核電廠DCS系統(tǒng)質(zhì)量位應用與設計改進

傅俊嫻

（中核武漢核電運行技術股份有限公司 浙江分公司，浙江 海鹽 314300）

核電廠儀表和控制系統(tǒng)為核電廠工藝系統(tǒng)和設備提供各類控制、保護手段及監(jiān)測信息，以保障核電廠能安全、可靠和經(jīng)濟性運行。儀控系統(tǒng)的安全可靠性是影響核電廠的安全、可靠、經(jīng)濟運行的關鍵因素[1]。

依據(jù)IAEA文件：儀表的整定值被歸為保護系統(tǒng)的一部分，應滿足保護系統(tǒng)的要求，及故障安全準則。為了實現(xiàn)整定值的故障安全，引入了儀表質(zhì)量位的概念，即在儀表故障時，質(zhì)量位信號的變化能夠?qū)崿F(xiàn)儀表相應整定值的功能[2]。

1 質(zhì)量位在DCS系統(tǒng)中的應用

DCS的設計中引入了一個信號質(zhì)量位的概念，即通過確定的技術手段，甄別出某個儀表信號的好壞程度，并設置一個或一組開關量標志位表征該信號的有效或失效狀態(tài)，這一個或一組標志位統(tǒng)稱為該信號的質(zhì)量位。數(shù)字化儀控系統(tǒng)的普遍應用，為儀表信號設置質(zhì)量位提供了便利的技術手段。為滿足故障安全準則法規(guī)要求，質(zhì)量位信號應用于核電安全重要系統(tǒng)保護邏輯中，大大降低了系統(tǒng)拒動概率。為實現(xiàn)“故障信號剔除”“邏輯退防”“故障實時報警”等功能，質(zhì)量位信號在數(shù)字化儀控系統(tǒng)中大量引入。同時，由于對“安全重要”的認識差異，或保守考慮，或慣性思維，導致質(zhì)量位在無故障安全要求的非安全級設備的保護邏輯中也被使用，無意中大大增加了系統(tǒng)誤動概率，而對系統(tǒng)拒動概率的降低無顯著貢獻。

圖1 VVP013MP剔除邏輯示意圖Fig.1 VVP013MP Elimination logic diagram

1.1 質(zhì)量位在非安全級DCS系統(tǒng)中的應用

在核電廠非安全級DCS系統(tǒng)中，為了使DCS系統(tǒng)調(diào)節(jié)性能穩(wěn)定，在儀表信號的輸入模塊中引入了質(zhì)量位的設計。以穩(wěn)壓器壓力調(diào)節(jié)為例，闡述質(zhì)量位在非安全級DCS系統(tǒng)中的功能。穩(wěn)壓器壓力由壓力變送器RCP013MP、014MP和015MP測量。來自壓力變送器的測量信號經(jīng)選擇模塊VT402取平均值送往PID控制器中，然后輸出信號送到4個函數(shù)發(fā)生器。以RCP013MP為例，在VT402模塊中計算穩(wěn)壓器平均壓力時，RCP013MP在3種情況下會被剔除計算（如圖1所示）：1）RCP013MP與RCP015MP 且RCP013MP與RCP014MP同時偏差大；2）RCP013MP切到手動；3）RCP013MP信號質(zhì)量位壞（BODE）。

DCS模擬量輸入模塊AIN中時，設定了輸入信號上下限的報警，為量程范圍的±5%，即DCS的壓力變送器輸出信號有效范圍為3.2mA～20.8mA。若在實際運行中發(fā)生了某變送器故障，DCS系統(tǒng)根據(jù)輸入信號可以判斷變送器故障，從而在計算模塊中剔除該變送器參與計算，防止了程序計算結果大幅變化，確保調(diào)節(jié)系統(tǒng)穩(wěn)定。

1.2 質(zhì)量位在非安全系統(tǒng)中的錯誤應用

2016年6月24日某核電2號機組在30%FP的時候出現(xiàn)了跳堆事件，事件原因為：中間量程功率大于30%FP信號疊加SG給水流量低信號，觸發(fā)ATWT導致保護系統(tǒng)動作停堆。事件原因是DCS保護邏輯中錯誤地將SG流量超過15%FP流量設置為質(zhì)量位（高限），當汽輪機功率大于15%FP時SG給水流量超過高限產(chǎn)生質(zhì)量位失效的信號，保護邏輯自動判斷為壞點；當兩臺SG給水流量均為壞點后，觸發(fā)SG給水流量低信號導致停堆。因為該流量計為窄量程流量計，在實際運行中，機組達到高功率狀態(tài)時，給水流量會超過窄量程流量計的上限，屬于正?，F(xiàn)場，無需設計質(zhì)量位（高限）。因此，在后續(xù)整改中，將質(zhì)量位（高限）取消。

表1 保護系統(tǒng)邏輯退防的設計Table 1 Design of logic fallback for protection system

1.3 質(zhì)量位在保護系統(tǒng)中的應用

在核電廠保護系統(tǒng)中，質(zhì)量位信號被用于大量“邏輯退防”。保護系統(tǒng)的邏輯退防的設計如表1所示。

在此以穩(wěn)壓器液位高3與P7符合觸發(fā)停堆信號為例說明。

圖2 穩(wěn)壓器壓力高3與P7符合停堆邏輯示意圖Fig.2 Voltage regulator pressure height 3 and P7 in line with the stop-heap logic diagram

穩(wěn)壓器液位傳感器通過硬接線將4 mA～20mA液位信號傳給TRICON的模擬量輸入卡，跟設定值比較，高于定值則判斷穩(wěn)壓器液位高3。

為了避免現(xiàn)場傳感器故障或工藝管線波動導致測量的穩(wěn)壓器液位錯誤，使保護信號誤觸發(fā)，在保護邏輯中加入了質(zhì)量位，用于判斷穩(wěn)壓器液位即傳感器是否有效，無效則邏輯退防。

質(zhì)量位和穩(wěn)壓器液位高3做三取二表決如圖2所示。表決邏由輯RCP011MN、RCP008MN、RCP007MN 3塊儀表組成：當3塊儀表質(zhì)量位都是有效的時候，停堆信號由3取2表決結果與P7符合產(chǎn)生；當其中1塊儀表質(zhì)量位無效時，停堆信號由其他2塊儀表進行2取1表決的結果與P7符合產(chǎn)生；當其中任意2塊表質(zhì)量位無效時，表決結果與P7符合直接觸發(fā)停堆信號。

保護系統(tǒng)中所有的模擬量輸入信號都加入了質(zhì)量位判斷，消除了儀表產(chǎn)生故障，表決邏輯無法觸發(fā)帶來的風險，避免系統(tǒng)拒動，提升了DCS的安全性。

因為保護系統(tǒng)引入質(zhì)量位的設計，發(fā)生過多次因質(zhì)量位閾值設置不合理導致的停堆事件。如2019年1月28日，某核電廠1號機組按103大修計劃進行打閘停機，9s后蒸汽發(fā)生器水位低信號觸發(fā)（低于-0.96m）；39s后主蒸汽旁排閥1GCT121VV在7%開度位置0.4s內(nèi)突開至62%，主蒸汽流量大幅波動，主蒸汽流量計均觸發(fā)了質(zhì)量位，導致蒸汽發(fā)生器汽/水失配信號觸發(fā)；蒸汽發(fā)生器水位低與蒸汽發(fā)生器汽/水失配信號（主蒸汽流量質(zhì)量位信號）邏輯符合，觸發(fā)停堆。

2 質(zhì)量位在DCS系統(tǒng)中的設計改進

1）在保護系統(tǒng)初始設計中，質(zhì)量位信號會參與停堆邏輯動作，卻不會產(chǎn)生對應報警。因此，提出改進措施，在每個保護組中的所有保護參數(shù)的質(zhì)量位信號做“或”運算后產(chǎn)生一個總報警，代表本通道存在質(zhì)量位無效的信號。4個通道的質(zhì)量位無效報警分別為：RPR760KA、RPR770KA、RPR780KA和RPR790KA。在保護組產(chǎn)生質(zhì)量位無效報警后，能夠及時響應，消除表決邏輯降級帶來的風險，確保機組穩(wěn)定運行。

2）在某電廠104大修中，執(zhí)行變更，將保護系統(tǒng)VVP001-006MD質(zhì)量位下限定值由5%調(diào)整至12.5%[3]，即下限判斷閾值從3.2mA調(diào)整至2mA。質(zhì)量位上限定值保持原值5%不變。這樣的改進，既避免了機組在打閘過程中因為管線蒸汽流量的波動產(chǎn)生質(zhì)量位無效信號而誤觸發(fā)停堆的情況，還能夠有效檢測出儀表電子元器件故障、信號回路斷路等無效狀態(tài)，提示參數(shù)的有效性。

3 總結

DCS系統(tǒng)的引入，對機組的可靠性與安全性帶來巨大的提升。DCS質(zhì)量位的設置，既能提高調(diào)節(jié)系統(tǒng)的穩(wěn)定性，又能降低安全系統(tǒng)的拒動概率。但是在實際設計中，需要認真考慮質(zhì)量位信號設置的合理性，需要根據(jù)實際工況進行具體分析，避免信號質(zhì)量位的設計過于保守和大膽，在保證安全性的前提下，提高機組的經(jīng)濟性。