于霖

(廣西防城港核電有限公司,廣西防城港　538000)

核電廠儀控設(shè)備可靠性分析—安全級(jí)DCS系統(tǒng)

于霖

(廣西防城港核電有限公司,廣西防城港538000)

近年來(lái)隨著核電行業(yè)的蓬勃發(fā)展,DCS已逐漸取代了模擬電路系統(tǒng),成為了核電站的中樞神經(jīng),對(duì)于保證核電站能否安全、可靠、穩(wěn)定地運(yùn)行以及提高核電站的管理水平都起著至關(guān)重要的作用。分散控制系統(tǒng)(DCS)的快速發(fā)展使DCS 所具有的開放性、高可靠性、快速性和可操作性逐步被認(rèn)可。DCS是分散控制系統(tǒng)(Distributed Control System)的簡(jiǎn)稱,它是一個(gè)由過(guò)程控制級(jí)和過(guò)程監(jiān)控級(jí)組成的,以通信網(wǎng)絡(luò)為紐帶的多級(jí)計(jì)算機(jī)系統(tǒng),其基本思想是分散控制、集中操作、分級(jí)管理、配置靈活、組態(tài)方便,大大增加了電廠控制的可靠性。數(shù)字化控制系統(tǒng)可以通過(guò)通信網(wǎng)絡(luò)將分散在現(xiàn)場(chǎng)執(zhí)行數(shù)據(jù)采集和控制功能的遠(yuǎn)程控制站與控制中心的各種操作站聯(lián)接起來(lái),共同實(shí)現(xiàn)分散控制、集中監(jiān)控與管理。

CPR1000DCS可靠性

1　CPR1000安全級(jí)控制系統(tǒng)特點(diǎn)及可靠性

1.1模塊卡件的特性

MLETAC系統(tǒng)卡件是根據(jù)核電計(jì)測(cè)控制設(shè)備要求的機(jī)能、性能(實(shí)用性、可靠性、維護(hù)性)基于實(shí)際經(jīng)驗(yàn)，采用最新技術(shù)所開發(fā)的產(chǎn)品。其具備以下特點(diǎn):

小型化:信號(hào)狀況采用一體化設(shè)計(jì)，削減硬件使用量。

配線合理化:與CPU的數(shù)據(jù)交換采用serial 通信方式，信號(hào)分層次集中處理，削減了機(jī)柜內(nèi)的配線量。

隔離便利化:模擬量卡采用1點(diǎn)/塊、數(shù)字量卡采用4點(diǎn)/塊等，減少了維護(hù)時(shí)的隔離范圍。

卡件更換便利化:廢除了通信電纜與卡件直接連接的方式，避免了維修更換時(shí)大量的拆線、復(fù)位工作，使卡件更換便利化，減少了繁瑣的工序和人因失誤概率。

無(wú)調(diào)整化:具備在線自動(dòng)智能修正功能，實(shí)現(xiàn)無(wú)需調(diào)整化。

自我診斷范圍擴(kuò)大化:智能化在線校正功能使卡件具備輸入回路的在線診斷能力，比以往自我診斷范圍擴(kuò)大。

I/O卡件冗余化:采用冗余化設(shè)計(jì)，I/O可靠性提高。

1.2控制程序的簡(jiǎn)易化

三菱電機(jī)的MLETAC系統(tǒng)是以POL語(yǔ)言搭建起的控制邏輯，問(wèn)題描述語(yǔ)言Problem Oriented Language (POL) 被用于三菱核電站設(shè)備控制系統(tǒng)MELTAC-N p lus R3中，主要用于高可靠性控制系統(tǒng)的開發(fā)。在整個(gè)電站控制和保護(hù)系統(tǒng)的開發(fā)中，POL語(yǔ)言具有以下優(yōu)點(diǎn):

適合大多數(shù)核電站控制及保護(hù)系統(tǒng)的菜單;

圖1　并行冗余網(wǎng)絡(luò)故障樹

圖2　主備冗余網(wǎng)絡(luò)故障樹

POL的應(yīng)用在很大程度上改善了控制系統(tǒng)的靈活性和可擴(kuò)展性;

POL通過(guò)標(biāo)準(zhǔn)化組件改善了控制系統(tǒng)的可靠性和可維護(hù)性;

POL優(yōu)化了算法的開發(fā);

POL具有明確的定義結(jié)構(gòu)。

盡管POL語(yǔ)言不如FORTRAN等高級(jí)語(yǔ)言那樣通用，但作為可編程調(diào)節(jié)器或智能儀表的用戶語(yǔ)言，用于過(guò)程控制、邏輯報(bào)警、聯(lián)鎖保護(hù)等方面卻是特點(diǎn)鮮明:(1)軟件規(guī)模小，成本低;(2)程序設(shè)計(jì)簡(jiǎn)單，系統(tǒng)研制周期縮短;(3)系統(tǒng)有良好的可靠性和適時(shí)控制性;(4)人機(jī)對(duì)話方便，應(yīng)答性好;(5)軟件結(jié)構(gòu)緊湊，內(nèi)存占用少;(6)便于調(diào)試與維修，支援性好。基于上述特點(diǎn)，POL擁有非常強(qiáng)的可操作性和可視性，大大提高了問(wèn)題的可追溯性和軟件的可維護(hù)性。

1.3網(wǎng)絡(luò)架構(gòu)的可靠性

首先是冗余性考慮，為滿足單一故障原則，CPR1000項(xiàng)目的安全級(jí)網(wǎng)絡(luò)-A和安全級(jí)網(wǎng)絡(luò)-B都是采用雙重冗余。其中，安全級(jí)網(wǎng)絡(luò)-A和安全級(jí)網(wǎng)絡(luò)-B這兩個(gè)網(wǎng)絡(luò)作為彼此的“備份”，形成另一重的冗余特性。通常，冗余配置分為并行冗余與主備冗余兩種，CPR1000項(xiàng)目的安全級(jí)網(wǎng)絡(luò)采用的是并行冗余網(wǎng)絡(luò)。由于實(shí)現(xiàn)機(jī)理不同，其故障風(fēng)險(xiǎn)也不相同。通過(guò)故障樹分析法分析(如圖1、圖2)，從圖中可以看出由于主被冗余存在診斷和切換環(huán)節(jié)，從而增加了故障概率，從而降低網(wǎng)絡(luò)系統(tǒng)的可靠性，相比之下，并行冗余更可靠。

其次是對(duì)獨(dú)立性的考慮，獨(dú)立性的要求和準(zhǔn)則包括了實(shí)體隔離和電氣隔離。實(shí)體隔離比較容易實(shí)現(xiàn)，電站主要是通過(guò)將通信設(shè)備放置不同房間來(lái)實(shí)現(xiàn)。電氣隔離主要體現(xiàn)為網(wǎng)絡(luò)通信隔離。安全級(jí)DCS系統(tǒng)內(nèi)部網(wǎng)絡(luò)采用的通信介質(zhì)是光纖，通過(guò)光電轉(zhuǎn)換部件實(shí)現(xiàn)從電信號(hào)到光信號(hào)，以及從光信號(hào)到電信號(hào)的轉(zhuǎn)換，以此保證電氣隔離(Electrical Isolation);并且只有按軟件定義好的程序，CPU才去讀取通信部件存儲(chǔ)區(qū)對(duì)應(yīng)的數(shù)據(jù)，否則，即使通信接口部件存儲(chǔ)區(qū)有數(shù)據(jù)，也不可能自主寫入到CPU中去，即不會(huì)有多余的數(shù)據(jù)去影響到CPU執(zhí)行其相關(guān)邏輯功能。另外，安全級(jí)網(wǎng)絡(luò)還設(shè)置了旁通路徑，也可稱為“鏡面反射”，即當(dāng)網(wǎng)絡(luò)中間某設(shè)備失電的情況下依然可以保證信號(hào)的傳遞性。

同時(shí)為了保證安全級(jí)網(wǎng)絡(luò)與其他系統(tǒng)的獨(dú)立性，系統(tǒng)間的通信采取了單向傳遞方式，與安全級(jí)網(wǎng)關(guān)相關(guān)聯(lián)的有三組獨(dú)立的網(wǎng)關(guān)，分別完成安全級(jí)信號(hào)輸出、接受和畫面調(diào)用功能。這樣既減小了網(wǎng)關(guān)負(fù)荷，也不會(huì)造成信號(hào)對(duì)沖，增強(qiáng)了信號(hào)傳遞的穩(wěn)定性。

1.4強(qiáng)大的系統(tǒng)自我診斷功能

自我診斷功能是通過(guò)與正常情況下數(shù)據(jù)處理的結(jié)果進(jìn)行對(duì)比判斷其一致與否，通過(guò)判定結(jié)果來(lái)檢查系統(tǒng)的健全性。

安全級(jí)DCS的設(shè)備在正常運(yùn)行時(shí)從單個(gè)部件到設(shè)備整體都設(shè)有自我診斷功能，成為RAS功能，此功能按照故障的嚴(yán)重程度和故障發(fā)生位置分為I/O w aning、A larm、Fail。所謂的I/O w aning是指I/O卡件無(wú)法正常輸出輸入，但控制系統(tǒng)依然正常;A larm是指即使發(fā)生了異常，但依然可以正常輸入輸出完成控制，控制系統(tǒng)也可正常運(yùn)行;Fail是指驗(yàn)證的故障，此時(shí)系統(tǒng)已經(jīng)無(wú)法完成正?？刂?，需要自動(dòng)或手動(dòng)切換到其他系統(tǒng)上去。從輸入端到輸出端之間的各個(gè)卡件及模塊按照單位級(jí)別實(shí)施自我診斷，同時(shí)在卡件以及模塊級(jí)別上將故障發(fā)生點(diǎn)完成上述分類，通知并記錄故障情報(bào)。根據(jù)自我診斷功能檢測(cè)出的異常內(nèi)容，將影響范圍控制在最小單位內(nèi)進(jìn)行切換，隔離。例如IO卡件故障以IO卡件為單位進(jìn)行切換，CPU相關(guān)聯(lián)的故障就以CPU系為單位切換。

安全級(jí)DCS系統(tǒng)可診斷的自身故障有170余種，分別從硬件、軟件、軟硬件相結(jié)合的角度全面自我診斷，全面覆蓋了部件的各個(gè)環(huán)節(jié)，使設(shè)備的可靠性得到了保證。另外，考慮到安全保護(hù)設(shè)備在失效情況下安全性，對(duì)每個(gè)輸出模塊都進(jìn)行了偏安全設(shè)定，保證在DCS失效的情況下也不會(huì)發(fā)生核安全事故。

1.5維護(hù)性的提高

與一代核電廠比較由于使用了數(shù)字化技術(shù)使維護(hù)作業(yè)量大大減少。一代電廠的信號(hào)處理計(jì)算都是由個(gè)元器件完成，在長(zhǎng)期使用過(guò)程中難免會(huì)導(dǎo)致量程、滿量程等設(shè)定值的偏移，需要維修人員定期的對(duì)其校正?，F(xiàn)在我們將原來(lái)的模擬量計(jì)算回路轉(zhuǎn)化為軟件處理，這以改進(jìn)使參數(shù)不會(huì)因運(yùn)行時(shí)間而發(fā)生偏移，減少了大量的作業(yè)工時(shí)。

1.6保護(hù)系統(tǒng)的可試驗(yàn)性

設(shè)備系統(tǒng)可靠與否，除了其自身的可靠性設(shè)置之外還需要通過(guò)試驗(yàn)來(lái)驗(yàn)證，安全級(jí)DCS的保護(hù)系統(tǒng)具備良好的可試驗(yàn)性。

安全級(jí)保護(hù)系統(tǒng)的可靠性通過(guò)T1、T2、T3試驗(yàn)來(lái)驗(yàn)證。通過(guò)這三個(gè)周期性試驗(yàn)可以全面的驗(yàn)證從設(shè)備的輸入到設(shè)備的輸出的正確性。T 1試驗(yàn)驗(yàn)證了現(xiàn)場(chǎng)信號(hào)能否準(zhǔn)確穩(wěn)定的通過(guò)I/O轉(zhuǎn)換送進(jìn)DCS系統(tǒng)中，T2試驗(yàn)通過(guò)自動(dòng)裝置驗(yàn)證了DCS系統(tǒng)中的邏輯是否正確，T3試驗(yàn)驗(yàn)證了經(jīng)過(guò)運(yùn)算處理后的數(shù)據(jù)能否送往現(xiàn)場(chǎng)設(shè)備并正常的動(dòng)作。通過(guò)定期試驗(yàn)使人機(jī)結(jié)合，能夠預(yù)防準(zhǔn)確的掌握系統(tǒng)狀況，提高運(yùn)行的穩(wěn)定性。

2　結(jié)語(yǔ)

隨著近年來(lái)我國(guó)核電事業(yè)的高速發(fā)展，電廠的DCS控制也成為了熱點(diǎn)話題。本文通過(guò)對(duì)CPR1000項(xiàng)目安全級(jí)DCS的結(jié)構(gòu)特點(diǎn)的介紹讓大家對(duì)DCS的可靠性有一定的了解和認(rèn)識(shí)，希望在工作中能起到一定的作用。由于學(xué)識(shí)、經(jīng)驗(yàn)與能力所限，論述中難免有不足之處，請(qǐng)大家批評(píng)指正，謝謝。

[1]MELTAC-NplusR3 (CPR1000 version) POL Description,MELCO, 2011-06-08.

[2]MELTAC-NplusR3 Intelligent I/O Module Description,MELCO, 2011-06-08.

[3]陳龍.核電站安全級(jí)DCS系統(tǒng)網(wǎng)絡(luò)的基本設(shè)計(jì)準(zhǔn)則.《自動(dòng)化博覽》,201 3.1.