盧俊 李曉飛 尹躍

【摘 要】核電廠非安全級(jí)控制系統(tǒng)承擔(dān)著機(jī)組的正常運(yùn)行控制功能。在各個(gè)電廠均有電廠的啟動(dòng)過(guò)程中，均發(fā)生過(guò)因質(zhì)量位觸發(fā)導(dǎo)致的運(yùn)行事件。核電廠的運(yùn)維人員對(duì)于非安全級(jí)的質(zhì)量位普遍缺乏了解，本文從非安全級(jí)質(zhì)量位的概念、應(yīng)用、影響和風(fēng)險(xiǎn)防范方面進(jìn)行了詳細(xì)分析，提供了較好的設(shè)計(jì)與運(yùn)行參考。

【關(guān)鍵詞】非安全級(jí)DCS;質(zhì)量位;缺省值;輸入輸出模塊;通訊

中圖分類(lèi)號(hào)： TM623.8文獻(xiàn)標(biāo)識(shí)碼： A文章編號(hào)： 2095-2457（2019）03-0216-002

DOI：10.19694/j.cnki.issn2095-2457.2019.03.091

1 DCS系統(tǒng)設(shè)計(jì)特點(diǎn)

非安全級(jí)DCS控制系統(tǒng)是核電廠的重要組成部分，承擔(dān)著核電廠的正常運(yùn)行控制功能，以及常規(guī)的設(shè)備保護(hù)功能，對(duì)核電站（包括常規(guī)島、BOP、核島）進(jìn)行集中監(jiān)測(cè)、控制、操作、管理。福清核電非安全級(jí)使用了IA平臺(tái)，本文對(duì)基于IA平臺(tái)設(shè)計(jì)特點(diǎn)進(jìn)行簡(jiǎn)要介紹，并在此基礎(chǔ)上對(duì)質(zhì)量位問(wèn)題進(jìn)行分析并提出解決方案，可有效提高系統(tǒng)的可靠性和安全性。

1.1 質(zhì)量位的一般設(shè)計(jì)參數(shù)

IA系統(tǒng)的質(zhì)量位主要參數(shù)如下：

（1）.BAD參數(shù)：FBM故障，模擬量超量程、快速大幅波動(dòng)，上游信號(hào)FBM故障;

（2）..O參數(shù)：軟件置于OFF，對(duì)于與IO卡件故障（如FBM故障、離線）;

（3）..D參數(shù)：失去連接狀態(tài)（disconect），對(duì)應(yīng)于無(wú)法取得數(shù)據(jù)（如網(wǎng)絡(luò)故障）;

（4）..E參數(shù)：上游點(diǎn)值獲取或計(jì)算錯(cuò)誤;

（5）..BODE參數(shù)：以上幾種狀態(tài)取或。

同時(shí)DCS IA系統(tǒng)默認(rèn)將失效點(diǎn)設(shè)置為最后一個(gè)有效值，DCS廠家手冊(cè)給出了部分質(zhì)量位解釋?zhuān)c實(shí)際有少部分差異，通過(guò)試驗(yàn)驗(yàn)證，我們總結(jié)出以下質(zhì)量位組成參數(shù)的判斷矩陣表格：

1.2 質(zhì)量位和缺省值設(shè)計(jì)

對(duì)于模擬量，默認(rèn)輸入范圍為4-20mA標(biāo)準(zhǔn)信號(hào)，由于模擬量信號(hào)受現(xiàn)場(chǎng)變送器故障或超量程、卡件故障、斷線等原因影響，會(huì)使DCS系統(tǒng)讀取到的信號(hào)超出4-20mA的標(biāo)準(zhǔn)范圍。為了識(shí)別模擬量信號(hào)的失效，通常設(shè)計(jì)了模擬量信號(hào)的質(zhì)量位判斷邏輯。初始設(shè)計(jì)中，按照2%的范圍進(jìn)行定義。

對(duì)于數(shù)字量，一般的無(wú)法進(jìn)線開(kāi)路檢測(cè)，質(zhì)量主要體現(xiàn)為卡件故障、FIELDBUS通訊故障，卡件離線等原因影響。

特別的，區(qū)別于反應(yīng)堆保護(hù)系統(tǒng)和其他一般的控制系統(tǒng)，福清核電的DCS非安全級(jí)控制系統(tǒng)支持?jǐn)?shù)字量輸出通道、模擬量輸出通道的質(zhì)量位設(shè)置。當(dāng)輸出通道無(wú)法正常的輸出4-20mA信號(hào)或者數(shù)字量輸出通道異常時(shí)，也可以觸發(fā)質(zhì)量位置壞。

2 質(zhì)量位問(wèn)題研究

非安全級(jí)的質(zhì)量位問(wèn)題導(dǎo)致的事件與潛在事件在各個(gè)電廠數(shù)量較大，以下列舉一些具有代表性的問(wèn)題進(jìn)行分析并提出解決和優(yōu)化辦法。

2.1 調(diào)節(jié)系統(tǒng)測(cè)量值誤切手動(dòng)導(dǎo)致調(diào)節(jié)失效

某電廠維修儀控工作負(fù)責(zé)人持兩張工單同時(shí)開(kāi)工，分別對(duì)低加兩個(gè)液位計(jì)（2ACO008MN、2ACO009MN）的對(duì)空閥漏氣缺陷進(jìn)行處理，將兩液位計(jì)在 DCS 系統(tǒng)中的信號(hào)強(qiáng)制為當(dāng)前值，導(dǎo)致水位調(diào)節(jié)系統(tǒng)自動(dòng)控制功能失效，造成低加疏水箱水位持續(xù)上漲。低加因水位觸發(fā)三高定值而隔離，機(jī)組手動(dòng)降功率至1047MWe。

經(jīng)過(guò)對(duì)圖紙進(jìn)行技術(shù)分析，該液位測(cè)量使用了3取中值的信號(hào)選擇，對(duì)兩個(gè)信號(hào)打手動(dòng)之后在信號(hào)選擇器看來(lái)這些信號(hào)仍為正常信號(hào)，不會(huì)被舍棄，從而導(dǎo)致最終的測(cè)量值也為手動(dòng)值，最終導(dǎo)致調(diào)節(jié)系統(tǒng)失效。

造成該問(wèn)題的主要原因?yàn)椋?/p>

（1）工作控制過(guò)程環(huán)節(jié)中未審查識(shí)別出風(fēng)險(xiǎn)，突破了重要系統(tǒng)控制/保護(hù)關(guān)聯(lián)信號(hào)不允許交叉作業(yè)的原則;

（2）未識(shí)別出同時(shí)對(duì)2ACO008MN和2ACO009MN信號(hào)進(jìn)行強(qiáng)制的疊加風(fēng)險(xiǎn)，造成3A低加疏水箱水位自動(dòng)調(diào)節(jié)功能失效。

通常地，儀控人員在進(jìn)行打手動(dòng)操作時(shí)，可以屏蔽掉異常信號(hào)的誤動(dòng)作風(fēng)險(xiǎn)。但此處，因?yàn)閷⑿盘?hào)切為手動(dòng)后，信號(hào)狀態(tài)為正常值，信號(hào)選擇器不會(huì)主動(dòng)剔除該信號(hào)，不能簡(jiǎn)單對(duì)兩個(gè)參與動(dòng)態(tài)調(diào)節(jié)的信號(hào)同時(shí)切手動(dòng)操作，需要對(duì)人員進(jìn)行技術(shù)學(xué)習(xí)宣貫和管理要求上的把關(guān)。

2.2 卡件故障導(dǎo)致的質(zhì)量位觸發(fā)

某核電廠運(yùn)行期間因單塊DCS采集卡件上兩個(gè)通道同時(shí)故障，導(dǎo)致循泵電機(jī)繞組溫度1CRF113/123 MT信號(hào)丟失，經(jīng)3取2邏輯觸發(fā)循泵跳泵信號(hào)，1CRF001PO停運(yùn)。經(jīng)過(guò)擴(kuò)展分析，福清項(xiàng)目中，除循泵電機(jī)三相繞組溫度信號(hào)外，還有多個(gè)系統(tǒng)也同樣存在其中兩路分配在同塊I/O采集卡件上的問(wèn)題。經(jīng)過(guò)梳理重要設(shè)備邏輯表決冗余通道共I/O卡件的情況;分析共模風(fēng)險(xiǎn)，制定調(diào)整方案，納入變更流程逐個(gè)處理。作為擴(kuò)展的要求，在處理相應(yīng)卡件的故障時(shí)，需要一并考慮質(zhì)量位對(duì)信號(hào)的影響。

2.3 輸出信號(hào)的質(zhì)量位觸發(fā)影響

某電廠3號(hào)主控出現(xiàn)3ADG004KA除氧器液位低報(bào)警，查看KIC畫(huà)面：除氧器液位從300mm下降至150mm，3CEX026VL開(kāi)度20%，3CEX025VL開(kāi)度為0。手動(dòng)開(kāi)大3CEX025VL時(shí)發(fā)現(xiàn)無(wú)法開(kāi)啟。經(jīng)儀控檢查：3CEX025VL在一層被切手動(dòng)，導(dǎo)致操縱員無(wú)法通過(guò)KIC二層畫(huà)面操作兩個(gè)閥門(mén)。一層恢復(fù)自動(dòng)后，目前3CEX025、026VL控制正常。根據(jù)DCS供貨商家的圖紙?jiān)O(shè)計(jì)（AOUT模塊INITO邏輯），此時(shí)025RG、026RG、下游兩個(gè)閥門(mén)，以及上游的主調(diào)節(jié)器被打手動(dòng)屬于FD圖的設(shè)計(jì)，此情形下運(yùn)行無(wú)法執(zhí)行切自動(dòng)操作，并且也無(wú)法在此種手動(dòng)狀態(tài)下對(duì)閥門(mén)在KIC上執(zhí)行動(dòng)作操作。輸出壞點(diǎn)、手動(dòng)導(dǎo)致調(diào)節(jié)器跳手動(dòng)是DCS供貨設(shè)計(jì)，但沒(méi)有專(zhuān)門(mén)報(bào)警。經(jīng)過(guò)分析整理，福清項(xiàng)目完善了對(duì)調(diào)節(jié)器輸入輸出信號(hào)異常的綜合報(bào)警補(bǔ)充設(shè)計(jì)，從而確保調(diào)節(jié)回路因質(zhì)量位出現(xiàn)異常時(shí)，運(yùn)行人員能及時(shí)對(duì)機(jī)組實(shí)施干預(yù)。

2.4 特殊質(zhì)量位設(shè)置辦法

RCV137MD/139MD/141MD為測(cè)量三臺(tái)主泵高壓泄露流量?jī)x表，量程范圍0-300L/h，正常運(yùn)行情況每臺(tái)主泵的高壓泄漏流量約為800L/h，超出儀表量程，導(dǎo)致邏輯中判定為測(cè)量信號(hào)失效，從而觸發(fā)質(zhì)量位。同時(shí)RCV137/139/141MD流量低低分別和RCV036/038/040MD流量低低相與觸發(fā)保護(hù)停主泵信號(hào)（4S延時(shí)），在正常運(yùn)行情況下，存在RCV036/038/040MD之一故障時(shí)，觸發(fā)質(zhì)量位停運(yùn)對(duì)應(yīng)環(huán)路主泵的風(fēng)險(xiǎn)。

在主泵正常運(yùn)行工況下，高壓泄漏流量超出窄量程儀表的測(cè)量范圍屬于正常情況，不能將其判定為儀表故障，進(jìn)而觸發(fā)質(zhì)量位和缺省值，帶來(lái)停泵風(fēng)險(xiǎn)。通過(guò)在DCS軟件中修改BADOPT值可實(shí)現(xiàn)閉鎖超量程觸發(fā)質(zhì)量位邏輯，規(guī)避寬量程流量計(jì)單一故障而誤造成停泵。

定向的對(duì)窄量程儀表取消超高量程質(zhì)量位設(shè)計(jì)為較為普遍的設(shè)計(jì)，取消ARE窄量程變送器超量程上限質(zhì)量位判斷，保留超量程下限質(zhì)量位判斷和其觸發(fā)下游2/3表決邏輯退化的功能，這是DAS避免質(zhì)量位誤動(dòng)作的一個(gè)重要措施，同樣的做法也用到了RCP一回路壓力表中。

3 結(jié)論

質(zhì)量位問(wèn)題的核心是質(zhì)量位的認(rèn)識(shí)與應(yīng)用。質(zhì)量位作為數(shù)字化核電系統(tǒng)興起以后的一種普遍設(shè)計(jì)，具有非常重要的地位。目前，非安全級(jí)軟件中的質(zhì)量位問(wèn)題在各個(gè)電廠都缺乏足夠重視，而實(shí)際也正因?yàn)檎J(rèn)識(shí)上的問(wèn)題，出現(xiàn)了多次因?yàn)楹?jiǎn)單問(wèn)題導(dǎo)致的機(jī)組運(yùn)行事件。非安全級(jí)DCS系統(tǒng)包含的質(zhì)量位設(shè)計(jì)數(shù)量龐大，遠(yuǎn)遠(yuǎn)超過(guò)安全級(jí)，文章以幾個(gè)典型的視角，解釋了質(zhì)量位分析中的關(guān)鍵問(wèn)題，正常掌握和合理運(yùn)用將可以有效保證機(jī)組的安全性和經(jīng)濟(jì)性。

【參考文獻(xiàn)】

[1]Nuclear power plants-Instrumentation and control important for safety-Software aspects for computer-based systems performing category B or C functions （IEC 62138：2004）：DIN IEC 62138[S]，2004.

[2]Nuclear power plants-Main control room-Alarm functions and presentation （IEC 62241：2004）：DIN IEC 62241[S]，2006.