ACPR1000核电站安全级DCS模拟量输入信号故障诊断及处理

赵岩峰，周 亮

（1.上海交通大学 自动化系，上海 200030；2.深圳中广核工程设计有限公司，广东 深圳 518100）

图1 AI信号的诊断流程Fig.1 Diagnostic process for AI signals

图2 4取2表决逻辑图Fig.2 4 take 2 Voting logic chart

0 引言

随着计算机技术的飞速发展，数字化控制系统（DCS）大规模的被运用于核电站控制系统中，极大地减少了核电站模拟仪表及电气设备的规模，提高了电站的可用性和可维护性。

由于数字化控制系统的特点，输入输出（IO）卡件被大量应用于核电站中，为了电站的安全性和可用性，IO通道的故障诊断能力就变得尤为重要，如果单个IO通道的故障不进行处理，可能对机组的安全及可用性造成较大影响。ACPR1000核电站安全级系统主要的输入信号为模拟量信号，因此需要针对模拟量输入信号的失效模式、状态诊断以及失效后处理进行研究，本文根据ACPR1000核电站安全级DCS IO信号的失效模式，给出了模拟量输入信号通道故障诊断以及故障处理方式。

1 模拟量输入信号的诊断

ACPR1000核电站安全级DCS系统模拟量采集通道主要包括信号调理板卡、模拟量输入（AI）采集板卡、主处理单元（MPU），模拟量信号经过信号调理板卡调节为4mA～20mA标准信号，通过硬接线送往AI采集板卡，由AI采集板卡将电信号转化为数字信号，转化完成后的数字信号再通过SN1通信方式送往MPU，在MPU中进行逻辑处理运算。

安全级DCS系统通过采集AI板卡诊断功能和MPU的诊断功能分别对模拟量的故障进行诊断。如果AI信号出现断线、短路、超量程等故障，AI采集板卡会将信号的质量位信息置为“bad”，质量位信息将通过通信方式送往MPU；如果是由AI采集板卡的处理功能故障或者SN1通信故障导致的信号无效，在MPU的处理中此信号的质量位将标记为“bad”[1]。MPU处理完成后，带有质量位信息的AI信号将被用于自身的逻辑运算或者送往其他MPU。

在ACPR1000核电站中，可引起AI信号失效的因素包括：

◇ AI采集板卡处理功能故障。

◇ AI板卡SN1通信故障。

◇ AI断线。

◇ AI短路。

◇ AI超量程。

安全级DCS的模拟量输入信号故障诊断流程如图1所示。

2 模拟量输入信号的逻辑处理

AI信号经过MPU诊断处理后，主要被用于自身的逻辑计算或者送往其他MPU进行逻辑计算。AI输入信号参与的逻辑运算主要包括参与表决逻辑运算、参与普通运算逻辑、直接用于画面显示3大类。对于不同的信号用途，如果模拟量输入信号的质量位为bad，其需采取的逻辑处理方式也不同。下面将分别根据其不同用途进行说明。

1）参与表决逻辑

在核电站安全级DCS设计中，为了提高系统的可靠性以及满足单一故障准则，一般对于同一变量设置多个冗余的独立传感器输入，多个独立传感器输入在同一个MPU中通过表决逻辑进行表决输出，在安全级DCS中，一般的表决逻辑包括“4取2”“3取2”和“2取1”逻辑，“4取2”典型的逻辑如图2所示。AI信号经过阈值比较后生成局部跳闸指令后送往“4取2”模块进行表决，如果4个AI信号中有不少于2个信号高于（低于）阈值（局部跳闸指令），4取2模块将最终输出跳闸指令。

如果模拟量输入信号的质量位为“bad”，在经过阈值比较后，质量位信息将被传递到表决模块，相应的表决模块根据表决逻辑将质量位为“bad”的AI信号剔除，表决逻辑进行对应的降级。在ACPR1000核电站，当单个模拟量输入信号质量位为“bad”的情况下，“4取2”表决逻辑将降级为“3取2”，当2个单个模拟量输入信号质量位为bad的情况下，表决逻辑将直接触发。需要注意的是，由于表决逻辑已经对信号进行剔除处理，表决逻辑输出信号将不带质量位。

表1 表决逻辑降级表Table 1 Voting logic downgrade table

图3 模拟量输入信号显示传输处理路径Fig.3 Analog input signal shows transmission processing path

详细的表决逻辑IO信号诊断故障后处理见表1。

2）用于逻辑计算

对于参与普通逻辑计算的AI信号，为了避免逻辑输出中出现大量质量位传递的情况，导致操纵员无法判断信号质量位触发的源头，在逻辑计算后，信号将不带质量位信息。

在AI信号质量位为“bad”后，为了避免信号故障对电站运行和机组安全产生影响，需要针对AI信号值的故障缺省值进行分析，一般情况下缺省值分为了以下3类：

◇ 采用工程设定缺省值替代。

◇ 采用上一次有效值。

◇ 实际采集值。

缺省值的选择需要结合工艺物理特性、运行需要进行分析，在统筹考虑核安全、设备安全和性能的情况下，根据需要选择一种方式进行设置[2]。缺省值的设置在工程组态中实施，是通过工程师站进行组态设计的。

3）用于画面显示

对于只用于画面显示的输入信号，一般情况下主要目的是为了给操纵员提供必要的监视信息，为了给操纵员提供尽可能多的信息，输入信号的质量位信息将一直伴随信号始终，并通过操纵员站在画面上显示。在ACPR1000核电站中，安全级DCS模拟量输入信号的传输处理路径如图3所示。

用于画面显示的模拟量输入信号，有时为了提醒操纵员关注，其值也可采用工程设定缺省值和上次有效值，具体的设置也需要根据运行需要进行分析[3]。

图4 工程设定缺省值逻辑Fig.4 Project setting default logic

图5 上一次有效值逻辑Fig.5 Last valid value logic

3 模拟量输入信号缺省值处理

根据上文所述，用于逻辑计算和画面显示的模拟量输入信号，在质量位为 “bad”的情况下，其值可以使用缺省值设置，对于采用缺省值的情况，包括了采用工程设定缺省值和上一次有效值。在ACPR1000安全级DCS中，缺省值的设置通过逻辑组态来实现，针对需要设置缺省值的AI信号，通过增加质量位判断选择来对输出进行切换，工程设定缺省值实现的逻辑简图如图4所示，上一次有效值实现的逻辑简图如图5所示。

由于模拟量信号的物理特性，AI入信号在故障时并不是瞬间由“good”变为“bad”，而是呈现为一种线性的变化。当故障发生时，AI信号的电流值将从正常值线性变化为故障值，此过程一般持续在几十毫秒左右，但是由于安全级DCS平台的特点，MPU的处理速度和IO采集板卡的处理速度并不是完全一致的。在实际情况下，在发生故障后，IO采集板卡会快速地采集实际物理值，但是由于未达到超量程状态，相关的逻辑并未触发，中间的无效值就会被当作上一次有效值采集，而在质量位为“bad”后，虚假的上一次有效值会被采纳，如图6所示。

图6 虚假“上一次有效值”采集Fig.6 False "last valid value" acquisition

图7 带有超速判断的缺省值逻辑Fig.7 Default logic with overspeed judgment

为了避免缺省值处理出现虚假上一次有效值，需要在AI信号的诊断环节增加超速判断环节，模拟量信号在发生故障时，往往会出现信号异与正常时的表现。在故障时，AI信号的前已采集周期和后一采集周期会出现较大的变化，通过增加20%超速判断模块，在前后两个周期信号出现变化大于20%时，及时记录上一次有效值，在超速故障没有消失，且同时发生了超量程、断线、短路故障时，启动缺省值设置，增加了超速判断环节的逻辑简图如图7所示。

通过AI信号缺省值逻辑的实现，可以最大限度地避免由于单个信号故障导致系统出现扰动，提高了机组的可用性和安全性。

4 结语

在ACPR1000核电站中，安全DCS通过MPU对模拟量输入信号的故障进行诊断，并按照信号的用途进行分别处理，大大提高了机组的安全性和可用性，避免在机组运行过程中由于模拟量输入通道的故障对机组产生扰动，同时通过增加超速判断环节，能够及时提取有效值，避免模拟量输入通道故障时处理逻辑带来额外的扰动。