核电站DCS 首出功能的实现

程保华,王少威,曲东良,汪富强

（1.中广核工程有限公司，广东深圳,518124；2.北京广利核系统工程有限公司，北京,100094）

0 引言

首出即First Out，也称为第一原因或第一事故。是指引起事故性跳闸的第一个报警信号。因为在发生跳闸后，系统内会出现很多的报警内容，并且很多报警是因为跳闸动作后而导致的，所以第一事故原因的检测对事故原因的分析有很重要的意义。核电站为实现跳堆和安全动作的首出检测，在DCS 系统内也设计了一套首出识别、记录、分析的功能。

1 核岛首出的范围

核电站DCS 对包括跳堆等共16 种核安全相关重要安全动作指令给出了触发原因监测功能，供操作员分析各安全动作被触发的原因。这16 种安全动作（Safety Action）包括：

这里需要说明的是跳机（T.TRIP）的首出功能仅能判断由于核岛内原因造成的跳机，如跳堆、蒸汽发生器液位高高等信号，而由常规岛事件如汽机超速、震动高等原因造成的跳机是由汽机及辅机控制系统TCS 配合非安全级NC-DCS 实现的。如上每个安全动作指令的触发都可能是由多个原因（Trigger Cause）引起的。DCS 系统可检测出触发这些安全动作的首出原因，在DCS 画面上显示，并指示出安全动作发生后对应设备动作完成情况

2 MELTAC/HOLLiAS 方案

2.1 方案实现

CPR1000 项目DCS 的1E 和SR 功能由三菱MELTAC-N 平台实现，非安全级NC-DCS 功能由和利时HOLLiAS-N 平台实现。安全级RPS 功能由上层四个保护组RPC 机柜和下层A/B 两列专设安全设施驱动柜ESFAC 构成。每个RPC 保护组通道将各自采集的信号进行阈值处理后，输出局部跳闸“Partial Trip”信号给其他三个RPC 保护组进行RPS 逻辑处理，每个保护组都最终输出跳堆输出信号给停堆断路器。而对于跳堆以外的安全动作信号（如主蒸汽隔离、主给水隔离）的产生，是由四个保护组分别采集和进行阈值处理后，分配到RPC 四个通道进行相同的逻辑计算再送给A/B 两列的ESFAC，或直接由RPC 送给A/B 列ESFAC，通过ESFAC 四取二逻辑输出安全动作指令。

表1 核岛内16 种安全动作

在安全动作的触发上，以S.I.安注动作为例，（如表2）共有8 种原因可导致安注。对于第一种原因，在MELTAC 平台中，三个蒸汽发生器的共六个蒸汽流量信号由RPC 的第III 和第IV 通道采集（如图1），经过阈值判断模块XU 后在第III 通道和第IV通道各产生3 个流量高信号。这6 个信号通过RPC 机柜之间的Data-Link 点对点通讯送到另两个RPC 保护组，每个保护组内部进行如图1（*）号所示部分相同的逻辑运算，产生每个通道的局部安注信号。四个通道产生的局部安注信号都分别送往A/B 列ESFAC 进行四取二运算，运算结果触发安注动作。从上述安全动作触发过程来看，每个RPC 保护组通道内产生的安注信号都是最终触发安注指令的一个触发原因。

表2 可能引发安注动作的8 种原因

图1 第一种原因导致安注的逻辑

在首出判断的实现上，在安全级网关GWP(1E)中，存在与图1（*）部分相同的安注计算公式。网关可通过安全级系统总线Safety System Bus（图2）从RPC 获取所需点进行公式计算，当针对RPC 某通道的计算结果1 时，说明此原因是触发了安注动作的原因。这个计算结果点也称首故障点。

为了保证核电厂基于计算机的反应堆控制系统能可靠执行其保护功能，相关标准（GBT 13629/IEEE7-4.3.2）明确规定保护系统与外部系统需要满足电气隔离、通信隔离，功能隔离，满足保护功能的前提下尽量简单化，以及快速响应等要求，因此保护系统不接受外部时钟信号，内部子系统间通信数据交换也不携带时间信息。CPR1000 项目安全级MELTEC 平台内的点均不带时间标签。且MELTAC 平台仅有S-VDU 触摸屏进行SR 设备操作，无法实现首出显示。因此安全动作首出检测和指示功能实际上是由非安全级NC-DCS 配合安全级DCS 共同实现的。安全级网关GWP(1E)会将逻辑计算得到的首故障点送给非安全级网关GWP(NC)打时标，之后由非安全级NC-DCS 部分负责在首出画面上显示首出相关信息。

首故障点计算公式中所需的信号分为三类：

1) RPC 保护组机柜（Ⅰ～Ⅳ四列）产生的信号。RPC 机柜会周期性地将相关信号通过Safety System BUS 送给GWP(1E)，GWP(1E)将计算出逻辑值为1 的首故障点打上时间标签周期性地送给GWP(NC)，然后再通过NC-DCS 部分的I/O Server 送到二层网MNET，在计算服务器Calculation Server 处理后送二层画面显示安全动作原因。

图2 M/H 平台信号传输路径

2) 来自安全级RPC 机柜以外的ESFAC 等机柜的信号。一般是手动安全动作信号和失电信号（如表2 中的手动安注信号）。这些信号以硬接线点进入A/B 列ESFAC 机柜，由ESF-COM 机柜将ESF 来的数据通过Safety Bus 送给Safety System Bus，然后通过安全级网关GWP 送给NC-DCS 显示。因这类信号是必然触发安全动作的，所以GWP(1E)不需进行判断计算，所有这类点都会作为首故障点送给GWP(NC)。

3) 在NC-DCS 产生的信号。如由NC-DCS I/O 模块采集的ATWT 信号、失电信号或常规岛部分信号，这类点被采集后将在NC-DCS 的计算服务器中进行首故障点逻辑计算，计算结果直接在二层首出画面上显示为安全动作原因。

在DCS 系统首出显示画面上，能够显示安全动作、首出原因（可以有多个）、首出时间，以及安全动作完成的情况。对于安全动作完成情况，DCS 将安全动作相关设备的动作反馈点送到NCDCS 的计算服务器，在计算服务器中综合各相关设备的动作情况判断相应安全动作是否完成，再将完成情况显示在OPS 首出画面上。对于安全级部分SLC 机柜采集的核岛设备动作信号，通过SLC →Safety Bus →COM →Safety System Bus →GWP(1E) →GWP(NC) →SNET →I/O Server →Calculation Server 这条路径传输，而通过NC-DCS 的FCS 现场控制站I/O 模块采集的常规岛设备动作反馈信号，通过FCS I/O →SNET →I/O Server →Calculation Server 这条路径传输给计算服务器。

2.2 性能分析

Safety System Bus 采用的基于弹性分组环（RPR）协议的互逆双环网，RPC 机柜、ESF-COM A/B 列机柜、RPCC 机柜、PAMS 柜、GWP(1E)共17 个节点串联在此网上。网络上各个节点在网络中地位平等且异步运行，每个节点可以通过两个方向的环网向下游节点传输数据。当某个可预计的初始事件(PIE)在RPC 发生时，这个信号将通过Safety System Bus 传给GWP(1E)。

图3 MELTAC 平台首出检测时序

如图3 所示，TC为RPC 机柜CPU 处理周期时间（25ms），TC’为RPC 机柜网络接口卡NIC 将RPC 数据发送到环网上所需的处理时间（CPU 和NIC 各自异步独立处理是基于安全功能和非安全功能隔离的要求），TGWP是GWP(1E)内部处理周期时间（100ms）。Tnwmin和Tnwmax是RPC 信号通过环网发送到GWP(1E)的最小时间和最大时间，在数据量一定的情况下，这两个时间取决于环网上某个RPC 到GWP(1E)之间最近路径上的节点数目。我们假定一个PIE 事件在RPC 的两个通道内同时触发，T1 和T2 分别表示从PIE 事件发生到GWP(1E)记录到这一事件所需的可能最小时间和最大时间。T1=TC/2+TC’+Tnwmin+TGWP/2，T2=TC+TC/2+TC’+TC’/2+Tnwmax+TGWP+TGWP/2。经过估算可知T2-T1=TC+TC’ +TGWP+(Tnwmax-Tnwmin)得到的结果约是168ms。因GWP(1E)向GWP(NC)的通讯是以200ms 为周期循环发送共22 个报文，发送周期时间200ms>168ms，因首故障点是在GWP(NC)中打上时标的，因此DCS只能区分间隔大于200ms 的两个首故障点时间。200ms 周期内的多个首出原因(Trigger Cause)无法区分先后，都会被认为是首出原因，且显示的触发时间相同。

3 AVERA TXS+SIEMENS TXP 方案

3.1 方案实现

CPR1000 项目岭澳二期核电站安全级DCS 采用AVERA TXS实现1E 部分功能，SR 和NC 功能由SIEMENS TXP 平台实现。RPS 系统包括上层四组APUs（信号采集处理单元）和下层A/B 两列ALUs（驱动逻辑单元）两部分组成。

A/S 方案与M/H 方案不同的是，M/H 方案的每个RPC 通道将其产生的“Partial Trip”信号发给其他三个通道，每个通道都进行停堆逻辑运算；而A/S 方案中APUs 将采集信号进行阈值判断后产生的“Partial Trip”信号送给ALUs，在ALUs 进行逻辑运算产生最终跳堆信号和安全动作信号。因而计算首故障点所需的信号都会由APUs 传递到下层的ALUs。传输单元TU1 从ALUs 中获所需1E 部分信号，进行首故障点逻辑计算。所以首故障点计算公式所需的点只有两类：从ALUs 获取的1E 部分点，以及TXP 系统直接获取的NC 和SR 部分点。另外，因ALUs 只分为A、B 两列，安全动作的每个触发原因的首故障点只有A、B 两列各一个点，而不是A/S 方案的四个保护组共4 个点。

图4 A/S 方案的信号传输路径

而与M/H 方案类似的是，在A/S 平台上，TXS 系统内部点无时标，且TXS 平台也没有KIC 画面显示功能，KIC 功能是通过TXP 系统的OM690 实现。因此，类似地，为了实现首出画面显示，TU1 计算出首故障点的布尔值后经过TXS GW 网关送出，TXP 侧CM104 网关接收并为首故障点打时标，然后再经过PU 送OM690显示首出原因、各事件顺序、安全动作完成情况等信息，与M/H 方案类似。

3.2 性能分析

由于受首出信号流程上的APUs、ALUs、TU1、GW、CM104各环节的系统内部CPU 运算周期异步、不同信号传输路径不同、以及网络通讯周期时间的共同影响，必然会造成首出信号从产生到由CM104 打时标这期间的时间滞后。如图5，APU 和ALU 的CPU 任务处理周期都是TC，APU、ALU、TU1 之间是点对点的通讯，通讯时间均为Tnw。则T1=TC/2+Tnw+TC/2+Tnw，T2=TC+TC/2+Tnw+TC+TC/2+Tnw+TC，计 算 可 得T2-T1=3TC。在TC=50ms 时，这一时间为150ms，也就是说当两个首故障点PIE 事件发生时间大于150ms 时DCS 才能正确区分这两个事件的正确先后顺序。操作员在首出画面上获取的首出时间也有较大误差。

4 ACPR1000+项目对核岛首出功能的改进

上面分析可知，因安全级RPS 系统不能给内部信号打时间标签，以至都不能以高精度分辨出首出事件和显示首出时间。ACPR1000+项目的安全级DCS 采用广利核自主开发的Firmsys安全级DCS 平台，为更准确实现安全动作的首出检测功能，ACPR1000+在的DCS 首出设计上进行了改进。

改进方案对于RPC、ESF、KDS 机柜内部逻辑计算产生的首故障信号(F.F.)将通过相应机柜的DO 模块送给非安全级NCDCS 部分专门用于处理首出逻辑的FFC（First Fault Cabinet）机柜的SOE DI 卡件。因SOE 卡件的时间分辨率可达1ms，因而可实现高准确度的首出判断以及SOE 功能。而对于1E 侧安全动作执行反馈信号仍通过网关送给NC-DCS，以完整实现首出显示功能。

然而，虽然SOE 卡件的时间分辨率为1ms，但FFC 机柜接收的是RPC 或ESFAC 输出的DO 信号。在同一安全级机柜CPU 运算周期内触发的多个信号将会几乎同时由安全级机柜的DO 卡件输出，而且产生于不同机柜的信号由于CPU 之间运算周期不同步也会造成在FFC 不同时接收。利用图3 来说明，因为通过硬接线传递信号到FFC，故TGWP=TC’=Tnw=0，可得T2-T1=TC。因TC=25ms，故首出的时间分辨精度为25ms。虽然这一精度达不到SOE 的1ms要求，但对于目前国内外核电DCS 首出的实现而言，已经是一个较高的水平。

图5 TXS 平台首出检测时序

图6 APR1000+改进的首出方案

5 结束语

本文研究的三种核电站DCS 核岛首出功能实现方案中，由于安全级部分DCS 不支持画面显示以及内部点打时标，因而都是将安全级内部首故障相关点通过网关送到非安全级部分DCS 实现首出功能。这就造成了在真实的安全动作原因触发时间获取上存在误差，不能实现高精度SOE 记录。而ACPR1000+项目DCS 方案通过实施技术改进，实现了较高精度首出检测，值得国内后续核电项目借鉴。

[1]王华金,刘立新,李谢晋,许东方,周继翔.核电站数字化反应堆保护系统研究[J].核动力工程, 2002(S1)

[2] 刘宏春,王涛涛,王华金,周继翔,刘光明,许东方. 岭澳二期核电站数字化反应堆保护系统[J]. 核动力工程, 2008(01)

[3] 刘继春,王晔,汪富强.集散控制系统在岭澳核电站中应用[J]. 电力自动化设备. 2010(06)

[4] 于帅帅. 基于RPR 的核电数字化保护系统安全通信网络的研究 [D]. 上海交通大学. 2011

[5] 周海翔. 田湾核电厂TXP/TXS 系统的数据通信[J]. 核动力工程 ,Nuclear Power Engineering , 编辑部邮箱 ,2006 年03 期

[6] GBT 13629(2008)《核电厂安全系统中数字计算机的适用准则》

[7] IEEE 7-4.3.2(2010)《Standard Criteria for Digital Computers In Safety Systems Of Nuclear Power Generating Stations》