核電站硼表工控機異常重啟調(diào)查及消除措施研究

楊 維，程保華，陸振國

核電站硼表工控機異常重啟調(diào)查及消除措施研究

楊 維，程保華，陸振國

（中廣核工程有限公司，廣東 深圳 518124）

針對核電廠機組投運后硼表系統(tǒng)工控機異常重啟事件，通過搭建特定的硼表工控機最小系統(tǒng)復現(xiàn)故障的方式分析出了工控機重啟原因，提出升級硼表軟件和改造偏差報警實現(xiàn)方式兩種消除工控機異常重啟的方案，并對兩種方案的優(yōu)劣進行總結(jié)分析。該方案已在兩核電項目機組上實施，經(jīng)運行驗證有效，可為后續(xù)裝備了同類型硼表工控機的核電項目提供借鑒。

硼表；工控機；重啟；軟件；偏差報警

硼表系統(tǒng)是專門針對核電站反應堆及一回路系統(tǒng)中硼濃度的在線監(jiān)測而研制的專用設備，用于連續(xù)監(jiān)測壓水堆核電廠一回路冷卻劑中的硼濃度，防止一回路冷卻劑硼濃度意外下降而引起反應堆功率的增長，還能及時對硼稀釋事故發(fā)出報警，保證反應堆的安全運行[1-4]。

在2012—2018年期間，中國廣核集團下A核電項目1～4號機組，B核電項目1～4號機組在商運后均多次出現(xiàn)硼表工控機異常重啟事件。為了深入研究分析機組出現(xiàn)該故障的根本原因，找出解決措施，公司成立了“現(xiàn)場專項調(diào)查小組”，通過搭建特定的硼表工控機最小系統(tǒng)復現(xiàn)故障，全面開展硼表工控機異常重啟成因及消除措施的研究。

1　背景描述

表1 近年來A核電項目異常重啟統(tǒng)計

硼表系統(tǒng)通過取樣管線的冷卻劑測量一回路硼濃度值，就地變送器將硼濃度轉(zhuǎn)換為4～20 mA電流信號送至硼表工控機，硼表工控機接收2路NC-DCS（DCS來的常閉觸點）的開關(guān)量信號并輸出3路模擬量信號以及6路開關(guān)量信號至DCS，如圖1所示。

圖1 硼表系統(tǒng)信號流程總圖

硼表系統(tǒng)工控機設備包括工控機和基于工控機計算機總線的功能模塊。工控機內(nèi)的功能模塊除脈沖采集模塊外，其他都采用標準模塊。其中脈沖信號采集模塊通過硬件中斷的觸發(fā)方式對中子脈沖信號進行采集，送工控機軟件處理后傳輸至DCS。IO 控制模塊接收并響應“自檢”和“設定值確認”遠程命令，輸出系統(tǒng)狀態(tài)指示控制信號，如圖2所示。

圖2 硼表機柜與DCS信息交換示意圖

操作員每天需通過硼濃度設定值確認操作指令（072KC），使當前硼濃度設定值與硼濃度測量平均值一致，以防止當硼濃度測量值低于硼濃度設定值50×10-6時，出現(xiàn)硼濃度偏差報警，該報警信號用于提醒操作員關(guān)注一回路硼濃度情況并及時干預，防止超功率，確保運行安全。經(jīng)初步核實，因機組工藝系統(tǒng)硼濃度的真實改變，每次工控機自動異常重啟前都有偏差報警值重設。

根據(jù)核電廠硼表運行規(guī)范規(guī)定，工控機重啟期間硼表將不可用。硼表對一回路硼濃度至關(guān)重要，其可用性對機組穩(wěn)定運行有較大影響，因此其原因調(diào)查和解決措施一直受到各方高度關(guān)注。

2 原因分析

針對多機組均出現(xiàn)工控機自動重啟現(xiàn)象，現(xiàn)場通過手動重啟和非手動重啟對比系統(tǒng)日志差異，排除了人為按機箱重啟按鈕以及設備斷電等人為因素，初步確認重啟原因為軟件故障（包含看門狗觸發(fā)重啟）或硬件故障。另外，根據(jù)調(diào)查各基地工控機重啟事件的日志結(jié)果顯示，自動重啟均是在操作員操作指令REN072KC（修改硼濃度設定值）后發(fā)生的。

為進一步查明具體故障根本原因，現(xiàn)場調(diào)查小組特搭建硼表工控機最小系統(tǒng)設備和測試環(huán)境復現(xiàn)故障驗證，制定測試方案，并執(zhí)行測試，試驗流程如圖3所示。

通過改變測試條件并長期對硼表工控機驗證發(fā)現(xiàn)，硼表采集軟件運行時頻繁操作硼濃度設定值確認指令REN072KC可復現(xiàn)重啟，但將軟件關(guān)閉時不會復現(xiàn)重啟故障，最終排除工控機硬件及操作系統(tǒng)平臺原因。持續(xù)測試發(fā)現(xiàn)重啟故障與操作設定值確認指令直接相關(guān)，在指令發(fā)送頻率為1 Hz情況下，1～4天即可復現(xiàn)重啟故障，且每次重啟間隔無規(guī)律性，復現(xiàn)概率約為萬分之一。

2017年8月，中央紀委監(jiān)察部網(wǎng)站披露了鮑學全、王云戈被“雙開”的消息。經(jīng)查，鮑學全違反中央八項規(guī)定精神，超標準使用辦公用房；違反廉潔紀律，收受禮金、購物卡；違反生活紀律，與他人發(fā)生不正當性關(guān)系；利用職務上的便利為他人謀取利益并收受財物，涉嫌受賄犯罪。

硼表軟件周期性執(zhí)行程序段（ms級）對中子頻率、溫度、電壓等信號進行采集并計算后通過工控機卡件進行輸出，而操作072KC指令在上升沿時刻若恰巧與軟件運行程序段沖突，導致軟件出現(xiàn)無響應的異常，進而導致硼表工控機觸發(fā)異常重啟，此為概率性事件，如圖4所示。

圖3 硼表工控機最小系統(tǒng)信號試驗流程

圖4 操作設定值確認操作指令072KC時，軟件異常

隨著測試的深入，觀察到脈沖采集卡觸發(fā)中斷（秒級）也可能與操作員給定值操作指令產(chǎn)生沖突（脈沖采集卡通過中斷的方式定期將新的計數(shù)率等信息送至工控機軟件）。

因此，硼表軟件周期執(zhí)行程序段、操作員給定值操作指令、脈沖采集卡頻率中斷這3種程序在同一時間存在“十字路口”的沖突（見圖5），進而造成軟件存在的死機概率。

圖5 硼表軟件運行信號沖突時示意圖

綜上，工控機重啟的故障點主要原因是硼表軟件受到外部干擾以及與其他信號中斷沖突，在運行過程中會出現(xiàn)偶發(fā)性死機，軟件無響應后無法及時喂狗，看門狗超時觸發(fā)工控機重啟。

3 改進措施

基于上述工控機重啟的原因分析，可采取如下2種方案消除重啟問題：

3.1　方案一（偏差報警由硼表軟件實現(xiàn)）

（1）刪除軟件中的“遠程自檢功能”，通過硼表系統(tǒng)本地手動自檢，減少不必要的外部中斷，避免該外部信號中斷與軟件內(nèi)部中斷沖突帶來的軟件死機；

（2）“設定值確認”延遲1 s執(zhí)行。從DCS發(fā)來的“設定值確認”為外部信號，可能帶來其他不確定干擾信號，設定值確認命令延遲1 s，軟件內(nèi)部可以進行復核確認輸入的命令是設定值確認，而不是外部干擾。

（3）增加“十字路口的紅綠燈”等待功能。在所有補丁升級前，操作員給定值操作指令、軟件周期執(zhí)行程序段、脈沖采集卡觸發(fā)中斷的運行方式，類似于過十字路口（見圖5），此時三者并無先后順序，通過修改配置文件對三者同時增加“紅綠燈”功能，即“遇到路口時，②先過馬路，隨后①過馬路，最后③過馬路”，三者優(yōu)先級②＞①＞③，通過此種方式解決圖5所示的“十字路口沖突”問題。

根據(jù)以上方案升級硼表軟件后，并用信號發(fā)生器模擬DCS的設定值確認命令近百萬次，結(jié)果觀察工控機硼表監(jiān)測運行正常，未出現(xiàn)工控機重啟現(xiàn)象。

通過升級軟件解決異常重啟問題，對硼表系統(tǒng)的測量原理、通信方式、偏差報警邏輯實現(xiàn)沒有做任何改變。完全保留原硼表系統(tǒng)偏差報警邏輯、與DCS的通信功能，軟件升級后修復了存在的問題，增加了軟件的穩(wěn)定性，減少了故障發(fā)生頻率。

3.2　方案二（偏差報警改由DCS實現(xiàn)）

（1）將硼表偏差報警邏輯運算和偏差報警設定功能的實現(xiàn)由硼表工控機轉(zhuǎn)移至DCS，通過修改硼表工控機和KCP機柜兩側(cè)的接線、修改DCS 組態(tài)完善該報警邏輯來實現(xiàn)，保持現(xiàn)有硼表軟件不升級。改造前后硼表機柜與DCS的信號交換示意圖如圖6和圖7所示。

圖6 NC-DCS與硼表工控機信號傳輸圖-改前

圖7 NC-DCS 與硼表工控機信號傳輸圖-改后

（2）取消硼表的外部自檢輸入信號，并將硼表工控機中的偏差報警值由50×10-6調(diào)整至最大值（3 000×10-6），避免外來干擾導致偏差報警在硼表工控機本地顯示。

該方案將偏差報警邏輯和偏差報警設定功能轉(zhuǎn)移至DCS實現(xiàn)后，不會影響硼表工控機另外4路開關(guān)量報警（高值報警、低值報警、硼表不可用、系統(tǒng)故障報警）的邏輯實現(xiàn)，硼表工控機不再對DCS輸出偏差報警和硼濃度正常開關(guān)量。硼表工控機仍保留現(xiàn)原設計報警邏輯和偏差報警設定功能，但偏差報警設定無法執(zhí)行，工控機側(cè)的偏差報警邏輯將失去參考價值，因此，該方案無需升版現(xiàn)有硼表軟件。

硼表系統(tǒng)的安全分級為非安，方案1保留了原硼表系統(tǒng)的偏差報警邏輯、與DCS原有的通信方式，方案2將硼表系統(tǒng)的偏差報警邏輯移至DCS實現(xiàn)，除了不再對DCS輸出偏差報警和硼濃度正常開關(guān)量外（該兩路信號在硼表電子機柜就地顯示），其他輸出至DCS的信號保持原有設計不變。兩個方案對硼表的在線實時監(jiān)測功能均無影響，都可避免工控機異常重啟現(xiàn)象，對電廠日常運行維護提供了更好的便利。

3.3　兩種方案對比分析

根據(jù)上述對兩種方案的描述，總結(jié)如表2所示，各有優(yōu)劣，方案一保持現(xiàn)有硼表軟件不變，通過改變偏差報警實現(xiàn)方式來避免對工控機的“外來”干擾，涉及一定的內(nèi)部設計變更以及現(xiàn)場施工成本，不涉及硼表系統(tǒng)供方的現(xiàn)場實體工作（DCS側(cè)涉及相關(guān)的組態(tài)和接線工作）；方案二通過升級現(xiàn)有硼表軟件，在前期已升級完的軟件版本下，現(xiàn)場實施周期短，但涉及較高的軟件升級費用。后續(xù)各項目業(yè)主可根據(jù)實際進度和商務需求進行選擇合適的方案。

表2 兩種方案對比分析

4 改進措施的效果評價

在核電A和B項目的硼表工控機上分別實施以上兩種方案的改造，經(jīng)長期運行觀察，兩個核電項目對應的多臺機組均未出現(xiàn)因硼表工控機異常重啟引起的硼表不可用問題，實際運行結(jié)果表明以上兩種方案提升了硼表的穩(wěn)定性和可靠性，顯著提高了現(xiàn)場硼表的工作效率。本文提出的改進措施有效地降低了工控機異常重啟的概率，該方案系中廣核集團硼表工控機異常重啟共性問題的首次成功解決。

5 總結(jié)

針對中廣核集團下多個核電基地的硼表工控機異常重啟問題，通過成立專項調(diào)查小組，搭建硼表最小系統(tǒng)，制定專用測試程序和計劃，依托核電項目A/B下多臺機組，經(jīng)過較長時間的排查和分析，成功定位于重啟問題的主要原因源自硼表測量軟件受到外部干擾以及與其他信號中斷沖突等原因，在運行過程中會出現(xiàn)偶發(fā)性死機，觸發(fā)軟件看門狗，從而強制工控機重啟。根據(jù)對調(diào)查原因的排查結(jié)論，本文提出兩種消除措施，即方案1為保留硼表軟件現(xiàn)有的偏差報警實現(xiàn)功能，通過升級軟件排除外來干擾好內(nèi)部中斷沖突，方案2為將硼表軟件的偏差報警邏輯運算及偏差。

報警設定功能移至DCS中實現(xiàn)，且將硼表工控機中的偏差報警值調(diào)整至最大值已避免硼表本地的偏差報警誤觸發(fā)。根據(jù)各基地業(yè)主差異化需求，對硼表工控機實施對應的改進措施，長期的實際運行記錄證明上述改進方案的有效性。

考慮到中國廣核集團旗下CPR1000項目以及“華龍一號”項目的硼表系統(tǒng)設計原理一致，供貨均由同一家供應商負責，所以本文的建議方案對后續(xù)裝備了同類型硼表工控機的核電項目提供了良好的借鑒，后續(xù)可根據(jù)各電廠的個性化需求，提前固化相應設計方案，將上述改進方案推廣運用到該集團下屬的各類已商運或在建機組。

［1］ 王紅波，鄧圣，王璨輝，等．硼表探測裝置設計與驗證［J］．核動力工程，2013，34（6）：136-137．

［2］ 蘇夏．非均勻硼稀釋事故期間反應堆冷卻劑系統(tǒng)硼濃度分析［J］．核電工程與技術(shù)，2008，2（3）：9-13．

［3］ 李海．RS485在核電站硼表系統(tǒng)就地顯示中的設計與實現(xiàn)［J］．核電子學與探測技術(shù)，2019，29（6）：1428-1431．

［4］ 吳金泉，史政林，熊炎，等．壓水堆核電站硼表自動標定方法［J］．電子技術(shù)與軟件工程，2018，5（3）：146-147．

The Investigation for the Abnormal Restart of the Industrial Computer and Its Elimination Solution for the Boron Meter System

YANG Wei，CHENG Baohua，LU Zhenguo

（China Nuclear Power Engineering Co.，Ltd，Shenzhen of Guangdong Prov.，518124）

Based on the abnormal restart event of the industrial computer of the boron meter system after operation of the nuclear power plant, the reason for the restart of the industrial computer is analyzed by building the minimum system recurrence fault for a specific boron meter industrial computer, and the upgrade of the boron meter software and the modification of the deviation alarm are proposed. The advantages and disadvantages of the two schemes to eliminate the abnormal restart of the industrial computer are summarized and analyzed. The scheme has been implemented on the nuclear power projects A and B of China General Nuclear Power Group. It has been verified to be effective after operation, and can provide reference for subsequent nuclear power projects equipped with the same type of boron meter industrial computer.

Boron meter; Industrial computer; Restart; Software; Deviation alarm

TL48

A

0258-0918（2022）06-1398-06

2021-11-21

楊 維（1984—），男，湖北黃岡人，工程師，現(xiàn)從事核電廠專用核儀表系統(tǒng)設備的技術(shù)研究