PMS設(shè)備誤觸發(fā)風(fēng)險(xiǎn)控制分析

付智琦

（三門(mén)核電有限公司 維修處，浙江 三門(mén) 317112）

0 引言

三門(mén)核電站的保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）基于全數(shù)字化的Common Q 平臺(tái)進(jìn)行搭建。在PMS 響應(yīng)時(shí)間測(cè)試階段，考慮PMS 系統(tǒng)調(diào)試滯后而相關(guān)工藝或儀控系統(tǒng)已處于運(yùn)行狀態(tài)，同時(shí)PMS 響應(yīng)時(shí)間產(chǎn)生的設(shè)備觸發(fā)信號(hào)非常多且這些信號(hào)會(huì)通過(guò)硬軟件傳入其它相關(guān)接口系統(tǒng)，目前西屋對(duì)試驗(yàn)產(chǎn)生的設(shè)備觸發(fā)控制考慮非常少，對(duì)調(diào)試期間人員、設(shè)備安全提出了挑戰(zhàn)。

1 響應(yīng)時(shí)間測(cè)試方法分析

1.1 PMS結(jié)構(gòu)特點(diǎn)分析

PMS 系統(tǒng)布置4 個(gè)序列，每個(gè)序列采取相同的硬件配置，機(jī)架之間的功能相對(duì)獨(dú)立，這為分段開(kāi)展響應(yīng)時(shí)間測(cè)試打下了基礎(chǔ)。在功能上，現(xiàn)場(chǎng)傳感器的輸入信號(hào)，經(jīng)過(guò)雙穩(wěn)態(tài)表決后，通過(guò)HSL（高速數(shù)據(jù)鏈）輸出至本序列和其他冗余序列進(jìn)行表決后，將產(chǎn)生停堆信號(hào)和專(zhuān)設(shè)安全設(shè)施觸發(fā)信號(hào)。

結(jié)合PMS 的結(jié)構(gòu)及功能，需要考慮試驗(yàn)風(fēng)險(xiǎn)，以避免設(shè)備的誤觸發(fā)造成人員和設(shè)備的傷害、損害。

1.2 響應(yīng)時(shí)間調(diào)試方法分析

1.2.1 調(diào)試策略

響應(yīng)時(shí)間測(cè)試采用分段交疊的測(cè)試方法進(jìn)行[1]，其驗(yàn)證目的是保證測(cè)試結(jié)果在安全分析報(bào)告以及系統(tǒng)設(shè)計(jì)規(guī)范所給出的限值之內(nèi)。測(cè)試分成現(xiàn)場(chǎng)儀表、系統(tǒng)機(jī)架、控制設(shè)備3 段進(jìn)行，本文主要針對(duì)系統(tǒng)機(jī)架響應(yīng)時(shí)間進(jìn)行分析。

1.2.2 實(shí)施方案

在PMS 響應(yīng)時(shí)間調(diào)試時(shí)，主要分為以下幾個(gè)步驟進(jìn)行：

1）初始狀態(tài)建立

在PMS 響應(yīng)時(shí)間調(diào)試時(shí)，首先將PMS 系統(tǒng)上下游儀表、設(shè)備信號(hào)斷開(kāi)，改用測(cè)試小車(chē)（SIOS）與PMS 機(jī)柜連接，建立試驗(yàn)初始條件。

2）通道響應(yīng)時(shí)間測(cè)量

模擬本通道信號(hào)觸發(fā)到CIM 發(fā)出指令的時(shí)間。

2 設(shè)備誤觸發(fā)控制分析

考慮PMS 系統(tǒng)響應(yīng)時(shí)間測(cè)試時(shí)會(huì)導(dǎo)致4 個(gè)序列同時(shí)產(chǎn)生觸發(fā)信號(hào)且PMS 的接口儀控系統(tǒng)比較多，這會(huì)導(dǎo)致大量設(shè)備動(dòng)作信號(hào)，這些觸發(fā)信號(hào)必須加以有效分析并制定控制措施。

2.1 PMS設(shè)備觸發(fā)風(fēng)險(xiǎn)分析

2.1.1 信號(hào)丟失

PMS 響應(yīng)時(shí)間調(diào)試時(shí)使用SIOS 模擬進(jìn)入PMS 系統(tǒng)的信號(hào)，同時(shí)需要使用數(shù)據(jù)記錄儀記錄專(zhuān)設(shè)通道響應(yīng)時(shí)間，需要斷開(kāi)傳感器與雙穩(wěn)態(tài)邏輯處理機(jī)柜以及設(shè)備接口模塊與PMS 控制的設(shè)備之間的連接，從而導(dǎo)致PMS 系統(tǒng)失去傳感器指令信號(hào)，PMS 控制設(shè)備失去PMS 系統(tǒng)指令信號(hào)。

1）傳感器信號(hào)丟失

問(wèn)題分析：

PMS 系統(tǒng)通過(guò)相應(yīng)的模擬量輸入卡件接收現(xiàn)場(chǎng)的變送器輸入號(hào)[1]，當(dāng)斷開(kāi)變送器與PMS 機(jī)柜連接時(shí)，電壓及脈沖信號(hào)不會(huì)產(chǎn)生停堆信號(hào)，但會(huì)達(dá)到低設(shè)定值而導(dǎo)致專(zhuān)設(shè)信號(hào)的觸發(fā)，而電流和電阻信號(hào)的斷開(kāi)會(huì)產(chǎn)生壞點(diǎn)，這兩種信號(hào)均會(huì)導(dǎo)致該序列產(chǎn)生一個(gè)局部停堆信號(hào)，這時(shí)若另外一個(gè)序列同一AI688 通道也有壞點(diǎn)或局部停堆信號(hào)時(shí)，這兩個(gè)停堆信號(hào)經(jīng)過(guò)4 取2 邏輯表決后產(chǎn)生停堆信號(hào)。

控制措施：

考慮在初始條件中已將所有的停堆斷路器會(huì)被打開(kāi)，同時(shí)CIM 會(huì)打到LOCAL 位置，此時(shí)只需要在SIOS 連接PMS 系統(tǒng)并模擬正常的電廠值后，通過(guò)主控室復(fù)位連接過(guò)程中產(chǎn)生的停堆和專(zhuān)設(shè)閉鎖信號(hào)即可。

2）設(shè)備指令信號(hào)丟失

問(wèn)題分析：

試驗(yàn)時(shí)需斷開(kāi)CIM 指令與現(xiàn)場(chǎng)設(shè)備的連接，并將數(shù)據(jù)記錄儀接入CIM 指令輸出端，這時(shí)PMS 控制設(shè)備會(huì)由于指令丟失而誤觸發(fā)。

氣動(dòng)閥的電磁閥失去PMS 指令時(shí)，電磁閥失電導(dǎo)致氣源管線中的氣體向大氣排放，使得氣動(dòng)閥向安全方向動(dòng)作。

斷路器通過(guò)控制電源去驅(qū)動(dòng)或停止最終設(shè)備的運(yùn)行。當(dāng)保護(hù)系統(tǒng)觸發(fā)安全功能時(shí)，CIM 為并聯(lián)跳閘線圈（得電動(dòng)作）提供電源使得斷路器跳閘。

電動(dòng)閥正常運(yùn)行時(shí)CIM 無(wú)指令輸出至電動(dòng)閥，失去CIM 指令后，電動(dòng)閥不會(huì)動(dòng)作。

爆破閥需要不同機(jī)柜中的兩個(gè)CIM 進(jìn)行觸發(fā)才能驅(qū)動(dòng)，（其中第一個(gè)CIM 輸出信號(hào)用于爆破閥充電回路的控制，另一個(gè)CIM 用于爆破閥點(diǎn)火回路的觸發(fā)，且必須先完成充電并在規(guī)定的時(shí)間內(nèi)觸發(fā)點(diǎn)火才能驅(qū)動(dòng)爆破閥）[2]，因此不會(huì)導(dǎo)致爆破閥的誤動(dòng)作。

控制措施：

對(duì)氣動(dòng)閥分兩種情況考慮，當(dāng)相應(yīng)的閥門(mén)有手動(dòng)旋鈕操作時(shí)，可使用手動(dòng)旋鈕將閥門(mén)鎖死，沒(méi)有手動(dòng)旋鈕時(shí)需要對(duì)相應(yīng)的設(shè)備上游/下游閥門(mén)進(jìn)行隔離，待PMS 試驗(yàn)結(jié)束后再恢復(fù)接線及上/下游閥門(mén)位置。

2.1.2 CIM誤觸發(fā)

在專(zhuān)設(shè)響應(yīng)時(shí)間測(cè)量結(jié)束后，當(dāng)現(xiàn)場(chǎng)傳感器恢復(fù)到正常狀態(tài)時(shí)，對(duì)于電動(dòng)閥來(lái)說(shuō)則必須接收到電動(dòng)閥的力矩開(kāi)關(guān)反饋信號(hào)才能消除CIM 的輸出指令，這會(huì)產(chǎn)生以下兩點(diǎn)影響：

1）響應(yīng)時(shí)間無(wú)法測(cè)量。在本通道中CIM 的輸出指令不被消除，那么在其它通道的響應(yīng)時(shí)間測(cè)量時(shí)，由于CIM設(shè)備已存在觸發(fā)指令，導(dǎo)致響應(yīng)時(shí)間無(wú)法測(cè)量。

2）觸發(fā)其它設(shè)備。在響應(yīng)時(shí)間測(cè)量試驗(yàn)完成后或配合工藝系統(tǒng)調(diào)試，需要將CIM 與現(xiàn)場(chǎng)設(shè)備連接，在連接的過(guò)程中由于存在CIM 輸出控制指令會(huì)導(dǎo)致現(xiàn)場(chǎng)設(shè)備的誤觸發(fā)。

控制措施：

現(xiàn)場(chǎng)恢復(fù)正常時(shí)，PMS 系統(tǒng)上層觸發(fā)指令已消除，但CIM 上的指令由于RS 觸發(fā)器自保持功能而一直存在，此時(shí)需要撥動(dòng)CIM 模塊上的STOP 按鈕，消除觸發(fā)指令后再將CIM 置于需求位置。

2.2 接口儀控系統(tǒng)設(shè)備誤觸發(fā)

對(duì)于PLS 系統(tǒng)而言，PMS 響應(yīng)時(shí)間調(diào)試期間所產(chǎn)生的信號(hào)會(huì)通過(guò)以下兩種接口傳入PLS 系統(tǒng)中，導(dǎo)致相關(guān)系統(tǒng)設(shè)備觸發(fā)。

2.2.1 共享傳感器信號(hào)

PMS 接收現(xiàn)場(chǎng)1E 級(jí)傳感器信號(hào)并將這些信號(hào)通過(guò)TU共享、隔離器傳輸給PLS 系統(tǒng)。

控制措施：

從PMS 側(cè)和PLS 側(cè)各有一種方法進(jìn)行控制。

方法一：從PMS TU 側(cè)斷開(kāi)這些信號(hào)與PLS 側(cè)連接。斷開(kāi)后PLS 側(cè)將收到0 mA 信號(hào)，這些信號(hào)在PLS 側(cè)會(huì)被標(biāo)記為壞點(diǎn)信號(hào)。PLS 側(cè)會(huì)忽略接收到的1 個(gè)或2 個(gè)壞點(diǎn)信號(hào)，不影響PLS 的自動(dòng)控制功能，但對(duì)于3 個(gè)以上的壞點(diǎn)產(chǎn)生時(shí)，受此信號(hào)控制的設(shè)備會(huì)自動(dòng)切換成手動(dòng)模式，不會(huì)導(dǎo)致設(shè)備的誤觸發(fā)。

方法二：在PLS 側(cè)通過(guò)軟件強(qiáng)制的方式來(lái)強(qiáng)制這些點(diǎn)信號(hào)輸出。

兩種方法相比較而言，從PLS 側(cè)強(qiáng)制正常信號(hào)后，PMS 側(cè)信號(hào)狀態(tài)無(wú)論怎樣改變均不影響PLS 側(cè)信號(hào)的變化，而從PMS 側(cè)斷開(kāi)信號(hào)后則可能會(huì)導(dǎo)致設(shè)備切手動(dòng)的情況出現(xiàn)，因此本著對(duì)系統(tǒng)影響最小的角度出發(fā)，優(yōu)先考慮從PLS 側(cè)軟件強(qiáng)制。

圖1 消除設(shè)備誤觸發(fā)流程圖Fig.1 Flow chart of eliminating false triggering of equipment

2.2.2 集成通信處理器（ICP）傳輸

在PMS 系統(tǒng)中的維修和測(cè)試機(jī)柜ICP 中，經(jīng)PMS 系統(tǒng)處理產(chǎn)生的信號(hào)會(huì)經(jīng)過(guò)ICP 中輸出模塊傳入相應(yīng)的PLS 系統(tǒng)中參與設(shè)備控制。

控制措施：

設(shè)備誤觸發(fā)從PMS 和PLS 側(cè)都可以加以控制，對(duì)PMS而言AO650 輸出為4mA ～20mA 信號(hào)，當(dāng)斷開(kāi)TU 與PLS側(cè)連接時(shí)，PLS 側(cè)模擬量接收卡件會(huì)將此信號(hào)標(biāo)記為壞點(diǎn)并忽略，DO620 輸出0V ～10V 電壓信號(hào)，在正常情況下DO620 輸出到PLS 信號(hào)為0，因此斷開(kāi)DO620 輸出0 指令不會(huì)對(duì)PLS 側(cè)造成影響。在PLS 側(cè)只需要找出相應(yīng)的點(diǎn)加以強(qiáng)制就可以。

2.2.3 DDS側(cè)設(shè)備觸發(fā)

不同的模擬傳感器輸入信號(hào)經(jīng)PMS A/D 轉(zhuǎn)換計(jì)算后，以及PMS 系統(tǒng)狀態(tài)信號(hào)要求在其它子系統(tǒng)中報(bào)警、顯示并參與控制。數(shù)據(jù)顯示和處理系統(tǒng)（DDS）通過(guò)電廠實(shí)時(shí)數(shù)據(jù)網(wǎng)實(shí)現(xiàn)不同的儀控子系統(tǒng)之間的數(shù)據(jù)共享。實(shí)時(shí)數(shù)據(jù)網(wǎng)根據(jù)需要將PMS 數(shù)據(jù)發(fā)送至其它子系統(tǒng)，盡可能減少非1E級(jí)設(shè)備與PMS 機(jī)柜之間不必要的連接。

DDS 通過(guò)安全級(jí)儀控系統(tǒng)的維修與測(cè)試機(jī)柜（MTC）上的網(wǎng)關(guān)接口接收來(lái)自PMS 的信號(hào)。每個(gè)序列的MTP 配置一個(gè)內(nèi)置光纖發(fā)送器（FOT）的節(jié)點(diǎn)盒將數(shù)據(jù)發(fā)送至DDS。DDS 機(jī)柜內(nèi)的服務(wù)器將數(shù)據(jù)轉(zhuǎn)換后，通過(guò)DDS 實(shí)時(shí)數(shù)據(jù)網(wǎng)絡(luò)傳入其它系統(tǒng)。

控制措施：

對(duì)于PMS 經(jīng)AOI 模塊傳入DDS/PLS 的計(jì)算機(jī)點(diǎn)控制信號(hào)（62 個(gè)PXS、RNS、SGS 等設(shè)備控制信號(hào)），需要進(jìn)行有效的控制、隔離以防止PLS 設(shè)備的誤觸發(fā)。目前主要有兩種方案進(jìn)行控制：

方案一：解線。斷開(kāi)PMS 與DDS 之間的4 根光纖連接線。

方案二：強(qiáng)制計(jì)算機(jī)點(diǎn)的值。在OVATION 工程師站利用軟件強(qiáng)制閉鎖計(jì)算機(jī)控制點(diǎn)。

采用方案二雖然不如方案一直接，但不會(huì)導(dǎo)致報(bào)警丟失及設(shè)備的誤觸發(fā)，因此采用方案二控制計(jì)算機(jī)控制點(diǎn)對(duì)PLS 設(shè)備的影響。

綜上所述，在PMS 響應(yīng)時(shí)間測(cè)試階段，PMS 系統(tǒng)內(nèi)部主要采用手動(dòng)復(fù)位、就地隔離的方式來(lái)消除設(shè)備誤觸發(fā)，而對(duì)于PMS 傳輸?shù)狡渌鼉x控間的信號(hào)采取軟件強(qiáng)制的方法比從PMS 側(cè)解線，從設(shè)備影響的最小化來(lái)說(shuō)更加合適。

3 消除設(shè)備誤觸發(fā)流程

通過(guò)對(duì)PMS 響應(yīng)時(shí)間測(cè)試過(guò)程中的設(shè)備誤觸發(fā)進(jìn)行分析，建立以下的流程以消除設(shè)備的誤觸發(fā)如圖1 所示，PMS 響應(yīng)時(shí)間測(cè)試設(shè)備誤觸發(fā)主要是對(duì)儀控間系統(tǒng)以及現(xiàn)場(chǎng)工藝設(shè)備采取與外部隔離內(nèi)部強(qiáng)制的方式加以消除，需要指出的是在消除設(shè)備誤觸發(fā)時(shí)需要遵循由外往內(nèi)，從上至下的順序執(zhí)行，即先對(duì)PMS 與PLS、DDS、工藝系統(tǒng)等設(shè)備進(jìn)行隔離，這樣做的目的是防止在執(zhí)行停堆斷路器打開(kāi)、CIM 與現(xiàn)場(chǎng)設(shè)備斷開(kāi)時(shí)所產(chǎn)生的觸發(fā)信號(hào)傳入其它系統(tǒng)，造成設(shè)備的誤觸發(fā)，后考慮PMS 系統(tǒng)內(nèi)部邏輯及CIM模塊均存在閉鎖邏輯，同時(shí)先從上層消除設(shè)備觸發(fā)信號(hào)，能有效地消除觸發(fā)信號(hào)。

4 小結(jié)

三門(mén)1 號(hào)機(jī)組作為全球首臺(tái)AP1000 機(jī)組，在電站的安裝、調(diào)試、運(yùn)行等方面還需要不斷探索，并為后續(xù)機(jī)組提供良好的經(jīng)驗(yàn)反饋。本文通過(guò)現(xiàn)階段PMS 響應(yīng)時(shí)間測(cè)試方法的分析，指出了測(cè)試過(guò)程中的設(shè)備觸發(fā)風(fēng)險(xiǎn)并給出了控制方式，消除了設(shè)備觸發(fā)風(fēng)險(xiǎn)，對(duì)機(jī)組的后續(xù)定期試驗(yàn)以及維修試驗(yàn)方法的確定也具有借鑒意義。