于霖
(广西防城港核电有限公司,广西防城港 538000)
核电厂仪控设备可靠性分析—安全级DCS系统
于霖
(广西防城港核电有限公司,广西防城港538000)
近年来随着核电行业的蓬勃发展,DCS已逐渐取代了模拟电路系统,成为了核电站的中枢神经,对于保证核电站能否安全、可靠、稳定地运行以及提高核电站的管理水平都起着至关重要的作用。分散控制系统(DCS)的快速发展使DCS 所具有的开放性、高可靠性、快速性和可操作性逐步被认可。DCS是分散控制系统(Distributed Control System)的简称,它是一个由过程控制级和过程监控级组成的,以通信网络为纽带的多级计算机系统,其基本思想是分散控制、集中操作、分级管理、配置灵活、组态方便,大大增加了电厂控制的可靠性。数字化控制系统可以通过通信网络将分散在现场执行数据采集和控制功能的远程控制站与控制中心的各种操作站联接起来,共同实现分散控制、集中监控与管理。
CPR1000DCS可靠性
1.1模块卡件的特性
MLETAC系统卡件是根据核电计测控制设备要求的机能、性能(实用性、可靠性、维护性)基于实际经验,采用最新技术所开发的产品。其具备以下特点:
小型化:信号状况采用一体化设计,削减硬件使用量。
配线合理化:与CPU的数据交换采用serial 通信方式,信号分层次集中处理,削减了机柜内的配线量。
隔离便利化:模拟量卡采用1点/块、数字量卡采用4点/块等,减少了维护时的隔离范围。
卡件更换便利化:废除了通信电缆与卡件直接连接的方式,避免了维修更换时大量的拆线、复位工作,使卡件更换便利化,减少了繁琐的工序和人因失误概率。
无调整化:具备在线自动智能修正功能,实现无需调整化。
自我诊断范围扩大化:智能化在线校正功能使卡件具备输入回路的在线诊断能力,比以往自我诊断范围扩大。
I/O卡件冗余化:采用冗余化设计,I/O可靠性提高。
1.2控制程序的简易化
三菱电机的MLETAC系统是以POL语言搭建起的控制逻辑,问题描述语言Problem Oriented Language (POL) 被用于三菱核电站设备控制系统MELTAC-N p lus R3中,主要用于高可靠性控制系统的开发。在整个电站控制和保护系统的开发中,POL语言具有以下优点:
适合大多数核电站控制及保护系统的菜单;
图1 并行冗余网络故障树
图2 主备冗余网络故障树
POL的应用在很大程度上改善了控制系统的灵活性和可扩展性;
POL通过标准化组件改善了控制系统的可靠性和可维护性;
POL优化了算法的开发;
POL具有明确的定义结构。
尽管POL语言不如FORTRAN等高级语言那样通用,但作为可编程调节器或智能仪表的用户语言,用于过程控制、逻辑报警、联锁保护等方面却是特点鲜明:(1)软件规模小,成本低;(2)程序设计简单,系统研制周期缩短;(3)系统有良好的可靠性和适时控制性;(4)人机对话方便,应答性好;(5)软件结构紧凑,内存占用少;(6)便于调试与维修,支援性好。基于上述特点,POL拥有非常强的可操作性和可视性,大大提高了问题的可追溯性和软件的可维护性。
1.3网络架构的可靠性
首先是冗余性考虑,为满足单一故障原则,CPR1000项目的安全级网络-A和安全级网络-B都是采用双重冗余。其中,安全级网络-A和安全级网络-B这两个网络作为彼此的“备份”,形成另一重的冗余特性。通常,冗余配置分为并行冗余与主备冗余两种,CPR1000项目的安全级网络采用的是并行冗余网络。由于实现机理不同,其故障风险也不相同。通过故障树分析法分析(如图1、图2),从图中可以看出由于主被冗余存在诊断和切换环节,从而增加了故障概率,从而降低网络系统的可靠性,相比之下,并行冗余更可靠。
其次是对独立性的考虑,独立性的要求和准则包括了实体隔离和电气隔离。实体隔离比较容易实现,电站主要是通过将通信设备放置不同房间来实现。电气隔离主要体现为网络通信隔离。安全级DCS系统内部网络采用的通信介质是光纤,通过光电转换部件实现从电信号到光信号,以及从光信号到电信号的转换,以此保证电气隔离(Electrical Isolation);并且只有按软件定义好的程序,CPU才去读取通信部件存储区对应的数据,否则,即使通信接口部件存储区有数据,也不可能自主写入到CPU中去,即不会有多余的数据去影响到CPU执行其相关逻辑功能。另外,安全级网络还设置了旁通路径,也可称为“镜面反射”,即当网络中间某设备失电的情况下依然可以保证信号的传递性。
同时为了保证安全级网络与其他系统的独立性,系统间的通信采取了单向传递方式,与安全级网关相关联的有三组独立的网关,分别完成安全级信号输出、接受和画面调用功能。这样既减小了网关负荷,也不会造成信号对冲,增强了信号传递的稳定性。
1.4强大的系统自我诊断功能
自我诊断功能是通过与正常情况下数据处理的结果进行对比判断其一致与否,通过判定结果来检查系统的健全性。
安全级DCS的设备在正常运行时从单个部件到设备整体都设有自我诊断功能,成为RAS功能,此功能按照故障的严重程度和故障发生位置分为I/O w aning、A larm、Fail。所谓的I/O w aning是指I/O卡件无法正常输出输入,但控制系统依然正常;A larm是指即使发生了异常,但依然可以正常输入输出完成控制,控制系统也可正常运行;Fail是指验证的故障,此时系统已经无法完成正常控制,需要自动或手动切换到其他系统上去。从输入端到输出端之间的各个卡件及模块按照单位级别实施自我诊断,同时在卡件以及模块级别上将故障发生点完成上述分类,通知并记录故障情报。根据自我诊断功能检测出的异常内容,将影响范围控制在最小单位内进行切换,隔离。例如IO卡件故障以IO卡件为单位进行切换,CPU相关联的故障就以CPU系为单位切换。
安全级DCS系统可诊断的自身故障有170余种,分别从硬件、软件、软硬件相结合的角度全面自我诊断,全面覆盖了部件的各个环节,使设备的可靠性得到了保证。另外,考虑到安全保护设备在失效情况下安全性,对每个输出模块都进行了偏安全设定,保证在DCS失效的情况下也不会发生核安全事故。
1.5维护性的提高
与一代核电厂比较由于使用了数字化技术使维护作业量大大减少。一代电厂的信号处理计算都是由个元器件完成,在长期使用过程中难免会导致量程、满量程等设定值的偏移,需要维修人员定期的对其校正。现在我们将原来的模拟量计算回路转化为软件处理,这以改进使参数不会因运行时间而发生偏移,减少了大量的作业工时。
1.6保护系统的可试验性
设备系统可靠与否,除了其自身的可靠性设置之外还需要通过试验来验证,安全级DCS的保护系统具备良好的可试验性。
安全级保护系统的可靠性通过T1、T2、T3试验来验证。通过这三个周期性试验可以全面的验证从设备的输入到设备的输出的正确性。T 1试验验证了现场信号能否准确稳定的通过I/O转换送进DCS系统中,T2试验通过自动装置验证了DCS系统中的逻辑是否正确,T3试验验证了经过运算处理后的数据能否送往现场设备并正常的动作。通过定期试验使人机结合,能够预防准确的掌握系统状况,提高运行的稳定性。
随着近年来我国核电事业的高速发展,电厂的DCS控制也成为了热点话题。本文通过对CPR1000项目安全级DCS的结构特点的介绍让大家对DCS的可靠性有一定的了解和认识,希望在工作中能起到一定的作用。由于学识、经验与能力所限,论述中难免有不足之处,请大家批评指正,谢谢。
[1]MELTAC-NplusR3 (CPR1000 version) POL Description,MELCO, 2011-06-08.
[2]MELTAC-NplusR3 Intelligent I/O Module Description,MELCO, 2011-06-08.
[3]陈龙.核电站安全级DCS系统网络的基本设计准则.《自动化博览》,201 3.1.