主控室后備盤應(yīng)對網(wǎng)絡(luò)故障的改進分析

馬 斌，原上草，高 穎

(中核核電運行管理有限公司，浙江 海鹽 314303)

1 背景

《HAF 0200核電廠設(shè)計安全規(guī)定》指出：核電廠必須設(shè)置主控室，使核電廠在各種工況下安全運行。在事故工況以及控制室設(shè)計中所采用的設(shè)計基準事件出現(xiàn)后，能采取相應(yīng)措施使核電廠維持在安全狀態(tài)或使之返回安全狀態(tài)[1]。

主控室設(shè)計的目標是及時并準確地向核電廠操作員提供電廠工藝系統(tǒng)和就地設(shè)備的狀態(tài)信息，并完成對核電廠工藝系統(tǒng)和設(shè)備的控制。隨著計算機技術(shù)、控制技術(shù)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，新建核電廠的儀表控制系統(tǒng)大多采用更先進的數(shù)字化DCS技術(shù)。

方家山核電廠采用了先進的主控室設(shè)計方案，以基于數(shù)字化人機接口的操縱員工作站(Operator Work Place，OWP)為主要控制手段，同時設(shè)計了基于模擬卡件技術(shù)的后備盤(Back Up Panel，BUP)作為應(yīng)對OWP 失效的多樣化后備手段。方家山核電廠控制方式見圖1。當OWP 可用時，操縱員利用OWP 對核電廠進行監(jiān)督和控制；當OWP 不可用時，操縱員利用BUP 繼續(xù)進行操作。同時，還設(shè)立了遠程停堆站(Remote Shutdown Station，RSS)，當主控室失效時(例如火災(zāi))，操縱員可以在遠程停堆站對核電廠進行控制，確保核電廠的穩(wěn)定運行[2]。

圖1 方家山核電廠控制模式示意圖

2 方家山核電廠BUP部分不可用事件

2.1 事件描述

2018年10月21日5：30，方家山核電廠1號機組主控室KIC所有操縱員站自動退出，無法通過OWP進行監(jiān)控和操作，維修人員檢查發(fā)現(xiàn)DCS一層網(wǎng)絡(luò)有14個交換機端口被禁用，導(dǎo)致房間級交換機和機組級交換機通信部分中斷，造成KIC/BUP與一層鏈接異常，KIC全部控制功能、BUP的部分控制功能已不可用。

2.2 事件原因分析

如圖2所示，DCS一層MESH 網(wǎng)絡(luò)，由三層倒掛樹形結(jié)構(gòu)組成，既每個機組配置四對房間級交換機與四個DCS設(shè)備間中的CP進行數(shù)據(jù)交互；同時每個交換機均與一對機組級交換機相連，完成跨房間CP 之間、工程師站與CP 之間、DCS一二層之間的數(shù)據(jù)交互工作；而機組級交換機則與根交換機進行通信，實現(xiàn)方家山核電廠兩臺機組間數(shù)據(jù)的交互。

圖2 DCS一層MESH網(wǎng)絡(luò)圖

在本次事件中，由于機組級交換機1U1ASW突發(fā)異常故障，導(dǎo)致方家山核電廠DCS一層MESH網(wǎng)絡(luò)發(fā)生RSTP(Rapid Spanning-Tree Protocol快速生成樹協(xié)議)失效，房間級交換機發(fā)送數(shù)據(jù)傳輸時，數(shù)據(jù)包經(jīng)過1U1ASW時沒有屏蔽掉，短時間內(nèi)形成了數(shù)據(jù)傳輸環(huán)路。為應(yīng)對該網(wǎng)絡(luò)風暴事件，1號機組與1U1ASW產(chǎn)生數(shù)據(jù)交互的其他交換機，根據(jù)自身配置的CoS LDP(Loop Detection Policy環(huán)路檢測機制)將數(shù)據(jù)入站速率超限的級聯(lián)端口禁用，相關(guān)故障網(wǎng)絡(luò)狀態(tài)圖如下所示(紅色端口表示被禁用端口，紅色線表示網(wǎng)絡(luò)通信斷開，藍/黑色線表示網(wǎng)絡(luò)通信正常)。

由于被CoS LDP 機制禁用的交換機端口，必須由維修工程師手動解除，因此在禁用端口釋放前，1號機組DCS MESH 網(wǎng)絡(luò)上，1R3ASW/1R3BSW、1R4ASW/1R4BSW (L507/L509 兩個電子設(shè)備間控制器)處于網(wǎng)絡(luò)孤島狀態(tài)。

由于1KIC 系統(tǒng)用于判斷MCM/BUP/RSS 控制模式的4 個狀態(tài)點均在L507 和L509 房間，因此導(dǎo)致此時這些信號在二層均為無效狀態(tài)，1KIC 系統(tǒng)根據(jù)控制模式切換原則，自動退出MCM 模式至BUP 模式。

正常情況下，當電廠在主控室控制模式，將BUP 盤臺的切換開關(guān)旋至BUP 模式，電廠處于BUP 控制模式，此時按下盤臺上的釋放按鈕和工藝設(shè)備的控制按鈕就可將控制指令送至對應(yīng)一層控制器。在BUP 設(shè)計中，針對同類型設(shè)備的集中性考慮，BUP 切換開關(guān)產(chǎn)生的“BUP 操作模式”和防止設(shè)備誤動作的“釋放按鈕”邏輯組合結(jié)果，通過一層MESH 網(wǎng)絡(luò)傳遞至待操作設(shè)備的BUP 控制邏輯中，導(dǎo)致當一層網(wǎng)絡(luò)失效時，BUP 上部分設(shè)備無法操作，工藝系統(tǒng)此時控制功能不完整，進而導(dǎo)致BUP 控制功能不完整。原因分析圖見圖3。

圖3 BUP不可用原因圖

3 BUP控制方式優(yōu)化

3.1 切換開關(guān)的邏輯分析

BUP盤上切換按鈕有兩組：KSC901CC/903CC/905CC(A列)和KSC902CC/904CC/906CC(B列)。以方家山核電廠1號機組為例，其A列切換按鈕信號以繼電器擴展方式，有信號分別送至L507和L609房間；B列切換按鈕信號則送至L509房間。在方家山核電廠NC級DCS設(shè)計中，L507/L607/L609房間所在DCS機柜屬于A列，L509房間所在DCS機柜屬于B列。

因此，從邏輯上分析，B列切換按鈕信號沒有經(jīng)過DCS一層網(wǎng)絡(luò)機組級交換機。而A列L607房間的釋放按鈕信號沒有從BUP直接輸入，而是從其他房間通過機組級交換機獲得。故在機組級交換機故障情況下，L607房間所在工藝設(shè)備無法通過BUP盤直接控制。

3.2 釋放按鈕的邏輯分析

方家山核電廠BUP盤需控制的工藝設(shè)備多，為了操作便捷性，BUP上分成了12板塊，對應(yīng)的釋放按鈕分為12組。每一組釋放按鈕分A/B列，并有兩個按鈕互為冗余，防止單一故障造成設(shè)備無法控制。

通過對BUP盤上所有工藝系統(tǒng)控制按鈕的邏輯分析，核級(1E級)工藝設(shè)備有79個，其信號進入DCS Tricon平臺(核級)進行邏輯控制，與NC級網(wǎng)絡(luò)交換機不存在信號傳輸路徑，故假如DCS一層網(wǎng)絡(luò)機組級交換機故障情況下，BUP盤上核級工藝設(shè)備控制按鈕可用。

BUP盤上非核級工藝系統(tǒng)控制按鈕總283個，經(jīng)對控制按鈕、釋放按鈕和切換開關(guān)的邏輯分析，確認在DCS一層網(wǎng)絡(luò)房間級交換機故障情況下，BUP盤上不可用工藝系統(tǒng)設(shè)備按鈕有93個，涉及系統(tǒng)有反應(yīng)堆冷卻劑系統(tǒng)(RCP)、汽機旁排系統(tǒng)(GCT)、主給水流量控制系統(tǒng)(ARE)、安全殼噴淋系統(tǒng)(EAS)、化學和容積控制系統(tǒng)(RCV)、反應(yīng)堆硼和水補給系統(tǒng)(REA)和設(shè)備冷卻水系統(tǒng)(RRI)等。

3.3 優(yōu)化方案

為了解決DCS一層網(wǎng)絡(luò)機組級交換機故障造成BUP盤控制按鈕不可用的問題，擬將釋放按鈕、控制按鈕、切換開關(guān)及控制邏輯中間點/輸出點的邏輯組合在一個房間內(nèi)部的DCS機柜內(nèi)完成。如果保持釋放按鈕信號邏輯不變，將工藝系統(tǒng)的內(nèi)部邏輯、輸出信號進行重新設(shè)計分配至釋放按鈕信號所在DCS房間，則需要改動的邏輯組態(tài)多，并需要重新改變DCS機柜至就地設(shè)備的電纜路徑，后續(xù)施工量很大，該方法在已投用商運機組不可取。

為了減少施工量，合理的方式是將BUP切換開關(guān)和釋放按鈕的信號通過硬接線擴展的方式引至所需房間[3]。硬接線擴展的方式有以下兩種方案。

方案一：在BUP盤增加繼電器，通過繼電器擴展、敷設(shè)信號電纜將切換開關(guān)和釋放按鈕信號送至DCS機柜所在各個房間。

方案二：在DCS機柜內(nèi)，通過原有空余開關(guān)量通道，將原切換開關(guān)和釋放按鈕信號通過增加硬接線方式，引至DCS其他房間。

兩個方案的比較，見表1。

表1 兩方案比較

方家山核電廠主控室BUP盤控制方式優(yōu)化變更申請在2019年2月初獲得秦山核電批準，計劃在2019年3月方家山104大修中實施，存在準備時間短和繼電器等設(shè)備采購周期較長的矛盾；同時，方案一的現(xiàn)場施工工作量較大，給方家山大修的主線工作造成一定壓力，故在本次優(yōu)化變更中采用方案二來實施。

BUP盤切換開關(guān)的優(yōu)化方案是敷設(shè)一組電纜，將A列切換開關(guān)KSC901CC/903CC/905CC的信號從L507房間引至L607房間，保證NC級DCS機柜所在每個房間都有硬接線的切換開關(guān)信號輸入。

BUP盤釋放按鈕的優(yōu)化，是分析釋放按鈕與工藝系統(tǒng)的邏輯關(guān)系，將釋放按鈕的信號引至所需DCS機柜所在房間。通過BUP盤上每個控制按鈕的具體邏輯分析，需敷設(shè)兩組電纜，將A列釋放按鈕信號從L507房間分別引至L607房間和L609房間，如圖4所示。

圖4 BUP釋放按鈕接線圖

4 總結(jié)

故在方家山核電廠原DCS設(shè)計中，沒有考慮DCS一層網(wǎng)絡(luò)整體故障模式，也沒有DCS一層網(wǎng)絡(luò)整體故障后系統(tǒng)可用性分析和機組操作應(yīng)對預(yù)案。

方家山核電廠1 號機組DCS 一層交換機端口禁用故障運行事件和后續(xù)發(fā)生的秦山第二核電廠4號機組DCS網(wǎng)絡(luò)故障導(dǎo)致自動停堆事件，說明I/A平臺DCS一層網(wǎng)絡(luò)也存在整體故障的可能性。尤其是DCS網(wǎng)絡(luò)其中一臺交換機故障導(dǎo)致網(wǎng)絡(luò)風暴或端口禁用，造成DCS一層網(wǎng)絡(luò)不可用是需要重點關(guān)注的。

本文是在假設(shè)方家山核電廠DCS一層網(wǎng)絡(luò)機組級交換機故障復(fù)現(xiàn)時、保證機組BUP可用并使機組處于可控狀態(tài)而提出的優(yōu)化方案。通過變更后試驗的驗證，可確認本文中的優(yōu)化方案可行。該應(yīng)用方案具備向同類全數(shù)字化核電廠推廣的價值。

建議方家山核電廠BUP盤的后續(xù)再優(yōu)化中，可利用大數(shù)據(jù)仿真分析方法，重點考慮DCS一層網(wǎng)絡(luò)房間級交換機部分故障或者整體故障的影響，并在DCS房間/機柜的工藝系統(tǒng)功能分組上予以考慮優(yōu)化。

對新建核電廠，建議在設(shè)計初期即可借鑒“方家山核電廠1號機組DCS一層交換機端口禁用故障運行事件”的經(jīng)驗教訓，在設(shè)計上考慮DCS一層網(wǎng)絡(luò)整體不可用的故障模式和應(yīng)對預(yù)案，并優(yōu)化DCS總體設(shè)計方案和工藝系統(tǒng)功能分組方案。