核电机组DCS系统机笼故障模式及处理方案研究

核电机组DCS系统机笼故障模式及处理方案研究

尹进 赵锋 吴国昊

阳江核电有限公司 529500

摘要：核电机组DCS系统是核电机组的“神经系统”，承担着设备控制及安全动作保护功能，其安全稳定运行是核电机组安全的前提。因核电机组DCS系统是一个庞大复杂的系统，从核电机组的设计、安装、调试到运行发电的各个阶段，都存在着各种隐患。习近平总书记关于核电行业的重要批示精神中指出要千方百计消除安全隐患，站在维护国家安全高度抓实抓细各项工作，确保做到“绝对安全、万无一失”，所以对核电机组DCS系统的隐患排查不断深入，各种问题隐患也逐渐暴露出来。本文主要介绍了在核电机组DCS系统隐患排查中发现的单一机笼故障导致机组出现跳机跳堆缺陷，同时针对此隐患进行了处理方案的研究制定。

关键词：DCS；机笼；故障处理

1、背景概述：

核电发电企业是以安全首的特殊电力企业，其安全稳定运行关乎社会稳定、国家安全。核电机组是一个复杂庞大的系统，涉及设备多，控制复杂但要求精准。随着核电技术的不断发展，核电机组的DCS系统也在逐步发展，各种类型的DCS系统应用于核电机组。核电机组DCS系统是核电机组的“神经系统”，承担着核电机组的各个系统的设备控制及安全保护设备动作功能，其安全稳定运行是核电机组安全的前提。从核电机组的设计、安装、调试到运行发电的各个阶段，由于人员、环境、材料等因素，存在各种隐患。在实际的生产活动中，部分隐患逐渐暴露出来，针对显现出来的故障能够及时应对；但部分隐患则隐藏较深，需进行深入排查才能发现。在对核电机组DCS系统进行深入排查过程中，我们发现核电机组存在单一机笼故障导致机组发生跳机跳堆的缺陷，针对此安全隐患，因发生概率低，消除收益低，因此对其处理方案进行了研究验证。

2、核电机组DCS系统组成

核电机组DCS系统主要由操作员站、工程师站、就地处理机柜组成。其中操作员站位于主控制室，包括操纵员操作平台、后备盘台、紧急控制盘台，用于监测设备状态，发出动作指令等；工程师站位于主控室旁，用于工程师连接处理单元查看设备状态，进行软件下装等；就地机柜则承担信号的接收、处理、输出的功能，实现设备的自动控制保护功能。

DCS系统的机柜分为CPU机柜、I/O机柜、网关柜等，针对单个机柜，为分层式设计，各种类型卡件通过机笼进行安装，实现功能。CPU机柜的功能为信号处理，因DCS设计冗余问题，主从冗余与并行冗余在机柜机笼、卡件的布置上存在差别。主从冗余两个CPU安装在不同机笼，分为上下两层；并行冗余的CPU安装在同一机笼。I/O机柜的功能为接收信号送入CPU，接收CPU指令输出到设备进行控制。I/O机笼安装装I/O机柜中，可分为多层，各个I/O机笼通过预制电缆串接，末端机笼接入终端电阻，通过不同的预制电缆分别与冗余CPU进行连接。I/O机笼为箱体式，卡件通过机笼背板插针连接，背部为印刷电路板，卡件连接背板，通过预制电缆与CPU通讯。

3、机笼故障模式

在核电系统中，针对重要设备的控制均设置冗余，以提高设备的可靠性。在CPU故障情况下，卡输出信号有三种模式：保持当前值、输出0、输出1，输出模式依据下游设备的重要程度设置。在进行隐患排查过程中，发现机笼中卡件布置存在隐患，在机笼故障的情况下，可能导致设备误动，引起机组跳堆。相关控制逻辑见图一，阀门由快速释放阀控制，快速释放阀由两个电磁阀EL1、EL2控制，任意一个电磁阀失电会导致阀门关闭，每个电磁阀由两块卡件并行控制，常时输出为1，保证电磁阀常时励磁。只有当两块卡件同时输出为0时，电磁阀失电，阀门动作。而经过排查控制同一电磁阀的两块卡件安装在同一机笼，这就导致在某种机笼故障情况下，可能出现两块卡件不能保持输出的情况，从而导致阀门关闭，机组出现瞬态跳堆。

图一 阀门控制逻辑

I/O机笼的组成有箱体、背板印刷电路、预制电缆接口、通讯终端电阻等，通过机笼的机构分析，可能的故障模式是：1、连接器连接不良；2、印刷电路短路；3、通讯终端电阻短路；4、过程信号短路或中断导致的信号传输错误；5、电源电路故障等。上述任意故障模式均可能导致卡件输出异常，通常情况下，会导致输出不能保持。

4、机笼故障处理方案研究

机笼为硬件设计，具备高可靠性（通常比CPU、IO等板卡高出3~4个数量级），而且机笼背板采用冗余供电，不会由于单一电源故障造成同一机笼内的板卡全部失电。从内外部收集信息分析，未有机笼故障导致机笼内全部卡件输出失去。将冗余PIF、DO板卡分配至不同机笼，可以避免单一机笼故障造成冗余板卡同时失效，可进一步提升可靠性。考虑其故障概率，通过改造消除的必要性不高，且改造成本过高，产生收益较低。但存在机笼故障可能性，需研究制定处理方案。

从机笼的工作原理入手，因机笼的连接方式为串接方式，且各个机笼涉及的设备不同，如出现机笼故障需要更换，需要保证处理故障机笼不影响后续机笼的功能，因此需要对故障机笼进行隔离。其隔离方式图二所示，以机笼2故障为例，在处理过程中，在拆除机笼2前端左侧预制电缆后，会导致CPU A挂死，因此在实施前需要将CPU A提前下电，下电后拆除机笼2前端后端预制电缆，接入备用机笼（可以是研发的专用工具），对其上电后，确认CPU A正常运行无相关报警后，然后再对CPU B下电，将机笼2前后端右侧预制电缆进行拆接，对CPU B进行上电后，确认CPU B重启正常，消除报警后，确认系统运行正常。然后将故障机笼拆下，使用备件机笼安装，将卡件移入机笼，回装过程与拆装过程相同，需要逐系将CPU进行下电，完成一系CPU对应电缆更换确认系统正常后才能执行另外一系电缆拆接，在此不再赘述。

此机笼更换方案已在核电机组中得到验真运用，在实际操作过程中，还需需要考虑机笼位置，电缆长度等环境因素。

图二 机笼故障隔离示意图

5、结语

在核电机组DCS系统的实际运用中，系统存在多种隐患，针对隐患需要从产生后果、出现概率、处理成本等多维度进行分析。针对机笼故障，从出现概率及改造收益进行分析，出现硬件故障概率极低，但针对可能出现的故障，从机笼的连接原理研究了处理方案并得到验证。核电机组以安全为首，要不断消除隐患，不断完善故障处理方案，才能不断提升核电机组的可靠性、安全性。

参考文献

[1]Wiring Diagram of Safety Logic Cabinet ,三菱电机株式会社，2012.10

[2]MELTAC DCS Common Equipment Specification，三菱电机株式会社，2012.10