核電廠儀控設(shè)備可靠性分析—安全級DCS系統(tǒng)

于霖

(廣西防城港核電有限公司,廣西防城港　538000)

核電廠儀控設(shè)備可靠性分析—安全級DCS系統(tǒng)

于霖

(廣西防城港核電有限公司,廣西防城港538000)

近年來隨著核電行業(yè)的蓬勃發(fā)展,DCS已逐漸取代了模擬電路系統(tǒng),成為了核電站的中樞神經(jīng),對于保證核電站能否安全、可靠、穩(wěn)定地運(yùn)行以及提高核電站的管理水平都起著至關(guān)重要的作用。分散控制系統(tǒng)(DCS)的快速發(fā)展使DCS 所具有的開放性、高可靠性、快速性和可操作性逐步被認(rèn)可。DCS是分散控制系統(tǒng)(Distributed Control System)的簡稱,它是一個由過程控制級和過程監(jiān)控級組成的,以通信網(wǎng)絡(luò)為紐帶的多級計(jì)算機(jī)系統(tǒng),其基本思想是分散控制、集中操作、分級管理、配置靈活、組態(tài)方便,大大增加了電廠控制的可靠性。數(shù)字化控制系統(tǒng)可以通過通信網(wǎng)絡(luò)將分散在現(xiàn)場執(zhí)行數(shù)據(jù)采集和控制功能的遠(yuǎn)程控制站與控制中心的各種操作站聯(lián)接起來,共同實(shí)現(xiàn)分散控制、集中監(jiān)控與管理。

CPR1000DCS可靠性

1　CPR1000安全級控制系統(tǒng)特點(diǎn)及可靠性

1.1模塊卡件的特性

MLETAC系統(tǒng)卡件是根據(jù)核電計(jì)測控制設(shè)備要求的機(jī)能、性能(實(shí)用性、可靠性、維護(hù)性)基于實(shí)際經(jīng)驗(yàn)，采用最新技術(shù)所開發(fā)的產(chǎn)品。其具備以下特點(diǎn):

小型化:信號狀況采用一體化設(shè)計(jì)，削減硬件使用量。

配線合理化:與CPU的數(shù)據(jù)交換采用serial 通信方式，信號分層次集中處理，削減了機(jī)柜內(nèi)的配線量。

隔離便利化:模擬量卡采用1點(diǎn)/塊、數(shù)字量卡采用4點(diǎn)/塊等，減少了維護(hù)時的隔離范圍。

卡件更換便利化:廢除了通信電纜與卡件直接連接的方式，避免了維修更換時大量的拆線、復(fù)位工作，使卡件更換便利化，減少了繁瑣的工序和人因失誤概率。

無調(diào)整化:具備在線自動智能修正功能，實(shí)現(xiàn)無需調(diào)整化。

自我診斷范圍擴(kuò)大化:智能化在線校正功能使卡件具備輸入回路的在線診斷能力，比以往自我診斷范圍擴(kuò)大。

I/O卡件冗余化:采用冗余化設(shè)計(jì)，I/O可靠性提高。

1.2控制程序的簡易化

三菱電機(jī)的MLETAC系統(tǒng)是以POL語言搭建起的控制邏輯，問題描述語言Problem Oriented Language (POL) 被用于三菱核電站設(shè)備控制系統(tǒng)MELTAC-N p lus R3中，主要用于高可靠性控制系統(tǒng)的開發(fā)。在整個電站控制和保護(hù)系統(tǒng)的開發(fā)中，POL語言具有以下優(yōu)點(diǎn):

適合大多數(shù)核電站控制及保護(hù)系統(tǒng)的菜單;

圖1　并行冗余網(wǎng)絡(luò)故障樹

圖2　主備冗余網(wǎng)絡(luò)故障樹

POL的應(yīng)用在很大程度上改善了控制系統(tǒng)的靈活性和可擴(kuò)展性;

POL通過標(biāo)準(zhǔn)化組件改善了控制系統(tǒng)的可靠性和可維護(hù)性;

POL優(yōu)化了算法的開發(fā);

POL具有明確的定義結(jié)構(gòu)。

盡管POL語言不如FORTRAN等高級語言那樣通用，但作為可編程調(diào)節(jié)器或智能儀表的用戶語言，用于過程控制、邏輯報(bào)警、聯(lián)鎖保護(hù)等方面卻是特點(diǎn)鮮明:(1)軟件規(guī)模小，成本低;(2)程序設(shè)計(jì)簡單，系統(tǒng)研制周期縮短;(3)系統(tǒng)有良好的可靠性和適時控制性;(4)人機(jī)對話方便，應(yīng)答性好;(5)軟件結(jié)構(gòu)緊湊，內(nèi)存占用少;(6)便于調(diào)試與維修，支援性好?；谏鲜鎏攸c(diǎn)，POL擁有非常強(qiáng)的可操作性和可視性，大大提高了問題的可追溯性和軟件的可維護(hù)性。

1.3網(wǎng)絡(luò)架構(gòu)的可靠性

首先是冗余性考慮，為滿足單一故障原則，CPR1000項(xiàng)目的安全級網(wǎng)絡(luò)-A和安全級網(wǎng)絡(luò)-B都是采用雙重冗余。其中，安全級網(wǎng)絡(luò)-A和安全級網(wǎng)絡(luò)-B這兩個網(wǎng)絡(luò)作為彼此的“備份”，形成另一重的冗余特性。通常，冗余配置分為并行冗余與主備冗余兩種，CPR1000項(xiàng)目的安全級網(wǎng)絡(luò)采用的是并行冗余網(wǎng)絡(luò)。由于實(shí)現(xiàn)機(jī)理不同，其故障風(fēng)險(xiǎn)也不相同。通過故障樹分析法分析(如圖1、圖2)，從圖中可以看出由于主被冗余存在診斷和切換環(huán)節(jié)，從而增加了故障概率，從而降低網(wǎng)絡(luò)系統(tǒng)的可靠性，相比之下，并行冗余更可靠。

其次是對獨(dú)立性的考慮，獨(dú)立性的要求和準(zhǔn)則包括了實(shí)體隔離和電氣隔離。實(shí)體隔離比較容易實(shí)現(xiàn)，電站主要是通過將通信設(shè)備放置不同房間來實(shí)現(xiàn)。電氣隔離主要體現(xiàn)為網(wǎng)絡(luò)通信隔離。安全級DCS系統(tǒng)內(nèi)部網(wǎng)絡(luò)采用的通信介質(zhì)是光纖，通過光電轉(zhuǎn)換部件實(shí)現(xiàn)從電信號到光信號，以及從光信號到電信號的轉(zhuǎn)換，以此保證電氣隔離(Electrical Isolation);并且只有按軟件定義好的程序，CPU才去讀取通信部件存儲區(qū)對應(yīng)的數(shù)據(jù)，否則，即使通信接口部件存儲區(qū)有數(shù)據(jù)，也不可能自主寫入到CPU中去，即不會有多余的數(shù)據(jù)去影響到CPU執(zhí)行其相關(guān)邏輯功能。另外，安全級網(wǎng)絡(luò)還設(shè)置了旁通路徑，也可稱為“鏡面反射”，即當(dāng)網(wǎng)絡(luò)中間某設(shè)備失電的情況下依然可以保證信號的傳遞性。

同時為了保證安全級網(wǎng)絡(luò)與其他系統(tǒng)的獨(dú)立性，系統(tǒng)間的通信采取了單向傳遞方式，與安全級網(wǎng)關(guān)相關(guān)聯(lián)的有三組獨(dú)立的網(wǎng)關(guān)，分別完成安全級信號輸出、接受和畫面調(diào)用功能。這樣既減小了網(wǎng)關(guān)負(fù)荷，也不會造成信號對沖，增強(qiáng)了信號傳遞的穩(wěn)定性。

1.4強(qiáng)大的系統(tǒng)自我診斷功能

自我診斷功能是通過與正常情況下數(shù)據(jù)處理的結(jié)果進(jìn)行對比判斷其一致與否，通過判定結(jié)果來檢查系統(tǒng)的健全性。

安全級DCS的設(shè)備在正常運(yùn)行時從單個部件到設(shè)備整體都設(shè)有自我診斷功能，成為RAS功能，此功能按照故障的嚴(yán)重程度和故障發(fā)生位置分為I/O w aning、A larm、Fail。所謂的I/O w aning是指I/O卡件無法正常輸出輸入，但控制系統(tǒng)依然正常;A larm是指即使發(fā)生了異常，但依然可以正常輸入輸出完成控制，控制系統(tǒng)也可正常運(yùn)行;Fail是指驗(yàn)證的故障，此時系統(tǒng)已經(jīng)無法完成正?？刂?，需要自動或手動切換到其他系統(tǒng)上去。從輸入端到輸出端之間的各個卡件及模塊按照單位級別實(shí)施自我診斷，同時在卡件以及模塊級別上將故障發(fā)生點(diǎn)完成上述分類，通知并記錄故障情報(bào)。根據(jù)自我診斷功能檢測出的異常內(nèi)容，將影響范圍控制在最小單位內(nèi)進(jìn)行切換，隔離。例如IO卡件故障以IO卡件為單位進(jìn)行切換，CPU相關(guān)聯(lián)的故障就以CPU系為單位切換。

安全級DCS系統(tǒng)可診斷的自身故障有170余種，分別從硬件、軟件、軟硬件相結(jié)合的角度全面自我診斷，全面覆蓋了部件的各個環(huán)節(jié)，使設(shè)備的可靠性得到了保證。另外，考慮到安全保護(hù)設(shè)備在失效情況下安全性，對每個輸出模塊都進(jìn)行了偏安全設(shè)定，保證在DCS失效的情況下也不會發(fā)生核安全事故。

1.5維護(hù)性的提高

與一代核電廠比較由于使用了數(shù)字化技術(shù)使維護(hù)作業(yè)量大大減少。一代電廠的信號處理計(jì)算都是由個元器件完成，在長期使用過程中難免會導(dǎo)致量程、滿量程等設(shè)定值的偏移，需要維修人員定期的對其校正。現(xiàn)在我們將原來的模擬量計(jì)算回路轉(zhuǎn)化為軟件處理，這以改進(jìn)使參數(shù)不會因運(yùn)行時間而發(fā)生偏移，減少了大量的作業(yè)工時。

1.6保護(hù)系統(tǒng)的可試驗(yàn)性

設(shè)備系統(tǒng)可靠與否，除了其自身的可靠性設(shè)置之外還需要通過試驗(yàn)來驗(yàn)證，安全級DCS的保護(hù)系統(tǒng)具備良好的可試驗(yàn)性。

安全級保護(hù)系統(tǒng)的可靠性通過T1、T2、T3試驗(yàn)來驗(yàn)證。通過這三個周期性試驗(yàn)可以全面的驗(yàn)證從設(shè)備的輸入到設(shè)備的輸出的正確性。T 1試驗(yàn)驗(yàn)證了現(xiàn)場信號能否準(zhǔn)確穩(wěn)定的通過I/O轉(zhuǎn)換送進(jìn)DCS系統(tǒng)中，T2試驗(yàn)通過自動裝置驗(yàn)證了DCS系統(tǒng)中的邏輯是否正確，T3試驗(yàn)驗(yàn)證了經(jīng)過運(yùn)算處理后的數(shù)據(jù)能否送往現(xiàn)場設(shè)備并正常的動作。通過定期試驗(yàn)使人機(jī)結(jié)合，能夠預(yù)防準(zhǔn)確的掌握系統(tǒng)狀況，提高運(yùn)行的穩(wěn)定性。

2　結(jié)語

隨著近年來我國核電事業(yè)的高速發(fā)展，電廠的DCS控制也成為了熱點(diǎn)話題。本文通過對CPR1000項(xiàng)目安全級DCS的結(jié)構(gòu)特點(diǎn)的介紹讓大家對DCS的可靠性有一定的了解和認(rèn)識，希望在工作中能起到一定的作用。由于學(xué)識、經(jīng)驗(yàn)與能力所限，論述中難免有不足之處，請大家批評指正，謝謝。

[1]MELTAC-NplusR3 (CPR1000 version) POL Description,MELCO, 2011-06-08.

[2]MELTAC-NplusR3 Intelligent I/O Module Description,MELCO, 2011-06-08.

[3]陳龍.核電站安全級DCS系統(tǒng)網(wǎng)絡(luò)的基本設(shè)計(jì)準(zhǔn)則.《自動化博覽》,201 3.1.