SPPA-T2000系統雙AP故障情況下的控制優化

王學朋

（江蘇核電有限公司 儀控處，江蘇 連云港 222000）

0 引言

田灣核電站二期使用的正常運行控制系統（以下簡稱SPPA-T2000 系統）是基于西門子SPPA-T2000[1]平臺進行開發，用于電站的正常運行控制，屬于典型的集散控制系統。其中，使用TEC4Function[2]（邏輯設計工具）以可視化方式進行邏輯圖組態，使用ES680[3]（儀控工程師站）進行網絡結構搭建和硬件通道配置。

SPPA-T2000 系統包含63 個AP 機柜，每個機柜配置兩個互為冗余的AP（AP-A 和AP-B），系統正常運行時其中一個作為主用AP 通過電廠總線[4]進行數據交換，從屬AP 作為冗余備用。正常情況下，當主用AP 故障時系統會自動切換到從屬AP，進而保證電站的正常穩定運行。若主/從AP（簡稱雙AP）故障，則所在機柜涉及的過程參數全部失去顯示。

SPPA-T2000 系統設置6 個通道實現控制功能，其中1 ～4 通道執行核安全相關控制功能，5 ～6 通道執行運行控制功能。總線網絡基于典型的單環冗余結構，選用“主環+子環”冗余連接方式，主環為電廠總線，子環對應6 個通道，運行方式簡潔、高效，示意圖如圖1。當網絡中任何位置出現一個斷點，其環網上的備用接口立即閉合，確保單一故障下網絡數據傳輸不受影響，但如果環網中同時出現了兩個斷點，則會造成部分數據丟失。以上情況將會導致非預期運行事件的發生。

圖1 SPPA-T2000系統總線結構示意圖Fig.1 Schematic diagram of SPPA-T2000 system bus structure

1 故障分析與控制優化

1.1 梳理識別

田灣核電站二期SPPA-T2000 系統設計63 個AP 機柜，每個機柜配置兩個互為冗余的AP（AP-A 和AP-B），每個AP 可獨立完成信號的接收、處理和輸出任務。使用TEC4Function 軟件導出所有AP 的信號基礎數據，處理后形成輸入/輸出信號清單，信號總數為54515 個；進一步梳理，識別出17160 個不同AP 之間網絡傳輸信號（簡稱跨AP 信號），包括控制信號、通訊信號、后備盤指令等[5]。

1.2 分析研判

1.2.1 雙AP故障后果判斷依據

1）以下4 種情況對機組的穩定運行狀態無明顯影響：

①執行機構與被調量信號在同一AP 時，若雙AP 故障，AP 失去邏輯控制計算能力，執行機構保持當前狀態。

②執行機構與數字量信號不在同一AP 且無取反邏輯時，若雙AP 故障，其輸出至其它AP 的信號變為0（低電平）且保持不變，設備不會保護、自動動作，執行機構保持當前狀態。

③執行機構與被調量信號不在同一AP，但該模擬量信號的有效位[7]作為執行機構控制功能塊的外部故障信號送至外部故障位，使得執行機構退出自動閉環調節并保持當前狀態。

④工藝系統間歇投運的系統，長時間投運有不良后果的，若控制信號故障，設備出于安全考慮應跳停。

2）以下3 種情況對機組的穩定運行狀態將造成影響：

①當模擬量信號輸出不在同一AP 時，若雙AP 故障，其輸出至其它AP 的模擬量信號為數值0，則將對模擬量信號參與的控制邏輯產生影響[8]（如參與閉環控制對象修正或者前饋運算，將對閉環控制回路造成擾動）。

②若模擬量信號的有效信號未送至調閥控制功能塊的外部故障端口且模擬量信號輸出不在同一AP 時，則當雙AP 故障時，調閥無法自動跳出自動模式，閉環控制回路因失去真實的主調量（模擬量信號變為數值0）而失控[9]。

③若開關量信號輸出不在同一AP 且存在取反邏輯時，若雙AP 故障，則輸出至其他AP 的開關量信號為0（低電平），取反后變為1（高電平），需要分析高電平信號在控制邏輯中的影響和優化措施。

1.2.2 雙AP故障典型后果分析

依據雙AP 故障后果判斷依據，通過多角度分析研究，最終識別出199 個機組功率運行期間在雙AP 故障[6]時不可接受的跨AP 信號。從故障后果發生類型、信號所屬通道類別等方面，通過以下事例說明雙AP 故障的潛在風險。

1.2.2.1 源信號與合成信號分布于不同AP

事例：蒸汽發生器窄量程液位

田灣核電站二期蒸汽發生器窄量程液位監測為四通道設計，在SPPA-T2000 系統中邏輯設置為三取二（取平均值，每臺蒸汽發生器的第1、2、3 通道）。優化前蒸汽發生器窄量程液位的源信號及合成信號的AP 分布情況見表1，示意圖如圖2。

圖2 蒸汽發生器窄量程液位信號示意圖（優化前）Fig.2 Schematic diagram of the narrow range liquid level signal of the steam generator (before optimization)

表1 蒸汽發生器窄量程液位AP分布Table 1 AP Distribution of steam generator narrow range liquid level

在SPPA-T2000 系統中，蒸汽發生器窄量程液位合成的源信號來自于1 ～3 通道。當源信號所在AP 任意一個發生雙AP 故障或1 ～3 通道環網任斷一個后，由于三取二的合成信號至少有兩個信號存在，所以蒸發器液位閉環調節器不受影響；但當源信號所在AP 有兩個發生雙AP 故障，1 ～3 通道環網任斷兩個或5、6 通道的環網出現兩個斷點后，蒸發器主調量（蒸汽發生器窄量程液位合成信號變為數值0）喪失，調節器失去控制， 造成蒸汽發生器真實液位大幅波動，進而可能導致機組瞬態事件的發生。

1.2.2.2 修正信號與調節器分布于不同AP

事例：堆芯上部壓力修正及穩壓器液位調節

田灣核電站二期反應堆堆芯上部壓力監測為四通道設計，其合成信號由源信號通過三取二（取平均值，第1、2、3 通道）獲得，穩壓器窄量程液位源信號經三取二（取平均值，第1、2、3 通道）合成穩壓器液位合成信號。優化前的堆芯上部壓力修正及穩壓器液位調節信號的AP 分布見表2，示意圖如圖3。

表2 堆芯上部壓力修正及穩壓器液位調節信號的AP分布Table 2 AP Distribution of upper core pressure correction and regulator liquid level adjustment signals

圖3 堆芯上部壓力修正及穩壓器液位調節示意圖（優化前）Fig.3 Schematic diagram of upper core pressure correction and regulator liquid level adjustment (before optimization)

反應堆堆芯上部壓力的合成信號參與穩壓器窄量程液位源信號的修正和有效性判斷，在功率運行期間，穩壓器窄量程液位的合成信號作為主調量參與穩壓器液位閉環調節。

當反應堆堆芯上部壓力合成信號所在AP106 故障時，穩壓器窄量程液位源信號的質量位信號變為0（低電平），穩壓器窄量程液位合成信號輸出值為數值0；當穩壓器窄量程液位合成信號所在AP206 故障時，其輸出值變為數值0。因此，當AP106 或AP206 發生雙AP 故障時，穩壓器窄量程液位合成信號變為數值0 且有效位變為0（低電平），該合成信號作為被調量送至穩壓器液位主調節器，與穩壓器液位設定值（功率運行模式下由一回路平均溫度計算得到）生成階躍性控制偏差，相關泵和調閥動作造成上充下泄不匹配，進而引起一回路液位波動，機組失去對穩壓器液位的控制。穩壓器液位異常波動將會給機組造成擾動，進而可能導致機組瞬態事件的發生。

1.2.2.3 調節閥外部故障信號

事例：凝結水再循環調節閥

調節閥控制模塊的外部故障端口輸入為1（高電平）信號時跳出自動閉環調節模式，輸入信號為0（低電平）信號時保持自動閉環調節模式。在凝結水再循環流量的閉環控制中，主調量是凝結水流量合成信號（在AP611 中），當前有效信號的取反邏輯設計在AP611 中，再循環調節閥1（在AP512 中）和再循環調節閥2（在AP611 中）的外部故障端口同時取用這個有效位信號，優化前的凝結水再循環調閥外部故障信號示意圖如圖4。當AP611 發生雙AP 故障時，再循環調節閥2 同在AP611 中，無影響；再循環調節閥1（在AP512 中）的外部故障端口輸入的有效位信號保持為0（低電平，來自于雙AP 故障的AP611），再循環調節閥1 依然處于閉環調節中，此時主調量（凝結水流量合成信號）喪失，凝結水再循環調節閥1 的調節器失去控制。

圖4 凝結水再循環調閥外部故障信號示意圖（優化前）Fig.4 Schematic diagram of external fault signal of condensate recirculation regulating valve (before optimization)

1.3 改進措施

1.3.1 針對源信號與合成信號分布于不同AP

將網絡傳輸改為硬接線（事例中的蒸汽發生器窄量程液位源信號），實現源信號與合成信號在同一AP 中采集，消除雙AP 故障對合成信號的影響，優化后的蒸汽發生器窄量程液位信號示意圖如圖5。

圖5 蒸汽發生器窄量程液位信號示意圖（優化后）Fig.5 Schematic diagram of the narrow range liquid level signal of the steam generator (after optimization)

1.3.2 針對修正信號與調節器分布于不同AP

結合網絡傳輸信號優化措施，將修正信號與主調量、調節器以及執行器整合至同一AP 中，降低雙AP 故障對源信號修正作用及調節器和執行器調節功能的影響。

對于堆芯上部壓力修正及穩壓器液位調節作用，將堆芯上部壓力和穩壓器窄量程液位的源信號通過硬接線的方式接入主調節器所在AP 中，并在該AP 中創建堆芯上部壓力和穩壓器液位的合成信號，實現修正信號、主調量和主調節器處于同一AP 中，優化后的堆芯上部壓力修正及穩壓器液位調節示意圖如圖6。

圖6 堆芯上部壓力修正及穩壓器液位調節示意圖（優化后）Fig.6 Schematic diagram of pressure correction on the upper part of the core and adjustment of the liquid level of the pressurizer (after optimization)

1.3.3 針對調閥外部故障信號

將主調量（事例中的凝結水流量合成信號）的有效信號先引用至調節閥（事例中的凝結水再循環調閥）所在AP中，取反后接入調節閥的外部故障端口，消除雙AP 故障對調節閥無法自動跳出閉環調節的影響，優化后的凝結水再循環調節閥外部故障信號示意圖如圖7。

圖7 凝結水再循環調閥外部故障信號示意圖（優化后）Fig.7 Schematic diagram of external fault signal of condensate recirculation regulating valve (after optimization)

2 功能實現

田灣核電站二期SPPA-T2000 系統雙AP 故障情況下的控制優化分為硬件和軟件兩個部分，優化設計遵照單一故障準則，確保冗余信號分布于機柜中具有獨立實體硬件隔離的AG、BG、CG 層采集模塊中[10]。硬件方面，除電纜敷設、端接和機柜內部改線外，需增加一層機架（9EU902），包括背板、電源開關、模件和安裝附件等；軟件方面，除邏輯編制、通道配置、生傳代碼和OM 畫面更新外，需搭建拓撲圖，包括通訊和參數設置等。新增一層機架的示意圖如圖8。

圖8 新增一層機架示意圖Fig.8 Schematic diagram of a new layer of racks

根據不同的雙AP 故障后果制定的控制優化設計文件，在實施階段成立專項組，由項目負責人統籌協調、全局部署，同時開展硬件改造和軟件優化工程，實施、驗證和調試同步執行，實現了一個大修窗口完成一臺機組全部雙AP故障信號控制優化。

3 結論

正常運行儀控系統AP 機柜涉及機組重要過程參數的采集和控制，若某個機柜發生雙AP 故障停運，可能對機組狀態產生較大擾動。通過對田灣核電站二期正常運行儀控SPPA-T2000 系統的控制邏輯進行全面梳理排查，發現多處發生雙AP 故障情況時潛在邏輯風險，給機組帶來功率波動甚至停機停堆的安全隱患。針對不同類型的風險和影響，制定了相應的控制優化策略和整改措施，有效增強了正常運行儀控SPPA-T2000 系統抵御雙AP 故障的能力，提高了正常運行儀控系統安全性和可靠性，減少了由雙AP故障引發的機組瞬態乃至非停事件，進一步保證了機組安全穩定的運行。另外，本文中所述的方法和措施對電站控制設計也有很高的借鑒意義。