PMS設備誤觸發風險控制分析

付智琦

（三門核電有限公司 維修處，浙江 三門 317112）

0 引言

三門核電站的保護和安全監測系統（PMS）基于全數字化的Common Q 平臺進行搭建。在PMS 響應時間測試階段，考慮PMS 系統調試滯后而相關工藝或儀控系統已處于運行狀態，同時PMS 響應時間產生的設備觸發信號非常多且這些信號會通過硬軟件傳入其它相關接口系統，目前西屋對試驗產生的設備觸發控制考慮非常少，對調試期間人員、設備安全提出了挑戰。

1 響應時間測試方法分析

1.1 PMS結構特點分析

PMS 系統布置4 個序列，每個序列采取相同的硬件配置，機架之間的功能相對獨立，這為分段開展響應時間測試打下了基礎。在功能上，現場傳感器的輸入信號，經過雙穩態表決后，通過HSL（高速數據鏈）輸出至本序列和其他冗余序列進行表決后，將產生停堆信號和專設安全設施觸發信號。

結合PMS 的結構及功能，需要考慮試驗風險，以避免設備的誤觸發造成人員和設備的傷害、損害。

1.2 響應時間調試方法分析

1.2.1 調試策略

響應時間測試采用分段交疊的測試方法進行[1]，其驗證目的是保證測試結果在安全分析報告以及系統設計規范所給出的限值之內。測試分成現場儀表、系統機架、控制設備3 段進行，本文主要針對系統機架響應時間進行分析。

1.2.2 實施方案

在PMS 響應時間調試時，主要分為以下幾個步驟進行：

1）初始狀態建立

在PMS 響應時間調試時，首先將PMS 系統上下游儀表、設備信號斷開，改用測試小車（SIOS）與PMS 機柜連接，建立試驗初始條件。

2）通道響應時間測量

模擬本通道信號觸發到CIM 發出指令的時間。

2 設備誤觸發控制分析

考慮PMS 系統響應時間測試時會導致4 個序列同時產生觸發信號且PMS 的接口儀控系統比較多，這會導致大量設備動作信號，這些觸發信號必須加以有效分析并制定控制措施。

2.1 PMS設備觸發風險分析

2.1.1 信號丟失

PMS 響應時間調試時使用SIOS 模擬進入PMS 系統的信號，同時需要使用數據記錄儀記錄專設通道響應時間，需要斷開傳感器與雙穩態邏輯處理機柜以及設備接口模塊與PMS 控制的設備之間的連接，從而導致PMS 系統失去傳感器指令信號，PMS 控制設備失去PMS 系統指令信號。

1）傳感器信號丟失

問題分析：

PMS 系統通過相應的模擬量輸入卡件接收現場的變送器輸入號[1]，當斷開變送器與PMS 機柜連接時，電壓及脈沖信號不會產生停堆信號，但會達到低設定值而導致專設信號的觸發，而電流和電阻信號的斷開會產生壞點，這兩種信號均會導致該序列產生一個局部停堆信號，這時若另外一個序列同一AI688 通道也有壞點或局部停堆信號時，這兩個停堆信號經過4 取2 邏輯表決后產生停堆信號。

控制措施：

考慮在初始條件中已將所有的停堆斷路器會被打開，同時CIM 會打到LOCAL 位置，此時只需要在SIOS 連接PMS 系統并模擬正常的電廠值后，通過主控室復位連接過程中產生的停堆和專設閉鎖信號即可。

2）設備指令信號丟失

問題分析：

試驗時需斷開CIM 指令與現場設備的連接，并將數據記錄儀接入CIM 指令輸出端，這時PMS 控制設備會由于指令丟失而誤觸發。

氣動閥的電磁閥失去PMS 指令時，電磁閥失電導致氣源管線中的氣體向大氣排放，使得氣動閥向安全方向動作。

斷路器通過控制電源去驅動或停止最終設備的運行。當保護系統觸發安全功能時，CIM 為并聯跳閘線圈（得電動作）提供電源使得斷路器跳閘。

電動閥正常運行時CIM 無指令輸出至電動閥，失去CIM 指令后，電動閥不會動作。

爆破閥需要不同機柜中的兩個CIM 進行觸發才能驅動，（其中第一個CIM 輸出信號用于爆破閥充電回路的控制，另一個CIM 用于爆破閥點火回路的觸發，且必須先完成充電并在規定的時間內觸發點火才能驅動爆破閥）[2]，因此不會導致爆破閥的誤動作。

控制措施：

對氣動閥分兩種情況考慮，當相應的閥門有手動旋鈕操作時，可使用手動旋鈕將閥門鎖死，沒有手動旋鈕時需要對相應的設備上游/下游閥門進行隔離，待PMS 試驗結束后再恢復接線及上/下游閥門位置。

2.1.2 CIM誤觸發

在專設響應時間測量結束后，當現場傳感器恢復到正常狀態時，對于電動閥來說則必須接收到電動閥的力矩開關反饋信號才能消除CIM 的輸出指令，這會產生以下兩點影響：

1）響應時間無法測量。在本通道中CIM 的輸出指令不被消除，那么在其它通道的響應時間測量時，由于CIM設備已存在觸發指令，導致響應時間無法測量。

2）觸發其它設備。在響應時間測量試驗完成后或配合工藝系統調試，需要將CIM 與現場設備連接，在連接的過程中由于存在CIM 輸出控制指令會導致現場設備的誤觸發。

控制措施：

現場恢復正常時，PMS 系統上層觸發指令已消除，但CIM 上的指令由于RS 觸發器自保持功能而一直存在，此時需要撥動CIM 模塊上的STOP 按鈕，消除觸發指令后再將CIM 置于需求位置。

2.2 接口儀控系統設備誤觸發

對于PLS 系統而言，PMS 響應時間調試期間所產生的信號會通過以下兩種接口傳入PLS 系統中，導致相關系統設備觸發。

2.2.1 共享傳感器信號

PMS 接收現場1E 級傳感器信號并將這些信號通過TU共享、隔離器傳輸給PLS 系統。

控制措施：

從PMS 側和PLS 側各有一種方法進行控制。

方法一：從PMS TU 側斷開這些信號與PLS 側連接。斷開后PLS 側將收到0 mA 信號，這些信號在PLS 側會被標記為壞點信號。PLS 側會忽略接收到的1 個或2 個壞點信號，不影響PLS 的自動控制功能，但對于3 個以上的壞點產生時，受此信號控制的設備會自動切換成手動模式，不會導致設備的誤觸發。

方法二：在PLS 側通過軟件強制的方式來強制這些點信號輸出。

兩種方法相比較而言，從PLS 側強制正常信號后，PMS 側信號狀態無論怎樣改變均不影響PLS 側信號的變化，而從PMS 側斷開信號后則可能會導致設備切手動的情況出現，因此本著對系統影響最小的角度出發，優先考慮從PLS 側軟件強制。

圖1 消除設備誤觸發流程圖Fig.1 Flow chart of eliminating false triggering of equipment

2.2.2 集成通信處理器（ICP）傳輸

在PMS 系統中的維修和測試機柜ICP 中，經PMS 系統處理產生的信號會經過ICP 中輸出模塊傳入相應的PLS 系統中參與設備控制。

控制措施：

設備誤觸發從PMS 和PLS 側都可以加以控制，對PMS而言AO650 輸出為4mA ～20mA 信號，當斷開TU 與PLS側連接時，PLS 側模擬量接收卡件會將此信號標記為壞點并忽略，DO620 輸出0V ～10V 電壓信號，在正常情況下DO620 輸出到PLS 信號為0，因此斷開DO620 輸出0 指令不會對PLS 側造成影響。在PLS 側只需要找出相應的點加以強制就可以。

2.2.3 DDS側設備觸發

不同的模擬傳感器輸入信號經PMS A/D 轉換計算后，以及PMS 系統狀態信號要求在其它子系統中報警、顯示并參與控制。數據顯示和處理系統（DDS）通過電廠實時數據網實現不同的儀控子系統之間的數據共享。實時數據網根據需要將PMS 數據發送至其它子系統，盡可能減少非1E級設備與PMS 機柜之間不必要的連接。

DDS 通過安全級儀控系統的維修與測試機柜（MTC）上的網關接口接收來自PMS 的信號。每個序列的MTP 配置一個內置光纖發送器（FOT）的節點盒將數據發送至DDS。DDS 機柜內的服務器將數據轉換后，通過DDS 實時數據網絡傳入其它系統。

控制措施：

對于PMS 經AOI 模塊傳入DDS/PLS 的計算機點控制信號（62 個PXS、RNS、SGS 等設備控制信號），需要進行有效的控制、隔離以防止PLS 設備的誤觸發。目前主要有兩種方案進行控制：

方案一：解線。斷開PMS 與DDS 之間的4 根光纖連接線。

方案二：強制計算機點的值。在OVATION 工程師站利用軟件強制閉鎖計算機控制點。

采用方案二雖然不如方案一直接，但不會導致報警丟失及設備的誤觸發，因此采用方案二控制計算機控制點對PLS 設備的影響。

綜上所述，在PMS 響應時間測試階段，PMS 系統內部主要采用手動復位、就地隔離的方式來消除設備誤觸發，而對于PMS 傳輸到其它儀控間的信號采取軟件強制的方法比從PMS 側解線，從設備影響的最小化來說更加合適。

3 消除設備誤觸發流程

通過對PMS 響應時間測試過程中的設備誤觸發進行分析，建立以下的流程以消除設備的誤觸發如圖1 所示，PMS 響應時間測試設備誤觸發主要是對儀控間系統以及現場工藝設備采取與外部隔離內部強制的方式加以消除，需要指出的是在消除設備誤觸發時需要遵循由外往內，從上至下的順序執行，即先對PMS 與PLS、DDS、工藝系統等設備進行隔離，這樣做的目的是防止在執行停堆斷路器打開、CIM 與現場設備斷開時所產生的觸發信號傳入其它系統，造成設備的誤觸發，后考慮PMS 系統內部邏輯及CIM模塊均存在閉鎖邏輯，同時先從上層消除設備觸發信號，能有效地消除觸發信號。

4 小結

三門1 號機組作為全球首臺AP1000 機組，在電站的安裝、調試、運行等方面還需要不斷探索，并為后續機組提供良好的經驗反饋。本文通過現階段PMS 響應時間測試方法的分析，指出了測試過程中的設備觸發風險并給出了控制方式，消除了設備觸發風險，對機組的后續定期試驗以及維修試驗方法的確定也具有借鑒意義。