王刚　赵鲲鹏　李辉

摘 要：目前行业内还未形成针对数字化控制控制系统信号失效情况下质量位应用规范和标准，本文结合CPR1000核电项目建设中出现的实际问题，根据不同安全级别数字化控制系统平台的设计要求，比较全面分析了数字化仪控系统信号质量位产生、传递原则，详细的论述了核电站数字化控制系统信号质量位在人机界面显示的方法，分析了信号质量位在核电站保护、控制、调节中的作用，通过规范使用质量位避免信号无效提示泛洪、不恰当使用，通过上述质量位应用研究为提高核电站被控系统稳定安全运行提供经验以及思考方向，本文的分析适用于所有数字化控制系统，可以进行推广和应用。

关键词：质量位 数字化 失效 DCS 核电站

中图分类号：TL362 文献标识码：A 文章编号：1674-098X（2019）04（a）-0016-07

Abstract：At present， there is no code and standard for application of signal quality bit in digital control system， this paper combines the practical problem in the construction of CPR1000 unclear power project and analyses the principle of signal of signal quality bit generation and transmission in digital control system according to different safety level digital system platform design requirement， in this paper， the display method of signal quality bit in man-machine interface of digital control system of nuclear power plant is discussed in detail， this paper also evaluate the role of signal quality bit in protection、control and regulation function. Avoid improper use of invalid signal information by normative use signal quality bit， the above signal quality bit application research provides experience and research direction for the safe and stable operation of nuclear power plant system， the research content of this paper is application to all digital control systems and can be popularized and applied.

Key Words：Nuclear power plant；Digital；Invalid；DCS； Nuclear power plant

目前全球在建的核電站普遍采用数字化控制系统（DCS），DCS具有自诊断能力强、可扩展性强、便于修改等特点，自诊断功能的核心要素是要判断信号是否有效，核电行业相关的标准和技术报告也对自诊断提出了相关要求和约束，例如NRC法规10 CFR50 附件A GDC23要求反应堆保护系统需要设计为故障安全模式；IEC 61513要求应充分地探测故障和错误，且提供充分、正确的故障诊断信息；IEC60671要求所有可诊断故障必须上报并通知操纵员和维护人员。DCS信号在控制器底层通过一个固定长度的字符串来传递和显示，信号有效性的判断可以通过一个特定的字段来表征，这个用来判断信号有效性的字段通常称之为质量位，利用DCS自诊断功能所获取的质量位信息，在工程应用中可以有效处理传感器、DCS采集卡件失效、网络故障、控制器故障等带来控制系统失控、以及显示不真实等原来模拟系统无法解决的问题。质量位伴随在每一个信号的产生、传递、运算、显示等各个环节，目前各个厂家（如西门子公司TXP平台、三菱公司MELTAC、广利核公司和睦平台）不同DCS平台的质量位产生、传递以及处理原则和机制并不统一，也没有特定的法规标准对这部分内容进行规范，因此有必要对质量位应用进行深入剖析，分析其在各产生、传递、运算、显示等各个环节中的原则和机制，进一步规范质量位在DCS中应用，提高核电站的安全性和经济性。

1 质量位产生分析

DCS自诊断功能是质量位应用和分析的基础，根据可靠性分析（FMEA）技术识别设备故障模式以及影响，板级自诊断功能设计流程见图1，在此基础上进行故障分级，根据故障级别作为故障处理的依据。

通常核电厂仪控系统平台中将故障级别分为：（1）I/O异常提示（I/O Warning），此类故障发生后，控制站存在部分采集和输出功能失效；（2）一般故障（Alarm），控制站部分通讯功能失效；（3）严重故障（Failure），此类故障发生后对应控制器不可用，在核电站DCS系统中需要重点考虑的自诊断的故障类型和级别主要如表1所示。

对于表1中第2、3、4、5、6项属于DCS内部故障诊断，在DCS厂家平台设计中通过信号周期数据更新扫描、或者发送生命监测计时信号等手段完成故障监测和诊断，通过识别关键故障等方法，DCS厂家内部自诊断目前均较为完善，对于外部信号异常，往往DCS厂家在设计时并不特别考虑，但实际外部信号异常也会严重影响核电站工艺系统稳定性，因此在工程实践中也极大可能借助平台特点进行考虑，建议在DCS厂家进行I/O卡件设计时也能进行对外部信号异常如超量程、断线、虚接、信号变化量大等情况进行考虑并形成规范。

在DCS系统中，均采用标准的输入模块采集现场传感器及变送器传送的电流、电压或者电阻信号，如4～20mA电流信号、1～5V电压信号等，经过输入模块的滤波等信号调理电路后进行A/D转换，将模拟量信号离散、量化处理后进行编码，最后通过IO总线将信号送到CPU进行处理，如图2所示。

下面将根据工程实践经验重点分析和说明外部信号异常情况下DCS应如何诊断故障。当现场传感器、变送器故障送出的电流值超量程或者掉线、短路时送入输入模块（AI卡）标准的输入信号将可能发生明显变化，而目前DCS对模拟量输入的诊断也正是利用了这个特点。如4～20mA标准电流信号在断线的情况下输入到AI卡件的信号将突变为0mA，在短路的情况下输入到AI卡件的信号将超过20mA。对于3线制或者4线制热电阻断线或者短路的情况，根据卡件设计原理不同，采集到AI卡件中的信号有所不同，但大部分情况都是超出标准信号范围的值。

通过模拟热电阻接入MELTAC热电阻卡件，如图3所示，分别断开1、2电流源对应DCS端子以及3、4電压源对应DCS端子模拟传感器掉线工况，实际测试结果如表2所示。

DCS判断信号输入的有效性的判断，即质量位判断既可以通过软件也可以通过硬件，一般有下面几种方法。

（1）超量程硬件的判断，智能AI卡在对模拟信号AD转换量化编码后，详见图4，可以通过设置在卡件中比较电路检查是否编码在预定的范围内，根据是否在范围内将代表质量位判断的字段的值通过IO总线送到CPU或者通过IO卡件报警进行报警等。

（2）超量程软件的判断方法，在IO定义表中，设定模拟量上限和下限，当采集到CPU中的信号范围超过定义的上限和下限时，将质量位设置为差。在软件中判断超量程的优点是可以很方便根据实际工程修改超量程上限或下限。值得注意的是一般AI卡件采集的模拟量信号会有限值，如果超过这个限值，便不能采集传感器输入的信号，因此在软件中设计超量程时，也要关注AI卡件采集范围，若软件中设置的超量程限值超过AI卡采集范围，那么超量程则不会触发。

（3）超速判断，通过判断信号突变来确认信号是否有效。

（4）AI、DI卡件本身的故障也可以通过通讯检测等手段判断，从而判断信号的质量。

2 质量位的传递机制

核电站DCS控制着大部分核电站重要设备，现场传感器、变送器将工艺信号送入DCS，DCS输入模块采集到现场信号后，根据本不同的系统逻辑需求，大部分控制功能都需要多个信号进行逻辑组合后最后输出控制或者显示，这就带来了一个问题，一个信号的质量位在经过逻辑组合模块后将如何传递。GB/T 15474-1995中将核电仪控系统按照重要性分为下面根据不同安全级别，1E级、SR级NC级，CPR1000核电中按照不同安全级别所采用DCS平台也不同，下面根据不同安全级别系统分别进行分析。

2.1 1E、SR级DCS平台质量位传递机制

对于1E、SR级功能逻辑，除了包含降级表决后驱动专设或者停堆断路器的逻辑外，还存在一些没有经过表决逻辑的控制显示逻辑功能，对于质量位经过这些逻辑块后如何传递，目前还没有标准、规范要求，理论上每个逻辑块都可以开发出经过该逻辑块后是否保留质量位的功能，另外一些DCS组态平台还可以实现根据该逻辑块功能相适应的质量位保留与否的判断机制，进行自动判断。

但是对于1E级系统平台，根据IEC 61226-2009要求，需采用简单的逻辑设计方法减轻最终功能性的V&V过程，避免用不相关低级别的功能在1E级系统实现。如特定的显示计算以及通讯不应该在安全系统的软件中实现。IAEA NS-G-1.1要求软件设计须具备简明性，应当证明无论在系统的功能方面还是在其实现方面都已避免出现一切不必要的复杂性。对于基于计算机的系统的各种应用而言，自顶向下的分解、多层次的抽象和模块结构，是应付不可避免的复杂性所带来的问题的重要思路。在设计系统模块时，应当在复杂的算法中选择较简单的算法，不应为实现并不需要的性能而牺牲简明性，本文认为如果需要开发质量位筛选功能则需要按照IEC60880以及IEEE Std. 1012或相关标准要求严格进行软件开发设计以及V&V验证，只有充分的按照安全级平台软件设计流程设计以及验证和确认才可以得到认可。以日本三菱MELTAC N-PLUS平台为例，MELTAC平台软件组态逻辑块并没有对质量位进行判断筛选的机制，如图5所示，安全级保护系统逻辑包含了大量的逻辑块，这些逻辑块如果都进行质量位判断，将大大增加逻辑的复杂性。

当传感器故障时，MELTAC平台中和该传感器参与的所有逻辑输出信号均含有质量位差信息，并向下游逻辑蔓延，如图6蓝色信号线所示，按照上面所述，如果将质量位信息显示到操纵员站上面，那么将有大量的信号显示不可信，这将对操纵员判断产生极大的干扰，从而影响了核电站安全稳定运行，下文将重点说明该问题的处理原则。

2.2 NC级DCS平台质量位传递机制

NC-DCS平台质量位产生和传递原来和安全级类似，目前各个厂家NC-DCS功能相对比较强大并且易于开发和修改，针对质量位经过不同逻辑块的传递机制，各个厂家均有各自机制，在实际工程应用中需要结合工艺系统控制、显示要求进行评价是否使用，在实际工程实践中推荐一下方法作为质量位传递设计依据：

（1）信号采集后直接做显示和报警，带信号质量位；

（2）信号采集后参与表决逻辑运算，输出结果需带运算后的综合质量位；

（3）参与单信号的运算（如取反，开方，指数等）且结果做显示报警需带信号质量位，且信号质量位源点的信号质量；

（4）参与其他逻辑运算，则运算的结果不带信号质量（除特别要求外），由于NC平台的质量位判断传递的机制理论上完全可以通过模块本身进行判断计算和筛选。这就要求在组态模块开发过程中对该模块的输入功能有详细完整的判断。并通过工程测试验证，这也是本文建议的一个重要研究目标。当NC平台对于质量位的判断形成成熟的方法和工程应用后，安全级平台则可以考虑引入该方法，当然在引入的过程中需要进行严格的软件设计质量控制以及V&V工作方可满足标准法规。

3 信号质量位在系统保护、控制及其顯示应用分析

3.1 保护功能应用分析

1E级保护功能逻辑中，为了满足系统可用性、降低保护系统误动率和拒动率，对于重要工艺参数通常设计多路传感器，并考虑了重要传感器失效后逻辑的降级方式，如4取2、3取2表决降级。另外对于一些多个传感器组合复杂的逻辑，如汽水失配等，保护系统需求规格书中也一般会说明传感器失效后如何通过设计到的降级退化模型进行降级。

以4取2表决逻辑为例，在实际保护系统实现中，通过判断传感器有效性，获取传感器输入质量位信息，如图6中的B1，B2，B3，B4信号，参与到降级逻辑中，从而实现保护系统的降级控制，可见质量位在系统保护功能中有极为重要作用。

当用于表决逻辑的相关传感器失效后，其最终的输出的控制结果、保护动作是设计时预料的结果，因此该动作对应的报警和显示的质量应是可信的，对应的报警显示、画面显示应该不需要特殊处理，即相关表决后的信号依然可信，其失效后质量位不应传递到表决逻辑的下游以及操纵员站，否则可能误导操纵员该保护动作的真实性，以MELTAC平台为例，根据MELTAC平台质量位传递原则，如不经过特殊处理，经过表决后的信号依然带有质量位信号，如果这部分信息提示给操纵员，将造成操纵员的误判。

在MELTAC平台信号需要通过NC级网关才能送往操纵员站，因此在实际工程应用中在网关侧统一将除了源点质量位信息保留外，其他经过逻辑组合的质量位进行剔除，以避免质量位泛洪。由于源点质量位信息将送到操纵员站，实际已经可以将故障源头进行定位，足以提醒操纵员、检修人员快速定位故障以及进行适当干预处理。

核电站控制系统由于多样化的要求以及安全分级的要求，通常含多个DCS平台，尽管不同DCS平台质量位传递的机制不尽相同，但是质量位信息显示在主控室操作画面上时，其代表的含义应该统一、清楚、明了。给操纵员一个确定的提示。即当画面上的信号质量位差时，在该信号上打出标识，该标识的含义应该在设计文件中明确的定义，保证二层表达的信息和一层实际的状态一致。

CPR1000核电项目中，当在操作画面上的信号质量位差时，将会打上红色边框，出现红色边框的含义是该信号数值已经不可信赖，如一个模拟量断线后，在二层画面上的显示已经不能代表现场的真实情况，DCS检测出断线后，产生质量位信息通过传递送到2层进行显示提示。但是工程实际中也发现有些由一层采集的信号经过信号的调理后质量位被剔除掉，如流量信号进行开方处理，这样如果被剔除后，一层传感器断线后，将无法将有效的质量位信息送到二层，不能起到提示操纵员的作用。这样的情况则需要修正。另外一种情况就是质量位经过任何逻辑块质量位都向下传递，通过上面的论述，有些经过表决逻辑的质量位信息即使是在传感器失效的情况下，也是有效的，因此如果该质量位显示在画面上时，也将误导操纵员的判断。因此为了满足质量位信息在二层操作画面上的完整、真实的显示，根据不同的传递机制有效的进行处理是非常必要的，必要的传感器失效信息需要显示在画面上提示操纵员，由于传递机制造成不必要的质量位信息需要被剔除。

3.2 控制、调节功能应用分析

目前核电站的和机组稳定运行相关的控制、调节功能都在NC级DCS平台实现，如果利用好DCS可探测传感器故障，减轻由于传感器失效等造成机组不稳定运行也是一个需要考虑的重要问题，核电厂大部分阀门、泵等、控制棒等关键设备的自动控制都依赖于传感器所提供数据，传感器或者DCS内部失效，则很可能造成控制功能丧失，甚至安全事故，从上面已经了解了质量位的产生，在CPU获取质量位后可以通过触发设计好缺省值的替代传感器的输入而对机组进行控制。但是在缺省值的设计过程中也需要认真分析不同的机组工况选择设置合适的缺省值以免造成由于采用不真实的现场信号造成的风险，另外还需要制定配套的规程，在机组状态变化时，缺省值设置如何适应，并尽快的修复故障。CPR1000项目工程实践中，采用状态导向的事故处理规程 （ state oriented p rocedure， SOP） 来代替事件导向的事故处理规程 （ event oriented procedure， EOP） ，改善了核电厂处理叠加事故的能力，在缺省值分析过程中已考虑事故工况下的电厂响应。依据缺省值分析结果，对事故处理规程进行了优化，从而提高事故处理规程的运行效率。

4 结语

DCS凭借功能强大、容错能力强、可诊断、易于维护等特点，其应用在核电项目中使得核电厂的安全性和经济性均有所提高，充分的利用数字化技术带来的优势，是核电DCS应用中非常有价值课题，本文针对DCS自诊断特性，较为全面分析信号质量位在核电DCS产生、传递以及在保护系统中应用情况，给出了建设性的应用方案，并在CPR1000，ACPR1000核电工程实际中得到了很好的应用，可以推广到任何采用数字化控制系统的控制领域，并为建立信号质量位标准化应用方案提供思路和研究方向。

参考文献

[1] 齐敏，莫昌瑜，谢逸钦，等.基于和睦系统的ACPR1000核电厂反应堆保护系统自诊断[J]. 核动力工程，2018，1（39） ：112-116.

[2] 孟磊，唐麟. 国产DCS在1000MW机组的应用分析及问题处理[J].广东电力，2014，2（27）：52-55.

[3] 董伟鹤，张岚，熊科，等.降低核级数字化控制系统中央处理单元负荷的解决方案与应用[J]. 广东电力，2015，10（28）：30-36.

[4] 刘真，胡立生，白涛. 核电安全级软件可靠性设计标准要求及方法[J].自动化仪表，2015，11（36）：116-119，122.

[5] 杜慧，王敬军，孙建朝. 核电非安全级DCS系统信号失效处理方法[J]. 工业控制计算机，2015，8（28）：11-12，14.

[6] 鲁晶，胡立生，徐济鋆. 核电数字化保护系统模拟量输入卡件的设计[J].微电脑应用，2009，7（25）：12-14.

[7] 彭勇，胡庆桢，吴礼银，等.可靠性设计在核电厂安全级DCS研制中的应用[J].仪器仪表用户，2008，4（25）：75-78.