首页 > 论文范文 > 工程工业论文 > 核工业论文 > 核仪器仪表论文 > 核电厂安全级数字化仪控系统故障缺省值的验证与确认

核电厂安全级数字化仪控系统故障缺省值的验证与确认

2024-08-05 21 上传者：管理员

摘要：安全级数字化仪控系统中故障缺省值的设置对核电厂安全具有至关重要的作用，但其验证与确认的难点在于具体实施时缺乏明确的细则指导。基于IEEE Std 1012,结合对法规标准、缺省值设计原则及以往项目实施经验的分析，同时考虑到漳州核电一期项目数字化仪控系统平台及设计开发流程的特点，提出了一套针对安全级数字化仪控系统故障缺省值的验证与确认策略和方法。经过漳州核电一期的实践验证，这套策略和方法能够充分、高效地验证缺省值设计的正确性和完整性，有效缓解了验证与确认过程中缺乏详尽标准、理论及相关成熟经验可借鉴的困境。对于后续核电安全级数字化仪控系统故障缺省值的验证与确认工作，该策略和方法具有一定的参考价值。

关键词：
安全级
故障缺省值
数字化仪控系统
核电厂
验证与确认
加入收藏

故障缺省值(以下简称“缺省值”)是指在数字化仪控系统(Digital Instrument Control System, DCS)中预先设置的替代值，用于在仪表/设备发生故障时参与机组的逻辑控制，以弱化或消除故障对机组运行的影响。缺省值的选择应严谨细致，必须结合系统工艺、平台特点进行深度分析和合理确定[1]。缺省值的设置对于机组的安全运行和设备的保护起到至关重要的作用。安全级DCS作为控制停堆的关键系统，不仅起到保护和专设安全设施及时动作的作用，更重要的是确保机组能迅速达到可控状态。尽管缺省值的设计原则已经通过国内多个核电项目的实践而日趋成熟，但当前仍缺乏明确、详尽的标准和理论支持。因此，对于缺省值的研究和应用，科研人员需要进一步加强理论和实践探索，以更好地保障核电站的安全运行。

在缺省值的实际详细设计中，可能会因核电厂技术路线差异或不同人员对标准理解的偏差而导致设计问题。由于当前缺乏详尽的标准、理论支持以及缺省值验证与确认的成熟经验可供借鉴，验证与确认人员在执行验证工作时存在面临较大的困难。为此，本文结合漳州核电一期项目数字化仪控系统平台及设计开发流程的特点，提出一套针对安全级数字化仪控系统故障缺省值的验证与确认策略和方法，供相关人员的验证与确认工作提供参考。

1、漳州一期安全级DCS简介

漳州一期安全级DCS是基于先进的国产核电厂安全级DCS平台(NASPIC)“龙鳞”系统实现，内含Level 1层反应堆保护系统及与之相连的Level 2层安全显示单元(SVDU)。如图1所示，虚线框中的阴影部分清晰地展示了安全级DCS在整个电厂仪控系统中的位置及其接口情况。

图1 安全级DCS在电厂仪控系统中的位置及接口示意图

安全级DCS主要承担安全级仪控功能，并辅助执行少量非安全级(以下简称“NC”)仪控功能。作为全厂仪控系统的重要组成部分，安全级DCS与现场传感器、现场驱动器、控制室以及NC系统之间建立了广泛的信号接口。具体来说，LEVEL 0的接口主要包括与现场传感器、驱动器和停堆断路器的直接硬接口；LEVEL 1的接口包括与NC系统的网络接口，以及与NC系统和RII、DAS等第三方系统的硬接口；LEVEL 2的接口涵盖了与BUP、ECP和远程停堆站的硬接口，以及与SVDU的网络接口。

安全级DCS典型信号路径及缺省值设置示意图如图2所示。

图2 安全级DCS典型信号路径及缺省值设置示意图

NASPIC平台信号质量位可由以下两种方式产生，即输入侧和输出侧[2]。

1) 输入侧：传感器信号故障(超量程)、DCS输入模块故障等。重要的是，开关量输入信号断线故障，无法置质量位坏。

2) 输出侧：DCS控制器故障；输出卡件故障，包括机柜失电故障。

NASPIC平台的缺省值可以通过以下3种方式进行设置，如图2所示的虚线框。

1) 在软件的图形组态逻辑中添加缺省值模块。当模块的输入侧质量位显示为异常时，该模块将自动采用预设的缺省值替换无效输入值，并将质量位状态更新为正常。在特殊情况下，可以根据工艺系统的特定要求，在信号采集后并经过逻辑运算的某个位置设置缺省值模块；还可以开发具备信号缺省功能的特殊模块，如2/4降级退化模块、质量位坏时冻结时间的延时模块、1/N退化模块等[3]。

2) 在软件的变量组态中，为输出侧的数字输出/模拟输出(DO/AO)模块设定缺省值。当输出模块监检测到信号质量位异常时，将采用预设的缺省值替换无效输出值，并更新质量位状态为正常。

3) 在输出侧通过硬件搭建电路，确保在机柜失电后输出能够自动切换至故障安全状态。

2、验证的依据

目前，行业内对于缺省值的设计主要依赖于故障失效安全性分析及工程经验，以制定总体原则，但尚未形成明确且详尽的标准。在验证缺省值时，应根据HAD 102/10—2021《核动力厂仪表和控制系统设计》对系统故障安全特性的要求，确保在仪控部件失电或发生故障(该故障模式须为已知并有记录)时，系统能够自动转入预定的安全状态。此外，还需结合机组的可用性、设备及人员的保护需求和最大失效可能性来验证缺省值设定的正确性。在选取缺省值的过程中，主要考虑以下4个因素[4]。

1) 分析信号失效的监视力，主要评估运行人员能够及时发现信号失效，以及发现信号失效的难易程度。

2) 分析信号失效后的影响，重点考虑信号失效对工艺系统可能产生的影响及其程度。

3) 分析信号功能的冗余状态，即当信号失效时，是否有其他自动或手动方式可以替代，以实现其功能。

4) 分析执行机构的安全位置，考虑传感器或仪表在正常运行时的状态及其故障安全位置，确保缺省值的设置和这些安全位置保持一致。

综合上述考虑因素，缺省值设置主要遵循以下3个原则：

1) 应综合考虑缺省值设置在不同工况下对电站运行可能产生的潜在影响；

2) 对于参与机组安全功能、影响机组安全性的信号，缺省值的设置应有利于安全功能的顺利执行；

3) 对于不参与机组安全功能、不影响机组安全性的信号，缺省值的设置应旨在提高系统的整体功能和机组的可用性，同时有利于设备及人员的保护。

3、验证与确认的总体策略

验证与确认工作依据IEEE Std 1012进行，本文仅对漳州一期项目中工厂内的概念、需求、设计、实现以及测试阶段的验证内容进行详细介绍。对于缺省值的验证，应基于验证的顶层依据，结合设计的逐层细化特点，在验证与确认的各阶段进行逐层深入验证，以确保各阶段缺省值设计的一致性、正确性和完整性。漳州一期项目的概念、需求和设计阶段均为文件类验证，而实现和测试阶段则侧重于软件代码和机柜的实物类验证。

验证方法主要分为分析评价与测试。文件类验证通过文档审查和人工走查的方法，根据上游输入来分析缺省值设置的合理性。在实物类验证中，除了软件代码采用分析评价和测试两种验证方法以外，其他部分仅进行测试。测试环节包括实现阶段的部件测试(动态仿真)和测试阶段的工厂测试(包括集成、系统测试),通过编制并执行测试用例，注入输入值后检查预期输出是否触发，从而验证缺省值设置的正确性。

根据NASPIC平台特性及上文所述，漳州一期安全级DCS软件中的缺省值按其设置位置可分为组态逻辑中的缺省值模块、DO/AO模块的缺省值以及输出侧机柜失电硬逻辑。对于这三者，分析评价方法均适用。在测试方面，结合平台及仿真工具的特性，可以考虑按照以下3个策略进行验证。

1) 对于组态逻辑中的缺省值模块，在实现阶段，采用SCADE进行仿真，通过在组态逻辑中设置插针、构建模型，并注入不同的输入工况、强制质量位来验证缺省值模块设置的正确性。到了测试阶段，则采用测试装置从源头注入信号并在输出端采集数据，或强制设置、观察变量来进行验证。

2) 对于DO/AO模块的缺省值，在实现阶段，由于这些缺省值在工程师站的变量组态中配置，并且须下装至输出模块中才能实现其功能，而SCADE仿真工具在软硬件尚未集成的环境中运行，只能对组态逻辑进行仿真，无法直接测试输出模块的缺省值。在测试阶段，可以在集成测试中设计输出模块缺省值的测试项，通过工程师站强制DO/AO硬点的质量位，并采集DO/AO点的输出值，以验证输出模块是否按照缺省值配置进行动作。

3) 对于输出侧机柜失电硬逻辑，由于软硬件尚未集成。实现阶段的验证可能不够全面，并且与测试阶段的验证存在重复，建议在测试阶段进行验证。在测试阶段，可以考虑在集成测试阶段与输出缺省值合并验证，或在系统测试阶段的机柜下电测试中验证。

综上所述，不同验证与确认阶段的验证方法可参照表1进行。

表1 不同阶段缺省值验证方法

4、验证与确认的验证方法

4.1 概念阶段

在概念阶段，验证与确认对象缺省值设计方案，是基于用户需求、法规标准、工程经验及系统特性，详细描述安全级DCS在内外部各类接口信号失效、机柜失电时缺省值的设置方案，并为后续的需求分析及实施阶段提供重要数据支持。作为承上启下的关键文件，该方案在整个缺省值验证中具有至关重要的地位，同时也是难点所在，因而必须对各类信号失效缺省值设置的方案设计进行逐条细致验证，以确保其合理性和准确性。

依据以往的工程经验，缺省值方案设计通常可按接口类型分为6个类别来考虑：0层与1层之间、1层安全级DCS与NC DCS之间、1层安全级DCS内部之间、1层与第三方系统之间、1层与2层之间以及安全级DCS机柜失电的情况[5]。尽管这种划分方法层次较为清晰，便于直接指导详细设计，但各类别之间存在较多重复的缺省值设置或表述，这在一定程度上增加了验证与确认工作复杂性。

为了进一步提升验证的有效性和准确性，根据验证的依据及原则，并结合平台的特点，将缺省值设置进一步归纳为3类：安全级DCS与外部之间的缺省值(含SVDU)、安全级DCS内部各组件之间的缺省值和安全级DCS机柜失电时的缺省值。从这3个方面来分析、验证缺省值方案，将使得整个过程更加简洁、逻辑清晰和结果准确。对于前两项，主要聚焦于单一信号通道故障的情况；对于第三项，则需要从机柜、保护通道及故障等多个维度进行考虑。特别是在机柜失电后，机柜内的保护通道仪表都将受到影响，因此在进行缺省值分析时，必须综合考虑多个仪表及其相应功能之间的相互影响[6]。

缺省值方案必须详尽列出各类信号的缺省值设置细则，明确信号/故障的具体类别、输入输出类型、信号的功能描述以及缺省值配置的详细依据。在进行验证与确认的严格过程中，必须确保这些设置符合既定的原则及上游设计要求，并且信号类别的覆盖要做到全面而细致，避免任何可能的遗漏。

为了确保正逆向的全面验证，验证与确认工作应提前依据上游文件及核心原则，整理出各类信号的缺省值设置原则。以漳州一期工程为例，验证与确认过程中整理的常见缺省值验证一般原则，如表2、表3和表4所示。对于上游设计无特殊要求的信号，可以依据一般原则进行缺省值方案的验证；而对于有特殊要求的信号，则必须严格依据这些特殊要求进行相应的验证。

表2 安全级DCS与外部之间(含SVDU)缺省值验证一般原则

表3 安全级DCS内部之间缺省值验证一般原则

表4 安全级DCS机柜失电缺省值验证一般原则

4.2 其他阶段

由于概念阶段的缺省值方案已经对各类信号故障的缺省值作了明确要求，除了少量缺省值需要在详细设计和实现阶段进行进一步深化设计以外，其余部分在后续阶段按照概念设计执行即可。验证与确认的依据清晰、方法明确，因而不存在重大的技术难题和风险。

验证与确认的方法主要包括分析评价和测试。其中，分析评价通过文档审查、人工走查等方法进行；在部件测试的动态仿真中，主要采用白盒测试、辅之以黑盒测试；而在集成、系统测试中，则以黑盒测试为主，辅之以白盒测试。从需求阶段到测试阶段的具体验证方法在行业内已经成熟，不存在技术难题，因而此处不再赘述。

5、结语

本文基于漳州一期核电项目，提出了一套安全级数字化仪控系统故障缺省值验证的策略和方法。该策略和方法经过漳州一期项目的实践验证，能够充分、高效地验证缺省值设计与实现的正确性和完整性。该策略和方法旨在缓解当前在缺省值验证与确认时过程中缺乏详尽标准、理论以及相关成熟经验可供借鉴的现状，从而降低因缺省值验证不充分、不正确、不完整的而带来的风险，以期为后续核电安全级数字化仪控系统故障缺省值的验证与确认工作提供有益的借鉴和参考。

参考文献:

[1]黄甦.基于TXS/T2000核电厂DCS信号失效下质量位设置[J].核安全,2019,18(5):38-42.

[2]王少威,李公杰,孙伟,等.CPR1000核电厂核级DCS平台缺省值实现方案研究[J].机电工程,2017,34(1):100-104.

[3]赵岩峰,周亮.ACPR1000核电站安全级DCS模拟量输入信号故障诊断及处理[J].仪器仪表用户,2020,27(4):70-73.

[4]苏朝葵,赵鸿斌,张焕欣.CPR1000核电厂DCS缺省值设置及验证方法研究[J].核科学与工程,2010,30(S1):9-12.

[5]廖圣勇,王兰兰,顾燕春.核电厂DCS系统信号失效分析及缺省值设置[J].自动化与仪表,2014(5):5-8.

[6]刘志云,王振营,张秀春,等.核电站反应堆保护机柜失电缺省值分析研究[J].核电子学与探测技术,2012,32(4):416-420.

文章来源:陈杰,靳津,肖安洪,等.核电厂安全级数字化仪控系统故障缺省值的验证与确认[J].仪表技术,2024,(04):44-48.