程保華,王少威,曲東良,汪富強(qiáng)

（1.中廣核工程有限公司，廣東深圳,518124；2.北京廣利核系統(tǒng)工程有限公司，北京,100094）

0 引言

首出即First Out，也稱為第一原因或第一事故。是指引起事故性跳閘的第一個報警信號。因?yàn)樵诎l(fā)生跳閘后，系統(tǒng)內(nèi)會出現(xiàn)很多的報警內(nèi)容，并且很多報警是因?yàn)樘l動作后而導(dǎo)致的，所以第一事故原因的檢測對事故原因的分析有很重要的意義。核電站為實(shí)現(xiàn)跳堆和安全動作的首出檢測，在DCS 系統(tǒng)內(nèi)也設(shè)計了一套首出識別、記錄、分析的功能。

1 核島首出的范圍

核電站DCS 對包括跳堆等共16 種核安全相關(guān)重要安全動作指令給出了觸發(fā)原因監(jiān)測功能，供操作員分析各安全動作被觸發(fā)的原因。這16 種安全動作（Safety Action）包括：

這里需要說明的是跳機(jī)（T.TRIP）的首出功能僅能判斷由于核島內(nèi)原因造成的跳機(jī)，如跳堆、蒸汽發(fā)生器液位高高等信號，而由常規(guī)島事件如汽機(jī)超速、震動高等原因造成的跳機(jī)是由汽機(jī)及輔機(jī)控制系統(tǒng)TCS 配合非安全級NC-DCS 實(shí)現(xiàn)的。如上每個安全動作指令的觸發(fā)都可能是由多個原因（Trigger Cause）引起的。DCS 系統(tǒng)可檢測出觸發(fā)這些安全動作的首出原因，在DCS 畫面上顯示，并指示出安全動作發(fā)生后對應(yīng)設(shè)備動作完成情況

2 MELTAC/HOLLiAS 方案

2.1 方案實(shí)現(xiàn)

CPR1000 項(xiàng)目DCS 的1E 和SR 功能由三菱MELTAC-N 平臺實(shí)現(xiàn)，非安全級NC-DCS 功能由和利時HOLLiAS-N 平臺實(shí)現(xiàn)。安全級RPS 功能由上層四個保護(hù)組RPC 機(jī)柜和下層A/B 兩列專設(shè)安全設(shè)施驅(qū)動柜ESFAC 構(gòu)成。每個RPC 保護(hù)組通道將各自采集的信號進(jìn)行閾值處理后，輸出局部跳閘“Partial Trip”信號給其他三個RPC 保護(hù)組進(jìn)行RPS 邏輯處理，每個保護(hù)組都最終輸出跳堆輸出信號給停堆斷路器。而對于跳堆以外的安全動作信號（如主蒸汽隔離、主給水隔離）的產(chǎn)生，是由四個保護(hù)組分別采集和進(jìn)行閾值處理后，分配到RPC 四個通道進(jìn)行相同的邏輯計算再送給A/B 兩列的ESFAC，或直接由RPC 送給A/B 列ESFAC，通過ESFAC 四取二邏輯輸出安全動作指令。

表1 核島內(nèi)16 種安全動作

在安全動作的觸發(fā)上，以S.I.安注動作為例，（如表2）共有8 種原因可導(dǎo)致安注。對于第一種原因，在MELTAC 平臺中，三個蒸汽發(fā)生器的共六個蒸汽流量信號由RPC 的第III 和第IV 通道采集（如圖1），經(jīng)過閾值判斷模塊XU 后在第III 通道和第IV通道各產(chǎn)生3 個流量高信號。這6 個信號通過RPC 機(jī)柜之間的Data-Link 點(diǎn)對點(diǎn)通訊送到另兩個RPC 保護(hù)組，每個保護(hù)組內(nèi)部進(jìn)行如圖1（*）號所示部分相同的邏輯運(yùn)算，產(chǎn)生每個通道的局部安注信號。四個通道產(chǎn)生的局部安注信號都分別送往A/B 列ESFAC 進(jìn)行四取二運(yùn)算，運(yùn)算結(jié)果觸發(fā)安注動作。從上述安全動作觸發(fā)過程來看，每個RPC 保護(hù)組通道內(nèi)產(chǎn)生的安注信號都是最終觸發(fā)安注指令的一個觸發(fā)原因。

表2 可能引發(fā)安注動作的8 種原因

圖1 第一種原因?qū)е掳沧⒌倪壿?/p>

在首出判斷的實(shí)現(xiàn)上，在安全級網(wǎng)關(guān)GWP(1E)中，存在與圖1（*）部分相同的安注計算公式。網(wǎng)關(guān)可通過安全級系統(tǒng)總線Safety System Bus（圖2）從RPC 獲取所需點(diǎn)進(jìn)行公式計算，當(dāng)針對RPC 某通道的計算結(jié)果1 時，說明此原因是觸發(fā)了安注動作的原因。這個計算結(jié)果點(diǎn)也稱首故障點(diǎn)。

為了保證核電廠基于計算機(jī)的反應(yīng)堆控制系統(tǒng)能可靠執(zhí)行其保護(hù)功能，相關(guān)標(biāo)準(zhǔn)（GBT 13629/IEEE7-4.3.2）明確規(guī)定保護(hù)系統(tǒng)與外部系統(tǒng)需要滿足電氣隔離、通信隔離，功能隔離，滿足保護(hù)功能的前提下盡量簡單化，以及快速響應(yīng)等要求，因此保護(hù)系統(tǒng)不接受外部時鐘信號，內(nèi)部子系統(tǒng)間通信數(shù)據(jù)交換也不攜帶時間信息。CPR1000 項(xiàng)目安全級MELTEC 平臺內(nèi)的點(diǎn)均不帶時間標(biāo)簽。且MELTAC 平臺僅有S-VDU 觸摸屏進(jìn)行SR 設(shè)備操作，無法實(shí)現(xiàn)首出顯示。因此安全動作首出檢測和指示功能實(shí)際上是由非安全級NC-DCS 配合安全級DCS 共同實(shí)現(xiàn)的。安全級網(wǎng)關(guān)GWP(1E)會將邏輯計算得到的首故障點(diǎn)送給非安全級網(wǎng)關(guān)GWP(NC)打時標(biāo)，之后由非安全級NC-DCS 部分負(fù)責(zé)在首出畫面上顯示首出相關(guān)信息。

首故障點(diǎn)計算公式中所需的信號分為三類：

1) RPC 保護(hù)組機(jī)柜（Ⅰ～Ⅳ四列）產(chǎn)生的信號。RPC 機(jī)柜會周期性地將相關(guān)信號通過Safety System BUS 送給GWP(1E)，GWP(1E)將計算出邏輯值為1 的首故障點(diǎn)打上時間標(biāo)簽周期性地送給GWP(NC)，然后再通過NC-DCS 部分的I/O Server 送到二層網(wǎng)MNET，在計算服務(wù)器Calculation Server 處理后送二層畫面顯示安全動作原因。

圖2 M/H 平臺信號傳輸路徑

2) 來自安全級RPC 機(jī)柜以外的ESFAC 等機(jī)柜的信號。一般是手動安全動作信號和失電信號（如表2 中的手動安注信號）。這些信號以硬接線點(diǎn)進(jìn)入A/B 列ESFAC 機(jī)柜，由ESF-COM 機(jī)柜將ESF 來的數(shù)據(jù)通過Safety Bus 送給Safety System Bus，然后通過安全級網(wǎng)關(guān)GWP 送給NC-DCS 顯示。因這類信號是必然觸發(fā)安全動作的，所以GWP(1E)不需進(jìn)行判斷計算，所有這類點(diǎn)都會作為首故障點(diǎn)送給GWP(NC)。

3) 在NC-DCS 產(chǎn)生的信號。如由NC-DCS I/O 模塊采集的ATWT 信號、失電信號或常規(guī)島部分信號，這類點(diǎn)被采集后將在NC-DCS 的計算服務(wù)器中進(jìn)行首故障點(diǎn)邏輯計算，計算結(jié)果直接在二層首出畫面上顯示為安全動作原因。

在DCS 系統(tǒng)首出顯示畫面上，能夠顯示安全動作、首出原因（可以有多個）、首出時間，以及安全動作完成的情況。對于安全動作完成情況，DCS 將安全動作相關(guān)設(shè)備的動作反饋點(diǎn)送到NCDCS 的計算服務(wù)器，在計算服務(wù)器中綜合各相關(guān)設(shè)備的動作情況判斷相應(yīng)安全動作是否完成，再將完成情況顯示在OPS 首出畫面上。對于安全級部分SLC 機(jī)柜采集的核島設(shè)備動作信號，通過SLC →Safety Bus →COM →Safety System Bus →GWP(1E) →GWP(NC) →SNET →I/O Server →Calculation Server 這條路徑傳輸，而通過NC-DCS 的FCS 現(xiàn)場控制站I/O 模塊采集的常規(guī)島設(shè)備動作反饋信號，通過FCS I/O →SNET →I/O Server →Calculation Server 這條路徑傳輸給計算服務(wù)器。

2.2 性能分析

Safety System Bus 采用的基于彈性分組環(huán)（RPR）協(xié)議的互逆雙環(huán)網(wǎng)，RPC 機(jī)柜、ESF-COM A/B 列機(jī)柜、RPCC 機(jī)柜、PAMS 柜、GWP(1E)共17 個節(jié)點(diǎn)串聯(lián)在此網(wǎng)上。網(wǎng)絡(luò)上各個節(jié)點(diǎn)在網(wǎng)絡(luò)中地位平等且異步運(yùn)行，每個節(jié)點(diǎn)可以通過兩個方向的環(huán)網(wǎng)向下游節(jié)點(diǎn)傳輸數(shù)據(jù)。當(dāng)某個可預(yù)計的初始事件(PIE)在RPC 發(fā)生時，這個信號將通過Safety System Bus 傳給GWP(1E)。

圖3 MELTAC 平臺首出檢測時序

如圖3 所示，TC為RPC 機(jī)柜CPU 處理周期時間（25ms），TC’為RPC 機(jī)柜網(wǎng)絡(luò)接口卡NIC 將RPC 數(shù)據(jù)發(fā)送到環(huán)網(wǎng)上所需的處理時間（CPU 和NIC 各自異步獨(dú)立處理是基于安全功能和非安全功能隔離的要求），TGWP是GWP(1E)內(nèi)部處理周期時間（100ms）。Tnwmin和Tnwmax是RPC 信號通過環(huán)網(wǎng)發(fā)送到GWP(1E)的最小時間和最大時間，在數(shù)據(jù)量一定的情況下，這兩個時間取決于環(huán)網(wǎng)上某個RPC 到GWP(1E)之間最近路徑上的節(jié)點(diǎn)數(shù)目。我們假定一個PIE 事件在RPC 的兩個通道內(nèi)同時觸發(fā)，T1 和T2 分別表示從PIE 事件發(fā)生到GWP(1E)記錄到這一事件所需的可能最小時間和最大時間。T1=TC/2+TC’+Tnwmin+TGWP/2，T2=TC+TC/2+TC’+TC’/2+Tnwmax+TGWP+TGWP/2。經(jīng)過估算可知T2-T1=TC+TC’ +TGWP+(Tnwmax-Tnwmin)得到的結(jié)果約是168ms。因GWP(1E)向GWP(NC)的通訊是以200ms 為周期循環(huán)發(fā)送共22 個報文，發(fā)送周期時間200ms>168ms，因首故障點(diǎn)是在GWP(NC)中打上時標(biāo)的，因此DCS只能區(qū)分間隔大于200ms 的兩個首故障點(diǎn)時間。200ms 周期內(nèi)的多個首出原因(Trigger Cause)無法區(qū)分先后，都會被認(rèn)為是首出原因，且顯示的觸發(fā)時間相同。

3 AVERA TXS+SIEMENS TXP 方案

3.1 方案實(shí)現(xiàn)

CPR1000 項(xiàng)目嶺澳二期核電站安全級DCS 采用AVERA TXS實(shí)現(xiàn)1E 部分功能，SR 和NC 功能由SIEMENS TXP 平臺實(shí)現(xiàn)。RPS 系統(tǒng)包括上層四組APUs（信號采集處理單元）和下層A/B 兩列ALUs（驅(qū)動邏輯單元）兩部分組成。

A/S 方案與M/H 方案不同的是，M/H 方案的每個RPC 通道將其產(chǎn)生的“Partial Trip”信號發(fā)給其他三個通道，每個通道都進(jìn)行停堆邏輯運(yùn)算；而A/S 方案中APUs 將采集信號進(jìn)行閾值判斷后產(chǎn)生的“Partial Trip”信號送給ALUs，在ALUs 進(jìn)行邏輯運(yùn)算產(chǎn)生最終跳堆信號和安全動作信號。因而計算首故障點(diǎn)所需的信號都會由APUs 傳遞到下層的ALUs。傳輸單元TU1 從ALUs 中獲所需1E 部分信號，進(jìn)行首故障點(diǎn)邏輯計算。所以首故障點(diǎn)計算公式所需的點(diǎn)只有兩類：從ALUs 獲取的1E 部分點(diǎn)，以及TXP 系統(tǒng)直接獲取的NC 和SR 部分點(diǎn)。另外，因ALUs 只分為A、B 兩列，安全動作的每個觸發(fā)原因的首故障點(diǎn)只有A、B 兩列各一個點(diǎn)，而不是A/S 方案的四個保護(hù)組共4 個點(diǎn)。

圖4 A/S 方案的信號傳輸路徑

而與M/H 方案類似的是，在A/S 平臺上，TXS 系統(tǒng)內(nèi)部點(diǎn)無時標(biāo)，且TXS 平臺也沒有KIC 畫面顯示功能，KIC 功能是通過TXP 系統(tǒng)的OM690 實(shí)現(xiàn)。因此，類似地，為了實(shí)現(xiàn)首出畫面顯示，TU1 計算出首故障點(diǎn)的布爾值后經(jīng)過TXS GW 網(wǎng)關(guān)送出，TXP 側(cè)CM104 網(wǎng)關(guān)接收并為首故障點(diǎn)打時標(biāo)，然后再經(jīng)過PU 送OM690顯示首出原因、各事件順序、安全動作完成情況等信息，與M/H 方案類似。

3.2 性能分析

由于受首出信號流程上的APUs、ALUs、TU1、GW、CM104各環(huán)節(jié)的系統(tǒng)內(nèi)部CPU 運(yùn)算周期異步、不同信號傳輸路徑不同、以及網(wǎng)絡(luò)通訊周期時間的共同影響，必然會造成首出信號從產(chǎn)生到由CM104 打時標(biāo)這期間的時間滯后。如圖5，APU 和ALU 的CPU 任務(wù)處理周期都是TC，APU、ALU、TU1 之間是點(diǎn)對點(diǎn)的通訊，通訊時間均為Tnw。則T1=TC/2+Tnw+TC/2+Tnw，T2=TC+TC/2+Tnw+TC+TC/2+Tnw+TC，計 算 可 得T2-T1=3TC。在TC=50ms 時，這一時間為150ms，也就是說當(dāng)兩個首故障點(diǎn)PIE 事件發(fā)生時間大于150ms 時DCS 才能正確區(qū)分這兩個事件的正確先后順序。操作員在首出畫面上獲取的首出時間也有較大誤差。

4 ACPR1000+項(xiàng)目對核島首出功能的改進(jìn)

上面分析可知，因安全級RPS 系統(tǒng)不能給內(nèi)部信號打時間標(biāo)簽，以至都不能以高精度分辨出首出事件和顯示首出時間。ACPR1000+項(xiàng)目的安全級DCS 采用廣利核自主開發(fā)的Firmsys安全級DCS 平臺，為更準(zhǔn)確實(shí)現(xiàn)安全動作的首出檢測功能，ACPR1000+在的DCS 首出設(shè)計上進(jìn)行了改進(jìn)。

改進(jìn)方案對于RPC、ESF、KDS 機(jī)柜內(nèi)部邏輯計算產(chǎn)生的首故障信號(F.F.)將通過相應(yīng)機(jī)柜的DO 模塊送給非安全級NCDCS 部分專門用于處理首出邏輯的FFC（First Fault Cabinet）機(jī)柜的SOE DI 卡件。因SOE 卡件的時間分辨率可達(dá)1ms，因而可實(shí)現(xiàn)高準(zhǔn)確度的首出判斷以及SOE 功能。而對于1E 側(cè)安全動作執(zhí)行反饋信號仍通過網(wǎng)關(guān)送給NC-DCS，以完整實(shí)現(xiàn)首出顯示功能。

然而，雖然SOE 卡件的時間分辨率為1ms，但FFC 機(jī)柜接收的是RPC 或ESFAC 輸出的DO 信號。在同一安全級機(jī)柜CPU 運(yùn)算周期內(nèi)觸發(fā)的多個信號將會幾乎同時由安全級機(jī)柜的DO 卡件輸出，而且產(chǎn)生于不同機(jī)柜的信號由于CPU 之間運(yùn)算周期不同步也會造成在FFC 不同時接收。利用圖3 來說明，因?yàn)橥ㄟ^硬接線傳遞信號到FFC，故TGWP=TC’=Tnw=0，可得T2-T1=TC。因TC=25ms，故首出的時間分辨精度為25ms。雖然這一精度達(dá)不到SOE 的1ms要求，但對于目前國內(nèi)外核電DCS 首出的實(shí)現(xiàn)而言，已經(jīng)是一個較高的水平。

圖5 TXS 平臺首出檢測時序

圖6 APR1000+改進(jìn)的首出方案

5 結(jié)束語

本文研究的三種核電站DCS 核島首出功能實(shí)現(xiàn)方案中，由于安全級部分DCS 不支持畫面顯示以及內(nèi)部點(diǎn)打時標(biāo)，因而都是將安全級內(nèi)部首故障相關(guān)點(diǎn)通過網(wǎng)關(guān)送到非安全級部分DCS 實(shí)現(xiàn)首出功能。這就造成了在真實(shí)的安全動作原因觸發(fā)時間獲取上存在誤差，不能實(shí)現(xiàn)高精度SOE 記錄。而ACPR1000+項(xiàng)目DCS 方案通過實(shí)施技術(shù)改進(jìn)，實(shí)現(xiàn)了較高精度首出檢測，值得國內(nèi)后續(xù)核電項(xiàng)目借鑒。

[1]王華金,劉立新,李謝晉,許東方,周繼翔.核電站數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)研究[J].核動力工程, 2002(S1)

[2] 劉宏春,王濤濤,王華金,周繼翔,劉光明,許東方. 嶺澳二期核電站數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)[J]. 核動力工程, 2008(01)

[3] 劉繼春,王曄,汪富強(qiáng).集散控制系統(tǒng)在嶺澳核電站中應(yīng)用[J]. 電力自動化設(shè)備. 2010(06)

[4] 于帥帥. 基于RPR 的核電數(shù)字化保護(hù)系統(tǒng)安全通信網(wǎng)絡(luò)的研究 [D]. 上海交通大學(xué). 2011

[5] 周海翔. 田灣核電廠TXP/TXS 系統(tǒng)的數(shù)據(jù)通信[J]. 核動力工程 ,Nuclear Power Engineering , 編輯部郵箱 ,2006 年03 期

[6] GBT 13629(2008)《核電廠安全系統(tǒng)中數(shù)字計算機(jī)的適用準(zhǔn)則》

[7] IEEE 7-4.3.2(2010)《Standard Criteria for Digital Computers In Safety Systems Of Nuclear Power Generating Stations》