主控室后备盘应对网络故障的改进分析
2023-12-12原上草
马 斌,原上草,高 颖
(中核核电运行管理有限公司,浙江 海盐 314303)
1 背景
《HAF 0200核电厂设计安全规定》指出:核电厂必须设置主控室,使核电厂在各种工况下安全运行。在事故工况以及控制室设计中所采用的设计基准事件出现后,能采取相应措施使核电厂维持在安全状态或使之返回安全状态[1]。
主控室设计的目标是及时并准确地向核电厂操作员提供电厂工艺系统和就地设备的状态信息,并完成对核电厂工艺系统和设备的控制。随着计算机技术、控制技术和网络技术的高速发展,新建核电厂的仪表控制系统大多采用更先进的数字化DCS技术。
方家山核电厂采用了先进的主控室设计方案,以基于数字化人机接口的操纵员工作站(Operator Work Place,OWP)为主要控制手段,同时设计了基于模拟卡件技术的后备盘(Back Up Panel,BUP)作为应对OWP 失效的多样化后备手段。方家山核电厂控制方式见图1。当OWP 可用时,操纵员利用OWP 对核电厂进行监督和控制;当OWP 不可用时,操纵员利用BUP 继续进行操作。同时,还设立了远程停堆站(Remote Shutdown Station,RSS),当主控室失效时(例如火灾),操纵员可以在远程停堆站对核电厂进行控制,确保核电厂的稳定运行[2]。
图1 方家山核电厂控制模式示意图
2 方家山核电厂BUP部分不可用事件
2.1 事件描述
2018年10月21日5:30,方家山核电厂1号机组主控室KIC所有操纵员站自动退出,无法通过OWP进行监控和操作,维修人员检查发现DCS一层网络有14个交换机端口被禁用,导致房间级交换机和机组级交换机通信部分中断,造成KIC/BUP与一层链接异常,KIC全部控制功能、BUP的部分控制功能已不可用。
2.2 事件原因分析
如图2所示,DCS一层MESH 网络,由三层倒挂树形结构组成,既每个机组配置四对房间级交换机与四个DCS设备间中的CP进行数据交互;同时每个交换机均与一对机组级交换机相连,完成跨房间CP 之间、工程师站与CP 之间、DCS一二层之间的数据交互工作;而机组级交换机则与根交换机进行通信,实现方家山核电厂两台机组间数据的交互。
图2 DCS一层MESH网络图
在本次事件中,由于机组级交换机1U1ASW突发异常故障,导致方家山核电厂DCS一层MESH网络发生RSTP(Rapid Spanning-Tree Protocol快速生成树协议)失效,房间级交换机发送数据传输时,数据包经过1U1ASW时没有屏蔽掉,短时间内形成了数据传输环路。为应对该网络风暴事件,1号机组与1U1ASW产生数据交互的其他交换机,根据自身配置的CoS LDP(Loop Detection Policy环路检测机制)将数据入站速率超限的级联端口禁用,相关故障网络状态图如下所示(红色端口表示被禁用端口,红色线表示网络通信断开,蓝/黑色线表示网络通信正常)。
由于被CoS LDP 机制禁用的交换机端口,必须由维修工程师手动解除,因此在禁用端口释放前,1号机组DCS MESH 网络上,1R3ASW/1R3BSW、1R4ASW/1R4BSW (L507/L509 两个电子设备间控制器)处于网络孤岛状态。
由于1KIC 系统用于判断MCM/BUP/RSS 控制模式的4 个状态点均在L507 和L509 房间,因此导致此时这些信号在二层均为无效状态,1KIC 系统根据控制模式切换原则,自动退出MCM 模式至BUP 模式。
正常情况下,当电厂在主控室控制模式,将BUP 盘台的切换开关旋至BUP 模式,电厂处于BUP 控制模式,此时按下盘台上的释放按钮和工艺设备的控制按钮就可将控制指令送至对应一层控制器。在BUP 设计中,针对同类型设备的集中性考虑,BUP 切换开关产生的“BUP 操作模式”和防止设备误动作的“释放按钮”逻辑组合结果,通过一层MESH 网络传递至待操作设备的BUP 控制逻辑中,导致当一层网络失效时,BUP 上部分设备无法操作,工艺系统此时控制功能不完整,进而导致BUP 控制功能不完整。原因分析图见图3。
图3 BUP不可用原因图
3 BUP控制方式优化
3.1 切换开关的逻辑分析
BUP盘上切换按钮有两组:KSC901CC/903CC/905CC(A列)和KSC902CC/904CC/906CC(B列)。以方家山核电厂1号机组为例,其A列切换按钮信号以继电器扩展方式,有信号分别送至L507和L609房间;B列切换按钮信号则送至L509房间。在方家山核电厂NC级DCS设计中,L507/L607/L609房间所在DCS机柜属于A列,L509房间所在DCS机柜属于B列。
因此,从逻辑上分析,B列切换按钮信号没有经过DCS一层网络机组级交换机。而A列L607房间的释放按钮信号没有从BUP直接输入,而是从其他房间通过机组级交换机获得。故在机组级交换机故障情况下,L607房间所在工艺设备无法通过BUP盘直接控制。
3.2 释放按钮的逻辑分析
方家山核电厂BUP盘需控制的工艺设备多,为了操作便捷性,BUP上分成了12板块,对应的释放按钮分为12组。每一组释放按钮分A/B列,并有两个按钮互为冗余,防止单一故障造成设备无法控制。
通过对BUP盘上所有工艺系统控制按钮的逻辑分析,核级(1E级)工艺设备有79个,其信号进入DCS Tricon平台(核级)进行逻辑控制,与NC级网络交换机不存在信号传输路径,故假如DCS一层网络机组级交换机故障情况下,BUP盘上核级工艺设备控制按钮可用。
BUP盘上非核级工艺系统控制按钮总283个,经对控制按钮、释放按钮和切换开关的逻辑分析,确认在DCS一层网络房间级交换机故障情况下,BUP盘上不可用工艺系统设备按钮有93个,涉及系统有反应堆冷却剂系统(RCP)、汽机旁排系统(GCT)、主给水流量控制系统(ARE)、安全壳喷淋系统(EAS)、化学和容积控制系统(RCV)、反应堆硼和水补给系统(REA)和设备冷却水系统(RRI)等。
3.3 优化方案
为了解决DCS一层网络机组级交换机故障造成BUP盘控制按钮不可用的问题,拟将释放按钮、控制按钮、切换开关及控制逻辑中间点/输出点的逻辑组合在一个房间内部的DCS机柜内完成。如果保持释放按钮信号逻辑不变,将工艺系统的内部逻辑、输出信号进行重新设计分配至释放按钮信号所在DCS房间,则需要改动的逻辑组态多,并需要重新改变DCS机柜至就地设备的电缆路径,后续施工量很大,该方法在已投用商运机组不可取。
为了减少施工量,合理的方式是将BUP切换开关和释放按钮的信号通过硬接线扩展的方式引至所需房间[3]。硬接线扩展的方式有以下两种方案。
方案一:在BUP盘增加继电器,通过继电器扩展、敷设信号电缆将切换开关和释放按钮信号送至DCS机柜所在各个房间。
方案二:在DCS机柜内,通过原有空余开关量通道,将原切换开关和释放按钮信号通过增加硬接线方式,引至DCS其他房间。
两个方案的比较,见表1。
表1 两方案比较
方家山核电厂主控室BUP盘控制方式优化变更申请在2019年2月初获得秦山核电批准,计划在2019年3月方家山104大修中实施,存在准备时间短和继电器等设备采购周期较长的矛盾;同时,方案一的现场施工工作量较大,给方家山大修的主线工作造成一定压力,故在本次优化变更中采用方案二来实施。
BUP盘切换开关的优化方案是敷设一组电缆,将A列切换开关KSC901CC/903CC/905CC的信号从L507房间引至L607房间,保证NC级DCS机柜所在每个房间都有硬接线的切换开关信号输入。
BUP盘释放按钮的优化,是分析释放按钮与工艺系统的逻辑关系,将释放按钮的信号引至所需DCS机柜所在房间。通过BUP盘上每个控制按钮的具体逻辑分析,需敷设两组电缆,将A列释放按钮信号从L507房间分别引至L607房间和L609房间,如图4所示。
图4 BUP释放按钮接线图
4 总结
故在方家山核电厂原DCS设计中,没有考虑DCS一层网络整体故障模式,也没有DCS一层网络整体故障后系统可用性分析和机组操作应对预案。
方家山核电厂1 号机组DCS 一层交换机端口禁用故障运行事件和后续发生的秦山第二核电厂4号机组DCS网络故障导致自动停堆事件,说明I/A平台DCS一层网络也存在整体故障的可能性。尤其是DCS网络其中一台交换机故障导致网络风暴或端口禁用,造成DCS一层网络不可用是需要重点关注的。
本文是在假设方家山核电厂DCS一层网络机组级交换机故障复现时、保证机组BUP可用并使机组处于可控状态而提出的优化方案。通过变更后试验的验证,可确认本文中的优化方案可行。该应用方案具备向同类全数字化核电厂推广的价值。
建议方家山核电厂BUP盘的后续再优化中,可利用大数据仿真分析方法,重点考虑DCS一层网络房间级交换机部分故障或者整体故障的影响,并在DCS房间/机柜的工艺系统功能分组上予以考虑优化。
对新建核电厂,建议在设计初期即可借鉴“方家山核电厂1号机组DCS一层交换机端口禁用故障运行事件”的经验教训,在设计上考虑DCS一层网络整体不可用的故障模式和应对预案,并优化DCS总体设计方案和工艺系统功能分组方案。