关于安全级平台两系不一致报警的分析

白杰，姚兴瑞，王博（辽宁红沿河核电有限公司，辽宁 大连 116319）

关于安全级平台两系不一致报警的分析

白杰，姚兴瑞，王博（辽宁红沿河核电有限公司，辽宁 大连 116319）

随着国内核电开发的大繁荣，关于电站安全级控制系统，国内引入了几家有资质的厂家。国内某核电站安全级DCS系统采用的安全级平台，为提高设备的可靠性，减小系统故障的概率，该平台采用双CPU运行的模式，实际运行中出现了双系CPU数据不一致情况，该文对于不一致的原因与故障处理做了深入分析。

安全级平台；两系不一致；报警

1　引言

为保证安全级DCS系统的可靠性，机组控制平台用于自动控制的控制机柜CPU有主备冗余和平行冗余两种配置模式，不同模式CPU在实际应用中各有千秋，确实方便维护、提高了可靠性，但也带来了一些困扰。某核电机组安全级DCS系统频繁触发KCS005KA2（A列KCS机柜故障）、KCS006KA2（B列KCS机柜故障）报警，为运行及维修人员带来一定影响。为从根本上解决该问题，工作人员对该报警进行了跟踪，并联合厂家进行了深入分析，通过仔细排查相关系统逻辑，综合数据信息查明故障原因。

各类核电控制机柜有自己的CPU冗余模式以及它们的运行周期。平台控制机柜CPU有两种最常用运行模式，一种是主备冗余模式，该类模式能够处理模拟量和数字量信号，两组CPU同时运行，主CPU向下游输出信号，备用CPU处于运行状态，采集输入信号并运算，不对下游输出信号，当主CPU出现故障时，备用CPU自动接管控制功能，保证系统正常运行。另一种是平行冗余模式，两列CPU同时运行，并同时向下游输出信号，正常情况输出信号是一致的，该类模式只处理数字量信号。为保证两类CPU都能长期稳定运行，在设计准则要求其CPU负荷必须低于70%以下。平台各类机柜的CPU冗余方式和运行周期见表1。

表1 各主要机柜冗余方式和运行周期参数

本文提到触发KCS005KA2（A列KCS机柜故障）、KCS006KA2（B列KCS机柜故障）报警是SLC机柜相关报警，该机柜两系CPU为平行冗余布置，CPU为定周期（100ms）运行，正常情况下，两系CPU分别独立运行，各自接受DI卡采集的就地信号。

在实际应用当中，工艺系统由于各种原因出现触发时间极短的现场信号，当该信号的持续时间小于CPU采集周期（100ms）时，就有可能出现两系CPU采集数据不一致的情况。其中一系CPU采集到了就地设备的跳变情况，另一系未采集到该跳变，这样会导致两系CPU的实际组态出现不一致的情况，结合组态逻辑中的一些信号保持模块（如延时模块、RS触发器、自保持回路等），原本闪发时间极短的信号就被该保持逻辑保留了下来，但由于另一系CPU一直未采集到该信号，在同样的逻辑模块里，得到的计算结果就会完全不一样，就将造成两系CPU长时间不一致情况。DCS本身的自诊断功能在每个CPU运行周期里都会自动对比每一个模块计算结果，当出现两系CPU计算结果不一致的情况且持续时间超过40s时，就会触发报警提示运行及维修人员关注。

当工艺系统运行稳定之后，CPU经过若干个周期的采集、计算，两系CPU的不一致计算结果逐渐恢复一致，此时触发两系不一致的报警原因消失，CPU功能恢复正常。下面通过实例分析两系CPU不一致的触发原理。

2　ON延迟不一致

当输入一个小于运行周期的“ON”信号时，如果只有一个CPU读取到该信号时，这时就会出现两个CPU不一致现象，在过了延时模块设定的延时时间后，这种不一致的情况就会消失。信号形成原理见图1。

图1 ON延迟不一致

3　OFF延迟不一致

当输入一个小于运行周期的“OFF”信号时，如果只有一个CPU读取到该信号时，这时就会出现两个CPU不一致现象，在经过了延时模块设定的延时时间后，这种不一致的情况就会消失。信号形成原理见图2。

图2 OFF延迟不一致

4　RS触发器

当输入一个小于运行周期的脉冲信号时，如果只有一个CPU读取到该信号时，就会出现两个CPU不一致现象，在RS触发器的复位信号变为“ON”后，这种不一致的情况就会消失。信号形成原理见图3。

图3 RS触发器不一致

根据平行冗余CPU的自诊断机制，当两系CPU内部组态不一致时间超过40s时，就会触发KCS005/6KA2报警。当组态内存在延时逻辑，采集到跳变信号的CPU保持了跳变触发的逻辑，未采集到跳变信号的CPU保持正常状态，延时逻辑的设定时间大于40s，两系不一致时间超过40s后，触发报警。

两系不一致报警触发的初期，由于导致两系不一致的工况触发时间极短且经过若干CPU运行周期后报警自动复位，因此，定位该报警触发的根本原因带来了一定的困难。工作人员经过对触发报警时的运行操作、系统设备在线的状态以及CPU内可能触发该报警的相关逻辑进行分析，最后定位到了触发不一致报警的根源是重要厂用水系统的某压力开关，由于海水水质较差，导致仪表管线堵塞，从而形成了开关闪发的机制，并最终导致CPU的异常状态。

5　可采取的处理措施

（1）工艺系统频发闪发压差高信号是导致CPU采集不一致的根本原因，如能改善海水水质或压力开关的响应速度，可以改善CPU的采集状态，解决两系不一致的问题。但该方案对于已经成型的工艺系统缺乏可操作性，实际上很难实现。

（2）改善CPU的采集能力，使CPU具备采集闪发信号的能力，且保证两系CPU均能采集到相关的系统状态，比如通过提高CPU的采集频率、改善DI对于闪发信号的处理机制等。但由于CPU负荷的限制、DI卡改造周期较长等原因，该方案无法满足现场处理问题的时间要求。

（3）在DI采集模块后面增加适当的延时模块，通过延时模块过滤一定时间内的闪发信号，这样可以解决到大多数的闪发信号，且对系统功能影响较小，具备较好的实际应用。在实际工程中，增加0.5秒的延时模块，对于闪发时间小于0.5秒的信号，两系CPU均不采集，起到了滤波的作用，减少闪发信号对于DCS的影响，解决报警闪发的问题。

6　结论

综合考虑以上三个方案的优缺点，最终采用了第三套方案，安排合适的改造工期对该组态逻辑增加滤波处理，过滤掉不可信信号，报警消除，避免出现相关报警对运行人员判断设备状态产生干扰，有效地保障了机组的安全和稳定运行。

The Analysis of Alarm Disaccord of Two CPUs on Safety Control System

With the development of nuclear power stations in China, many kinds of safety control systems have been applied in nuclear power stations. One plant uses one safety system. To improve the reliability of facility and reduce the probability of facility failures, the system is equipped with two CPUs which run at the same time. Sometimes two CPUs give different data. This article discusses the reason of disaccord and the way to repair the failures.

Safety control system; The disaccord of two CPUs; Alarm

B

1003-0492（2016）05-0100-03

TL362

白杰（1983-），男，四川射洪人，大学本科，工程师，2005年毕业于哈尔滨工程大学核工程与核动力专业，现就职于辽宁红沿河核电有限公司，从事安全级DCS控制系统维保工作。

姚兴瑞（1983-），男，河北邯郸人，大学本科，工程师，2007年毕业于东北电力大学热能与动力工程专业，现就职于辽宁红沿河核电有限公司，从事安全级DCS控制系统维保工作。

王博（1983-），男，甘肃渭源人，大学本科，工程师，2008年毕业于西安电子科技大学软件工程专业，现就职于辽宁红沿河核电有限公司，从事安全级DCS控制系统维保工作。