核电厂非安全级控制系统质量位应用与风险防控

卢俊 李晓飞 尹跃

【摘 要】核电厂非安全级控制系统承担着机组的正常运行控制功能。在各个电厂均有电厂的启动过程中，均发生过因质量位触发导致的运行事件。核电厂的运维人员对于非安全级的质量位普遍缺乏了解，本文从非安全级质量位的概念、应用、影响和风险防范方面进行了详细分析，提供了较好的设计与运行参考。

【关键词】非安全级DCS;质量位;缺省值;输入输出模块;通讯

中图分类号： TM623.8文献标识码： A文章编号： 2095-2457（2019）03-0216-002

DOI：10.19694/j.cnki.issn2095-2457.2019.03.091

1 DCS系统设计特点

非安全级DCS控制系统是核电厂的重要组成部分，承担着核电厂的正常运行控制功能，以及常规的设备保护功能，对核电站（包括常规岛、BOP、核岛）进行集中监测、控制、操作、管理。福清核电非安全级使用了IA平台，本文对基于IA平台设计特点进行简要介绍，并在此基础上对质量位问题进行分析并提出解决方案，可有效提高系统的可靠性和安全性。

1.1 质量位的一般设计参数

IA系统的质量位主要参数如下：

（1）.BAD参数：FBM故障，模拟量超量程、快速大幅波动，上游信号FBM故障;

（2）..O参数：软件置于OFF，对于与IO卡件故障（如FBM故障、离线）;

（3）..D参数：失去连接状态（disconect），对应于无法取得数据（如网络故障）;

（4）..E参数：上游点值获取或计算错误;

（5）..BODE参数：以上几种状态取或。

同时DCS IA系统默认将失效点设置为最后一个有效值，DCS厂家手冊给出了部分质量位解释，但与实际有少部分差异，通过试验验证，我们总结出以下质量位组成参数的判断矩阵表格：

1.2 质量位和缺省值设计

对于模拟量，默认输入范围为4-20mA标准信号，由于模拟量信号受现场变送器故障或超量程、卡件故障、断线等原因影响，会使DCS系统读取到的信号超出4-20mA的标准范围。为了识别模拟量信号的失效，通常设计了模拟量信号的质量位判断逻辑。初始设计中，按照2%的范围进行定义。

对于数字量，一般的无法进线开路检测，质量主要体现为卡件故障、FIELDBUS通讯故障，卡件离线等原因影响。

特别的，区别于反应堆保护系统和其他一般的控制系统，福清核电的DCS非安全级控制系统支持数字量输出通道、模拟量输出通道的质量位设置。当输出通道无法正常的输出4-20mA信号或者数字量输出通道异常时，也可以触发质量位置坏。

2 质量位问题研究

非安全级的质量位问题导致的事件与潜在事件在各个电厂数量较大，以下列举一些具有代表性的问题进行分析并提出解决和优化办法。

2.1 调节系统测量值误切手动导致调节失效

某电厂维修仪控工作负责人持两张工单同时开工，分别对低加两个液位计（2ACO008MN、2ACO009MN）的对空阀漏气缺陷进行处理，将两液位计在 DCS 系统中的信号强制为当前值，导致水位调节系统自动控制功能失效，造成低加疏水箱水位持续上涨。低加因水位触发三高定值而隔离，机组手动降功率至1047MWe。

经过对图纸进行技术分析，该液位测量使用了3取中值的信号选择，对两个信号打手动之后在信号选择器看来这些信号仍为正常信号，不会被舍弃，从而导致最终的测量值也为手动值，最终导致调节系统失效。

造成该问题的主要原因为：

（1）工作控制过程环节中未审查识别出风险，突破了重要系统控制/保护关联信号不允许交叉作业的原则;

（2）未识别出同时对2ACO008MN和2ACO009MN信号进行强制的叠加风险，造成3A低加疏水箱水位自动调节功能失效。

通常地，仪控人员在进行打手动操作时，可以屏蔽掉异常信号的误动作风险。但此处，因为将信号切为手动后，信号状态为正常值，信号选择器不会主动剔除该信号，不能简单对两个参与动态调节的信号同时切手动操作，需要对人员进行技术学习宣贯和管理要求上的把关。

2.2 卡件故障导致的质量位触发

某核电厂运行期间因单块DCS采集卡件上两个通道同时故障，导致循泵电机绕组温度1CRF113/123 MT信号丢失，经3取2逻辑触发循泵跳泵信号，1CRF001PO停运。经过扩展分析，福清项目中，除循泵电机三相绕组温度信号外，还有多个系统也同样存在其中两路分配在同块I/O采集卡件上的问题。经过梳理重要设备逻辑表决冗余通道共I/O卡件的情况;分析共模风险，制定调整方案，纳入变更流程逐个处理。作为扩展的要求，在处理相应卡件的故障时，需要一并考虑质量位对信号的影响。

2.3 输出信号的质量位触发影响

某电厂3号主控出现3ADG004KA除氧器液位低报警，查看KIC画面：除氧器液位从300mm下降至150mm，3CEX026VL开度20%，3CEX025VL开度为0。手动开大3CEX025VL时发现无法开启。经仪控检查：3CEX025VL在一层被切手动，导致操纵员无法通过KIC二层画面操作两个阀门。一层恢复自动后，目前3CEX025、026VL控制正常。根据DCS供货商家的图纸设计（AOUT模块INITO逻辑），此时025RG、026RG、下游两个阀门，以及上游的主调节器被打手动属于FD图的设计，此情形下运行无法执行切自动操作，并且也无法在此种手动状态下对阀门在KIC上执行动作操作。输出坏点、手动导致调节器跳手动是DCS供货设计，但没有专门报警。经过分析整理，福清项目完善了对调节器输入输出信号异常的综合报警补充设计，从而确保调节回路因质量位出现异常时，运行人员能及时对机组实施干预。

2.4 特殊質量位设置办法

RCV137MD/139MD/141MD为测量三台主泵高压泄露流量仪表，量程范围0-300L/h，正常运行情况每台主泵的高压泄漏流量约为800L/h，超出仪表量程，导致逻辑中判定为测量信号失效，从而触发质量位。同时RCV137/139/141MD流量低低分别和RCV036/038/040MD流量低低相与触发保护停主泵信号（4S延时），在正常运行情况下，存在RCV036/038/040MD之一故障时，触发质量位停运对应环路主泵的风险。

在主泵正常运行工况下，高压泄漏流量超出窄量程仪表的测量范围属于正常情况，不能将其判定为仪表故障，进而触发质量位和缺省值，带来停泵风险。通过在DCS软件中修改BADOPT值可实现闭锁超量程触发质量位逻辑，规避宽量程流量计单一故障而误造成停泵。

定向的对窄量程仪表取消超高量程质量位设计为较为普遍的设计，取消ARE窄量程变送器超量程上限质量位判断，保留超量程下限质量位判断和其触发下游2/3表决逻辑退化的功能，这是DAS避免质量位误动作的一个重要措施，同样的做法也用到了RCP一回路压力表中。

3 结论

质量位问题的核心是质量位的认识与应用。质量位作为数字化核电系统兴起以后的一种普遍设计，具有非常重要的地位。目前，非安全级软件中的质量位问题在各个电厂都缺乏足够重视，而实际也正因为认识上的问题，出现了多次因为简单问题导致的机组运行事件。非安全级DCS系统包含的质量位设计数量庞大，远远超过安全级，文章以几个典型的视角，解释了质量位分析中的关键问题，正常掌握和合理运用将可以有效保证机组的安全性和经济性。

【参考文献】

[1]Nuclear power plants-Instrumentation and control important for safety-Software aspects for computer-based systems performing category B or C functions （IEC 62138：2004）：DIN IEC 62138[S]，2004.

[2]Nuclear power plants-Main control room-Alarm functions and presentation （IEC 62241：2004）：DIN IEC 62241[S]，2006.