PMS设备误触发风险控制分析

2020-06-03付智琦

仪器仪表用户 2020年6期

付智琦

（三门核电有限公司维修处，浙江三门 317112）

0 引言

三门核电站的保护和安全监测系统（PMS）基于全数字化的Common Q 平台进行搭建。在PMS 响应时间测试阶段，考虑PMS 系统调试滞后而相关工艺或仪控系统已处于运行状态，同时PMS 响应时间产生的设备触发信号非常多且这些信号会通过硬软件传入其它相关接口系统，目前西屋对试验产生的设备触发控制考虑非常少，对调试期间人员、设备安全提出了挑战。

1 响应时间测试方法分析

1.1 PMS结构特点分析

PMS 系统布置4 个序列，每个序列采取相同的硬件配置，机架之间的功能相对独立，这为分段开展响应时间测试打下了基础。在功能上，现场传感器的输入信号，经过双稳态表决后，通过HSL（高速数据链）输出至本序列和其他冗余序列进行表决后，将产生停堆信号和专设安全设施触发信号。

结合PMS 的结构及功能，需要考虑试验风险，以避免设备的误触发造成人员和设备的伤害、损害。

1.2 响应时间调试方法分析

1.2.1 调试策略

响应时间测试采用分段交叠的测试方法进行[1]，其验证目的是保证测试结果在安全分析报告以及系统设计规范所给出的限值之内。测试分成现场仪表、系统机架、控制设备3 段进行，本文主要针对系统机架响应时间进行分析。

1.2.2 实施方案

在PMS 响应时间调试时，主要分为以下几个步骤进行：

1）初始状态建立

在PMS 响应时间调试时，首先将PMS 系统上下游仪表、设备信号断开，改用测试小车（SIOS）与PMS 机柜连接，建立试验初始条件。

2）通道响应时间测量

模拟本通道信号触发到CIM 发出指令的时间。

2 设备误触发控制分析

考虑PMS 系统响应时间测试时会导致4 个序列同时产生触发信号且PMS 的接口仪控系统比较多，这会导致大量设备动作信号，这些触发信号必须加以有效分析并制定控制措施。

2.1 PMS设备触发风险分析

2.1.1 信号丢失

PMS 响应时间调试时使用SIOS 模拟进入PMS 系统的信号，同时需要使用数据记录仪记录专设通道响应时间，需要断开传感器与双稳态逻辑处理机柜以及设备接口模块与PMS 控制的设备之间的连接，从而导致PMS 系统失去传感器指令信号，PMS 控制设备失去PMS 系统指令信号。

1）传感器信号丢失

问题分析：

PMS 系统通过相应的模拟量输入卡件接收现场的变送器输入号[1]，当断开变送器与PMS 机柜连接时，电压及脉冲信号不会产生停堆信号，但会达到低设定值而导致专设信号的触发，而电流和电阻信号的断开会产生坏点，这两种信号均会导致该序列产生一个局部停堆信号，这时若另外一个序列同一AI688 通道也有坏点或局部停堆信号时，这两个停堆信号经过4 取2 逻辑表决后产生停堆信号。

控制措施：

考虑在初始条件中已将所有的停堆断路器会被打开，同时CIM 会打到LOCAL 位置，此时只需要在SIOS 连接PMS 系统并模拟正常的电厂值后，通过主控室复位连接过程中产生的停堆和专设闭锁信号即可。

2）设备指令信号丢失

问题分析：

试验时需断开CIM 指令与现场设备的连接，并将数据记录仪接入CIM 指令输出端，这时PMS 控制设备会由于指令丢失而误触发。

气动阀的电磁阀失去PMS 指令时，电磁阀失电导致气源管线中的气体向大气排放，使得气动阀向安全方向动作。

断路器通过控制电源去驱动或停止最终设备的运行。当保护系统触发安全功能时，CIM 为并联跳闸线圈（得电动作）提供电源使得断路器跳闸。

电动阀正常运行时CIM 无指令输出至电动阀，失去CIM 指令后，电动阀不会动作。

爆破阀需要不同机柜中的两个CIM 进行触发才能驱动，（其中第一个CIM 输出信号用于爆破阀充电回路的控制，另一个CIM 用于爆破阀点火回路的触发，且必须先完成充电并在规定的时间内触发点火才能驱动爆破阀）[2]，因此不会导致爆破阀的误动作。

控制措施：

对气动阀分两种情况考虑，当相应的阀门有手动旋钮操作时，可使用手动旋钮将阀门锁死，没有手动旋钮时需要对相应的设备上游/下游阀门进行隔离，待PMS 试验结束后再恢复接线及上/下游阀门位置。

2.1.2 CIM误触发

在专设响应时间测量结束后，当现场传感器恢复到正常状态时，对于电动阀来说则必须接收到电动阀的力矩开关反馈信号才能消除CIM 的输出指令，这会产生以下两点影响：

1）响应时间无法测量。在本通道中CIM 的输出指令不被消除，那么在其它通道的响应时间测量时，由于CIM设备已存在触发指令，导致响应时间无法测量。

2）触发其它设备。在响应时间测量试验完成后或配合工艺系统调试，需要将CIM 与现场设备连接，在连接的过程中由于存在CIM 输出控制指令会导致现场设备的误触发。

控制措施：

现场恢复正常时，PMS 系统上层触发指令已消除，但CIM 上的指令由于RS 触发器自保持功能而一直存在，此时需要拨动CIM 模块上的STOP 按钮，消除触发指令后再将CIM 置于需求位置。

2.2 接口仪控系统设备误触发

对于PLS 系统而言，PMS 响应时间调试期间所产生的信号会通过以下两种接口传入PLS 系统中，导致相关系统设备触发。

2.2.1 共享传感器信号

PMS 接收现场1E 级传感器信号并将这些信号通过TU共享、隔离器传输给PLS 系统。

控制措施：

从PMS 侧和PLS 侧各有一种方法进行控制。

方法一：从PMS TU 侧断开这些信号与PLS 侧连接。断开后PLS 侧将收到0 mA 信号，这些信号在PLS 侧会被标记为坏点信号。PLS 侧会忽略接收到的1 个或2 个坏点信号，不影响PLS 的自动控制功能，但对于3 个以上的坏点产生时，受此信号控制的设备会自动切换成手动模式，不会导致设备的误触发。

方法二：在PLS 侧通过软件强制的方式来强制这些点信号输出。

两种方法相比较而言，从PLS 侧强制正常信号后，PMS 侧信号状态无论怎样改变均不影响PLS 侧信号的变化，而从PMS 侧断开信号后则可能会导致设备切手动的情况出现，因此本着对系统影响最小的角度出发，优先考虑从PLS 侧软件强制。

图1 消除设备误触发流程图Fig.1 Flow chart of eliminating false triggering of equipment

2.2.2 集成通信处理器（ICP）传输

在PMS 系统中的维修和测试机柜ICP 中，经PMS 系统处理产生的信号会经过ICP 中输出模块传入相应的PLS 系统中参与设备控制。

控制措施：

设备误触发从PMS 和PLS 侧都可以加以控制，对PMS而言AO650 输出为4mA ～20mA 信号，当断开TU 与PLS侧连接时，PLS 侧模拟量接收卡件会将此信号标记为坏点并忽略，DO620 输出0V ～10V 电压信号，在正常情况下DO620 输出到PLS 信号为0，因此断开DO620 输出0 指令不会对PLS 侧造成影响。在PLS 侧只需要找出相应的点加以强制就可以。

2.2.3 DDS侧设备触发

不同的模拟传感器输入信号经PMS A/D 转换计算后，以及PMS 系统状态信号要求在其它子系统中报警、显示并参与控制。数据显示和处理系统（DDS）通过电厂实时数据网实现不同的仪控子系统之间的数据共享。实时数据网根据需要将PMS 数据发送至其它子系统，尽可能减少非1E级设备与PMS 机柜之间不必要的连接。

DDS 通过安全级仪控系统的维修与测试机柜（MTC）上的网关接口接收来自PMS 的信号。每个序列的MTP 配置一个内置光纤发送器（FOT）的节点盒将数据发送至DDS。DDS 机柜内的服务器将数据转换后，通过DDS 实时数据网络传入其它系统。

控制措施：

对于PMS 经AOI 模块传入DDS/PLS 的计算机点控制信号（62 个PXS、RNS、SGS 等设备控制信号），需要进行有效的控制、隔离以防止PLS 设备的误触发。目前主要有两种方案进行控制：

方案一：解线。断开PMS 与DDS 之间的4 根光纤连接线。

方案二：强制计算机点的值。在OVATION 工程师站利用软件强制闭锁计算机控制点。

采用方案二虽然不如方案一直接，但不会导致报警丢失及设备的误触发，因此采用方案二控制计算机控制点对PLS 设备的影响。

综上所述，在PMS 响应时间测试阶段，PMS 系统内部主要采用手动复位、就地隔离的方式来消除设备误触发，而对于PMS 传输到其它仪控间的信号采取软件强制的方法比从PMS 侧解线，从设备影响的最小化来说更加合适。

3 消除设备误触发流程

通过对PMS 响应时间测试过程中的设备误触发进行分析，建立以下的流程以消除设备的误触发如图1 所示，PMS 响应时间测试设备误触发主要是对仪控间系统以及现场工艺设备采取与外部隔离内部强制的方式加以消除，需要指出的是在消除设备误触发时需要遵循由外往内，从上至下的顺序执行，即先对PMS 与PLS、DDS、工艺系统等设备进行隔离，这样做的目的是防止在执行停堆断路器打开、CIM 与现场设备断开时所产生的触发信号传入其它系统，造成设备的误触发，后考虑PMS 系统内部逻辑及CIM模块均存在闭锁逻辑，同时先从上层消除设备触发信号，能有效地消除触发信号。