全數字化儀控系統軟硬件設計的調試驗證和優化

王仁志

（江蘇核電有限公司，江蘇 連云港 222042）

0 引言

田灣核電站一期工程采用WWER-1000/320系列核電機組為原型的AES-91型改進型機組，首次應用全數字化的儀控系統完成機組的正常運行和事故工況下的控制和安全停堆。德國SIEMENS（西門子）公司的T-XP系統用于實現田灣核電站正常運行系統的過程控制和設備的連鎖保護；德國AREVA（阿海琺）公司T-XS系統用于安全及安全相關系統的保護控制和安全停堆。

1 T-XP調試出現的問題和處理

1.1 專用汽機控制與T-XP系統通訊

SIEMENS公司為了節省費用，專用的汽機控制系統作為T-XP系統[1]的一個子站，沒有采用冗余CPU設計，而是借用汽機控制系統的主CPU進行通訊，通訊負荷過大造成汽機控制系統信號出現不定期的中斷。通過測試，主CPU最大負荷達68.1%。

增加一對冗余CPU模件專門用作汽機控制系統的主站掛在T-XP環網上，同時調整主CPU的時鐘基本周期為200ms，解決了信號間歇性中斷的問題。

1.2 電機預埋測溫元件的電磁干擾問題

主冷卻劑泵、循環水泵等大型電機設備的線圈溫度信號（Pt100）由T-XP系統的FUM模件采集，FUM模件接口電路濾波能力不足，測溫信號出現波動。通過加裝溫度變送器，同時更換信號采集模件類型，抗干擾能力提高，滿足大型電機溫度的監視要求。

1.3 連鎖保護信號的供電設計

地坑液位聯鎖信號設計為常閉（NC）節點，液位變送器由FUM模件供電和檢測，正常運行時節點為斷開狀態。FUM模件一旦退出運行，液位變送器失電，節點閉合。模件重新運行后，FUM模件自檢較液位變送器的初始化速度快，變送器輸出節點仍為閉合狀態，FUM檢測到該聯鎖信號并啟動地坑泵。地坑液位變送器由模件供電修改為機柜供電，這樣FUM模件退出后，變送器供電正常，節點狀態保持。

1.4 操作員終端（OT）問題

1.4.1 供電問題

圖形服務器系統設備的供電來自服務器內部供電回路。該系統設備功率大，發熱量大，造成局部過熱，溫度超限值后系統自動斷電，設備保護停運。這時，操作員終端自檢到設備連接斷開，立即通過重啟來恢復系統運行。后將供電方式全部更換為外置UPS段220VAC電源供電。

同時，圖形服務器系統設備（OT、圖形服務器、網絡交換機）任一設備失電，都會引起OT重啟，從而造成系統不可用。所以外置電源必須采用雙UPS供電，才能保證電源可靠，避免供電問題引起OT重啟或不可用。

1.4.2 OT報警溢出系統軟件設計報警存放在一個循環列表中，出現報警如果操作員從OT終端畫面的操作塊/顯示塊細節窗口（mini ASD）進行確認，不能完全消除該報警，必須從畫面的主報警窗（main ASD）進行報警確認。所有報警存儲在主報警窗（main ASD）系統，同時打上時間（TTD-DATA）標簽。長期存在將發生報警信號超設計容量而阻止了新的報警的出現，即報警溢出。影響操作員的正常監視和問題的處理。首先，操作員要培養到主報警窗消除報警的習慣并固化到操作員手冊里，同時，增加軟件中報警矩陣的容量，避免溢出問題。

1.4.3 優化報警分區

T-XP系統的OM690監視系統的操作員OT終端是一拖三設計，信息量大，電廠所有報警在每個終端都可以顯示。而操作員是分核島、常規島以及輔助系統3塊，換句話，反應堆操作員可以看到常規島系統（汽輪機側）的報警，常規島操作員也可以看到核島系統的報警，操作員的工作量被放大，分散了操作員的注意力，影響正常監盤和事故的應急處理。

設置報警權限，對應主控運行操作人員負責的反應堆、汽輪機和輔助系統報警。同時，對存在交叉報警的功能區進行功能區拆分，增加新的功能區，從技術層面減輕操作員的工作量，適應運行組織機構設置的需要，提高了運行的安全性。

1.5 調節閥控制問題

由于工藝設計參數偏差，實際運行時，部分調節閥門的流量特性不是線性和等百分比特性，造成調節閥不在工作區域，開度過小，接近在關限位工作。在關限位狀態，調節閥受自動命令執行開動作，由于關限位信號抖動，產生“狀態偏差”，導致退出“自動位”，影響調節器的正常投入。

通過邏輯判斷，在關限位附近，利用關限位信號切換調節器偏差上限值，強制將調節器（PID）模塊經驅動控制模件（DCM）的短脈沖輸出變為長脈沖輸出，通過連續開命令，解決了關限位附近因脈沖信號造成的信號抖動問題。

2 T-XS調試出現的問題和處理

2.1 ESFAS定期試驗時穩壓器安全閥的電動先導閥動作

ESFAS定期試驗時，穩壓器安全閥的電動先導閥被試驗信號微開啟，從而使穩壓器安全閥主閥處于全開狀態，導致一回路降壓的事件。起因為：控制系統內實施的先導閥輸出控制指令增加1s延遲的邏輯塊，與T-XS系統內部原有ESFAS定期試驗信號的時序不匹配，從而導致ESFAS定期試驗的指令誤輸出約1s。主要原因是：優先模件（AV42）[2]固化軟件的設計存在缺陷，同時技術人員對AV42模件的性能不甚了解，以及調試階段的功能驗證不充分等造成的。在德方完善和升級模件內的固化軟件后，經驗證徹底解決了該問題。

2.2 AV42模件抗電磁干擾問題

核電站安全系統的執行單元（安全級的泵、風機、閥門以及電動機等設備）通過1E級的AV42模件控制。設備的反饋信號、驅動信號的電源由模件供電，模件自身設置了3.2V閾值的超壓保護功能，去切斷對信號的供電。當操作員啟動380V以上電壓等級的設備時，和該設備相鄰的由AV42驅動的開關柜控制回路就會受到強電磁干擾，瞬間峰值電壓達4V，觸發AV42模件的電源超壓保護功能，OT畫面產生誤報警信號，干擾了運行操作員的監視和判斷，這種小概率事件的疊加可能引起保護系統的誤觸發，造成不必要的安全事件。

鑒于此，必須改變AV42模件反饋信號供電方式的方案，由模件本身供電改為由機柜供電，機柜的電源容量大，抗干擾能力強，瞬間的干擾電壓不會疊加到模件控制回路。最終解決了此類問題。

2.3 大氣釋放閥控制方式優化

電站大氣釋放閥由T-XS系統AV42模件驅動，T-XP系統進行邏輯運算。根據國家標準要求，對原設計進行改進，在控制室后備盤（Backup Panel）上增加大氣釋放閥的優先控制按鈕。當按鈕置“1”時，屏蔽T-XP系統的控制命令，僅T-XS系統和后備盤手操器的控制和保護指令有效。

2.4 ESFAS功能CD12和CD13優化

給水隔離CD12（受影響的SG隔離）和蒸汽發生器傳熱管破裂（SGTR）工況下，蒸汽發生器隔離CD13（SGTR情況下的SG隔離）所需的執行機構，原設計采用一個安全儀控通道控制一個工藝序列執行機構。假若喪失一個安全儀控通道，且同時發生要求實施隔離的事故工況時，原設計將不滿足單一故障準則，不能保證對應工藝序列的可靠隔離。

通過修改閥門的控制和動力電源通道，滿足了單一故障準則，在事故工況下確保了對應工藝序列的可靠隔離。

2.5 后備盤手操器操作方式優化

調試時發現，后備盤的手操器為點動方式，不帶自保持功能，必須一直按住開關按鈕直至閥門開到位或關到位，否則閥門將只停在中間位，該控制方式無法保證在事故工況下操縱員操作手操器的時間響應要求。

將后備盤手操器原控制方式改為帶自保持的點觸發控制方式，只需點按開/關按鈕，開/關命令一直保持至開/關反饋信號返回，大大縮短了操縱員的事故處理時間。

2.6 ATWS的多樣性問題

按照10CFR50.62[3]的要求，ATWS（未能緊急停堆的瞬態響應）的控制系統設計應與保護系統采用不同的設備。按照田灣核電站的最初設計，在ATWS發生時，通過T-XS系統觸發保護功能向反應堆注入濃硼以使反應堆降到次臨界，該設計只考慮了保護系統停堆斷路器部分（包括機械部分）的故障，而沒有考慮保護系統測量和邏輯部分的軟件故障，因此無法解決T-XS系統本身軟件的失效問題。NNSA認為ATWS設計的獨立性不夠，不完全滿足多樣性的要求。因此，T-XP系統內增加BE25功能，即ATWS（觸發信號為一回路高溫高壓）發生時，通過T-XP系統聯鎖向蒸汽發生器注入輔助給水的方式來緩解事故后果。

3 動態試驗出現的問題及處理

3.1 二號低加液位波動問題

基于差壓式的液位測量方式在壓力急劇變化（負荷擾動）時出現閃蒸現象，導致虛假液位，同時儀表脈沖管線有氣體而導致測量長時間不準確。

針對液位測量問題，進行了液位計的改造。將二號低加上腔室的3個液位計由先前的差壓式液位計換成毛細管液位計，從而能在瞬態下克服由于閃蒸導致的虛假測量液位。對二號低加下腔室2個液位計的平衡罐進行不間斷補水，并在補水管線上安裝手動調節閥，及時調節補水流量，以防止由于閃蒸引起的儀表測量不準確。

此外，再循環閥動作對液位測量的擾動問題，優化了控制邏輯，將調節器前饋信號用再循環閥開、關命令替代再循環閥開、關反饋，即在閥門開始開、關動作瞬間，就使二號低加液位調節閥動作，減少再循環閥動作引起的二號低加液位的波動。

3.2 汽水失配問題

汽水失配的實質是從反應堆產生并傳遞到蒸汽發生器的能量與二回路給水能夠帶走的能量之間的失配。為了維持蒸汽發生器的液位和保證反應堆的安全，通過汽水失配邏輯觸發I類預保護（PP1）和快速預保護（APP）動作，通過降低反應堆的功率來維持一回路熱井，避免更嚴重事故發生。

汽水失配算法主要有以下3個功能：

1）根據給水流量計算出反應堆功率上限值，該限值作為反應堆功率調節器的最大功率定值，限制反應堆功率的提升。

2）當汽水失配值達到一定值時，通過大汽水失配和小汽水失配算法，觸發1類預保護動作，以1步/s的速度順序下插控制棒，降低反應堆功率，并在必要啟動輔助給水泵和打開輔助給水調節閥，維持蒸汽發生器的液位。

3）當汽水失配值很大時，觸發快速預保護動作，將第2組控制棒中價值最大的6束控制棒斷電，讓控制棒掉入堆芯，快速降低反應堆的功率。

4 旁排調試出現的問題和處理

4.1 旁排閥關閉速度較慢導致一回路過冷

主控室誤停堆試驗，按計劃進行反應堆手動停堆試驗后，發生了一號蒸汽發生器給水流量與其他蒸汽發生器給水流量偏差大于42kg/s，且穩壓器液位下降到低于定值1m，觸發了一號蒸汽發生器的SGTR保護事件。

后經分析導致一回路冷卻過快的原因為從旁排開啟48秒后至關閉這段時間內，汽機旁排壓力定值需經過45s（按現有設計參數）才由最低點2.63MPa恢復至6.27MPa，此期間主蒸汽母管壓力從6.43MPa下降到5.36MPa，一回路平均溫度由302℃下降至273℃，一回路冷卻劑體積收縮過快，導致穩壓器的液位低于定值1m。

經過將壓力定值回升時間由45S修改為16S和修改了穩壓器液位定值的曲線后，試驗成功。

4.2 回路冷卻速率不一致

調試期間，在機組冷卻工況下，由于四組旁排閥各閥體油路管道的差異和電液轉換器本身的輸出精度差等原因，導致一回路的冷卻速率很容易超過30℃/h。

修改旁排控制邏輯：冷卻方式下，當前面一組旁排閥的開度大于49.5%后，才允許打開下一組旁排閥，防止過早投入第三組和第四組。

5 結束語

田灣核電站儀控專業采用從設計、采購、監造、安裝、調試以及運行維護一條龍的管理模式，每個建設階段無縫銜接，當出現問題時能夠很快找到解決方案。田灣核電站數字化儀控系統的成功運行，使核電站的控制水平更上一層樓，為兄弟電站的數字化控制提供了寶貴的經驗。

[1]德國SIEMENS V7.5-2003.02.27 T-XP手冊[S].

[2]德國AREVA T-XS User Manual for V3.0 and higher for LINUX Feb.28 2003 T-XS手冊[S].

[3]NRC(美國核管會)美國聯邦法規10CFR50動力堆監管導則,ATWS法則[S].