第29卷  第07期2022年07月仪器仪表用户INSTRUMENTATION
Vol.292022  No.07
SPPA-T2000系统AP离线分析及风险处理方案
苏 正,文登宇,张启飞,冯 明
(台山核电合营有限公司,广东 江门 529228)
摘    要:
介绍第三代中国先进压水堆(CEPR)SPPA-T2000系统AP 的构成及故障类型,并且阐述了各类AP 故障对机组运行造成的影响。最后,选取对电站调试和运行过程中影响范围最大的AP 离线下装工作,给出了典型AP 离线下装过程中存在的风险、风险分析原则以及处理方案。这对其它采用SPPA-T2000技术的核电、火电等项目都具有参考和借鉴意义。
关键词:SPPA-T2000;AP 离线下装;风险分析
中图分类号:TP273                        文献标志码:A
AP Off-Line Analysis and Deal with Risk in SPPA-T2000 System
Su Zheng ,Wen Dengyu ,Zhang Qifei ,Feng Ming
(Taishan Nuclear Power Joint V enture Co., Ltd., Guangdong, Jiangmen, 529228, China )
Abstract:Firstly, this paper introduces the AP unit of SPPA-T2000 system, which is used in the third generation advanced
pressurized water reactor (CEPR) in China. Secondly, several kinds of AP maldunction are expounded, which can impact on the operation of nuclear plant unit. Finallly, chooses the AP off-line downloading which has the greatest impact on the commissioning and operation of the power station, then the risks existing in the typical AP off-line downloading process, the risk analysis princi-ple and treatment scheme was introdued. What’s more, it is significant to other projects which adopt SPPA-T2000 technology.Key words:SPPA-T2000;AP offline downloading;risk analysis
收稿日期:2022-06-02
作者简介:苏正(1983-),男,河北沧州人,本科,工程师,仪控部系统科科长,研究方向:DCS控制系统。
DOI:10.3969/j.issn.1671-1041.2022.07.011
文章编号:1671-1041(2022)07-0039-05
0  引言
核电作为清洁能源,其基本特性决定了在应对能源挑战中有能力发挥无可替代的重要作用,我国在现阶段发展核电是调整能源布局的有效途径。中国核电已形成规模化、批量化发展格局。二代改进型压水堆核电站随着技术的发展和运行经验的反馈,逐步引入新的成熟技术,使核电站的安全性得到进一步的提高[1]。目前,核电站已进入第三代,对安全性提出了更高的要求,以往的控制部分大多采用硬接线模拟量控制,已经不能满足因工程原则、人类工程学原则,DCS 系统(分散控制系统)都具有模拟量控制系统无法比拟的优越性
[2]
。核电站DCS 系统负责控制并监
测整个电厂生产的全过程[3],台山核电站采用目前国际最先进的第三代核电EPR 技术,采用了最先进的DCS 系统,完全集成了DCS 系统高可靠性、开放性、灵活性、易于维护和协调性控制功能齐全等优点[4]。
台山DCS 系统由非安全级的SPPA-T2000系统(以下简称T2000)和安全级TXS 系统组成[5]。该系统已经过核级认证,是核电站DCS 领域最稳定、可靠的系统之一[6]。T2000系统Level 1的核心处理单元是AP(Automation Processor),内部运行着核电站机组启、停以及正常运行等工况的逻辑算法,是核电站的神经中枢。基于AP 的核心作用,若AP 出现故障,严重则会造成受该AP 控制的所有设备均退出运行,进而造成机组负荷下降或机组停机、停堆等情况。
第29卷
40
仪器仪表用户INSTRUMENTATION 因此,AP 典型故障案例分析和处理方案对机组联调及后续商运有着非常重要的参考价值和经济效益。
本文首先对T2000系统进行简要概述,接着阐述AP 的基本结构、功能组成及故障类型说明,然后以AP 典型案例—AP 离线下装进行故障分析和给出方案处理,最后进行总结,指出可能造成AP 离线下装的原因并提出相应的预防措施。
1  T2000系统概述
台山DCS 系统由非安全级的SPPA-T2000系统和安全级TXS 系统组成。T2000系统分为两个层级,分别是Level 1自动控制层和Level 2人机界面层[7,8](见图1)。
1.1  Level 1自动控制层主要功能
1)接收现场就地传感器的采集信号和执行器的反馈信号。
2)接收Level 2操纵员发送的操作指令。
3)周期自动运算处理,实现电厂正常运行所需的逻辑功能(核心功能)。
1.2  Level 2人机界面层主要功能
1)接收从Level 1的采集信号,并进行信号的显示。2)向Level 1发送由操纵员在人机界面发出的操作指令。
Level 1主要由两大部分组成:I/O 卡件、冗余AP 单元。其中,图2为Level 1自动控制层组成,图3为Level 1 T2000机柜组成。AP 是整个Level 1的核心处理单元,内部运行着核电站机组启、停及正常运行等工况的逻辑算法。一方面,AP 周期自动采集来自机柜I/O 卡件(采集卡件和控制卡件)的输入信号和反馈信号,然后进行预设逻辑的运算处理,其运算结果送至Level 2人机界面层进行显示;
另一方面,AP 接收来自Level 2人机界面层的指令,然后自动进行预设逻辑的运算处理,其运行结果送至Level 0去控制现场执行器的动作[9]。
2  AP的构成及故障分类说明
2.1  AP的结构及功能
SPPA-T2000机柜的AP 层由两个冗余的AP 单元组成,分别是AP-A 和AP-B,如图4。
单个AP 单元由以下设备组成如图5,分别是:1)电源模块:给对应AP 单元的CPU 模块和通讯模块提供稳定供电电源。
2)CPU 模块:AP 单元的运算处理模块,处理下装到CPU 单元中的预设逻辑。
图1  台山DCS系统组成
Fig.1  Taishan DCS system composition
图2  Level 1自动控制层组成
Fig.2  Level 1 automatic control layer composition
图3  Level 1 T2000机柜组成
Fig.3  Level 1 T2000 cabinet composition
苏 正·SPPA-T2000系统AP离线分析及风险处理方案第07期
41图4  SPPA-T2000机柜的冗余AP组成
Fig.4  Composition of redundant APs in SPPA-T2000 cabinet
图5  AP单元设备组成
Fig.5  AP Unit equipment composition
3)通讯模块:AP单元与其它AP单元或Level 2进行
数据交换的通讯单元。
2.2  AP故障的分类及说明
AP故障一般分为3类:AP硬件故障、AP固件及应用
软件故障、AP逻辑组态故障,如图6。
2.2.1  AP硬件故障
AP硬件故障包括:电源模块故障、CPU模块故障、通
讯卡件模块故障。从台山项目现阶段来看,这3类硬件故
障率并不高,且由于AP层本身是由冗余AP单元组成,AP
单个硬件故障后,另一冗余AP对应的设备仍然可以维持
正常工作,故单一设备硬件故障不影响AP整体的正常运
行。该类设备硬件故障一般采取的措施是领取新的备件进
行更换。
2.2.2  AP固件及应用软件故障
根据信息安全规定,AP单元所采用的固件(Firmware)
图6  AP故障分类
Fig.6  AP Fault classification
图7  AP逻辑组态故障分类
Fig.7  AP Logical configuration fault classification
以及应用软件(Application Software)都必须在离线环境下
经过严格测试,并且经过V&V测试后,方可在现场使用。
故现场AP所使用的固件和应用软件都是非常稳定和可靠
的版本,一般不会出现共模故障。在这种情况下,单个AP
单元中如果出现固件或应用软件意外故障,另一个冗余的
AP单元会保持正常运行,不会造成整个机柜AP离线,且
至目前为止,台山核电未发生过任何AP固件及应用软件
导致AP故障的案例。
2.2.3  AP逻辑组态故障
AP逻辑组态故障是整个调试期间导致AP故障最频繁
的故障类型,由于逻辑组态在冗余AP中相同,故一旦出
现AP逻辑组态错误,则冗余AP同时故障,冗余作用无法
体现。AP逻辑组态故障分为两种情况,如图7。
1)逻辑组态修改错误,导致代码无法编译,AP无法
下装。
第29卷
42
仪器仪表用户
INSTRUMENTATION 图8  AP风险分析包络原则
Fig.8  AP Risk analysis envelope principle
这种情况不会影响AP 逻辑运算的正常运行,但逻辑组态错误无法下装会导致AP 中当前采集的信号和运算逻辑结果无法通过逻辑组态工具实时查看,也就无法进行AP 中逻辑信号的强制,从而阻碍调试活动开展。这种情况下必须出逻辑组态修改的错误原因,进行纠正后再次进行AP 代码编译和下装。
2)逻辑组态修改正确,代码可以正常编译,但需要AP 离线下装。
这种情况虽然逻辑修改正常,代码也可以正常编译,但AP 需要离线下装,且AP 离线下装期间,对于逻辑量而言,原为1的变量,其过程中会变为0;对于模拟量而言,所有有显示的值将会变为0,底限将会被触发,离线下装过程约持续10分多钟,重启后变量先取默认值,再取实际值。为避免信号翻转造成设备的误操作,需对AP 机柜内所涉及到的执行机构进行逐项风险分析,如有必要,则需进行实体设备隔离;而且还需对AP 送出的网络信号进行逐项风险分析,如有必要,也需对受影响的实体设备进行隔离。
由于第二种情况影响大、范围广且时间急,在系统联调和后续商运期间,如何在AP 需下线下装的条件下,快速、有效地进行分析处理非常重要。因此,下文将针对这种情况进行分析和说明,并给出相应的预防措施,避免该情况的发生。
3  AP离线下装存在的风险及控制方案
3.1  AP离线下装存在的风险
在离线下装的过程中会出现以下的风险:
1)对于逻辑量而言,原为1的变量,其过程中会变为0;对于原为0的变量,不会变化,不会产生影响。
2)对于RS 触发器、SELECT 模块、KG 模块,都存在离线下装后,自动复位输出。
reactor软件3)对于模拟量而言,所有显示值将会变为0,底限将会被触发。
4)离线下装过程约持续10分多钟,重启后变量先取默认值,再取实际值,下装过程中变量的变化可能会反复几次。
5)在下装过程中,在AP 中进行处理的显示点在KIC 上全部无效,在该AP 中处理的报警信号可能触发。
3.2  AP离线下装风险分析包络原则
清单1:AP 内涉及信号的非安全级执行器清单,包括FUM 卡件驱动的设备清单。
清单2:AP 内涉及信号的安全级执行器清单,包括AV42E 卡件驱动的设备清单。
清单3:AP 内涉及信号的网络信号清单,包括通过网络送出网络信号的设备清单。
清单4:AP 内涉及信号的硬接线信号清单,包括通过机柜送出硬接线信号的设备清单。
清单5:AP 内涉及信号的CG 信号清单,包括AP 送至PICS 的CG/GC 成组设备带记忆特点设备清单。
清单6:AP 内涉及信号的RG 信号清单,包括AP 送至PICS 的RG 设定值带记忆特点设备清单。
清单7:AP 内涉及信号的RS 触发器信号清单,包括AP 内RSR/RSS 带记忆特点设备清单。
3.3  AP离线下装风险控制方案
针对风险分析包络的每个清单,采取的风险控制方案如下:
1)对于AP 内涉及信号的非安全级执行器清单:如存在信号翻转风险则在FUM 卡件的下游进行指令线解线或由
苏 正·SPPA-T2000系统AP离线分析及风险处理方案
第07期43
运行责任部门执行设备停运拉电隔离。
2)对于AP内涉及信号的安全级执行器清单:如存在信号翻转风险,则在AV42E卡件侧退卡,下游进行指令线解线或由运行责任部门执行设备停运拉电隔离。
3)对于AP送出的网络信号清单:进行逐项风险分析,如信号存在翻转风险,则在下游AP进行信号强制。
4)对于AP送出的硬接线AO/BO信号清单:进行逐项风险分析,如信号翻转风险,则进行接线或在下游AP进行信号强制。
5)对于AP内涉及信号的CG信号清单:在进行AP 离线下装前,当班运行人员记录离线前CG/GC的初始选择状态,AP离线下装完成后,运行人员根据机组当前运行状态以及AP离线下装前记录的选择状态,综合判断是否需要恢复初始状态选择。
6)对于AP内涉及信号的RG信号清单:在进行AP 离线下装前,当班运行人员记录离线前RG的初始选择状态,AP离线下装完成后,运行人员根据机组当前运行状态以及AP离线下装前记录的状态,综合判断是否需要恢复初始状态设置值。
7)于AP内涉及信号的RS触发器信号清单:在进行AP离线下装前,仪控人员记录离线前RG的初始选择
状态,AP离线下装完成后,仪控人员根据机组当前运行状态以及AP离线下装前记录的状态,综合判断是否需要恢复初始的触发状态。
另外,由于AP离线下装期间,涉及到部分设备的停运或自动功能不可用,可能存在OTS(运行技术规范要求)要求,需要安工(核电站安全工程师)进行独立审核,并执行缓解措施,如受影响列设备切换至备用列运行,主控控制切换至就地控制等。
4  AP离线下装的原因分析及预防措施
4.1  AP离线下装的原因分析
通过工程实践以及与SIEMENS澄清,AP离线下装的原因可分为两类:
1)与AP CPU在线运行逻辑冲突,下装将导致设备非预期动作
AP功能模块的运算周期从无周期时间要求改为周期运算,或AP功能模块从周期运算改为无周期时间要求。将导致无法在线下装,只能离线下装。
AP多个功能模块打包(Package)在一个运算周期执行,只改变该包中一部分功能块的运算周期,另一部分运行周期保持不变。将导致无法在线下装,只能离线下装。
AP功能模块的软件运算周期和硬件运算周期不一致,改为软硬件运算周期一致。将导致无法在线下装,只能离线下装。
AP功能模块的软件运算周期和硬件运算周期一致,改为软硬件运算周期不一致。将导致无法在线下装,只能离线下装。
AP功能包(Package)中只能最后一个模拟量功能块,删除掉该模拟量功能块。将导致无法在线下装,只能离线下装。
AP功能包(Package)中没有模拟量功能块,往该功能包中增加模拟量功能块。将导致无法在线下装,只能离线下装。
AP功能包(Package)中存储的模拟量功能块最大编号为127,每次往该功能包中增加模拟量模块时,最大编号将增加1,但删除模拟量时,最大编号保持不变。当模拟量模块最大编号达到127,将导致无法在线下装,只能离线下装。
AP硬件中增加或删除一个或多个机架,将导致无法在线下装,只能离线下装。
AP相同功能位置的FUM卡件,进行了不同类型的更换,将导致无法在线下装,只能离线下装。
AP-AP之间只有单向连接,增加相反连接。在线下装无法生效,只能离线下装。
2)AP资源池正向使用耗尽
AP-AP之间的最大连接数为32条,超过该连接数将无法在线下装,需删除部分原有AP-AP连接后增加新AP-AP连接,然后再进行离线下装。
AP的数据块资源池(Resource Pool of Data blocks)最大为152,数量超过152。只能清空AP后再次编译,并进行离线下装。
AP的时间资源块FB timers(750)、Step timers(230),时间块资源使用数超过任一个的最大值。只能清空AP后再次编译,并进行离线下装。
4.2  避免非必要AP离线下装的预防措施
1)逻辑修改前进行规则分析:分析修改方案是否与AP在线下装的规则冲突,详细见4.1的第1)部分,如逻辑修改将导致AP离线下装,可反馈设计方,在不改变逻辑功能情况下,重新调整AP资源分配,使得AP可以在线下装。
2)AP编译前后的设备代码结构变化分析:通过搭建和现场一致的离线组态平台,编写脚本,抓取逻辑修改前、后AP中设备代码的结构,以及逻辑修改前后的AP资源使用情况。如资源分配不合理导致AP离线,可反馈设计方,在不改变逻辑功能情况下,重新调整AP资源分配,使得AP可以在线下装。
5  结束语
在T2000系统AP故障的分类中,相比于其它类型的AP故障,故障导致AP离线下装给核电站造成的影响大、范围广,处理不当容易造成设备误动,严重会造成电站降功率或停机、停堆,造成重大经济损失。本文选取对电站调试和运行过程中影响范围最大的AP离线下装工作,给
下转108页

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。