核電站集散控制系統(tǒng)機柜故障分析與改進研究

王 新

（中核檢修有限公司連云港分公司 維修部，連云港222000）

核電站儀表控制系統(tǒng)的發(fā)展主要經(jīng)歷了3 個階段：第一代核電儀控系統(tǒng)采用模擬技術；第二代核電儀控系統(tǒng)采用集成電路技術；第三代核電儀控系統(tǒng)是現(xiàn)今國際上廣泛應用的計算機處理技術和網(wǎng)絡平臺的數(shù)字化控制系統(tǒng)，也稱集散控制系統(tǒng)。某核電站一期工程的儀控運行儀控系統(tǒng)采用德國西門子公司研發(fā)的集散控制系統(tǒng)（DCS）系統(tǒng)，該系統(tǒng)屬于典型的三代分散式集控系統(tǒng)，本文通過對某核電站儀控集散系統(tǒng)機柜故障導致停堆事件進行分析，得出造成此事件故障的原因為自動處理器（AP）同時故障。此類事件為國內外核電廠首次發(fā)生，之前尚無相關研究成果和優(yōu)化措施。通過采取仿真平臺試驗、環(huán)境檢測等手段，還原系統(tǒng)故障，得出了事件的原因，運行環(huán)境不良導致自動處理器機架背板電子元器件存在電化學腐蝕（氯、硫）和物質遷移，機架背板電路板電路短路，觸發(fā)集散控制邏輯系統(tǒng)連鎖保護。制定針對性的優(yōu)化改進措施和維護策略，有效地保證機組集散系統(tǒng)安全穩(wěn)定運行。

核電廠集散控制系統(tǒng)（DCS）作為電站正常運行儀控系統(tǒng)，負責電站生產(chǎn)過程的控制和監(jiān)測，是數(shù)字化儀控系統(tǒng)的核心[1]。該系統(tǒng)用于某核電站工藝過程中的監(jiān)測和控制，系統(tǒng)結構簡圖如圖1所示。核電站儀控分散式集控系統(tǒng)控制著整個電站電能生產(chǎn)的過程，并在正常運行以及各種異常工況下維持電站的安全、穩(wěn)定、可靠運行。自動控制系統(tǒng)的結構與工藝結構相一致，形成能清晰反應電廠生產(chǎn)過程的流程。

圖1 正常運行儀控系統(tǒng)結構簡圖Fig.1 Structure diagram of normal operation I&C system

某核電廠一期集散控制系統(tǒng)（DCS）正常運行儀控系統(tǒng)共有65 個過程控制機柜，是集散控制系統(tǒng)與工藝過程的接口，主要完成以下功能[2]：

將采集到的現(xiàn)場各種工藝狀態(tài)參數(shù)信息通過電廠總線送到其它過程控制機柜，用于其它過程控制邏輯。

將采集到的現(xiàn)場各種工藝狀態(tài)參數(shù)信息通過電廠總線和終端總線傳送至主控室操作終端（OT），為操縱員提供現(xiàn)場工藝過程的信息顯示和判斷。

通過終端總線和電廠總線接收來自主控室操作終端（OT）的操作命令，并將控制命令下達至執(zhí)行機構，實現(xiàn)對現(xiàn)場工藝過程的人工控制。

1 故障原因分析

本次故障的原因為CRD11 機柜內自動處理器兩側CPU 停運，為了對問題進行充分的分析，以制定根本性的解決優(yōu)化措施，需要對事件根本原因進行分析。通過排除法對缺陷進行排查，正常運行儀控系統(tǒng)CRD11 機柜自動處理器模件發(fā)生故障的影響因素包括：環(huán)境因素、機柜硬件、處理器邏輯。通過分析故障現(xiàn)象和結合已有經(jīng)驗，認定機架問題，更換整套自動處理器模件機架，將現(xiàn)場故障機架帶回實驗室進行故障診斷和分析，更換新的處理器機架，問題得到解決。在實驗室通過電鏡對機架電路板進行掃描和元素分析得出，集散控制系統(tǒng)運行環(huán)境不良導致自動處理器機架背板電子元器件存在電化學腐蝕（氯、硫）和物質遷移現(xiàn)象，如圖2所示。造成CRD11 機柜內處理器機架背板電路板電路故障，導致集散控制系統(tǒng)CRD11 自動處理器A 側的BASP 信號的控制引線與接地端（M）之間存在漏電，引起CRD11 自動處理器A 側禁止輸出（BASP）信號不穩(wěn)，致使CRD11 自動處理器A 和CRD11 自動處理器B 先后停運，觸發(fā)機柜內相應邏輯保護。確定CRD11 機柜所在房間環(huán)境設計不合理，導致機柜硬件加速損壞，最終導致事故發(fā)生。

圖2 電化學腐蝕（氯、硫）和物質遷移Fig.2 Electrochemical corrosion（chlorine，sulfur）and material migration

通過排查CPU 相關設備，進行機柜自動處理器A 側CPU 復位、兩個CPU 模件通訊的模件更換，問題未解決；排查更換與安全儀控系統(tǒng)優(yōu)選控制的通訊模件，自動處理器短暫恢復正常后再次發(fā)生故障；最終通過更換CPU 機架，CRD11 故障消除。最終確定事件的原因為CRD11 處理器機架故障。

柜內測點包含1 號蒸汽發(fā)生器主蒸汽壓力信號LBA10CP912。受此影響1 號蒸汽發(fā)生器窄量程液位計測點JEA10CL813Y、JEA10CL823Y 和JEA10CL833Y 因失去主蒸汽壓力修正顯示值突升，繼而導致由上述3 個信號經(jīng)三取二合成的1 號蒸汽發(fā)生器窄量程液位信號JEA10CL913 突升了0.18 m。JEA10CL913 作為被調量參與1 號蒸汽發(fā)生器液位調節(jié)器JEA10DL001 的調節(jié)，信號的突升給調節(jié)器引入了一個階躍干擾，引起調節(jié)器振蕩，蒸汽發(fā)生器給水調節(jié)閥LAB10AA211 開度開始波動，1 號蒸汽發(fā)生器液位信號也隨之波動。1 號蒸汽發(fā)生器液位升高至額定值以上0.3 m，觸發(fā)1 號蒸汽發(fā)生器給水隔離邏輯保護，保護關閉該蒸汽發(fā)生器主給水截止閥，隨后液位開始下降。1 號蒸汽發(fā)生器液位降低至額定值以下0.5 m，保護切除1 號主泵。1號蒸汽發(fā)生器液位下降至額定值以下0.65 m，觸發(fā)反應堆停堆邏輯保護信號，機組停堆停機，如圖3所示。

圖3 邏輯關系與事件圖Fig.3 Logical relation and event diagram

通過上述對事件序列進行分析，確定軟件邏輯設計不合理，導致主工藝參數(shù)波動，最終導致反應堆跳停。綜上所述，為了提高集散控制系統(tǒng)的可靠性，必須對儀控機柜的的環(huán)境、硬件、軟件邏輯進行優(yōu)化。

2 改進研究

2.1 機柜間環(huán)境及機柜外觀檢查優(yōu)化

對機柜間環(huán)境因素進行研究，包括粉塵、溫濕度、熱釋放量、通風，制定了相應的優(yōu)化措施。

溫濕度優(yōu)化：增加機柜間溫濕度報警裝置和加濕機、除濕機，使機柜房間內的溫度和濕度得到有效控制。機柜間溫度夏季控制在（23±3）℃、冬季（20±3）℃，濕度控制在35%～75%，溫度變頻率<5 ℃/h不得結露，溫度報警閾值≥28 ℃報警，濕度報警閾值≤35%和≥75%報警，增加相應的加濕和除濕設備，添加除濕機和加濕器，當夏季來臨時TXP 機柜間的相對濕度超出范圍制定的范圍，投運除濕器對機柜間進行響應除濕，保證機柜間的絕對溫度在要求范圍，當冬季來臨時TXP 機柜間的相對干度超出范圍，投運加濕器對機柜間進行相對的濕度調節(jié)。防止因為溫濕度的影響造成電子設備、電子元器件腐蝕和漏電的影響。

通風系統(tǒng)優(yōu)化：優(yōu)化了通風系統(tǒng)風量不均的情況，使機柜間的通風更加合理。機柜間通風管道出口總量為10800 m3/s，原機柜間的4 個通風口出口風量不均勻，出口最高7000 m3/s 和出口最低1100 m3/s，修改成4 個通風口出口風量均勻，每個通風口風量為2700 m3/s 左右，避免機柜內設備受到長時間大風量的風吹。

機柜外觀優(yōu)化：在機柜上方增加蓋板和在下方通風口增加濾網(wǎng)，降低了粉塵進入機柜。原空調出口通風風量較大，且CRD11 機柜是靠在墻體側，CRD11 機柜上部由鐵絲網(wǎng)組成，下部通風口沒有濾網(wǎng)，通風吹到墻體直接折射到機柜內，在機柜上方增加一個蓋板，下方增加濾網(wǎng)，降低空調通風直接吹入機柜內，有效防止房間內被通風吹起的粉塵落入機柜內?？梢杂行p少金屬粉塵落入到機柜模件上，改良機柜運行環(huán)境，提高設備可靠性。

2.2 集散控制系統(tǒng)邏輯優(yōu)化

2.2.1 邏輯風險分析

針對此次停機停堆事件，對機柜故障進行邏輯分析，對集散控制系統(tǒng)內重要合成信號進行了篩查，篩選出600 多個重要合成信號，排查梳理出14個對機組功率運行期間影響較大的信號，將造成停機停堆的合成信號進行優(yōu)化，合成信號模擬量輸出信號不在同一自動處理器時，若發(fā)生自動處理器故障，其輸出的模擬量信號為0 時，則將對模擬量信號作為主調量、參與控制對象修正或者前饋運算的控制回路造成擾動的情況。

2.2.2 整改措施原則

2.2.2.1 合成信號所在的AP 故障時故障后果可接受

當合成信號所在的AP 故障時，如下兩種情況對機組的穩(wěn)定運行狀態(tài)無明顯影響，故障后果可以接受：

（1）執(zhí)行機構與模擬量合成信號在同一AP 時，若AP 故障，設備保持當前狀態(tài)，正常運行儀控系統(tǒng)失去邏輯控制；對優(yōu)選控制的設備，不影響安全功能的執(zhí)行；

（2）執(zhí)行機構與數(shù)字量合成信號不在同一AP時，若AP 故障，其輸出至其它AP 的信號變?yōu)?，設備保持當前狀態(tài)；若模擬量合成信號的有效位送至調閥控制功能塊的外部故障位，則調閥退出自動。

2.2.2.2 合成信號所在的AP 故障影響機組穩(wěn)定運行狀態(tài)

根據(jù)控制邏輯的不同將故障情況分為兩類：

（1）當模擬量合成信號與控制對象不在同一AP時，若AP 故障，其輸出至其它AP 的模擬量數(shù)值為0，則將對模擬量信號參與控制對象修正或者前饋運算的控制回路造成擾動；

整改措施：

對模擬量信號參與控制對象修正的合成信號，將三取二模擬量合成運算功能移至閉環(huán)控制邏輯或者執(zhí)行機構驅動邏輯所在AP；

對模擬量信號參與控制對象前饋運算的信號建議通過信號有效位控制平滑時間以弱化對控制對象的影響；

（2）若模擬量合成信號的有效位未送至調閥控制功能塊的外部故障位且模擬量合成信號與調閥不在同一AP 時，則當AP 故障時，模擬量數(shù)值變?yōu)?，閉環(huán)回路因失去反饋量而失控。

將合成信號的有效位信號送至調閥控制功能塊的外部故障位，即合成信號無效時調閥退出自動。因故障前有效數(shù)值可以保持20 s，上述措施可以實現(xiàn)其功能切換。

2.2.3 典型邏輯優(yōu)化功能例舉

2.2.3.1 合成信號JEC00CT904

信號邏輯功能：JEC00CT904 為一回路主管道每個環(huán)路熱腿的第二大溫度信號，參與正常運行儀控系統(tǒng)中一回路平均溫度計算。機組正常運行期間，穩(wěn)壓器液位主調節(jié)器JEF10DL911 工作在模式3，穩(wěn)壓器液位設定值由一回路冷卻劑平均溫度確定，即在溫度小于280 ℃時液位設定值為5.1 m，在溫度大于305 ℃時液位設定值為8.8 m，在280～305 ℃范圍內液位設定值為如圖4所示。

圖4 穩(wěn)壓器液位給定值根據(jù)一回路平均溫度變化曲線Fig.4 Given value of pressurizer liquid level is based on the average temperature change curve of primary circuit

機組功率運行期間一回路冷卻劑平均溫度在280～305 ℃的范圍內，當JEC00CT904 所在AP606故障時，JEC00CT904XQ01-04 輸出為0，調節(jié)器JEF10DL911（AP515）中一回路平均溫度的熱腿溫度為0，導致參與穩(wěn)壓器液位給定值計算的一回路冷熱腿平均溫度大幅下降，穩(wěn)壓器液位給定值將大幅下降，產(chǎn)生階躍正偏差，從而導致小流量上沖泵上沖流量減少，KBA14 下泄調閥全開，引起一回路液位波動。

整改方案：

將合成信號JEC00CT904 由AP606 移至調節(jié)器JEF10DL911 所在的AP515 中，當AP515 故障時輸出偏差為0，調節(jié)器保持當前狀態(tài)。

2.2.4 其它主要優(yōu)化方案

2.2.4.1 JAA10CP912/一回路平均溫度JEC00CT911/穩(wěn)壓器窄量程液位JEF10CL913 優(yōu)化方案

（1）將穩(wěn)壓器窄量程液位JEF10CL913 有效位XQ21引入大流量上充泵出口調節(jié)閥KBA20/30AA201，硼控系統(tǒng)下泄管道調節(jié)閥KBA16AA201 的外部故障位切除自動模式。

（2）將穩(wěn)壓器窄量程液位JEF10CL913 有效位XQ21 引入JEF10DL911 液位偏差大于0.15 和0.2的限值塊，當信號有效性（KG）無效時，限值塊輸出（Q）和輸出取反（QN）都輸出為0，限值無效，不會觸發(fā)邏輯動作。

（3）將穩(wěn)壓器窄量程液位JEF10CL913 有效位引入JEF10DL911 液位偏差值大于0.2 m 的限值塊后，小流量上沖泵KBA50EE00 備自投不再起作用，當AP 故障導致穩(wěn)壓器窄量程液位JEF10CL913 輸出為零時，KBA51/52/53AP001 備用泵不會再啟動，僅會導致一個工作泵加載至滿流量，流量偏差只有約0.3 kg/s，相對于穩(wěn)壓器水裝量來說影響較小，操縱員有足夠的時間干預，因此不需要將穩(wěn)壓器窄量程液位JEF10CL913 有效位引入KBA51、52、53GX001外部故障位切除自動。

2.2.4.2 硼控系統(tǒng)下充流量KBA10CF901/硼控系統(tǒng)上充流量KBA60CF901 整改方案

（1）在硼控系統(tǒng)溫度調節(jié)器KBA10DT003 的下泄流量KBA10CF901 前饋的微分塊之前增加平滑時間切換邏輯。

（2）在硼控系統(tǒng)溫度調節(jié)器KBA10DT003 的KBA60CF901 硼控系統(tǒng)上充流量穩(wěn)壓器窄量程液位前饋的微分塊之前增加平滑時間切換邏輯。

2.2.4.3 蒸汽發(fā)生器壓力LBA10/20/30/40CP912 整改方案

（1）蒸汽發(fā)生器壓力LBA10/20/30/40CP912 所在的AP 保持不變，不移AP，取消蒸汽發(fā)生器壓力LBA10/20/30/40CP912 送蒸汽發(fā)生器JEA10/20/30/40AC001 液位修正（包括寬窄量程以及JEA10/20/30/40CL913），其他功能保持不變。

（2）在對應主給水調節(jié)閥LAB10/20/30/40AA211所在的AP 中增加一個新的三取二邏輯功能蒸汽發(fā)生器壓力LBA10/20/30/40CP913，用于蒸汽發(fā)生器JEA10/20/30/40AC001 液位修正（包括寬窄量程以及JEA10/20/30/40CL913）。

2.2.4.4 主給水流量LAB10/20/30/40FF911 整改方案

（1）將主給水流量LAB20FF911 移至AP613，主給水流量LAB30FF911 移至AP511，主給水流量LAB40FF911 移至AP511。

（2）主給水流量LAB00FF902 中增加邏輯切換功能，在機組功率運行時，主給水流量LAB10/20/30/40FF901 參與邏輯運算。當主給水流量LAB10/20/30/40FF901 所在AP 故障時，切換到主給水流量LAB10/20/30/40FF911 參與邏輯功能。

此外，除了對上述對兩AP 故障邏輯進行篩查和分析，還進行了TXP 系統(tǒng)兩IM614 通訊模件故障邏輯優(yōu)化：為了避免兩IM614 模件故障導致整層I/O 模件無法進行信號的采集和發(fā)送，對整個TXP系統(tǒng)“二取一或三取二的冗余信號設置在同一層的測點”進行了篩查，共篩選出個信號。大修期間進行了邏輯改造，將這些冗余信號設置在機柜不同層。通過邏輯驗證，滿足技改要求。

2.3 集散控制系統(tǒng)硬件優(yōu)化

當前控制系統(tǒng)面臨的主要問題：邏輯設計不合理、設備老化、備件停產(chǎn)，所以有必要對控制系統(tǒng)進行優(yōu)化。目前已完成如下優(yōu)化：①硬件部分：系統(tǒng)服務器硬件優(yōu)化，由SUN BLADE150 機型升級為SUN enterprise 250 機型，提升了CPU 性能、擴充硬盤容量和處理速度，服務器的穩(wěn)定性進一步提升；②網(wǎng)絡部分：集散控制系統(tǒng)總線系統(tǒng)光纖交換機升級替代，將OSM 交換機升級為SCALANCE 交換機，提升了數(shù)據(jù)傳輸速率，加強了總線系統(tǒng)性能；③系統(tǒng)軟件和機柜卡件整體優(yōu)化：集散控制系統(tǒng)整體升級，包括系統(tǒng)軟件、機柜內模件、卡件，解決因設備老化、備件停產(chǎn)造成的不穩(wěn)定因素。

3 優(yōu)化效果

通過對機柜間的通風和溫濕度的優(yōu)化，改善了控制機柜間通風不均和溫濕度不平衡問題；通過對機柜增加蓋板和濾網(wǎng)，解決了現(xiàn)場粉塵進入機柜模件，造成模件損壞，大大提高了的運行環(huán)境，保證系統(tǒng)可靠性的處理工藝參數(shù)；通過對儀控邏輯合成信號的優(yōu)化，使自動控制邏輯布置更加合理，有效地采集現(xiàn)場工藝信號和傳送自動控制命令，實現(xiàn)了真正的自動化技術；通過DCS 系統(tǒng)整體優(yōu)化，降低了設備老化帶來的風險和設備停產(chǎn)帶來的弊端，提高了整體服務性能，加強了儀控系統(tǒng)的“眼和手的功效”。整體提升儀控系統(tǒng)管理水平，真正實現(xiàn)DCS 系統(tǒng)的功能分散管理集中的特點。

4 結語

通過對機柜間運行環(huán)境優(yōu)化、機柜內通訊單元升級、儀控邏輯合成信號優(yōu)化，儀控DCS 系統(tǒng)整體升級，消除了機柜故障帶來的停機停堆風險，降低了正常運行儀控系統(tǒng)設備故障的故障后果，保證了機組安全穩(wěn)定的運行。