關于安全級平臺兩系不一致報警的分析

白杰，姚興瑞，王博（遼寧紅沿河核電有限公司，遼寧 大連 116319）

關于安全級平臺兩系不一致報警的分析

白杰，姚興瑞，王博（遼寧紅沿河核電有限公司，遼寧 大連 116319）

隨著國內核電開發的大繁榮，關于電站安全級控制系統，國內引入了幾家有資質的廠家。國內某核電站安全級DCS系統采用的安全級平臺，為提高設備的可靠性，減小系統故障的概率，該平臺采用雙CPU運行的模式，實際運行中出現了雙系CPU數據不一致情況，該文對于不一致的原因與故障處理做了深入分析。

安全級平臺；兩系不一致；報警

1　引言

為保證安全級DCS系統的可靠性，機組控制平臺用于自動控制的控制機柜CPU有主備冗余和平行冗余兩種配置模式，不同模式CPU在實際應用中各有千秋，確實方便維護、提高了可靠性，但也帶來了一些困擾。某核電機組安全級DCS系統頻繁觸發KCS005KA2（A列KCS機柜故障）、KCS006KA2（B列KCS機柜故障）報警，為運行及維修人員帶來一定影響。為從根本上解決該問題，工作人員對該報警進行了跟蹤，并聯合廠家進行了深入分析，通過仔細排查相關系統邏輯，綜合數據信息查明故障原因。

各類核電控制機柜有自己的CPU冗余模式以及它們的運行周期。平臺控制機柜CPU有兩種最常用運行模式，一種是主備冗余模式，該類模式能夠處理模擬量和數字量信號，兩組CPU同時運行，主CPU向下游輸出信號，備用CPU處于運行狀態，采集輸入信號并運算，不對下游輸出信號，當主CPU出現故障時，備用CPU自動接管控制功能，保證系統正常運行。另一種是平行冗余模式，兩列CPU同時運行，并同時向下游輸出信號，正常情況輸出信號是一致的，該類模式只處理數字量信號。為保證兩類CPU都能長期穩定運行，在設計準則要求其CPU負荷必須低于70%以下。平臺各類機柜的CPU冗余方式和運行周期見表1。

表1 各主要機柜冗余方式和運行周期參數

本文提到觸發KCS005KA2（A列KCS機柜故障）、KCS006KA2（B列KCS機柜故障）報警是SLC機柜相關報警，該機柜兩系CPU為平行冗余布置，CPU為定周期（100ms）運行，正常情況下，兩系CPU分別獨立運行，各自接受DI卡采集的就地信號。

在實際應用當中，工藝系統由于各種原因出現觸發時間極短的現場信號，當該信號的持續時間小于CPU采集周期（100ms）時，就有可能出現兩系CPU采集數據不一致的情況。其中一系CPU采集到了就地設備的跳變情況，另一系未采集到該跳變，這樣會導致兩系CPU的實際組態出現不一致的情況，結合組態邏輯中的一些信號保持模塊（如延時模塊、RS觸發器、自保持回路等），原本閃發時間極短的信號就被該保持邏輯保留了下來，但由于另一系CPU一直未采集到該信號，在同樣的邏輯模塊里，得到的計算結果就會完全不一樣，就將造成兩系CPU長時間不一致情況。DCS本身的自診斷功能在每個CPU運行周期里都會自動對比每一個模塊計算結果，當出現兩系CPU計算結果不一致的情況且持續時間超過40s時，就會觸發報警提示運行及維修人員關注。

當工藝系統運行穩定之后，CPU經過若干個周期的采集、計算，兩系CPU的不一致計算結果逐漸恢復一致，此時觸發兩系不一致的報警原因消失，CPU功能恢復正常。下面通過實例分析兩系CPU不一致的觸發原理。

2　ON延遲不一致

當輸入一個小于運行周期的“ON”信號時，如果只有一個CPU讀取到該信號時，這時就會出現兩個CPU不一致現象，在過了延時模塊設定的延時時間后，這種不一致的情況就會消失。信號形成原理見圖1。

圖1 ON延遲不一致

3　OFF延遲不一致

當輸入一個小于運行周期的“OFF”信號時，如果只有一個CPU讀取到該信號時，這時就會出現兩個CPU不一致現象，在經過了延時模塊設定的延時時間后，這種不一致的情況就會消失。信號形成原理見圖2。

圖2 OFF延遲不一致

4　RS觸發器

當輸入一個小于運行周期的脈沖信號時，如果只有一個CPU讀取到該信號時，就會出現兩個CPU不一致現象，在RS觸發器的復位信號變為“ON”后，這種不一致的情況就會消失。信號形成原理見圖3。

圖3 RS觸發器不一致

根據平行冗余CPU的自診斷機制，當兩系CPU內部組態不一致時間超過40s時，就會觸發KCS005/6KA2報警。當組態內存在延時邏輯，采集到跳變信號的CPU保持了跳變觸發的邏輯，未采集到跳變信號的CPU保持正常狀態，延時邏輯的設定時間大于40s，兩系不一致時間超過40s后，觸發報警。

兩系不一致報警觸發的初期，由于導致兩系不一致的工況觸發時間極短且經過若干CPU運行周期后報警自動復位，因此，定位該報警觸發的根本原因帶來了一定的困難。工作人員經過對觸發報警時的運行操作、系統設備在線的狀態以及CPU內可能觸發該報警的相關邏輯進行分析，最后定位到了觸發不一致報警的根源是重要廠用水系統的某壓力開關，由于海水水質較差，導致儀表管線堵塞，從而形成了開關閃發的機制，并最終導致CPU的異常狀態。

5　可采取的處理措施

（1）工藝系統頻發閃發壓差高信號是導致CPU采集不一致的根本原因，如能改善海水水質或壓力開關的響應速度，可以改善CPU的采集狀態，解決兩系不一致的問題。但該方案對于已經成型的工藝系統缺乏可操作性，實際上很難實現。

（2）改善CPU的采集能力，使CPU具備采集閃發信號的能力，且保證兩系CPU均能采集到相關的系統狀態，比如通過提高CPU的采集頻率、改善DI對于閃發信號的處理機制等。但由于CPU負荷的限制、DI卡改造周期較長等原因，該方案無法滿足現場處理問題的時間要求。

（3）在DI采集模塊后面增加適當的延時模塊，通過延時模塊過濾一定時間內的閃發信號，這樣可以解決到大多數的閃發信號，且對系統功能影響較小，具備較好的實際應用。在實際工程中，增加0.5秒的延時模塊，對于閃發時間小于0.5秒的信號，兩系CPU均不采集，起到了濾波的作用，減少閃發信號對于DCS的影響，解決報警閃發的問題。

6　結論

綜合考慮以上三個方案的優缺點，最終采用了第三套方案，安排合適的改造工期對該組態邏輯增加濾波處理，過濾掉不可信信號，報警消除，避免出現相關報警對運行人員判斷設備狀態產生干擾，有效地保障了機組的安全和穩定運行。

The Analysis of Alarm Disaccord of Two CPUs on Safety Control System

With the development of nuclear power stations in China, many kinds of safety control systems have been applied in nuclear power stations. One plant uses one safety system. To improve the reliability of facility and reduce the probability of facility failures, the system is equipped with two CPUs which run at the same time. Sometimes two CPUs give different data. This article discusses the reason of disaccord and the way to repair the failures.

Safety control system; The disaccord of two CPUs; Alarm

B

1003-0492（2016）05-0100-03

TL362

白杰（1983-），男，四川射洪人，大學本科，工程師，2005年畢業于哈爾濱工程大學核工程與核動力專業，現就職于遼寧紅沿河核電有限公司，從事安全級DCS控制系統維保工作。

姚興瑞（1983-），男，河北邯鄲人，大學本科，工程師，2007年畢業于東北電力大學熱能與動力工程專業，現就職于遼寧紅沿河核電有限公司，從事安全級DCS控制系統維保工作。

王博（1983-），男，甘肅渭源人，大學本科，工程師，2008年畢業于西安電子科技大學軟件工程專業，現就職于遼寧紅沿河核電有限公司，從事安全級DCS控制系統維保工作。