王学朋
(江苏核电有限公司 仪控处,江苏 连云港 222000)
田湾核电站二期使用的正常运行控制系统(以下简称SPPA-T2000 系统)是基于西门子SPPA-T2000[1]平台进行开发,用于电站的正常运行控制,属于典型的集散控制系统。其中,使用TEC4Function[2](逻辑设计工具)以可视化方式进行逻辑图组态,使用ES680[3](仪控工程师站)进行网络结构搭建和硬件通道配置。
SPPA-T2000 系统包含63 个AP 机柜,每个机柜配置两个互为冗余的AP(AP-A 和AP-B),系统正常运行时其中一个作为主用AP 通过电厂总线[4]进行数据交换,从属AP 作为冗余备用。正常情况下,当主用AP 故障时系统会自动切换到从属AP,进而保证电站的正常稳定运行。若主/从AP(简称双AP)故障,则所在机柜涉及的过程参数全部失去显示。
SPPA-T2000 系统设置6 个通道实现控制功能,其中1 ~4 通道执行核安全相关控制功能,5 ~6 通道执行运行控制功能。总线网络基于典型的单环冗余结构,选用“主环+子环”冗余连接方式,主环为电厂总线,子环对应6 个通道,运行方式简洁、高效,示意图如图1。当网络中任何位置出现一个断点,其环网上的备用接口立即闭合,确保单一故障下网络数据传输不受影响,但如果环网中同时出现了两个断点,则会造成部分数据丢失。以上情况将会导致非预期运行事件的发生。
图1 SPPA-T2000系统总线结构示意图Fig.1 Schematic diagram of SPPA-T2000 system bus structure
田湾核电站二期SPPA-T2000 系统设计63 个AP 机柜,每个机柜配置两个互为冗余的AP(AP-A 和AP-B),每个AP 可独立完成信号的接收、处理和输出任务。使用TEC4Function 软件导出所有AP 的信号基础数据,处理后形成输入/输出信号清单,信号总数为54515 个;进一步梳理,识别出17160 个不同AP 之间网络传输信号(简称跨AP 信号),包括控制信号、通讯信号、后备盘指令等[5]。
1.2.1 双AP故障后果判断依据
1)以下4 种情况对机组的稳定运行状态无明显影响:
①执行机构与被调量信号在同一AP 时,若双AP 故障,AP 失去逻辑控制计算能力,执行机构保持当前状态。
②执行机构与数字量信号不在同一AP 且无取反逻辑时,若双AP 故障,其输出至其它AP 的信号变为0(低电平)且保持不变,设备不会保护、自动动作,执行机构保持当前状态。
③执行机构与被调量信号不在同一AP,但该模拟量信号的有效位[7]作为执行机构控制功能块的外部故障信号送至外部故障位,使得执行机构退出自动闭环调节并保持当前状态。
④工艺系统间歇投运的系统,长时间投运有不良后果的,若控制信号故障,设备出于安全考虑应跳停。
2)以下3 种情况对机组的稳定运行状态将造成影响:
①当模拟量信号输出不在同一AP 时,若双AP 故障,其输出至其它AP 的模拟量信号为数值0,则将对模拟量信号参与的控制逻辑产生影响[8](如参与闭环控制对象修正或者前馈运算,将对闭环控制回路造成扰动)。
②若模拟量信号的有效信号未送至调阀控制功能块的外部故障端口且模拟量信号输出不在同一AP 时,则当双AP 故障时,调阀无法自动跳出自动模式,闭环控制回路因失去真实的主调量(模拟量信号变为数值0)而失控[9]。
③若开关量信号输出不在同一AP 且存在取反逻辑时,若双AP 故障,则输出至其他AP 的开关量信号为0(低电平),取反后变为1(高电平),需要分析高电平信号在控制逻辑中的影响和优化措施。
1.2.2 双AP故障典型后果分析
依据双AP 故障后果判断依据,通过多角度分析研究,最终识别出199 个机组功率运行期间在双AP 故障[6]时不可接受的跨AP 信号。从故障后果发生类型、信号所属通道类别等方面,通过以下事例说明双AP 故障的潜在风险。
1.2.2.1 源信号与合成信号分布于不同AP
事例:蒸汽发生器窄量程液位
田湾核电站二期蒸汽发生器窄量程液位监测为四通道设计,在SPPA-T2000 系统中逻辑设置为三取二(取平均值,每台蒸汽发生器的第1、2、3 通道)。优化前蒸汽发生器窄量程液位的源信号及合成信号的AP 分布情况见表1,示意图如图2。
图2 蒸汽发生器窄量程液位信号示意图(优化前)Fig.2 Schematic diagram of the narrow range liquid level signal of the steam generator (before optimization)
表1 蒸汽发生器窄量程液位AP分布Table 1 AP Distribution of steam generator narrow range liquid level
在SPPA-T2000 系统中,蒸汽发生器窄量程液位合成的源信号来自于1 ~3 通道。当源信号所在AP 任意一个发生双AP 故障或1 ~3 通道环网任断一个后,由于三取二的合成信号至少有两个信号存在,所以蒸发器液位闭环调节器不受影响;但当源信号所在AP 有两个发生双AP 故障,1 ~3 通道环网任断两个或5、6 通道的环网出现两个断点后,蒸发器主调量(蒸汽发生器窄量程液位合成信号变为数值0)丧失,调节器失去控制, 造成蒸汽发生器真实液位大幅波动,进而可能导致机组瞬态事件的发生。
1.2.2.2 修正信号与调节器分布于不同AP
事例:堆芯上部压力修正及稳压器液位调节
田湾核电站二期反应堆堆芯上部压力监测为四通道设计,其合成信号由源信号通过三取二(取平均值,第1、2、3 通道)获得,稳压器窄量程液位源信号经三取二(取平均值,第1、2、3 通道)合成稳压器液位合成信号。优化前的堆芯上部压力修正及稳压器液位调节信号的AP 分布见表2,示意图如图3。
表2 堆芯上部压力修正及稳压器液位调节信号的AP分布Table 2 AP Distribution of upper core pressure correction and regulator liquid level adjustment signals
图3 堆芯上部压力修正及稳压器液位调节示意图(优化前)Fig.3 Schematic diagram of upper core pressure correction and regulator liquid level adjustment (before optimization)
反应堆堆芯上部压力的合成信号参与稳压器窄量程液位源信号的修正和有效性判断,在功率运行期间,稳压器窄量程液位的合成信号作为主调量参与稳压器液位闭环调节。
当反应堆堆芯上部压力合成信号所在AP106 故障时,稳压器窄量程液位源信号的质量位信号变为0(低电平),稳压器窄量程液位合成信号输出值为数值0;当稳压器窄量程液位合成信号所在AP206 故障时,其输出值变为数值0。因此,当AP106 或AP206 发生双AP 故障时,稳压器窄量程液位合成信号变为数值0 且有效位变为0(低电平),该合成信号作为被调量送至稳压器液位主调节器,与稳压器液位设定值(功率运行模式下由一回路平均温度计算得到)生成阶跃性控制偏差,相关泵和调阀动作造成上充下泄不匹配,进而引起一回路液位波动,机组失去对稳压器液位的控制。稳压器液位异常波动将会给机组造成扰动,进而可能导致机组瞬态事件的发生。
1.2.2.3 调节阀外部故障信号
事例:凝结水再循环调节阀
调节阀控制模块的外部故障端口输入为1(高电平)信号时跳出自动闭环调节模式,输入信号为0(低电平)信号时保持自动闭环调节模式。在凝结水再循环流量的闭环控制中,主调量是凝结水流量合成信号(在AP611 中),当前有效信号的取反逻辑设计在AP611 中,再循环调节阀1(在AP512 中)和再循环调节阀2(在AP611 中)的外部故障端口同时取用这个有效位信号,优化前的凝结水再循环调阀外部故障信号示意图如图4。当AP611 发生双AP 故障时,再循环调节阀2 同在AP611 中,无影响;再循环调节阀1(在AP512 中)的外部故障端口输入的有效位信号保持为0(低电平,来自于双AP 故障的AP611),再循环调节阀1 依然处于闭环调节中,此时主调量(凝结水流量合成信号)丧失,凝结水再循环调节阀1 的调节器失去控制。
图4 凝结水再循环调阀外部故障信号示意图(优化前)Fig.4 Schematic diagram of external fault signal of condensate recirculation regulating valve (before optimization)
1.3.1 针对源信号与合成信号分布于不同AP
将网络传输改为硬接线(事例中的蒸汽发生器窄量程液位源信号),实现源信号与合成信号在同一AP 中采集,消除双AP 故障对合成信号的影响,优化后的蒸汽发生器窄量程液位信号示意图如图5。
图5 蒸汽发生器窄量程液位信号示意图(优化后)Fig.5 Schematic diagram of the narrow range liquid level signal of the steam generator (after optimization)
1.3.2 针对修正信号与调节器分布于不同AP
结合网络传输信号优化措施,将修正信号与主调量、调节器以及执行器整合至同一AP 中,降低双AP 故障对源信号修正作用及调节器和执行器调节功能的影响。
对于堆芯上部压力修正及稳压器液位调节作用,将堆芯上部压力和稳压器窄量程液位的源信号通过硬接线的方式接入主调节器所在AP 中,并在该AP 中创建堆芯上部压力和稳压器液位的合成信号,实现修正信号、主调量和主调节器处于同一AP 中,优化后的堆芯上部压力修正及稳压器液位调节示意图如图6。
图6 堆芯上部压力修正及稳压器液位调节示意图(优化后)Fig.6 Schematic diagram of pressure correction on the upper part of the core and adjustment of the liquid level of the pressurizer (after optimization)
1.3.3 针对调阀外部故障信号
将主调量(事例中的凝结水流量合成信号)的有效信号先引用至调节阀(事例中的凝结水再循环调阀)所在AP中,取反后接入调节阀的外部故障端口,消除双AP 故障对调节阀无法自动跳出闭环调节的影响,优化后的凝结水再循环调节阀外部故障信号示意图如图7。
图7 凝结水再循环调阀外部故障信号示意图(优化后)Fig.7 Schematic diagram of external fault signal of condensate recirculation regulating valve (after optimization)
田湾核电站二期SPPA-T2000 系统双AP 故障情况下的控制优化分为硬件和软件两个部分,优化设计遵照单一故障准则,确保冗余信号分布于机柜中具有独立实体硬件隔离的AG、BG、CG 层采集模块中[10]。硬件方面,除电缆敷设、端接和机柜内部改线外,需增加一层机架(9EU902),包括背板、电源开关、模件和安装附件等;软件方面,除逻辑编制、通道配置、生传代码和OM 画面更新外,需搭建拓扑图,包括通讯和参数设置等。新增一层机架的示意图如图8。
图8 新增一层机架示意图Fig.8 Schematic diagram of a new layer of racks
根据不同的双AP 故障后果制定的控制优化设计文件,在实施阶段成立专项组,由项目负责人统筹协调、全局部署,同时开展硬件改造和软件优化工程,实施、验证和调试同步执行,实现了一个大修窗口完成一台机组全部双AP故障信号控制优化。
正常运行仪控系统AP 机柜涉及机组重要过程参数的采集和控制,若某个机柜发生双AP 故障停运,可能对机组状态产生较大扰动。通过对田湾核电站二期正常运行仪控SPPA-T2000 系统的控制逻辑进行全面梳理排查,发现多处发生双AP 故障情况时潜在逻辑风险,给机组带来功率波动甚至停机停堆的安全隐患。针对不同类型的风险和影响,制定了相应的控制优化策略和整改措施,有效增强了正常运行仪控SPPA-T2000 系统抵御双AP 故障的能力,提高了正常运行仪控系统安全性和可靠性,减少了由双AP故障引发的机组瞬态乃至非停事件,进一步保证了机组安全稳定的运行。另外,本文中所述的方法和措施对电站控制设计也有很高的借鉴意义。