SPPA-T2000系統AP離線分析及風險處理方案

蘇 正，文登宇，張啟飛，馮 明

（臺山核電合營有限公司，廣東 江門 529228）

0 引言

核電作為清潔能源，其基本特性決定了在應對能源挑戰中有能力發揮無可替代的重要作用，我國在現階段發展核電是調整能源布局的有效途徑。中國核電已形成規模化、批量化發展格局。二代改進型壓水堆核電站隨著技術的發展和運行經驗的反饋，逐步引入新的成熟技術，使核電站的安全性得到進一步的提高[1]。目前，核電站已進入第三代，對安全性提出了更高的要求，以往的控制部分大多采用硬接線模擬量控制，已經不能滿足因工程原則、人類工程學原則，DCS 系統（分散控制系統）都具有模擬量控制系統無法比擬的優越性[2]。核電站DCS 系統負責控制并監測整個電廠生產的全過程[3]，臺山核電站采用目前國際最先進的第三代核電EPR 技術，采用了最先進的DCS 系統，完全集成了DCS 系統高可靠性、開放性、靈活性、易于維護和協調性控制功能齊全等優點[4]。

臺山DCS 系統由非安全級的SPPA-T2000 系統（以下簡稱T2000）和安全級TXS 系統組成[5]。該系統已經過核級認證，是核電站DCS 領域最穩定、可靠的系統之一[6]。T2000系統Level 1 的核心處理單元是AP（Automation Processor），內部運行著核電站機組啟、停以及正常運行等工況的邏輯算法，是核電站的神經中樞。基于AP 的核心作用，若AP出現故障，嚴重則會造成受該AP 控制的所有設備均退出運行，進而造成機組負荷下降或機組停機、停堆等情況。因此，AP 典型故障案例分析和處理方案對機組聯調及后續商運有著非常重要的參考價值和經濟效益。

圖1 臺山DCS系統組成Fig.1 Taishan DCS system composition

本文首先對T2000 系統進行簡要概述，接著闡述AP的基本結構、功能組成及故障類型說明，然后以AP 典型案例—AP 離線下裝進行故障分析和給出方案處理，最后進行總結，指出可能造成AP 離線下裝的原因并提出相應的預防措施。

1 T2000系統概述

臺山DCS 系統由非安全級的SPPA-T2000 系統和安全級TXS 系統組成。T2000 系統分為兩個層級，分別是Level 1 自動控制層和Level 2 人機界面層[7,8]（見圖1）。

1.1 Level 1自動控制層主要功能

1）接收現場就地傳感器的采集信號和執行器的反饋信號。

2）接收Level 2 操縱員發送的操作指令。

3）周期自動運算處理，實現電廠正常運行所需的邏輯功能（核心功能）。

1.2 Level 2人機界面層主要功能

1）接收從Level 1 的采集信號，并進行信號的顯示。

2）向Level 1 發送由操縱員在人機界面發出的操作指令。

Level 1 主要由兩大部分組成：I/O 卡件、冗余AP 單元。其中，圖2 為Level 1 自動控制層組成，圖3 為Level 1 T2000 機柜組成。AP 是整個Level 1 的核心處理單元，內部運行著核電站機組啟、停及正常運行等工況的邏輯算法。一方面，AP 周期自動采集來自機柜I/O 卡件（采集卡件和控制卡件）的輸入信號和反饋信號，然后進行預設邏輯的運算處理，其運算結果送至Level 2 人機界面層進行顯示；另一方面，AP 接收來自Level 2 人機界面層的指令，然后自動進行預設邏輯的運算處理，其運行結果送至Level 0 去控制現場執行器的動作[9]。

圖2 Level 1自動控制層組成Fig.2 Level 1 automatic control layer composition

圖3 Level 1 T2000機柜組成Fig.3 Level 1 T2000 cabinet composition

2 AP的構成及故障分類說明

2.1 AP的結構及功能

SPPA-T2000 機柜的AP 層由兩個冗余的AP 單元組成，分別是AP-A 和AP-B，如圖4。

單個AP 單元由以下設備組成如圖5，分別是：

1）電源模塊：給對應AP 單元的CPU 模塊和通訊模塊提供穩定供電電源。

2）CPU 模塊：AP 單元的運算處理模塊，處理下裝到CPU 單元中的預設邏輯。

圖4 SPPA-T2000機柜的冗余AP組成Fig.4 Composition of redundant APs in SPPA-T2000 cabinet

3）通訊模塊：AP 單元與其它AP 單元或Level 2 進行數據交換的通訊單元。

2.2 AP故障的分類及說明

AP 故障一般分為3 類：AP 硬件故障、AP 固件及應用軟件故障、AP 邏輯組態故障，如圖6。

2.2.1 AP硬件故障

AP 硬件故障包括：電源模塊故障、CPU 模塊故障、通訊卡件模塊故障。從臺山項目現階段來看，這3 類硬件故障率并不高，且由于AP 層本身是由冗余AP 單元組成，AP單個硬件故障后，另一冗余AP 對應的設備仍然可以維持正常工作，故單一設備硬件故障不影響AP 整體的正常運行。該類設備硬件故障一般采取的措施是領取新的備件進行更換。

2.2.2 AP固件及應用軟件故障

圖7 AP邏輯組態故障分類Fig.7 AP Logical configuration fault classification

根據信息安全規定，AP 單元所采用的固件（Firmware）以及應用軟件（Application Software）都必須在離線環境下經過嚴格測試，并且經過V&V 測試后，方可在現場使用。故現場AP 所使用的固件和應用軟件都是非常穩定和可靠的版本，一般不會出現共模故障。在這種情況下，單個AP單元中如果出現固件或應用軟件意外故障，另一個冗余的AP 單元會保持正常運行，不會造成整個機柜AP 離線，且至目前為止，臺山核電未發生過任何AP 固件及應用軟件導致AP 故障的案例。

2.2.3 AP邏輯組態故障

AP 邏輯組態故障是整個調試期間導致AP 故障最頻繁的故障類型，由于邏輯組態在冗余AP 中相同，故一旦出現AP 邏輯組態錯誤，則冗余AP 同時故障，冗余作用無法體現。AP 邏輯組態故障分為兩種情況，如圖7。

1）邏輯組態修改錯誤，導致代碼無法編譯，AP 無法下裝。

圖8 AP風險分析包絡原則Fig.8 AP Risk analysis envelope principle

這種情況不會影響AP 邏輯運算的正常運行，但邏輯組態錯誤無法下裝會導致AP 中當前采集的信號和運算邏輯結果無法通過邏輯組態工具實時查看，也就無法進行AP中邏輯信號的強制，從而阻礙調試活動開展。這種情況下必須找出邏輯組態修改的錯誤原因，進行糾正后再次進行AP 代碼編譯和下裝。

2）邏輯組態修改正確，代碼可以正常編譯，但需要AP 離線下裝。

這種情況雖然邏輯修改正常，代碼也可以正常編譯，但AP 需要離線下裝，且AP 離線下裝期間，對于邏輯量而言，原為1 的變量，其過程中會變為0；對于模擬量而言，所有有顯示的值將會變為0，底限將會被觸發，離線下裝過程約持續10 分多鐘，重啟后變量先取默認值，再取實際值。為避免信號翻轉造成設備的誤操作，需對AP 機柜內所涉及到的執行機構進行逐項風險分析，如有必要，則需進行實體設備隔離；而且還需對AP 送出的網絡信號進行逐項風險分析，如有必要，也需對受影響的實體設備進行隔離。

由于第二種情況影響大、范圍廣且時間急，在系統聯調和后續商運期間，如何在AP 需下線下裝的條件下，快速、有效地進行分析處理非常重要。因此，下文將針對這種情況進行分析和說明，并給出相應的預防措施，避免該情況的發生。

3 AP離線下裝存在的風險及控制方案

3.1 AP離線下裝存在的風險

在離線下裝的過程中會出現以下的風險：

1）對于邏輯量而言，原為1 的變量，其過程中會變為0；對于原為0 的變量，不會變化，不會產生影響。

2）對于RS 觸發器、SELECT 模塊、KG 模塊，都存在離線下裝后，自動復位輸出。

3）對于模擬量而言，所有顯示值將會變為0，底限將會被觸發。

4）離線下裝過程約持續10 分多鐘，重啟后變量先取默認值，再取實際值，下裝過程中變量的變化可能會反復幾次。

5）在下裝過程中，在AP 中進行處理的顯示點在KIC上全部無效，在該AP 中處理的報警信號可能觸發。

3.2 AP離線下裝風險分析包絡原則

清單1：AP 內涉及信號的非安全級執行器清單，包括FUM 卡件驅動的設備清單。

清單2：AP 內涉及信號的安全級執行器清單，包括AV42E 卡件驅動的設備清單。

清單3：AP 內涉及信號的網絡信號清單，包括通過網絡送出網絡信號的設備清單。

清單4：AP 內涉及信號的硬接線信號清單，包括通過機柜送出硬接線信號的設備清單。

清單5：AP 內涉及信號的CG 信號清單，包括AP 送至PICS 的CG/GC 成組設備帶記憶特點設備清單。

清單6：AP 內涉及信號的RG 信號清單，包括AP 送至PICS 的RG 設定值帶記憶特點設備清單。

清單7：AP 內涉及信號的RS 觸發器信號清單，包括AP 內RSR/RSS 帶記憶特點設備清單。

3.3 AP離線下裝風險控制方案

針對風險分析包絡的每個清單，采取的風險控制方案如下：

1）對于AP 內涉及信號的非安全級執行器清單：如存在信號翻轉風險則在FUM 卡件的下游進行指令線解線或由運行責任部門執行設備停運拉電隔離。

2）對于AP 內涉及信號的安全級執行器清單：如存在信號翻轉風險，則在AV42E 卡件側退卡，下游進行指令線解線或由運行責任部門執行設備停運拉電隔離。

3）對于AP 送出的網絡信號清單：進行逐項風險分析，如信號存在翻轉風險，則在下游AP 進行信號強制。

4）對于AP 送出的硬接線AO/BO 信號清單：進行逐項風險分析，如信號翻轉風險，則進行接線或在下游AP 進行信號強制。

5）對于AP 內涉及信號的CG 信號清單：在進行AP離線下裝前，當班運行人員記錄離線前CG/GC 的初始選擇狀態，AP 離線下裝完成后，運行人員根據機組當前運行狀態以及AP 離線下裝前記錄的選擇狀態，綜合判斷是否需要恢復初始狀態選擇。

6）對于AP 內涉及信號的RG 信號清單：在進行AP離線下裝前，當班運行人員記錄離線前RG 的初始選擇狀態，AP 離線下裝完成后，運行人員根據機組當前運行狀態以及AP 離線下裝前記錄的狀態，綜合判斷是否需要恢復初始狀態設置值。

7）于AP 內涉及信號的RS 觸發器信號清單：在進行AP 離線下裝前，儀控人員記錄離線前RG 的初始選擇狀態，AP 離線下裝完成后，儀控人員根據機組當前運行狀態以及AP 離線下裝前記錄的狀態，綜合判斷是否需要恢復初始的觸發狀態。

另外，由于AP 離線下裝期間，涉及到部分設備的停運或自動功能不可用，可能存在OTS（運行技術規范要求）要求，需要安工（核電站安全工程師）進行獨立審核，并執行緩解措施，如受影響列設備切換至備用列運行，主控控制切換至就地控制等。

4 AP離線下裝的原因分析及預防措施

4.1 AP離線下裝的原因分析

通過工程實踐以及與SIEMENS 澄清，AP 離線下裝的原因可分為兩類：

1）與AP CPU 在線運行邏輯沖突，下裝將導致設備非預期動作

AP 功能模塊的運算周期從無周期時間要求改為周期運算，或AP 功能模塊從周期運算改為無周期時間要求。將導致無法在線下裝，只能離線下裝。

AP 多個功能模塊打包（Package）在一個運算周期執行，只改變該包中一部分功能塊的運算周期，另一部分運行周期保持不變。將導致無法在線下裝，只能離線下裝。

AP 功能模塊的軟件運算周期和硬件運算周期不一致，改為軟硬件運算周期一致。將導致無法在線下裝，只能離線下裝。

AP 功能模塊的軟件運算周期和硬件運算周期一致，改為軟硬件運算周期不一致。將導致無法在線下裝，只能離線下裝。

AP 功能包（Package）中只能最后一個模擬量功能塊，刪除掉該模擬量功能塊。將導致無法在線下裝，只能離線下裝。

AP 功能包（Package）中沒有模擬量功能塊，往該功能包中增加模擬量功能塊。將導致無法在線下裝，只能離線下裝。

AP 功能包（Package）中存儲的模擬量功能塊最大編號為127，每次往該功能包中增加模擬量模塊時，最大編號將增加1，但刪除模擬量時，最大編號保持不變。當模擬量模塊最大編號達到127，將導致無法在線下裝，只能離線下裝。

AP 硬件中增加或刪除一個或多個機架，將導致無法在線下裝，只能離線下裝。

AP 相同功能位置的FUM 卡件，進行了不同類型的更換，將導致無法在線下裝，只能離線下裝。

AP-AP 之間只有單向連接，增加相反連接。在線下裝無法生效，只能離線下裝。

2）AP 資源池正向使用耗盡

AP-AP 之間的最大連接數為32 條，超過該連接數將無法在線下裝，需刪除部分原有AP-AP 連接后增加新AP-AP 連接，然后再進行離線下裝。

AP 的數據塊資源池（Resource Pool of Data blocks）最大為152，數量超過152。只能清空AP 后再次編譯，并進行離線下裝。

AP 的時間資源塊FB timers（750）、Step timers（230），時間塊資源使用數超過任一個的最大值。只能清空AP 后再次編譯，并進行離線下裝。

4.2 避免非必要AP離線下裝的預防措施

1）邏輯修改前進行規則分析：分析修改方案是否與AP 在線下裝的規則沖突，詳細見4.1 的第1）部分，如邏輯修改將導致AP 離線下裝，可反饋設計方，在不改變邏輯功能情況下，重新調整AP 資源分配，使得AP 可以在線下裝。

2）AP 編譯前后的設備代碼結構變化分析：通過搭建和現場一致的離線組態平臺，編寫腳本，抓取邏輯修改前、后AP 中設備代碼的結構，以及邏輯修改前后的AP 資源使用情況。如資源分配不合理導致AP 離線，可反饋設計方，在不改變邏輯功能情況下，重新調整AP 資源分配，使得AP 可以在線下裝。

5 結束語

在T2000 系統AP 故障的分類中，相比于其它類型的AP 故障，故障導致AP 離線下裝給核電站造成的影響大、范圍廣，處理不當容易造成設備誤動，嚴重會造成電站降功率或停機、停堆，造成重大經濟損失。本文選取對電站調試和運行過程中影響范圍最大的AP 離線下裝工作，給出了典型AP 離線下裝過程中存在的風險、風險分析原則以及處理方案。這對其它采用SPPA-T2000 技術的核電、火電等項目都具有參考和借鑒意義。