今日頭條
官方微信
官方抖音
資訊頻道1 引言
循環水泵是核電廠的冷源,在華龍一號機組中,設計為2×50%——共計兩臺,每臺承擔50%的負荷。雖然循環水泵不執行核安全功能,但是在核電廠中舉足輕重,任意一臺的停運,都將直接導致核電廠降負荷,降低核電廠的經濟性。一旦兩臺循環水泵在正常運行中誤停運,將導致反應堆停堆,造成重大的經濟損失。
國內某核電站曾經出現了儀控原因導致的非計劃停堆,歸根結底是因為信號分配不合理,以及質量位設置不正確。本文從信號分配的角度,運用DCS信號功能分配的方法,保證冗余功能的獨立性的同時兼顧功能關聯性,提出循環水泵信號分配的原則。
2 循環水泵工藝系統的特點
循環水泵本體由泵、電機、齒輪箱組成,此外還有電動輔助油泵和高壓油泵為齒輪箱提供潤滑油。從保護泵的角度出發,電機、齒輪箱、油系統的故障以及管道上的真空破壞閥打開都會導致循環水泵停運,因此將這些設備的信號都送入到DCS系統中實現設備的保護邏輯。
循環水泵與水路上下游的系統間關系緊密,相互影響,在進行功能分配的時候應該統籌考慮。循環水泵本身也是個龐大的系統,應該將其輔助系統和本體統籌考慮。
3 循環水泵的信號分配原則和方法
循環水泵泵本體測點眾多,再加上其他輔助系統的測點,局限于處理器的處理能力,不能將所有的信號都分配至同一個處理器中,為了避免儀控系統本身故障導致的循環水泵運行狀態異常,則需要根據相關性優先級的高低,來考慮信號分配。循環水泵相關的信號根據相關性,分為幾個層級。
(1)第一層級是直接自動連鎖跳泵的信號和手動跳泵信號。這一層級的信號故障可能直接導致循環水泵跳閘,從而降低電廠可用性,因此第一層級的信號必須和驅動邏輯分配至同一處理器。此外,直接跳泵信號均為冗余信號,為了避免單一卡件故障導致的功能喪失,應將測量同一物理量的冗余信號分配至不同卡件。
(2)第二層級是與循環水泵啟動邏輯相關的信號。這一層級的信號故障將導致循環水泵不能正常啟動,是比較容易發現的,因此第二層級的信號盡量和驅動邏輯分配至同一處理器,避免網絡故障導致的水泵無法啟動。
(3)第三層級是僅作為報警和指示信號。這一層級的信號故障不會對循環水泵的啟停邏輯產生影響,但是如果不能正常顯示則會對操縱員產生困擾,因此第二層級的信號可以不與驅動邏輯分配至同一處理器,但是測量同一物理量的信號應分配至不同卡件,避免同一卡件故障導致的冗余測量信號同時喪失。
基于DCS的I/O分配原則,采用從上到下、從大到小的方法,從幾個方面考慮循環水泵的信號分配,如圖1所示。
圖1 循環水泵的信號分配方法
3.1 循環水泵與其他系統之間的I/O分配原則和方法
循環水泵的啟動過程比較復雜,需要先滿足十余項啟動要求后,才具備啟動條件,而且控制邏輯與多個輔助系統的運行狀態有關系。例如,循環水泵的潤滑油系統、壓縮空氣系統,以及水路的上下游系統。所以應該將循環水相關輔助系統的相關信號與循環水泵的控制邏輯分配至同一個處理器中。
某核電站根據廠址四季溫差明顯的特點,設計成冬季兩泵、夏季三泵的運行模式,同時在每臺泵的出口設置電動閥。這樣設置保證泵與泵之間、泵與電動閥之間都存在信號關聯。電動閥的正確開關,直接影響循環水泵的啟停,錯誤的動作也可能會損壞設備,因此電動閥的控制邏輯必須與循環水泵的控制邏輯分配至同一處理器中。由于DCS處理器點數的限制,同時為了避免循環水泵間共因故障的影響,仍然考慮將三臺循環水泵的控制邏輯分配至不同的處理器中。循環水泵間的切換邏輯同時考慮網絡質量位的設置,沒有特殊要求設置為“保持前一個有效值”,從而避免設備的誤動。
某核電站為了節電,增加了變頻器,變頻器采用就地和遠程控制相結合的方式,DCS根據在不同季節下水溫的變化,對變頻器發出頻率指定信號。變頻器的控制直接決定循環水泵的啟停邏輯,因此將變頻器系統作為循環水泵的一個重要輔助系統,和油系統一樣,變頻器系統的測點和控制邏輯與循環水泵本體的控制邏輯分配至同一處理器中。
3.2 循環水泵之間的I/O分配原則和方法
大部分核電廠循環水泵為2×50%配置,失去一臺循環水泵將導致核電廠降功率,失去兩臺循環水泵將導致停堆。兩臺循環水泵之間沒有連鎖信號,獨立運行。因此,為了避免DCS故障導致兩臺循環水泵同時失去的情況,應該將兩臺循環水泵相關的所有儀表信號和控制邏輯分配至不同的DCS處理器。
某核電廠誤將兩臺水泵的控制邏輯分配至同一個處理器,當出現共因故障,該處理器成為網絡孤島時,錯誤地同時發出兩臺水泵的停泵指令,導致兩臺水泵同時停運,從而造成非正常停堆事故。
3.3 單臺循環水泵信號的I/O分配原則和方法
循環水泵的被測參數較多,并且儀表大量采用3取2配置,使得單臺水泵的相關信號多達一百多個,且多為模擬量。所以盡量把單臺泵相關的測點信號都分配至同一處理器下。
如果因為DCS單個處理器中信號數量的限制,而不能將所有信號分配至同一處理器時,可以將報警指示信號分配至其他處理器中,特別應當注意的是上面提到的第一層級的停泵連鎖邏輯相關的信號必須全都分配至同一機柜中,以避免網絡故障導致處理器之間失聯,從而可能導致的邏輯誤動。重要的聯鎖信號如果因為其他原因不能分配至同一處理器,則必須考慮跨處理器信號的缺省值設置,當網絡故障導致的信號質量位為壞時,設備的驅動邏輯應當綜合考慮運行工況和設備保護的因素,選擇最優的方案。對于循環水泵來說,不應該因為網絡故障而直接跳泵,應設計專門的報警,提醒運行人員關注,由操縱員最終確定設備如何工作。某核電廠的循環水泵停運事件,是將3塊參與停泵聯鎖邏輯的儀表均分配在了不同處理器中,當網絡故障的時候,接收端的處理器認為3塊儀表的信號同時丟失,質量位為壞,但是錯誤地將這三個信號的缺省值設置為觸發邏輯,最終導致3取2復合邏輯觸發停泵信號。
3.4 冗余儀表測點的分配原則和方法
冗余儀表的測量和控制方式,需要在就地儀表側和DCS側兩方面考慮。同時應考慮必要的降級邏輯。
為了避免單一儀表故障導致循環水泵保護信號誤觸發,需要采用復合邏輯,將重要的就地儀表信號設置為3塊,采用3取2邏輯提高設備可用性,既避免了設備誤動,又避免了設備拒動。同時為了讓操縱員更直觀地了解每個信號的實際值,將三塊模擬量儀表信號都直接送入DCS,在DCS內做完閾值比較后,通過3取2復合邏輯觸發停堆保護信號。
在儀表側考慮了冗余,但是如果DCS的I/O卡件故障,同樣可能導致信號誤觸發或不觸發。所以應該將參與3取2邏輯的三個信號分配至三塊不同的模擬量輸入卡件,避免單塊卡件故障導致的三個信號同時喪失。當某一塊卡件出現故障,另外兩個信號仍然是正常的,3取2邏輯從保護設備的角度考慮可以降級成2取1,仍然具有必要的冗余度。
設置3重冗余儀表的同時,需要考慮必要的降級邏輯。降級邏輯要考慮維持運行工況和保護設備兩個方面。鑒于循環水泵在核電廠中的重要性,因此不能隨便停運;循環水泵通常是2×50%配置,一旦設備損壞,短時間內很難修復。在實際運行中,假設不考慮故障疊加的因素,DCS故障和設備同時故障的可能性微乎其微,因此往往傾向于維持運行工況。可以將降級邏輯設計為當一塊儀表故障時降級成2取2;當兩塊儀表故障時降級成1取1;當三塊儀表故障時僅報警,不跳泵。
重要冗余儀表的故障,除了合理的信號分配外,還需要輔以合理的報警邏輯,用以提醒操縱員關注。因此,所有重要的儀表測量通道都應關注質量位的狀態。當單一儀表通道故障時,應觸發報警邏輯,特別是與循環水泵運行狀態相關的重要儀表通道的故障應該觸發工藝報警,提醒運行人員立即關注并解決。
4 結論
采用了從上到下、從大到小的功能分配的方法后,循環水泵的信號分配更加合理,降低了儀控系統本身故障對工藝設備運行的影響。
本文明確了相關冗余設備需要分配至不同的處理器,避免單一處理器故障導致的冗余設備失去監視和控制手段。
本文同時明確了重要的、相關聯的信號需要分配在同一處理器,這樣對于上下游的設備聯鎖關系更加清晰、循環水泵之間的聯鎖關系更加明確,同時大大減少了處理器間傳遞的循環水泵相關的聯鎖信號,降低了DCS網絡故障對系統產生的不利影響。
本文還明確了冗余功能的信號不能分配在同一I/O板卡或者同一處理器,避免了單一儀表故障、單一卡件故障、單一處理器故障造成的循環水泵的誤動作的風險。
作者簡介:
何慶鐳(1981-),男,山西太原人,高級工程師,碩士,現就職于中核集團中國核電工程有限公司,主要從事核電廠儀控系統總體設計。
崔明路(1985-),女,河南鄭州人,高級工程師,碩士,現就職于中核集團中國核電工程有限公司,主要從事核電廠儀控系統總體設計。
摘自《自動化博覽》2021年7月刊
北京市公安局海淀分局備案號:11010802023656號