核電廠儀控設備可靠性分析—安全級DCS系統

于霖

(廣西防城港核電有限公司,廣西防城港　538000)

核電廠儀控設備可靠性分析—安全級DCS系統

于霖

(廣西防城港核電有限公司,廣西防城港538000)

近年來隨著核電行業的蓬勃發展,DCS已逐漸取代了模擬電路系統,成為了核電站的中樞神經,對于保證核電站能否安全、可靠、穩定地運行以及提高核電站的管理水平都起著至關重要的作用。分散控制系統(DCS)的快速發展使DCS 所具有的開放性、高可靠性、快速性和可操作性逐步被認可。DCS是分散控制系統(Distributed Control System)的簡稱,它是一個由過程控制級和過程監控級組成的,以通信網絡為紐帶的多級計算機系統,其基本思想是分散控制、集中操作、分級管理、配置靈活、組態方便,大大增加了電廠控制的可靠性。數字化控制系統可以通過通信網絡將分散在現場執行數據采集和控制功能的遠程控制站與控制中心的各種操作站聯接起來,共同實現分散控制、集中監控與管理。

CPR1000DCS可靠性

1　CPR1000安全級控制系統特點及可靠性

1.1模塊卡件的特性

MLETAC系統卡件是根據核電計測控制設備要求的機能、性能(實用性、可靠性、維護性)基于實際經驗，采用最新技術所開發的產品。其具備以下特點:

小型化:信號狀況采用一體化設計，削減硬件使用量。

配線合理化:與CPU的數據交換采用serial 通信方式，信號分層次集中處理，削減了機柜內的配線量。

隔離便利化:模擬量卡采用1點/塊、數字量卡采用4點/塊等，減少了維護時的隔離范圍。

卡件更換便利化:廢除了通信電纜與卡件直接連接的方式，避免了維修更換時大量的拆線、復位工作，使卡件更換便利化，減少了繁瑣的工序和人因失誤概率。

無調整化:具備在線自動智能修正功能，實現無需調整化。

自我診斷范圍擴大化:智能化在線校正功能使卡件具備輸入回路的在線診斷能力，比以往自我診斷范圍擴大。

I/O卡件冗余化:采用冗余化設計，I/O可靠性提高。

1.2控制程序的簡易化

三菱電機的MLETAC系統是以POL語言搭建起的控制邏輯，問題描述語言Problem Oriented Language (POL) 被用于三菱核電站設備控制系統MELTAC-N p lus R3中，主要用于高可靠性控制系統的開發。在整個電站控制和保護系統的開發中，POL語言具有以下優點:

適合大多數核電站控制及保護系統的菜單;

圖1　并行冗余網絡故障樹

圖2　主備冗余網絡故障樹

POL的應用在很大程度上改善了控制系統的靈活性和可擴展性;

POL通過標準化組件改善了控制系統的可靠性和可維護性;

POL優化了算法的開發;

POL具有明確的定義結構。

盡管POL語言不如FORTRAN等高級語言那樣通用，但作為可編程調節器或智能儀表的用戶語言，用于過程控制、邏輯報警、聯鎖保護等方面卻是特點鮮明:(1)軟件規模小，成本低;(2)程序設計簡單，系統研制周期縮短;(3)系統有良好的可靠性和適時控制性;(4)人機對話方便，應答性好;(5)軟件結構緊湊，內存占用少;(6)便于調試與維修，支援性好。基于上述特點，POL擁有非常強的可操作性和可視性，大大提高了問題的可追溯性和軟件的可維護性。

1.3網絡架構的可靠性

首先是冗余性考慮，為滿足單一故障原則，CPR1000項目的安全級網絡-A和安全級網絡-B都是采用雙重冗余。其中，安全級網絡-A和安全級網絡-B這兩個網絡作為彼此的“備份”，形成另一重的冗余特性。通常，冗余配置分為并行冗余與主備冗余兩種，CPR1000項目的安全級網絡采用的是并行冗余網絡。由于實現機理不同，其故障風險也不相同。通過故障樹分析法分析(如圖1、圖2)，從圖中可以看出由于主被冗余存在診斷和切換環節，從而增加了故障概率，從而降低網絡系統的可靠性，相比之下，并行冗余更可靠。

其次是對獨立性的考慮，獨立性的要求和準則包括了實體隔離和電氣隔離。實體隔離比較容易實現，電站主要是通過將通信設備放置不同房間來實現。電氣隔離主要體現為網絡通信隔離。安全級DCS系統內部網絡采用的通信介質是光纖，通過光電轉換部件實現從電信號到光信號，以及從光信號到電信號的轉換，以此保證電氣隔離(Electrical Isolation);并且只有按軟件定義好的程序，CPU才去讀取通信部件存儲區對應的數據，否則，即使通信接口部件存儲區有數據，也不可能自主寫入到CPU中去，即不會有多余的數據去影響到CPU執行其相關邏輯功能。另外，安全級網絡還設置了旁通路徑，也可稱為“鏡面反射”，即當網絡中間某設備失電的情況下依然可以保證信號的傳遞性。

同時為了保證安全級網絡與其他系統的獨立性，系統間的通信采取了單向傳遞方式，與安全級網關相關聯的有三組獨立的網關，分別完成安全級信號輸出、接受和畫面調用功能。這樣既減小了網關負荷，也不會造成信號對沖，增強了信號傳遞的穩定性。

1.4強大的系統自我診斷功能

自我診斷功能是通過與正常情況下數據處理的結果進行對比判斷其一致與否，通過判定結果來檢查系統的健全性。

安全級DCS的設備在正常運行時從單個部件到設備整體都設有自我診斷功能，成為RAS功能，此功能按照故障的嚴重程度和故障發生位置分為I/O w aning、A larm、Fail。所謂的I/O w aning是指I/O卡件無法正常輸出輸入，但控制系統依然正常;A larm是指即使發生了異常，但依然可以正常輸入輸出完成控制，控制系統也可正常運行;Fail是指驗證的故障，此時系統已經無法完成正常控制，需要自動或手動切換到其他系統上去。從輸入端到輸出端之間的各個卡件及模塊按照單位級別實施自我診斷，同時在卡件以及模塊級別上將故障發生點完成上述分類，通知并記錄故障情報。根據自我診斷功能檢測出的異常內容，將影響范圍控制在最小單位內進行切換，隔離。例如IO卡件故障以IO卡件為單位進行切換，CPU相關聯的故障就以CPU系為單位切換。

安全級DCS系統可診斷的自身故障有170余種，分別從硬件、軟件、軟硬件相結合的角度全面自我診斷，全面覆蓋了部件的各個環節，使設備的可靠性得到了保證。另外，考慮到安全保護設備在失效情況下安全性，對每個輸出模塊都進行了偏安全設定，保證在DCS失效的情況下也不會發生核安全事故。

1.5維護性的提高

與一代核電廠比較由于使用了數字化技術使維護作業量大大減少。一代電廠的信號處理計算都是由個元器件完成，在長期使用過程中難免會導致量程、滿量程等設定值的偏移，需要維修人員定期的對其校正。現在我們將原來的模擬量計算回路轉化為軟件處理，這以改進使參數不會因運行時間而發生偏移，減少了大量的作業工時。

1.6保護系統的可試驗性

設備系統可靠與否，除了其自身的可靠性設置之外還需要通過試驗來驗證，安全級DCS的保護系統具備良好的可試驗性。

安全級保護系統的可靠性通過T1、T2、T3試驗來驗證。通過這三個周期性試驗可以全面的驗證從設備的輸入到設備的輸出的正確性。T 1試驗驗證了現場信號能否準確穩定的通過I/O轉換送進DCS系統中，T2試驗通過自動裝置驗證了DCS系統中的邏輯是否正確，T3試驗驗證了經過運算處理后的數據能否送往現場設備并正常的動作。通過定期試驗使人機結合，能夠預防準確的掌握系統狀況，提高運行的穩定性。

2　結語

隨著近年來我國核電事業的高速發展，電廠的DCS控制也成為了熱點話題。本文通過對CPR1000項目安全級DCS的結構特點的介紹讓大家對DCS的可靠性有一定的了解和認識，希望在工作中能起到一定的作用。由于學識、經驗與能力所限，論述中難免有不足之處，請大家批評指正，謝謝。

[1]MELTAC-NplusR3 (CPR1000 version) POL Description,MELCO, 2011-06-08.

[2]MELTAC-NplusR3 Intelligent I/O Module Description,MELCO, 2011-06-08.

[3]陳龍.核電站安全級DCS系統網絡的基本設計準則.《自動化博覽》,201 3.1.