趙巖峰，周 亮

（1.上海交通大學(xué) 自動化系，上海 200030；2.深圳中廣核工程設(shè)計有限公司，廣東 深圳 518100）

圖1 AI信號的診斷流程Fig.1 Diagnostic process for AI signals

圖2 4取2表決邏輯圖Fig.2 4 take 2 Voting logic chart

0 引言

隨著計算機技術(shù)的飛速發(fā)展，數(shù)字化控制系統(tǒng)（DCS）大規(guī)模的被運用于核電站控制系統(tǒng)中，極大地減少了核電站模擬儀表及電氣設(shè)備的規(guī)模，提高了電站的可用性和可維護性。

由于數(shù)字化控制系統(tǒng)的特點，輸入輸出（IO）卡件被大量應(yīng)用于核電站中，為了電站的安全性和可用性，IO通道的故障診斷能力就變得尤為重要，如果單個IO通道的故障不進行處理，可能對機組的安全及可用性造成較大影響。ACPR1000核電站安全級系統(tǒng)主要的輸入信號為模擬量信號，因此需要針對模擬量輸入信號的失效模式、狀態(tài)診斷以及失效后處理進行研究，本文根據(jù)ACPR1000核電站安全級DCS IO信號的失效模式，給出了模擬量輸入信號通道故障診斷以及故障處理方式。

1 模擬量輸入信號的診斷

ACPR1000核電站安全級DCS系統(tǒng)模擬量采集通道主要包括信號調(diào)理板卡、模擬量輸入（AI）采集板卡、主處理單元（MPU），模擬量信號經(jīng)過信號調(diào)理板卡調(diào)節(jié)為4mA～20mA標準信號，通過硬接線送往AI采集板卡，由AI采集板卡將電信號轉(zhuǎn)化為數(shù)字信號，轉(zhuǎn)化完成后的數(shù)字信號再通過SN1通信方式送往MPU，在MPU中進行邏輯處理運算。

安全級DCS系統(tǒng)通過采集AI板卡診斷功能和MPU的診斷功能分別對模擬量的故障進行診斷。如果AI信號出現(xiàn)斷線、短路、超量程等故障，AI采集板卡會將信號的質(zhì)量位信息置為“bad”，質(zhì)量位信息將通過通信方式送往MPU；如果是由AI采集板卡的處理功能故障或者SN1通信故障導(dǎo)致的信號無效，在MPU的處理中此信號的質(zhì)量位將標記為“bad”[1]。MPU處理完成后，帶有質(zhì)量位信息的AI信號將被用于自身的邏輯運算或者送往其他MPU。

在ACPR1000核電站中，可引起AI信號失效的因素包括：

◇ AI采集板卡處理功能故障。

◇ AI板卡SN1通信故障。

◇ AI斷線。

◇ AI短路。

◇ AI超量程。

安全級DCS的模擬量輸入信號故障診斷流程如圖1所示。

2 模擬量輸入信號的邏輯處理

AI信號經(jīng)過MPU診斷處理后，主要被用于自身的邏輯計算或者送往其他MPU進行邏輯計算。AI輸入信號參與的邏輯運算主要包括參與表決邏輯運算、參與普通運算邏輯、直接用于畫面顯示3大類。對于不同的信號用途，如果模擬量輸入信號的質(zhì)量位為bad，其需采取的邏輯處理方式也不同。下面將分別根據(jù)其不同用途進行說明。

1）參與表決邏輯

在核電站安全級DCS設(shè)計中，為了提高系統(tǒng)的可靠性以及滿足單一故障準則，一般對于同一變量設(shè)置多個冗余的獨立傳感器輸入，多個獨立傳感器輸入在同一個MPU中通過表決邏輯進行表決輸出，在安全級DCS中，一般的表決邏輯包括“4取2”“3取2”和“2取1”邏輯，“4取2”典型的邏輯如圖2所示。AI信號經(jīng)過閾值比較后生成局部跳閘指令后送往“4取2”模塊進行表決，如果4個AI信號中有不少于2個信號高于（低于）閾值（局部跳閘指令），4取2模塊將最終輸出跳閘指令。

如果模擬量輸入信號的質(zhì)量位為“bad”，在經(jīng)過閾值比較后，質(zhì)量位信息將被傳遞到表決模塊，相應(yīng)的表決模塊根據(jù)表決邏輯將質(zhì)量位為“bad”的AI信號剔除，表決邏輯進行對應(yīng)的降級。在ACPR1000核電站，當單個模擬量輸入信號質(zhì)量位為“bad”的情況下，“4取2”表決邏輯將降級為“3取2”，當2個單個模擬量輸入信號質(zhì)量位為bad的情況下，表決邏輯將直接觸發(fā)。需要注意的是，由于表決邏輯已經(jīng)對信號進行剔除處理，表決邏輯輸出信號將不帶質(zhì)量位。

表1 表決邏輯降級表Table 1 Voting logic downgrade table

圖3 模擬量輸入信號顯示傳輸處理路徑Fig.3 Analog input signal shows transmission processing path

詳細的表決邏輯IO信號診斷故障后處理見表1。

2）用于邏輯計算

對于參與普通邏輯計算的AI信號，為了避免邏輯輸出中出現(xiàn)大量質(zhì)量位傳遞的情況，導(dǎo)致操縱員無法判斷信號質(zhì)量位觸發(fā)的源頭，在邏輯計算后，信號將不帶質(zhì)量位信息。

在AI信號質(zhì)量位為“bad”后，為了避免信號故障對電站運行和機組安全產(chǎn)生影響，需要針對AI信號值的故障缺省值進行分析，一般情況下缺省值分為了以下3類：

◇ 采用工程設(shè)定缺省值替代。

◇ 采用上一次有效值。

◇ 實際采集值。

缺省值的選擇需要結(jié)合工藝物理特性、運行需要進行分析，在統(tǒng)籌考慮核安全、設(shè)備安全和性能的情況下，根據(jù)需要選擇一種方式進行設(shè)置[2]。缺省值的設(shè)置在工程組態(tài)中實施，是通過工程師站進行組態(tài)設(shè)計的。

3）用于畫面顯示

對于只用于畫面顯示的輸入信號，一般情況下主要目的是為了給操縱員提供必要的監(jiān)視信息，為了給操縱員提供盡可能多的信息，輸入信號的質(zhì)量位信息將一直伴隨信號始終，并通過操縱員站在畫面上顯示。在ACPR1000核電站中，安全級DCS模擬量輸入信號的傳輸處理路徑如圖3所示。

用于畫面顯示的模擬量輸入信號，有時為了提醒操縱員關(guān)注，其值也可采用工程設(shè)定缺省值和上次有效值，具體的設(shè)置也需要根據(jù)運行需要進行分析[3]。

圖4 工程設(shè)定缺省值邏輯Fig.4 Project setting default logic

圖5 上一次有效值邏輯Fig.5 Last valid value logic

3 模擬量輸入信號缺省值處理

根據(jù)上文所述，用于邏輯計算和畫面顯示的模擬量輸入信號，在質(zhì)量位為 “bad”的情況下，其值可以使用缺省值設(shè)置，對于采用缺省值的情況，包括了采用工程設(shè)定缺省值和上一次有效值。在ACPR1000安全級DCS中，缺省值的設(shè)置通過邏輯組態(tài)來實現(xiàn)，針對需要設(shè)置缺省值的AI信號，通過增加質(zhì)量位判斷選擇來對輸出進行切換，工程設(shè)定缺省值實現(xiàn)的邏輯簡圖如圖4所示，上一次有效值實現(xiàn)的邏輯簡圖如圖5所示。

由于模擬量信號的物理特性，AI入信號在故障時并不是瞬間由“good”變?yōu)椤癰ad”，而是呈現(xiàn)為一種線性的變化。當故障發(fā)生時，AI信號的電流值將從正常值線性變化為故障值，此過程一般持續(xù)在幾十毫秒左右，但是由于安全級DCS平臺的特點，MPU的處理速度和IO采集板卡的處理速度并不是完全一致的。在實際情況下，在發(fā)生故障后，IO采集板卡會快速地采集實際物理值，但是由于未達到超量程狀態(tài)，相關(guān)的邏輯并未觸發(fā)，中間的無效值就會被當作上一次有效值采集，而在質(zhì)量位為“bad”后，虛假的上一次有效值會被采納，如圖6所示。

圖6 虛假“上一次有效值”采集Fig.6 False "last valid value" acquisition

圖7 帶有超速判斷的缺省值邏輯Fig.7 Default logic with overspeed judgment

為了避免缺省值處理出現(xiàn)虛假上一次有效值，需要在AI信號的診斷環(huán)節(jié)增加超速判斷環(huán)節(jié)，模擬量信號在發(fā)生故障時，往往會出現(xiàn)信號異與正常時的表現(xiàn)。在故障時，AI信號的前已采集周期和后一采集周期會出現(xiàn)較大的變化，通過增加20%超速判斷模塊，在前后兩個周期信號出現(xiàn)變化大于20%時，及時記錄上一次有效值，在超速故障沒有消失，且同時發(fā)生了超量程、斷線、短路故障時，啟動缺省值設(shè)置，增加了超速判斷環(huán)節(jié)的邏輯簡圖如圖7所示。

通過AI信號缺省值邏輯的實現(xiàn)，可以最大限度地避免由于單個信號故障導(dǎo)致系統(tǒng)出現(xiàn)擾動，提高了機組的可用性和安全性。

4 結(jié)語

在ACPR1000核電站中，安全DCS通過MPU對模擬量輸入信號的故障進行診斷，并按照信號的用途進行分別處理，大大提高了機組的安全性和可用性，避免在機組運行過程中由于模擬量輸入通道的故障對機組產(chǎn)生擾動，同時通過增加超速判斷環(huán)節(jié)，能夠及時提取有效值，避免模擬量輸入通道故障時處理邏輯帶來額外的擾動。