核电站设备状态偏差报警设计与改进

王 燕，沈 超，王心灵

(中广核研究院有限公司，广东 深圳 518000)

0 引言

核电站的主要功能是安全、有效发电和避免放射性释放[1]。 将这两大功能从上而下逐级分解为不同层次的功能，最底层的功能必须分配给现场执行机构完成。执行机构能否正常运行，对核电站安全有着至关重要的影响。尤其是执行安全功能或安全相关功能的设备，其必须具备在事故工况下确保反应堆安全的功能。因此，必须对安全级设备的状态进行连续监督。通过设备状态偏差报警指示命令动作的执行情况，操纵员可识别执行器可能发生的任何故障，并采取相应措施[2-4]。

本文从偏差报警的定义、逻辑设计、显示方式三方面开展分析研究。

1 偏差报警定义

当操纵员对安全级设备进行操作时，安全相关控制柜(safety related cabinet，SRC)应采集相应设备的运行状态，判断控制指令与状态反馈之间的一致性。当两者不一致时，会产生偏差报警信号。

对于开关量设备，设备状态偏差分为运行偏差和停止偏差两类。

①运行偏差:设备处于远程操作状态，即从数字化控制系统(digital control system，DCS)启停设备就已经停止，且此后未经DCS 发出运行指令，但设备处于运行状态。

②停止偏差:设备处于远程操作状态已经运行，且此后未经DCS 发出停止指令，但设备处于已经停止状态。

对于模拟量设备，当过程值(来自现场仪表测量)与设定值的偏差大于一定限值时，触发偏差报警。

2 偏差报警逻辑

DCS具备专门的偏差报警逻辑功能块。该功能块在SRC实现，将来自安全级图形化显示单元(safety-visual display unit，S-VDU)操作面板和后备盘(back up panel，BUP)手操器的动作指令信号与来自设备接口机柜(component interface cabinet，CIC)的状态反馈信号进行偏差运算，输出偏差报警信号，并送至S-VDU、非安全级图形化显示单元(non classified-visual display unit，NC-VDU)和BUP上显示。

2.1 开关量偏差报警逻辑

开关量偏差报警逻辑如图1所示。

图1 开关量偏差报警逻辑图

图1中：A、B输入端子分别为开指令(手动开指令和自动开指令的或)和关指令(手动关指令和自动关指令的或)；O、L输入端子分别为全开状态反馈全关状态反馈；输出端子 DIS 为设备状态偏差信号。

当偏差报警产生后，需要操纵员执行新的输出命令，或进行手动复位。

2.2 模拟量偏差报警逻辑

对于模拟量设备，当过程值与设定值的偏差大于一定限值时，触发偏差报警。偏差报警计算公式如下:

|B-C|≥D×(E-F)

式中：B、C分别为设定值和过程值；D为偏差报警限(0～100%，默认为10%)；E、F分别为过程值设定上限和下限。

当过程值与设定值的偏差恢复到报警限值内并持续2 s后，偏差报警自动复位。

3 偏差报警显示

设备状态偏差报警信号需要在主控室显示，向操纵员反馈执行机构运行状态。根据显示位置，偏差报警显示分为BUP显示、S-VDU显示和NC-VDU显示。

偏差报警逻辑在安全相关控制柜SRC中实现。SRC偏差报警功能接口如表1所示。

表1 SRC偏差报警功能接口

3.1 BUP显示

BUP偏差指示算法逻辑如图2所示。

图2 BUP偏差指示算法逻辑图

BUP偏差指示通过图2所示的算法逻辑完成。除此之外，该算法还实现以下功能。

①当BUP处于正常模式时，执行设备状态(已开、已关、故障)判断功能，以驱动BUP手操器的指示灯。

②测试功能:当BUP 处于测试模式时，对手操器的开、关功能进行测试。当测试信号(M)为1时，控制BUP手操器上的开关按钮，指令下发到一层控制柜的DO板卡，再由DO板卡送至BUP手操器的开关反馈指示灯。测试模式下，指令不会下发到现场设备，只是验证控制逻辑是否正确，无异常时反馈指示灯正常点亮。

③灯试功能:检测开关手操器的指示灯是否正常。当灯试指令(T)为1时，BUP上所有指示灯均应点亮。未点亮的指示灯存在故障。

图2中，BUP偏差指示算法输入/输出变量如表2所示。

表2 BUP偏差指示算法输入/输出变量列表

开关量设备在以下两种情况下不参与偏差逻辑计算。

①只发出开/关指令，不采集开/关反馈。

②设备保护自动执行开/关操作(出于设备保护的目的，一般由设备本体参数触发自动功能)。

当偏差报警信号产生后，由SRC通过硬接线送至BUP手操器[5]的故障指示灯显示。BUP手操器样例如图3所示。

图3 BUP手操器样例

图3中：上排C/F/O为指示灯；下排C/O为开关按钮。

设备运行状态如表3所示。

表3 设备运行状态

设备状态与手操器上指示灯的对应关系[6]如表4所示。

表4 指示灯与设备状态的对应关系

3.2 S-VDU显示

对于安全级设备，状态偏差报警算法的输出信号DIS不仅通过硬接线送至BUP手操器，还通过网络送至S-VDU。当偏差报警信号产生后，设备操作面板中的“DISCREPANCY”背景和图符的外框架均显示红色并闪烁 。

3.3 NC-VDU显示

S-VDU和NC-VDU分别用于安全级设备和非安全设备信息的监控操作[7]。当需要对安全级设备进行控制时，在NC-VDU画面上点击图符，S-VDU对应弹出设备操作面板。操纵员通过操作面板对现场设备进行控制。正常情况下，操纵员通过NC-VDU对反应堆进行监控，所有设备的状态信号都应送至NC-VDU进行显示[8]，安全级设备的状态偏差信号由安全级DCS通过网关送至非安全级DCS。

在NC-VDU上，根据显示方式的不同，分为画面显示、仪控故障列表显示和日志显示这几种。

3.3.1 画面显示

画面(包括系统显示画面和辅助画面)由各种图符、管道连接而成，作为人机界面供操纵员进行参数监测和功能控制。画面图符[9]是现场设备的示意图。图符的动态显示元素指示设备的运行状态和故障情况。

网关I/O算法将安全级DCS发送的状态偏差信号和其他运行状态(如启/停超时、双0/1故障等)一起定义为F故障(仪控故障)，作为输出送至NC-VDU，与图符的“F”动态显示元素保持对应关系。显示画面如图4所示。

图4 显示画面

正常情况下，图符上的“F”模块和外框架不显示；当F故障中的一种或几种产生后，图符上的“F”和外框架显示红色并保持闪烁[10]状态(2 Hz)。操纵员确认故障报警后，“F”和外框架保持平光。当报警条件消失，“F”和外框架以0.5 Hz频率慢闪。

3.3.2 仪控故障列表显示

设备状态偏差属于仪控故障，任何仪控故障均会进入仪控故障列表，同时发出声光提醒。列表中显示具体的故障信息，包括故障分类、故障描述、故障发生时间等，供操纵员作异常诊断。除此之外，仪控故障报警的管理功能也在列表中实现。操纵员能够对故障报警进行确认、复位、消音等操作。

3.3.3 日志显示

全日志、设备故障日志显示并记录所有的仪控故障信息和恢复信息，供操纵员追溯。

4 偏差报警逻辑改进

现有的开关量偏差报警逻辑能够指示双0故障、启动/停止超时、正在启动/正在停止状态，并通过BUP手操器的F故障灯进行显示。考虑到“正在启动/正在停止”只是一种中间状态，并不是设备异常的表征信息，不应该以故障的形式呈现给操纵员。因此，提出一种改进型的偏差报警设计方案，能够过滤设备的“正在启动/正在停止”状态。开关量偏差报警逻辑改进如图5所示。其中，TON为延时模块，启动时间(time of running position,TRP)、停止时间(time of tripping position,TTP)分别为设备启动/设备停止时间。

图5 开关量偏差报警逻辑改进图

5 结论

设备状态偏差报警指示安全动作的执行情况，反映现场设备的运行状态。本文从偏差报警的定义、处理逻辑、显示方式三方面开展了介绍，并对现有报警逻辑进行深入分析，提出一种改进型设计方案。该方案能够过滤设备的“正在启动/停止”状态，从而将真正有效的故障信息反馈给操纵员，有助于操纵员对故障信息进行更好的认知。