежде чем перейти к самому описанию аварии, надо объяснить, из-за чего сыр-бор. Есть два метода противоаварийного управления энергосистемой. Первый, я его называю «залить деньгами» - это строить избыточную генерацию и ЛЭП, для того, чтобы отключение одного или нескольких сетевых элементов компенсировалось перетеканием части нагрузки на другие. Метод требует огромных капитальных затрат и при этом имеет одно уязвимое место – при большом количестве связей диспетчерское управление энергосистемой становится сложным. Особенно если строятся не межсистемные ЛЭП большого напряжения, а множество локальных, что усложняет как отслеживание ситуации на них, так и анализ оперативной обстановки. Второй метод, принятый в СССР - это применение противоаварийной автоматики (ПА). Данная автоматика заранее настроена на отслеживание ключевых параметров сети и осуществление заранее заданного набора действий при их достижении. Метод этот, внезапно, более дешёвый, но требует тщательной настройки автоматики и многочисленных предварительных расчётов режимов энергосистемы для обеспечения правильности выбора управляющих воздействий.
Исторически сложилось, что в США ПА применяли очень ограниченно. Связано это было как с довольно длительным периодом, когда энергосистемы просто не сталкивались с авариями при которых она необходима, так и с уверенностью, что усиливая сеть можно достигнуть такого состояния, когда никакая авария не сможет нарушить устойчивость её работы. Наивные. В очередной раз для того, чтобы ситуация пошла по худшему сценарию, сложился сразу ряд факторов, но на этот раз вполне рутинных. 14 августа 2003 года на Северо-Востоке США было жарко. 35 градусов в тени. Кондиционеры нещадно гоняли воздух, пытаясь охладить его до комфортных температур. А чтобы люди трудились в комфортных условиях по линиям электропередач нещадно гнались мегаватты электричества в сторону густонаселённых агломераций восточного побережья. В 12:15 в энергосистеме компании ECAR (район Детройта и Торонто, энергосистема трансграничная) происходит отключение из-за перегрузки одной из линий 230 кВ, это вызывает локальную просадку напряжения, которую пытаются компенсировать увеличив генерацию на одной из местных электростанций. Но генератор, когда его попытались вывести на максимум мощности, решил, что хватит это терпеть, и отключился. Эта незначительная авария нарушила нормальный переток мощности с юга на север. Не критично.
Но в 15 часов с разницей в 10-15 минут последовательно отключаются 3 межсистемные линии 345 кВ, по которым передавалась мощность с юга на север. Тут небольшое уточнение – чем больше напряжение линии, тем большую мощность она способна передать, соответственно 1 линия 345 кВ может заменять 2-3 линии 110 кВ Произошло это из-за термического расширения проводов и их соприкасания с растущими под ЛЭП деревьями, так как за трассами ЛЭП, как позже выяснится, следили из рук вон плохо. Потеря трёх системообразующих ЛЭП была слишком тяжёлым ударом – вся мощность, передаваемая по ним, теперь легла на сеть низкого напряжения, которая оказалась неспособна принять на себя всю мощность и линии начали перегружаться. И вот тут в дело вступили особенности организации энергосистемы. Хотя формально вся энергосистема с США единая, по факту это конгломерат из десятков частных энергокомпаний, над которыми стоят координаторы надёжности энергоснабжения (конторы, которые следят, чтобы энергообъединения функционировали на должном уровне). Каждая энергокомпания имеет свой диспетчерский центр, который и осуществляет функции противоаварийного управления – диспетчер получает данные об аварии и даёт команды на оперативные действия.
Проблема была в том, что диспетчер одной из компаний (First Energy Corporation, FE) из-за ошибок в работе софта так и не узнал, что в его зоне ответственности отключилась ЛЭП. Более того, не знал он и про катастрофическое нарастание перегрузки. В такой ситуации по идее должен был возбудиться координатор безопасности MISO, но у него буквально за два часа до этого произошёл сбой в работе информационной системы, которую вывели из работы и после ремонта забыли ввести! Тем временем диспетчеру FE поступали звонки от диспетчеров соседних объединений с вопросами «шо за нах брат?», на что он отвечал, что у него-то всё норм. Блаженную уверенность в том, что у него всё в порядке не поколебали даже звонки с АЭС о том, что из-за колебаний в сети АЭС может в ближайшее время отключиться.
В энергосистеме же в это время начались отключения перегруженных ЛЭП защитами – в течении получаса отключилось 16 линий 138 кВ всё того же несчастного транзита Север-Юг. Спасти энергосистему было ещё можно путём сброса нагрузки потребителей, но так как никто точно не понимал ни масштаба происходящего, ни необходимых действий по его прекращению, а оператор FE и вовсе был уверен, что всё в норме, то никто не мог решиться на необходимые действия. Показателен диалог двух диспетчеров, происходящий в этот момент:
- О боже, я в глубокой...
- Ты и я, мы оба, брат. Что мы собираемся делать? Если тебе что-нибудь нужно, дай мне знать.
- Только что еще что-то отключилось. Много чего происходит.
- Возможно, я должен поговорить с MISO, так как они собирались поговорить с FE...
И пока шли эти телефонные переговоры, в 16:06 от перегрузки отключилась линия 345 кВ Sainmis-Star. Это привело к полной потере транзита Север-Юг в энергообъединении. После чего мощность начала перераспределяться через сети других кампаний, чем была вызвана уже перегрузка их ЛЭП, так как транзит по ним таких объёмов мощности был не предусмотрен. И так же, как и до этого, линии начали отключаться защитами лавинообразно, так как отключение одной перегруженной линии вызывало перегрузку нескольких других. Энергосистема за 3 минуты(!) распалась на несколько изолированных по абсолютно случайным сечениям районов, из-за чего баланс генерации и потребления в них был нарушен и начался процесс лавинообразного снижения напряжения и частоты, что приводило к отключению генераторов от сети.
Теперь просто вдумайтесь – всего за пару часов «на ноль» сели 265 электростанций, из которых 10 АЭС(!), с 508 генераторами. В зоне отключения оказались: северная часть Огайо, восточная часть Мичиган, северная часть Пенсильвания и Нью- Джерси, большая часть Нью-Йорк, а также канадская провинция Онтарио, Массачусетс, Коннектикут, Вермонт и канадская провинция Квебек. Всего без света остались 55 миллионов человек - шестая часть населения США. На этот раз, правда, обошлось без мародёров – и с экономикой в США было получше, и электричество пропало днём, поэтому полиция успела установить подобие порядка на улицах, не допустив разгула лутинга. Тем не менее и без этого из-за остановки предприятий и фондовых бирж финансовый ущерб составил колоссальные 6 миллиардов долларов.
Да и сам характер аварии и её масштаб были просто невероятны. Причиной аварии стал самый ненадёжный элемент любой системы – мясная прослойка между клавиатурой и экраном. Именно непрофессиональные действия диспетчеров, их нерешительность, помноженные на низкую скорость коммуникаций – все переговоры, все указания на оперативные переключения осуществлялись по телефону, а диспетчер должен был совершить десяток звонков в условиях постоянно меняющейся ситуации - и привели к катастрофе. В период начала развала энергосистемы ряд операторов АЭС просто не смогли дозвониться до диспетчеров из-за перегрузки телефонных линий, что на некоторых из них привело к довольно жёсткому выводу из работы. Комиссия, разбиравшая аварию, отметила эти факты, картинно разведя руками - такого никто просто не ожидал, но в качестве меры предотвращения предложили… усиление сети и строительство новой генерации, на что правительству предлагалось выделить 100 миллиардов долларов.
Вместо вполне логичного снятия части функций противоаварийного управления с диспетчеров и перекладывание её на автоматику с куда более быстрой скоростью реакции, комиссия предложила ещё больше усложнить сеть, чтобы диспетчеру ещё сложнее стало разобраться в том, что происходит. В подобной ситуации правильно настроенная и отработавшая автоматика позволила бы полностью предотвратить аварию, так как она не сопровождалась техническими неисправностями выключателей и другого оборудования. В общем, как всегда – бабло побеждает зло, а автоматику всё равно начнут ставить, но не как комплекс мер по результатам расследования аварии, а просто потому, что с нею как-то надёжнее.
#Герасименко@catx2
#Заметка@catx2
