蘇 正，文登宇，張啟飛，馮 明

（臺山核電合營有限公司，廣東 江門 529228）

0 引言

核電作為清潔能源，其基本特性決定了在應(yīng)對能源挑戰(zhàn)中有能力發(fā)揮無可替代的重要作用，我國在現(xiàn)階段發(fā)展核電是調(diào)整能源布局的有效途徑。中國核電已形成規(guī)?；?、批量化發(fā)展格局。二代改進型壓水堆核電站隨著技術(shù)的發(fā)展和運行經(jīng)驗的反饋，逐步引入新的成熟技術(shù)，使核電站的安全性得到進一步的提高[1]。目前，核電站已進入第三代，對安全性提出了更高的要求，以往的控制部分大多采用硬接線模擬量控制，已經(jīng)不能滿足因工程原則、人類工程學(xué)原則，DCS 系統(tǒng)（分散控制系統(tǒng)）都具有模擬量控制系統(tǒng)無法比擬的優(yōu)越性[2]。核電站DCS 系統(tǒng)負責(zé)控制并監(jiān)測整個電廠生產(chǎn)的全過程[3]，臺山核電站采用目前國際最先進的第三代核電EPR 技術(shù)，采用了最先進的DCS 系統(tǒng)，完全集成了DCS 系統(tǒng)高可靠性、開放性、靈活性、易于維護和協(xié)調(diào)性控制功能齊全等優(yōu)點[4]。

臺山DCS 系統(tǒng)由非安全級的SPPA-T2000 系統(tǒng)（以下簡稱T2000）和安全級TXS 系統(tǒng)組成[5]。該系統(tǒng)已經(jīng)過核級認證，是核電站DCS 領(lǐng)域最穩(wěn)定、可靠的系統(tǒng)之一[6]。T2000系統(tǒng)Level 1 的核心處理單元是AP（Automation Processor），內(nèi)部運行著核電站機組啟、停以及正常運行等工況的邏輯算法，是核電站的神經(jīng)中樞?；贏P 的核心作用，若AP出現(xiàn)故障，嚴重則會造成受該AP 控制的所有設(shè)備均退出運行，進而造成機組負荷下降或機組停機、停堆等情況。因此，AP 典型故障案例分析和處理方案對機組聯(lián)調(diào)及后續(xù)商運有著非常重要的參考價值和經(jīng)濟效益。

圖1 臺山DCS系統(tǒng)組成Fig.1 Taishan DCS system composition

本文首先對T2000 系統(tǒng)進行簡要概述，接著闡述AP的基本結(jié)構(gòu)、功能組成及故障類型說明，然后以AP 典型案例—AP 離線下裝進行故障分析和給出方案處理，最后進行總結(jié)，指出可能造成AP 離線下裝的原因并提出相應(yīng)的預(yù)防措施。

1 T2000系統(tǒng)概述

臺山DCS 系統(tǒng)由非安全級的SPPA-T2000 系統(tǒng)和安全級TXS 系統(tǒng)組成。T2000 系統(tǒng)分為兩個層級，分別是Level 1 自動控制層和Level 2 人機界面層[7,8]（見圖1）。

1.1 Level 1自動控制層主要功能

1）接收現(xiàn)場就地傳感器的采集信號和執(zhí)行器的反饋信號。

2）接收Level 2 操縱員發(fā)送的操作指令。

3）周期自動運算處理，實現(xiàn)電廠正常運行所需的邏輯功能（核心功能）。

1.2 Level 2人機界面層主要功能

1）接收從Level 1 的采集信號，并進行信號的顯示。

2）向Level 1 發(fā)送由操縱員在人機界面發(fā)出的操作指令。

Level 1 主要由兩大部分組成：I/O 卡件、冗余AP 單元。其中，圖2 為Level 1 自動控制層組成，圖3 為Level 1 T2000 機柜組成。AP 是整個Level 1 的核心處理單元，內(nèi)部運行著核電站機組啟、停及正常運行等工況的邏輯算法。一方面，AP 周期自動采集來自機柜I/O 卡件（采集卡件和控制卡件）的輸入信號和反饋信號，然后進行預(yù)設(shè)邏輯的運算處理，其運算結(jié)果送至Level 2 人機界面層進行顯示；另一方面，AP 接收來自Level 2 人機界面層的指令，然后自動進行預(yù)設(shè)邏輯的運算處理，其運行結(jié)果送至Level 0 去控制現(xiàn)場執(zhí)行器的動作[9]。

圖2 Level 1自動控制層組成Fig.2 Level 1 automatic control layer composition

圖3 Level 1 T2000機柜組成Fig.3 Level 1 T2000 cabinet composition

2 AP的構(gòu)成及故障分類說明

2.1 AP的結(jié)構(gòu)及功能

SPPA-T2000 機柜的AP 層由兩個冗余的AP 單元組成，分別是AP-A 和AP-B，如圖4。

單個AP 單元由以下設(shè)備組成如圖5，分別是：

1）電源模塊：給對應(yīng)AP 單元的CPU 模塊和通訊模塊提供穩(wěn)定供電電源。

2）CPU 模塊：AP 單元的運算處理模塊，處理下裝到CPU 單元中的預(yù)設(shè)邏輯。

圖4 SPPA-T2000機柜的冗余AP組成Fig.4 Composition of redundant APs in SPPA-T2000 cabinet

3）通訊模塊：AP 單元與其它AP 單元或Level 2 進行數(shù)據(jù)交換的通訊單元。

2.2 AP故障的分類及說明

AP 故障一般分為3 類：AP 硬件故障、AP 固件及應(yīng)用軟件故障、AP 邏輯組態(tài)故障，如圖6。

2.2.1 AP硬件故障

AP 硬件故障包括：電源模塊故障、CPU 模塊故障、通訊卡件模塊故障。從臺山項目現(xiàn)階段來看，這3 類硬件故障率并不高，且由于AP 層本身是由冗余AP 單元組成，AP單個硬件故障后，另一冗余AP 對應(yīng)的設(shè)備仍然可以維持正常工作，故單一設(shè)備硬件故障不影響AP 整體的正常運行。該類設(shè)備硬件故障一般采取的措施是領(lǐng)取新的備件進行更換。

2.2.2 AP固件及應(yīng)用軟件故障

圖7 AP邏輯組態(tài)故障分類Fig.7 AP Logical configuration fault classification

根據(jù)信息安全規(guī)定，AP 單元所采用的固件（Firmware）以及應(yīng)用軟件（Application Software）都必須在離線環(huán)境下經(jīng)過嚴格測試，并且經(jīng)過V&V 測試后，方可在現(xiàn)場使用。故現(xiàn)場AP 所使用的固件和應(yīng)用軟件都是非常穩(wěn)定和可靠的版本，一般不會出現(xiàn)共模故障。在這種情況下，單個AP單元中如果出現(xiàn)固件或應(yīng)用軟件意外故障，另一個冗余的AP 單元會保持正常運行，不會造成整個機柜AP 離線，且至目前為止，臺山核電未發(fā)生過任何AP 固件及應(yīng)用軟件導(dǎo)致AP 故障的案例。

2.2.3 AP邏輯組態(tài)故障

AP 邏輯組態(tài)故障是整個調(diào)試期間導(dǎo)致AP 故障最頻繁的故障類型，由于邏輯組態(tài)在冗余AP 中相同，故一旦出現(xiàn)AP 邏輯組態(tài)錯誤，則冗余AP 同時故障，冗余作用無法體現(xiàn)。AP 邏輯組態(tài)故障分為兩種情況，如圖7。

1）邏輯組態(tài)修改錯誤，導(dǎo)致代碼無法編譯，AP 無法下裝。

圖8 AP風(fēng)險分析包絡(luò)原則Fig.8 AP Risk analysis envelope principle

這種情況不會影響AP 邏輯運算的正常運行，但邏輯組態(tài)錯誤無法下裝會導(dǎo)致AP 中當前采集的信號和運算邏輯結(jié)果無法通過邏輯組態(tài)工具實時查看，也就無法進行AP中邏輯信號的強制，從而阻礙調(diào)試活動開展。這種情況下必須找出邏輯組態(tài)修改的錯誤原因，進行糾正后再次進行AP 代碼編譯和下裝。

2）邏輯組態(tài)修改正確，代碼可以正常編譯，但需要AP 離線下裝。

這種情況雖然邏輯修改正常，代碼也可以正常編譯，但AP 需要離線下裝，且AP 離線下裝期間，對于邏輯量而言，原為1 的變量，其過程中會變?yōu)?；對于模擬量而言，所有有顯示的值將會變?yōu)?，底限將會被觸發(fā)，離線下裝過程約持續(xù)10 分多鐘，重啟后變量先取默認值，再取實際值。為避免信號翻轉(zhuǎn)造成設(shè)備的誤操作，需對AP 機柜內(nèi)所涉及到的執(zhí)行機構(gòu)進行逐項風(fēng)險分析，如有必要，則需進行實體設(shè)備隔離；而且還需對AP 送出的網(wǎng)絡(luò)信號進行逐項風(fēng)險分析，如有必要，也需對受影響的實體設(shè)備進行隔離。

由于第二種情況影響大、范圍廣且時間急，在系統(tǒng)聯(lián)調(diào)和后續(xù)商運期間，如何在AP 需下線下裝的條件下，快速、有效地進行分析處理非常重要。因此，下文將針對這種情況進行分析和說明，并給出相應(yīng)的預(yù)防措施，避免該情況的發(fā)生。

3 AP離線下裝存在的風(fēng)險及控制方案

3.1 AP離線下裝存在的風(fēng)險

在離線下裝的過程中會出現(xiàn)以下的風(fēng)險：

1）對于邏輯量而言，原為1 的變量，其過程中會變?yōu)?；對于原為0 的變量，不會變化，不會產(chǎn)生影響。

2）對于RS 觸發(fā)器、SELECT 模塊、KG 模塊，都存在離線下裝后，自動復(fù)位輸出。

3）對于模擬量而言，所有顯示值將會變?yōu)?，底限將會被觸發(fā)。

4）離線下裝過程約持續(xù)10 分多鐘，重啟后變量先取默認值，再取實際值，下裝過程中變量的變化可能會反復(fù)幾次。

5）在下裝過程中，在AP 中進行處理的顯示點在KIC上全部無效，在該AP 中處理的報警信號可能觸發(fā)。

3.2 AP離線下裝風(fēng)險分析包絡(luò)原則

清單1：AP 內(nèi)涉及信號的非安全級執(zhí)行器清單，包括FUM 卡件驅(qū)動的設(shè)備清單。

清單2：AP 內(nèi)涉及信號的安全級執(zhí)行器清單，包括AV42E 卡件驅(qū)動的設(shè)備清單。

清單3：AP 內(nèi)涉及信號的網(wǎng)絡(luò)信號清單，包括通過網(wǎng)絡(luò)送出網(wǎng)絡(luò)信號的設(shè)備清單。

清單4：AP 內(nèi)涉及信號的硬接線信號清單，包括通過機柜送出硬接線信號的設(shè)備清單。

清單5：AP 內(nèi)涉及信號的CG 信號清單，包括AP 送至PICS 的CG/GC 成組設(shè)備帶記憶特點設(shè)備清單。

清單6：AP 內(nèi)涉及信號的RG 信號清單，包括AP 送至PICS 的RG 設(shè)定值帶記憶特點設(shè)備清單。

清單7：AP 內(nèi)涉及信號的RS 觸發(fā)器信號清單，包括AP 內(nèi)RSR/RSS 帶記憶特點設(shè)備清單。

3.3 AP離線下裝風(fēng)險控制方案

針對風(fēng)險分析包絡(luò)的每個清單，采取的風(fēng)險控制方案如下：

1）對于AP 內(nèi)涉及信號的非安全級執(zhí)行器清單：如存在信號翻轉(zhuǎn)風(fēng)險則在FUM 卡件的下游進行指令線解線或由運行責(zé)任部門執(zhí)行設(shè)備停運拉電隔離。

2）對于AP 內(nèi)涉及信號的安全級執(zhí)行器清單：如存在信號翻轉(zhuǎn)風(fēng)險，則在AV42E 卡件側(cè)退卡，下游進行指令線解線或由運行責(zé)任部門執(zhí)行設(shè)備停運拉電隔離。

3）對于AP 送出的網(wǎng)絡(luò)信號清單：進行逐項風(fēng)險分析，如信號存在翻轉(zhuǎn)風(fēng)險，則在下游AP 進行信號強制。

4）對于AP 送出的硬接線AO/BO 信號清單：進行逐項風(fēng)險分析，如信號翻轉(zhuǎn)風(fēng)險，則進行接線或在下游AP 進行信號強制。

5）對于AP 內(nèi)涉及信號的CG 信號清單：在進行AP離線下裝前，當班運行人員記錄離線前CG/GC 的初始選擇狀態(tài)，AP 離線下裝完成后，運行人員根據(jù)機組當前運行狀態(tài)以及AP 離線下裝前記錄的選擇狀態(tài)，綜合判斷是否需要恢復(fù)初始狀態(tài)選擇。

6）對于AP 內(nèi)涉及信號的RG 信號清單：在進行AP離線下裝前，當班運行人員記錄離線前RG 的初始選擇狀態(tài)，AP 離線下裝完成后，運行人員根據(jù)機組當前運行狀態(tài)以及AP 離線下裝前記錄的狀態(tài)，綜合判斷是否需要恢復(fù)初始狀態(tài)設(shè)置值。

7）于AP 內(nèi)涉及信號的RS 觸發(fā)器信號清單：在進行AP 離線下裝前，儀控人員記錄離線前RG 的初始選擇狀態(tài)，AP 離線下裝完成后，儀控人員根據(jù)機組當前運行狀態(tài)以及AP 離線下裝前記錄的狀態(tài)，綜合判斷是否需要恢復(fù)初始的觸發(fā)狀態(tài)。

另外，由于AP 離線下裝期間，涉及到部分設(shè)備的停運或自動功能不可用，可能存在OTS（運行技術(shù)規(guī)范要求）要求，需要安工（核電站安全工程師）進行獨立審核，并執(zhí)行緩解措施，如受影響列設(shè)備切換至備用列運行，主控控制切換至就地控制等。

4 AP離線下裝的原因分析及預(yù)防措施

4.1 AP離線下裝的原因分析

通過工程實踐以及與SIEMENS 澄清，AP 離線下裝的原因可分為兩類：

1）與AP CPU 在線運行邏輯沖突，下裝將導(dǎo)致設(shè)備非預(yù)期動作

AP 功能模塊的運算周期從無周期時間要求改為周期運算，或AP 功能模塊從周期運算改為無周期時間要求。將導(dǎo)致無法在線下裝，只能離線下裝。

AP 多個功能模塊打包（Package）在一個運算周期執(zhí)行，只改變該包中一部分功能塊的運算周期，另一部分運行周期保持不變。將導(dǎo)致無法在線下裝，只能離線下裝。

AP 功能模塊的軟件運算周期和硬件運算周期不一致，改為軟硬件運算周期一致。將導(dǎo)致無法在線下裝，只能離線下裝。

AP 功能模塊的軟件運算周期和硬件運算周期一致，改為軟硬件運算周期不一致。將導(dǎo)致無法在線下裝，只能離線下裝。

AP 功能包（Package）中只能最后一個模擬量功能塊，刪除掉該模擬量功能塊。將導(dǎo)致無法在線下裝，只能離線下裝。

AP 功能包（Package）中沒有模擬量功能塊，往該功能包中增加模擬量功能塊。將導(dǎo)致無法在線下裝，只能離線下裝。

AP 功能包（Package）中存儲的模擬量功能塊最大編號為127，每次往該功能包中增加模擬量模塊時，最大編號將增加1，但刪除模擬量時，最大編號保持不變。當模擬量模塊最大編號達到127，將導(dǎo)致無法在線下裝，只能離線下裝。

AP 硬件中增加或刪除一個或多個機架，將導(dǎo)致無法在線下裝，只能離線下裝。

AP 相同功能位置的FUM 卡件，進行了不同類型的更換，將導(dǎo)致無法在線下裝，只能離線下裝。

AP-AP 之間只有單向連接，增加相反連接。在線下裝無法生效，只能離線下裝。

2）AP 資源池正向使用耗盡

AP-AP 之間的最大連接數(shù)為32 條，超過該連接數(shù)將無法在線下裝，需刪除部分原有AP-AP 連接后增加新AP-AP 連接，然后再進行離線下裝。

AP 的數(shù)據(jù)塊資源池（Resource Pool of Data blocks）最大為152，數(shù)量超過152。只能清空AP 后再次編譯，并進行離線下裝。

AP 的時間資源塊FB timers（750）、Step timers（230），時間塊資源使用數(shù)超過任一個的最大值。只能清空AP 后再次編譯，并進行離線下裝。

4.2 避免非必要AP離線下裝的預(yù)防措施

1）邏輯修改前進行規(guī)則分析：分析修改方案是否與AP 在線下裝的規(guī)則沖突，詳細見4.1 的第1）部分，如邏輯修改將導(dǎo)致AP 離線下裝，可反饋設(shè)計方，在不改變邏輯功能情況下，重新調(diào)整AP 資源分配，使得AP 可以在線下裝。

2）AP 編譯前后的設(shè)備代碼結(jié)構(gòu)變化分析：通過搭建和現(xiàn)場一致的離線組態(tài)平臺，編寫腳本，抓取邏輯修改前、后AP 中設(shè)備代碼的結(jié)構(gòu)，以及邏輯修改前后的AP 資源使用情況。如資源分配不合理導(dǎo)致AP 離線，可反饋設(shè)計方，在不改變邏輯功能情況下，重新調(diào)整AP 資源分配，使得AP 可以在線下裝。

5 結(jié)束語

在T2000 系統(tǒng)AP 故障的分類中，相比于其它類型的AP 故障，故障導(dǎo)致AP 離線下裝給核電站造成的影響大、范圍廣，處理不當容易造成設(shè)備誤動，嚴重會造成電站降功率或停機、停堆，造成重大經(jīng)濟損失。本文選取對電站調(diào)試和運行過程中影響范圍最大的AP 離線下裝工作，給出了典型AP 離線下裝過程中存在的風(fēng)險、風(fēng)險分析原則以及處理方案。這對其它采用SPPA-T2000 技術(shù)的核電、火電等項目都具有參考和借鑒意義。