苏 正，文登宇，张启飞，冯 明

（台山核电合营有限公司，广东 江门 529228）

0 引言

核电作为清洁能源，其基本特性决定了在应对能源挑战中有能力发挥无可替代的重要作用，我国在现阶段发展核电是调整能源布局的有效途径。中国核电已形成规模化、批量化发展格局。二代改进型压水堆核电站随着技术的发展和运行经验的反馈，逐步引入新的成熟技术，使核电站的安全性得到进一步的提高[1]。目前，核电站已进入第三代，对安全性提出了更高的要求，以往的控制部分大多采用硬接线模拟量控制，已经不能满足因工程原则、人类工程学原则，DCS 系统（分散控制系统）都具有模拟量控制系统无法比拟的优越性[2]。核电站DCS 系统负责控制并监测整个电厂生产的全过程[3]，台山核电站采用目前国际最先进的第三代核电EPR 技术，采用了最先进的DCS 系统，完全集成了DCS 系统高可靠性、开放性、灵活性、易于维护和协调性控制功能齐全等优点[4]。

台山DCS 系统由非安全级的SPPA-T2000 系统（以下简称T2000）和安全级TXS 系统组成[5]。该系统已经过核级认证，是核电站DCS 领域最稳定、可靠的系统之一[6]。T2000系统Level 1 的核心处理单元是AP（Automation Processor），内部运行着核电站机组启、停以及正常运行等工况的逻辑算法，是核电站的神经中枢。基于AP 的核心作用，若AP出现故障，严重则会造成受该AP 控制的所有设备均退出运行，进而造成机组负荷下降或机组停机、停堆等情况。因此，AP 典型故障案例分析和处理方案对机组联调及后续商运有着非常重要的参考价值和经济效益。

图1 台山DCS系统组成Fig.1 Taishan DCS system composition

本文首先对T2000 系统进行简要概述，接着阐述AP的基本结构、功能组成及故障类型说明，然后以AP 典型案例—AP 离线下装进行故障分析和给出方案处理，最后进行总结，指出可能造成AP 离线下装的原因并提出相应的预防措施。

1 T2000系统概述

台山DCS 系统由非安全级的SPPA-T2000 系统和安全级TXS 系统组成。T2000 系统分为两个层级，分别是Level 1 自动控制层和Level 2 人机界面层[7,8]（见图1）。

1.1 Level 1自动控制层主要功能

1）接收现场就地传感器的采集信号和执行器的反馈信号。

2）接收Level 2 操纵员发送的操作指令。

3）周期自动运算处理，实现电厂正常运行所需的逻辑功能（核心功能）。

1.2 Level 2人机界面层主要功能

1）接收从Level 1 的采集信号，并进行信号的显示。

2）向Level 1 发送由操纵员在人机界面发出的操作指令。

Level 1 主要由两大部分组成：I/O 卡件、冗余AP 单元。其中，图2 为Level 1 自动控制层组成，图3 为Level 1 T2000 机柜组成。AP 是整个Level 1 的核心处理单元，内部运行着核电站机组启、停及正常运行等工况的逻辑算法。一方面，AP 周期自动采集来自机柜I/O 卡件（采集卡件和控制卡件）的输入信号和反馈信号，然后进行预设逻辑的运算处理，其运算结果送至Level 2 人机界面层进行显示；另一方面，AP 接收来自Level 2 人机界面层的指令，然后自动进行预设逻辑的运算处理，其运行结果送至Level 0 去控制现场执行器的动作[9]。

图2 Level 1自动控制层组成Fig.2 Level 1 automatic control layer composition

图3 Level 1 T2000机柜组成Fig.3 Level 1 T2000 cabinet composition

2 AP的构成及故障分类说明

2.1 AP的结构及功能

SPPA-T2000 机柜的AP 层由两个冗余的AP 单元组成，分别是AP-A 和AP-B，如图4。

单个AP 单元由以下设备组成如图5，分别是：

1）电源模块：给对应AP 单元的CPU 模块和通讯模块提供稳定供电电源。

2）CPU 模块：AP 单元的运算处理模块，处理下装到CPU 单元中的预设逻辑。

图4 SPPA-T2000机柜的冗余AP组成Fig.4 Composition of redundant APs in SPPA-T2000 cabinet

3）通讯模块：AP 单元与其它AP 单元或Level 2 进行数据交换的通讯单元。

2.2 AP故障的分类及说明

AP 故障一般分为3 类：AP 硬件故障、AP 固件及应用软件故障、AP 逻辑组态故障，如图6。

2.2.1 AP硬件故障

AP 硬件故障包括：电源模块故障、CPU 模块故障、通讯卡件模块故障。从台山项目现阶段来看，这3 类硬件故障率并不高，且由于AP 层本身是由冗余AP 单元组成，AP单个硬件故障后，另一冗余AP 对应的设备仍然可以维持正常工作，故单一设备硬件故障不影响AP 整体的正常运行。该类设备硬件故障一般采取的措施是领取新的备件进行更换。

2.2.2 AP固件及应用软件故障

图7 AP逻辑组态故障分类Fig.7 AP Logical configuration fault classification

根据信息安全规定，AP 单元所采用的固件（Firmware）以及应用软件（Application Software）都必须在离线环境下经过严格测试，并且经过V&V 测试后，方可在现场使用。故现场AP 所使用的固件和应用软件都是非常稳定和可靠的版本，一般不会出现共模故障。在这种情况下，单个AP单元中如果出现固件或应用软件意外故障，另一个冗余的AP 单元会保持正常运行，不会造成整个机柜AP 离线，且至目前为止，台山核电未发生过任何AP 固件及应用软件导致AP 故障的案例。

2.2.3 AP逻辑组态故障

AP 逻辑组态故障是整个调试期间导致AP 故障最频繁的故障类型，由于逻辑组态在冗余AP 中相同，故一旦出现AP 逻辑组态错误，则冗余AP 同时故障，冗余作用无法体现。AP 逻辑组态故障分为两种情况，如图7。

1）逻辑组态修改错误，导致代码无法编译，AP 无法下装。

图8 AP风险分析包络原则Fig.8 AP Risk analysis envelope principle

这种情况不会影响AP 逻辑运算的正常运行，但逻辑组态错误无法下装会导致AP 中当前采集的信号和运算逻辑结果无法通过逻辑组态工具实时查看，也就无法进行AP中逻辑信号的强制，从而阻碍调试活动开展。这种情况下必须找出逻辑组态修改的错误原因，进行纠正后再次进行AP 代码编译和下装。

2）逻辑组态修改正确，代码可以正常编译，但需要AP 离线下装。

这种情况虽然逻辑修改正常，代码也可以正常编译，但AP 需要离线下装，且AP 离线下装期间，对于逻辑量而言，原为1 的变量，其过程中会变为0；对于模拟量而言，所有有显示的值将会变为0，底限将会被触发，离线下装过程约持续10 分多钟，重启后变量先取默认值，再取实际值。为避免信号翻转造成设备的误操作，需对AP 机柜内所涉及到的执行机构进行逐项风险分析，如有必要，则需进行实体设备隔离；而且还需对AP 送出的网络信号进行逐项风险分析，如有必要，也需对受影响的实体设备进行隔离。

由于第二种情况影响大、范围广且时间急，在系统联调和后续商运期间，如何在AP 需下线下装的条件下，快速、有效地进行分析处理非常重要。因此，下文将针对这种情况进行分析和说明，并给出相应的预防措施，避免该情况的发生。

3 AP离线下装存在的风险及控制方案

3.1 AP离线下装存在的风险

在离线下装的过程中会出现以下的风险：

1）对于逻辑量而言，原为1 的变量，其过程中会变为0；对于原为0 的变量，不会变化，不会产生影响。

2）对于RS 触发器、SELECT 模块、KG 模块，都存在离线下装后，自动复位输出。

3）对于模拟量而言，所有显示值将会变为0，底限将会被触发。

4）离线下装过程约持续10 分多钟，重启后变量先取默认值，再取实际值，下装过程中变量的变化可能会反复几次。

5）在下装过程中，在AP 中进行处理的显示点在KIC上全部无效，在该AP 中处理的报警信号可能触发。

3.2 AP离线下装风险分析包络原则

清单1：AP 内涉及信号的非安全级执行器清单，包括FUM 卡件驱动的设备清单。

清单2：AP 内涉及信号的安全级执行器清单，包括AV42E 卡件驱动的设备清单。

清单3：AP 内涉及信号的网络信号清单，包括通过网络送出网络信号的设备清单。

清单4：AP 内涉及信号的硬接线信号清单，包括通过机柜送出硬接线信号的设备清单。

清单5：AP 内涉及信号的CG 信号清单，包括AP 送至PICS 的CG/GC 成组设备带记忆特点设备清单。

清单6：AP 内涉及信号的RG 信号清单，包括AP 送至PICS 的RG 设定值带记忆特点设备清单。

清单7：AP 内涉及信号的RS 触发器信号清单，包括AP 内RSR/RSS 带记忆特点设备清单。

3.3 AP离线下装风险控制方案

针对风险分析包络的每个清单，采取的风险控制方案如下：

1）对于AP 内涉及信号的非安全级执行器清单：如存在信号翻转风险则在FUM 卡件的下游进行指令线解线或由运行责任部门执行设备停运拉电隔离。

2）对于AP 内涉及信号的安全级执行器清单：如存在信号翻转风险，则在AV42E 卡件侧退卡，下游进行指令线解线或由运行责任部门执行设备停运拉电隔离。

3）对于AP 送出的网络信号清单：进行逐项风险分析，如信号存在翻转风险，则在下游AP 进行信号强制。

4）对于AP 送出的硬接线AO/BO 信号清单：进行逐项风险分析，如信号翻转风险，则进行接线或在下游AP 进行信号强制。

5）对于AP 内涉及信号的CG 信号清单：在进行AP离线下装前，当班运行人员记录离线前CG/GC 的初始选择状态，AP 离线下装完成后，运行人员根据机组当前运行状态以及AP 离线下装前记录的选择状态，综合判断是否需要恢复初始状态选择。

6）对于AP 内涉及信号的RG 信号清单：在进行AP离线下装前，当班运行人员记录离线前RG 的初始选择状态，AP 离线下装完成后，运行人员根据机组当前运行状态以及AP 离线下装前记录的状态，综合判断是否需要恢复初始状态设置值。

7）于AP 内涉及信号的RS 触发器信号清单：在进行AP 离线下装前，仪控人员记录离线前RG 的初始选择状态，AP 离线下装完成后，仪控人员根据机组当前运行状态以及AP 离线下装前记录的状态，综合判断是否需要恢复初始的触发状态。

另外，由于AP 离线下装期间，涉及到部分设备的停运或自动功能不可用，可能存在OTS（运行技术规范要求）要求，需要安工（核电站安全工程师）进行独立审核，并执行缓解措施，如受影响列设备切换至备用列运行，主控控制切换至就地控制等。

4 AP离线下装的原因分析及预防措施

4.1 AP离线下装的原因分析

通过工程实践以及与SIEMENS 澄清，AP 离线下装的原因可分为两类：

1）与AP CPU 在线运行逻辑冲突，下装将导致设备非预期动作

AP 功能模块的运算周期从无周期时间要求改为周期运算，或AP 功能模块从周期运算改为无周期时间要求。将导致无法在线下装，只能离线下装。

AP 多个功能模块打包（Package）在一个运算周期执行，只改变该包中一部分功能块的运算周期，另一部分运行周期保持不变。将导致无法在线下装，只能离线下装。

AP 功能模块的软件运算周期和硬件运算周期不一致，改为软硬件运算周期一致。将导致无法在线下装，只能离线下装。

AP 功能模块的软件运算周期和硬件运算周期一致，改为软硬件运算周期不一致。将导致无法在线下装，只能离线下装。

AP 功能包（Package）中只能最后一个模拟量功能块，删除掉该模拟量功能块。将导致无法在线下装，只能离线下装。

AP 功能包（Package）中没有模拟量功能块，往该功能包中增加模拟量功能块。将导致无法在线下装，只能离线下装。

AP 功能包（Package）中存储的模拟量功能块最大编号为127，每次往该功能包中增加模拟量模块时，最大编号将增加1，但删除模拟量时，最大编号保持不变。当模拟量模块最大编号达到127，将导致无法在线下装，只能离线下装。

AP 硬件中增加或删除一个或多个机架，将导致无法在线下装，只能离线下装。

AP 相同功能位置的FUM 卡件，进行了不同类型的更换，将导致无法在线下装，只能离线下装。

AP-AP 之间只有单向连接，增加相反连接。在线下装无法生效，只能离线下装。

2）AP 资源池正向使用耗尽

AP-AP 之间的最大连接数为32 条，超过该连接数将无法在线下装，需删除部分原有AP-AP 连接后增加新AP-AP 连接，然后再进行离线下装。

AP 的数据块资源池（Resource Pool of Data blocks）最大为152，数量超过152。只能清空AP 后再次编译，并进行离线下装。

AP 的时间资源块FB timers（750）、Step timers（230），时间块资源使用数超过任一个的最大值。只能清空AP 后再次编译，并进行离线下装。

4.2 避免非必要AP离线下装的预防措施

1）逻辑修改前进行规则分析：分析修改方案是否与AP 在线下装的规则冲突，详细见4.1 的第1）部分，如逻辑修改将导致AP 离线下装，可反馈设计方，在不改变逻辑功能情况下，重新调整AP 资源分配，使得AP 可以在线下装。

2）AP 编译前后的设备代码结构变化分析：通过搭建和现场一致的离线组态平台，编写脚本，抓取逻辑修改前、后AP 中设备代码的结构，以及逻辑修改前后的AP 资源使用情况。如资源分配不合理导致AP 离线，可反馈设计方，在不改变逻辑功能情况下，重新调整AP 资源分配，使得AP 可以在线下装。

5 结束语

在T2000 系统AP 故障的分类中，相比于其它类型的AP 故障，故障导致AP 离线下装给核电站造成的影响大、范围广，处理不当容易造成设备误动，严重会造成电站降功率或停机、停堆，造成重大经济损失。本文选取对电站调试和运行过程中影响范围最大的AP 离线下装工作，给出了典型AP 离线下装过程中存在的风险、风险分析原则以及处理方案。这对其它采用SPPA-T2000 技术的核电、火电等项目都具有参考和借鉴意义。