核电厂DCS系统质量位应用与设计改进

傅俊娴

（中核武汉核电运行技术股份有限公司 浙江分公司，浙江 海盐 314300）

核电厂仪表和控制系统为核电厂工艺系统和设备提供各类控制、保护手段及监测信息，以保障核电厂能安全、可靠和经济性运行。仪控系统的安全可靠性是影响核电厂的安全、可靠、经济运行的关键因素[1]。

依据IAEA文件：仪表的整定值被归为保护系统的一部分，应满足保护系统的要求，及故障安全准则。为了实现整定值的故障安全，引入了仪表质量位的概念，即在仪表故障时，质量位信号的变化能够实现仪表相应整定值的功能[2]。

1 质量位在DCS系统中的应用

DCS的设计中引入了一个信号质量位的概念，即通过确定的技术手段，甄别出某个仪表信号的好坏程度，并设置一个或一组开关量标志位表征该信号的有效或失效状态，这一个或一组标志位统称为该信号的质量位。数字化仪控系统的普遍应用，为仪表信号设置质量位提供了便利的技术手段。为满足故障安全准则法规要求，质量位信号应用于核电安全重要系统保护逻辑中，大大降低了系统拒动概率。为实现“故障信号剔除”“逻辑退防”“故障实时报警”等功能，质量位信号在数字化仪控系统中大量引入。同时，由于对“安全重要”的认识差异，或保守考虑，或惯性思维，导致质量位在无故障安全要求的非安全级设备的保护逻辑中也被使用，无意中大大增加了系统误动概率，而对系统拒动概率的降低无显著贡献。

图1 VVP013MP剔除逻辑示意图Fig.1 VVP013MP Elimination logic diagram

1.1 质量位在非安全级DCS系统中的应用

在核电厂非安全级DCS系统中，为了使DCS系统调节性能稳定，在仪表信号的输入模块中引入了质量位的设计。以稳压器压力调节为例，阐述质量位在非安全级DCS系统中的功能。稳压器压力由压力变送器RCP013MP、014MP和015MP测量。来自压力变送器的测量信号经选择模块VT402取平均值送往PID控制器中，然后输出信号送到4个函数发生器。以RCP013MP为例，在VT402模块中计算稳压器平均压力时，RCP013MP在3种情况下会被剔除计算（如图1所示）：1）RCP013MP与RCP015MP 且RCP013MP与RCP014MP同时偏差大；2）RCP013MP切到手动；3）RCP013MP信号质量位坏（BODE）。

DCS模拟量输入模块AIN中时，设定了输入信号上下限的报警，为量程范围的±5%，即DCS的压力变送器输出信号有效范围为3.2mA～20.8mA。若在实际运行中发生了某变送器故障，DCS系统根据输入信号可以判断变送器故障，从而在计算模块中剔除该变送器参与计算，防止了程序计算结果大幅变化，确保调节系统稳定。

1.2 质量位在非安全系统中的错误应用

2016年6月24日某核电2号机组在30%FP的时候出现了跳堆事件，事件原因为：中间量程功率大于30%FP信号叠加SG给水流量低信号，触发ATWT导致保护系统动作停堆。事件原因是DCS保护逻辑中错误地将SG流量超过15%FP流量设置为质量位（高限），当汽轮机功率大于15%FP时SG给水流量超过高限产生质量位失效的信号，保护逻辑自动判断为坏点；当两台SG给水流量均为坏点后，触发SG给水流量低信号导致停堆。因为该流量计为窄量程流量计，在实际运行中，机组达到高功率状态时，给水流量会超过窄量程流量计的上限，属于正常现场，无需设计质量位（高限）。因此，在后续整改中，将质量位（高限）取消。

表1 保护系统逻辑退防的设计Table 1 Design of logic fallback for protection system

1.3 质量位在保护系统中的应用

在核电厂保护系统中，质量位信号被用于大量“逻辑退防”。保护系统的逻辑退防的设计如表1所示。

在此以稳压器液位高3与P7符合触发停堆信号为例说明。

图2 稳压器压力高3与P7符合停堆逻辑示意图Fig.2 Voltage regulator pressure height 3 and P7 in line with the stop-heap logic diagram

稳压器液位传感器通过硬接线将4 mA～20mA液位信号传给TRICON的模拟量输入卡，跟设定值比较，高于定值则判断稳压器液位高3。

为了避免现场传感器故障或工艺管线波动导致测量的稳压器液位错误，使保护信号误触发，在保护逻辑中加入了质量位，用于判断稳压器液位即传感器是否有效，无效则逻辑退防。

质量位和稳压器液位高3做三取二表决如图2所示。表决逻由辑RCP011MN、RCP008MN、RCP007MN 3块仪表组成：当3块仪表质量位都是有效的时候，停堆信号由3取2表决结果与P7符合产生；当其中1块仪表质量位无效时，停堆信号由其他2块仪表进行2取1表决的结果与P7符合产生；当其中任意2块表质量位无效时，表决结果与P7符合直接触发停堆信号。

保护系统中所有的模拟量输入信号都加入了质量位判断，消除了仪表产生故障，表决逻辑无法触发带来的风险，避免系统拒动，提升了DCS的安全性。

因为保护系统引入质量位的设计，发生过多次因质量位阈值设置不合理导致的停堆事件。如2019年1月28日，某核电厂1号机组按103大修计划进行打闸停机，9s后蒸汽发生器水位低信号触发（低于-0.96m）；39s后主蒸汽旁排阀1GCT121VV在7%开度位置0.4s内突开至62%，主蒸汽流量大幅波动，主蒸汽流量计均触发了质量位，导致蒸汽发生器汽/水失配信号触发；蒸汽发生器水位低与蒸汽发生器汽/水失配信号（主蒸汽流量质量位信号）逻辑符合，触发停堆。

2 质量位在DCS系统中的设计改进

1）在保护系统初始设计中，质量位信号会参与停堆逻辑动作，却不会产生对应报警。因此，提出改进措施，在每个保护组中的所有保护参数的质量位信号做“或”运算后产生一个总报警，代表本通道存在质量位无效的信号。4个通道的质量位无效报警分别为：RPR760KA、RPR770KA、RPR780KA和RPR790KA。在保护组产生质量位无效报警后，能够及时响应，消除表决逻辑降级带来的风险，确保机组稳定运行。

2）在某电厂104大修中，执行变更，将保护系统VVP001-006MD质量位下限定值由5%调整至12.5%[3]，即下限判断阈值从3.2mA调整至2mA。质量位上限定值保持原值5%不变。这样的改进，既避免了机组在打闸过程中因为管线蒸汽流量的波动产生质量位无效信号而误触发停堆的情况，还能够有效检测出仪表电子元器件故障、信号回路断路等无效状态，提示参数的有效性。

3 总结

DCS系统的引入，对机组的可靠性与安全性带来巨大的提升。DCS质量位的设置，既能提高调节系统的稳定性，又能降低安全系统的拒动概率。但是在实际设计中，需要认真考虑质量位信号设置的合理性，需要根据实际工况进行具体分析，避免信号质量位的设计过于保守和大胆，在保证安全性的前提下，提高机组的经济性。