核電站數字化儀控系統信號質量位應用研究

王剛　趙鯤鵬　李輝

摘 要：目前行業內還未形成針對數字化控制控制系統信號失效情況下質量位應用規范和標準，本文結合CPR1000核電項目建設中出現的實際問題，根據不同安全級別數字化控制系統平臺的設計要求，比較全面分析了數字化儀控系統信號質量位產生、傳遞原則，詳細的論述了核電站數字化控制系統信號質量位在人機界面顯示的方法，分析了信號質量位在核電站保護、控制、調節中的作用，通過規范使用質量位避免信號無效提示泛洪、不恰當使用，通過上述質量位應用研究為提高核電站被控系統穩定安全運行提供經驗以及思考方向，本文的分析適用于所有數字化控制系統，可以進行推廣和應用。

關鍵詞：質量位 數字化 失效 DCS 核電站

中圖分類號：TL362 文獻標識碼：A 文章編號：1674-098X（2019）04（a）-0016-07

Abstract：At present， there is no code and standard for application of signal quality bit in digital control system， this paper combines the practical problem in the construction of CPR1000 unclear power project and analyses the principle of signal of signal quality bit generation and transmission in digital control system according to different safety level digital system platform design requirement， in this paper， the display method of signal quality bit in man-machine interface of digital control system of nuclear power plant is discussed in detail， this paper also evaluate the role of signal quality bit in protection、control and regulation function. Avoid improper use of invalid signal information by normative use signal quality bit， the above signal quality bit application research provides experience and research direction for the safe and stable operation of nuclear power plant system， the research content of this paper is application to all digital control systems and can be popularized and applied.

Key Words：Nuclear power plant；Digital；Invalid；DCS； Nuclear power plant

目前全球在建的核電站普遍采用數字化控制系統（DCS），DCS具有自診斷能力強、可擴展性強、便于修改等特點，自診斷功能的核心要素是要判斷信號是否有效，核電行業相關的標準和技術報告也對自診斷提出了相關要求和約束，例如NRC法規10 CFR50 附件A GDC23要求反應堆保護系統需要設計為故障安全模式；IEC 61513要求應充分地探測故障和錯誤，且提供充分、正確的故障診斷信息；IEC60671要求所有可診斷故障必須上報并通知操縱員和維護人員。DCS信號在控制器底層通過一個固定長度的字符串來傳遞和顯示，信號有效性的判斷可以通過一個特定的字段來表征，這個用來判斷信號有效性的字段通常稱之為質量位，利用DCS自診斷功能所獲取的質量位信息，在工程應用中可以有效處理傳感器、DCS采集卡件失效、網絡故障、控制器故障等帶來控制系統失控、以及顯示不真實等原來模擬系統無法解決的問題。質量位伴隨在每一個信號的產生、傳遞、運算、顯示等各個環節，目前各個廠家（如西門子公司TXP平臺、三菱公司MELTAC、廣利核公司和睦平臺）不同DCS平臺的質量位產生、傳遞以及處理原則和機制并不統一，也沒有特定的法規標準對這部分內容進行規范，因此有必要對質量位應用進行深入剖析，分析其在各產生、傳遞、運算、顯示等各個環節中的原則和機制，進一步規范質量位在DCS中應用，提高核電站的安全性和經濟性。

1 質量位產生分析

DCS自診斷功能是質量位應用和分析的基礎，根據可靠性分析（FMEA）技術識別設備故障模式以及影響，板級自診斷功能設計流程見圖1，在此基礎上進行故障分級，根據故障級別作為故障處理的依據。

通常核電廠儀控系統平臺中將故障級別分為：（1）I/O異常提示（I/O Warning），此類故障發生后，控制站存在部分采集和輸出功能失效；（2）一般故障（Alarm），控制站部分通訊功能失效；（3）嚴重故障（Failure），此類故障發生后對應控制器不可用，在核電站DCS系統中需要重點考慮的自診斷的故障類型和級別主要如表1所示。

對于表1中第2、3、4、5、6項屬于DCS內部故障診斷，在DCS廠家平臺設計中通過信號周期數據更新掃描、或者發送生命監測計時信號等手段完成故障監測和診斷，通過識別關鍵故障等方法，DCS廠家內部自診斷目前均較為完善，對于外部信號異常，往往DCS廠家在設計時并不特別考慮，但實際外部信號異常也會嚴重影響核電站工藝系統穩定性，因此在工程實踐中也極大可能借助平臺特點進行考慮，建議在DCS廠家進行I/O卡件設計時也能進行對外部信號異常如超量程、斷線、虛接、信號變化量大等情況進行考慮并形成規范。

在DCS系統中，均采用標準的輸入模塊采集現場傳感器及變送器傳送的電流、電壓或者電阻信號，如4～20mA電流信號、1～5V電壓信號等，經過輸入模塊的濾波等信號調理電路后進行A/D轉換，將模擬量信號離散、量化處理后進行編碼，最后通過IO總線將信號送到CPU進行處理，如圖2所示。

下面將根據工程實踐經驗重點分析和說明外部信號異常情況下DCS應如何診斷故障。當現場傳感器、變送器故障送出的電流值超量程或者掉線、短路時送入輸入模塊（AI卡）標準的輸入信號將可能發生明顯變化，而目前DCS對模擬量輸入的診斷也正是利用了這個特點。如4～20mA標準電流信號在斷線的情況下輸入到AI卡件的信號將突變為0mA，在短路的情況下輸入到AI卡件的信號將超過20mA。對于3線制或者4線制熱電阻斷線或者短路的情況，根據卡件設計原理不同，采集到AI卡件中的信號有所不同，但大部分情況都是超出標準信號范圍的值。

通過模擬熱電阻接入MELTAC熱電阻卡件，如圖3所示，分別斷開1、2電流源對應DCS端子以及3、4電壓源對應DCS端子模擬傳感器掉線工況，實際測試結果如表2所示。

DCS判斷信號輸入的有效性的判斷，即質量位判斷既可以通過軟件也可以通過硬件，一般有下面幾種方法。

（1）超量程硬件的判斷，智能AI卡在對模擬信號AD轉換量化編碼后，詳見圖4，可以通過設置在卡件中比較電路檢查是否編碼在預定的范圍內，根據是否在范圍內將代表質量位判斷的字段的值通過IO總線送到CPU或者通過IO卡件報警進行報警等。

（2）超量程軟件的判斷方法，在IO定義表中，設定模擬量上限和下限，當采集到CPU中的信號范圍超過定義的上限和下限時，將質量位設置為差。在軟件中判斷超量程的優點是可以很方便根據實際工程修改超量程上限或下限。值得注意的是一般AI卡件采集的模擬量信號會有限值，如果超過這個限值，便不能采集傳感器輸入的信號，因此在軟件中設計超量程時，也要關注AI卡件采集范圍，若軟件中設置的超量程限值超過AI卡采集范圍，那么超量程則不會觸發。

（3）超速判斷，通過判斷信號突變來確認信號是否有效。

（4）AI、DI卡件本身的故障也可以通過通訊檢測等手段判斷，從而判斷信號的質量。

2 質量位的傳遞機制

核電站DCS控制著大部分核電站重要設備，現場傳感器、變送器將工藝信號送入DCS，DCS輸入模塊采集到現場信號后，根據本不同的系統邏輯需求，大部分控制功能都需要多個信號進行邏輯組合后最后輸出控制或者顯示，這就帶來了一個問題，一個信號的質量位在經過邏輯組合模塊后將如何傳遞。GB/T 15474-1995中將核電儀控系統按照重要性分為下面根據不同安全級別，1E級、SR級NC級，CPR1000核電中按照不同安全級別所采用DCS平臺也不同，下面根據不同安全級別系統分別進行分析。

2.1 1E、SR級DCS平臺質量位傳遞機制

對于1E、SR級功能邏輯，除了包含降級表決后驅動專設或者停堆斷路器的邏輯外，還存在一些沒有經過表決邏輯的控制顯示邏輯功能，對于質量位經過這些邏輯塊后如何傳遞，目前還沒有標準、規范要求，理論上每個邏輯塊都可以開發出經過該邏輯塊后是否保留質量位的功能，另外一些DCS組態平臺還可以實現根據該邏輯塊功能相適應的質量位保留與否的判斷機制，進行自動判斷。

但是對于1E級系統平臺，根據IEC 61226-2009要求，需采用簡單的邏輯設計方法減輕最終功能性的V&V過程，避免用不相關低級別的功能在1E級系統實現。如特定的顯示計算以及通訊不應該在安全系統的軟件中實現。IAEA NS-G-1.1要求軟件設計須具備簡明性，應當證明無論在系統的功能方面還是在其實現方面都已避免出現一切不必要的復雜性。對于基于計算機的系統的各種應用而言，自頂向下的分解、多層次的抽象和模塊結構，是應付不可避免的復雜性所帶來的問題的重要思路。在設計系統模塊時，應當在復雜的算法中選擇較簡單的算法，不應為實現并不需要的性能而犧牲簡明性，本文認為如果需要開發質量位篩選功能則需要按照IEC60880以及IEEE Std. 1012或相關標準要求嚴格進行軟件開發設計以及V&V驗證，只有充分的按照安全級平臺軟件設計流程設計以及驗證和確認才可以得到認可。以日本三菱MELTAC N-PLUS平臺為例，MELTAC平臺軟件組態邏輯塊并沒有對質量位進行判斷篩選的機制，如圖5所示，安全級保護系統邏輯包含了大量的邏輯塊，這些邏輯塊如果都進行質量位判斷，將大大增加邏輯的復雜性。

當傳感器故障時，MELTAC平臺中和該傳感器參與的所有邏輯輸出信號均含有質量位差信息，并向下游邏輯蔓延，如圖6藍色信號線所示，按照上面所述，如果將質量位信息顯示到操縱員站上面，那么將有大量的信號顯示不可信，這將對操縱員判斷產生極大的干擾，從而影響了核電站安全穩定運行，下文將重點說明該問題的處理原則。

2.2 NC級DCS平臺質量位傳遞機制

NC-DCS平臺質量位產生和傳遞原來和安全級類似，目前各個廠家NC-DCS功能相對比較強大并且易于開發和修改，針對質量位經過不同邏輯塊的傳遞機制，各個廠家均有各自機制，在實際工程應用中需要結合工藝系統控制、顯示要求進行評價是否使用，在實際工程實踐中推薦一下方法作為質量位傳遞設計依據：

（1）信號采集后直接做顯示和報警，帶信號質量位；

（2）信號采集后參與表決邏輯運算，輸出結果需帶運算后的綜合質量位；

（3）參與單信號的運算（如取反，開方，指數等）且結果做顯示報警需帶信號質量位，且信號質量位源點的信號質量；

（4）參與其他邏輯運算，則運算的結果不帶信號質量（除特別要求外），由于NC平臺的質量位判斷傳遞的機制理論上完全可以通過模塊本身進行判斷計算和篩選。這就要求在組態模塊開發過程中對該模塊的輸入功能有詳細完整的判斷。并通過工程測試驗證，這也是本文建議的一個重要研究目標。當NC平臺對于質量位的判斷形成成熟的方法和工程應用后，安全級平臺則可以考慮引入該方法，當然在引入的過程中需要進行嚴格的軟件設計質量控制以及V&V工作方可滿足標準法規。

3 信號質量位在系統保護、控制及其顯示應用分析

3.1 保護功能應用分析

1E級保護功能邏輯中，為了滿足系統可用性、降低保護系統誤動率和拒動率，對于重要工藝參數通常設計多路傳感器，并考慮了重要傳感器失效后邏輯的降級方式，如4取2、3取2表決降級。另外對于一些多個傳感器組合復雜的邏輯，如汽水失配等，保護系統需求規格書中也一般會說明傳感器失效后如何通過設計到的降級退化模型進行降級。

以4取2表決邏輯為例，在實際保護系統實現中，通過判斷傳感器有效性，獲取傳感器輸入質量位信息，如圖6中的B1，B2，B3，B4信號，參與到降級邏輯中，從而實現保護系統的降級控制，可見質量位在系統保護功能中有極為重要作用。

當用于表決邏輯的相關傳感器失效后，其最終的輸出的控制結果、保護動作是設計時預料的結果，因此該動作對應的報警和顯示的質量應是可信的，對應的報警顯示、畫面顯示應該不需要特殊處理，即相關表決后的信號依然可信，其失效后質量位不應傳遞到表決邏輯的下游以及操縱員站，否則可能誤導操縱員該保護動作的真實性，以MELTAC平臺為例，根據MELTAC平臺質量位傳遞原則，如不經過特殊處理，經過表決后的信號依然帶有質量位信號，如果這部分信息提示給操縱員，將造成操縱員的誤判。

在MELTAC平臺信號需要通過NC級網關才能送往操縱員站，因此在實際工程應用中在網關側統一將除了源點質量位信息保留外，其他經過邏輯組合的質量位進行剔除，以避免質量位泛洪。由于源點質量位信息將送到操縱員站，實際已經可以將故障源頭進行定位，足以提醒操縱員、檢修人員快速定位故障以及進行適當干預處理。

核電站控制系統由于多樣化的要求以及安全分級的要求，通常含多個DCS平臺，盡管不同DCS平臺質量位傳遞的機制不盡相同，但是質量位信息顯示在主控室操作畫面上時，其代表的含義應該統一、清楚、明了。給操縱員一個確定的提示。即當畫面上的信號質量位差時，在該信號上打出標識，該標識的含義應該在設計文件中明確的定義，保證二層表達的信息和一層實際的狀態一致。

CPR1000核電項目中，當在操作畫面上的信號質量位差時，將會打上紅色邊框，出現紅色邊框的含義是該信號數值已經不可信賴，如一個模擬量斷線后，在二層畫面上的顯示已經不能代表現場的真實情況，DCS檢測出斷線后，產生質量位信息通過傳遞送到2層進行顯示提示。但是工程實際中也發現有些由一層采集的信號經過信號的調理后質量位被剔除掉，如流量信號進行開方處理，這樣如果被剔除后，一層傳感器斷線后，將無法將有效的質量位信息送到二層，不能起到提示操縱員的作用。這樣的情況則需要修正。另外一種情況就是質量位經過任何邏輯塊質量位都向下傳遞，通過上面的論述，有些經過表決邏輯的質量位信息即使是在傳感器失效的情況下，也是有效的，因此如果該質量位顯示在畫面上時，也將誤導操縱員的判斷。因此為了滿足質量位信息在二層操作畫面上的完整、真實的顯示，根據不同的傳遞機制有效的進行處理是非常必要的，必要的傳感器失效信息需要顯示在畫面上提示操縱員，由于傳遞機制造成不必要的質量位信息需要被剔除。

3.2 控制、調節功能應用分析

目前核電站的和機組穩定運行相關的控制、調節功能都在NC級DCS平臺實現，如果利用好DCS可探測傳感器故障，減輕由于傳感器失效等造成機組不穩定運行也是一個需要考慮的重要問題，核電廠大部分閥門、泵等、控制棒等關鍵設備的自動控制都依賴于傳感器所提供數據，傳感器或者DCS內部失效，則很可能造成控制功能喪失，甚至安全事故，從上面已經了解了質量位的產生，在CPU獲取質量位后可以通過觸發設計好缺省值的替代傳感器的輸入而對機組進行控制。但是在缺省值的設計過程中也需要認真分析不同的機組工況選擇設置合適的缺省值以免造成由于采用不真實的現場信號造成的風險，另外還需要制定配套的規程，在機組狀態變化時，缺省值設置如何適應，并盡快的修復故障。CPR1000項目工程實踐中，采用狀態導向的事故處理規程 （ state oriented p rocedure， SOP） 來代替事件導向的事故處理規程 （ event oriented procedure， EOP） ，改善了核電廠處理疊加事故的能力，在缺省值分析過程中已考慮事故工況下的電廠響應。依據缺省值分析結果，對事故處理規程進行了優化，從而提高事故處理規程的運行效率。

4 結語

DCS憑借功能強大、容錯能力強、可診斷、易于維護等特點，其應用在核電項目中使得核電廠的安全性和經濟性均有所提高，充分的利用數字化技術帶來的優勢，是核電DCS應用中非常有價值課題，本文針對DCS自診斷特性，較為全面分析信號質量位在核電DCS產生、傳遞以及在保護系統中應用情況，給出了建設性的應用方案，并在CPR1000，ACPR1000核電工程實際中得到了很好的應用，可以推廣到任何采用數字化控制系統的控制領域，并為建立信號質量位標準化應用方案提供思路和研究方向。

參考文獻

[1] 齊敏，莫昌瑜，謝逸欽，等.基于和睦系統的ACPR1000核電廠反應堆保護系統自診斷[J]. 核動力工程，2018，1（39） ：112-116.

[2] 孟磊，唐麟. 國產DCS在1000MW機組的應用分析及問題處理[J].廣東電力，2014，2（27）：52-55.

[3] 董偉鶴，張嵐，熊科，等.降低核級數字化控制系統中央處理單元負荷的解決方案與應用[J]. 廣東電力，2015，10（28）：30-36.

[4] 劉真，胡立生，白濤. 核電安全級軟件可靠性設計標準要求及方法[J].自動化儀表，2015，11（36）：116-119，122.

[5] 杜慧，王敬軍，孫建朝. 核電非安全級DCS系統信號失效處理方法[J]. 工業控制計算機，2015，8（28）：11-12，14.

[6] 魯晶，胡立生，徐濟鋆. 核電數字化保護系統模擬量輸入卡件的設計[J].微電腦應用，2009，7（25）：12-14.

[7] 彭勇，胡慶楨，吳禮銀，等.可靠性設計在核電廠安全級DCS研制中的應用[J].儀器儀表用戶，2008，4（25）：75-78.