主控室后备盘应对网络故障的改进分析.pdf

1、694POWER中国核电第16 卷第5期2023年10 月主控室后备故障的改进分析马斌，原上草，高颖（中核核电运行管理有限公司，浙江海盐314303)摘要：2 0 18 年，方家山核电厂发生的1号机组DCS一层交换机端口禁用故障运行事件，造成主控室DCS二层（KIC）功能不可用，后备盘（BUP）部分功能不可用，该事件表明，高可靠性的DCS在某些故障模式下，也可能导致电厂的控制功能异常。本文通过对BUP控制信号进行分析，使用了DCS房间之间增加硬接线开关量控制的方法，解决了DCS一层网络风暴下BUP不可用的问题。通过变更后试验的验证，确认方案可行。该应用方案具备向同类电厂推广的价值。关键词：核电

2、；主控室；后备盘；网络故障中图分类号：TM623文献标志码：A文章编号：16 7 4-16 17（2 0 2 3）0 5-0 6 9 4-0 5Improvement of the Backup Panel in the Main Control Room toDeal with Network FailureMA Bin,YUAN Shangcao,GAO Ying(Nuclear Power Operation Management Co.,Ltd.,CNNP,Haiyan,Zhejiang Prov.314303,China)Abstract:The design of the main

3、 control room of Fangjiashan nuclear power plant is a scheme in which the oper-ator station of the computer information and control system(KIC)is the main control and the backup panel(BUP)of simulation technology is the auxiliary control.BUP is a backup means in case of KIC failure.Undernormal worki

4、ng conditions and accident working conditions,BUP can maintain the unit in a safe state or bring itinto and maintain it in a safe state.In 2018,the switch port on the DCS of unit 1 of Fangjiashan nuclear powerplant was disabled,resulting in the unavailability of the KIC function in the main control

5、room and the unavail-ability of some functions of BUP.The problem of BUP is not available when the switch of DCS failure is solvedby adding hard wiring switch quantity control between DCS rooms.Key words:nuclear power;main control room;BUP;network failureCLCnumber:TM623Article character:AArticleID:1

6、674-1617(2023)05-0694-051背景H A F0 2 0 0 核电厂设计安全规定指出：核电厂必须设置主控室，使核电厂在各种工况下安全运行。在事故工况以及控制室设计中所采用的设计基准事件出现后，能采取相应措施使核电厂维持在安全状态或使之返回安全状态1主控室设计的目标是及时并准确地向核电厂操作员提供电厂工艺系统和就地设备的状态信息，并完成对核电厂工艺系统和设备的控制。随着计算机技术、控制技术和网络技术的高速发展，新建核电厂的仪表控制系统大多采用更先进的数字化DCS技术。方家山核电厂采用了先进的主控室设计方案，以基于数字化人机接口的操纵员工作站（O p e r a t o r Wo

7、 r k Pl a c e，O WP）为主要控制手段，同时设计了基于模拟卡件技术的后备盘（Ba c k U p Pa n e l，BU P）作为应对OWP失效的多样化后备手段。方家山核电厂控制方式见图1。当OWP可用时，操纵员利用OWP对核电厂进行监督和控制；当OWP不可用时，操纵员利用BUP继续进行操作。同时，还设立了远程停堆站（RemoteShutdownStation，R SS)，当主控室失效时（例如火灾），操纵员可以在远程停堆站对核电厂进行控制，确保核电厂的稳定运行2 收稿日期：2 0 2 3-0 7-19作者简介：马斌（198 4一），男，浙江临安人，高级工程师，学士，现从事核电厂仪

8、控维修工作（E-mail:MAB）。695核电技术NuclearPowerTechnologyBUPOWPRSS上位机以太网下位机CP1CP2CP3CP4图1方家山核电厂控制模式示意图Fig.1The control model of Fangjiashan NPP2方家山核电厂BUP部分不可用事件2.1事件描述2018年10 月2 1日5：30，方家山核电厂1号机组主控室KIC所有操纵员站自动退出，无法通过OWP进行监控和操作，维修人员检查发现DCS一层网络有14个交换机端口被禁用，导致房间级交换机和机组级交换机通信部分中断，造成KIC/BUP与一层链接异常，KIC全部控制功能、BUP的部分

9、控制功能已不可用。2.2事件原因分析如图2 所示，DCS一层MESH网络，由三层倒挂树形结构组成，既每个机组配置四对房间级交换机与四个DCS设备间中的CP进行数据交互；同时每个交换机均与一对机组级交换机相连，完成跨房间CP之间、工程师站与CP之间、DCS一二层之间的数据交互工作；而机组级交换机则与根交换机进行通信，实现方家山核电厂两台机组间数据的交互。L5011L511ROOTSwitch口ROOTSwitch1KIC根交换机9P1ASW9P1BSWL507L509Unit SwitchUnitSwitch机组级交换机1U1ASW1U1BSW品品RoomRoomRoomRoomRoomRoom

10、RoomRoom房间级交换机SwitchSwitchSwitchSwitchSwitchSwitchSwitchSwitchIRIA8W1RIB8W1R2A8WIR2B8W1R3A8WIR3B8W1R4A8WIR4B8WL507L507L507L509L609L607L507L509控制机柜图2DCS一层MESH网络图Fig.2TheDCSMESHnetwork696POWER中国核电第16 卷第5期2023年10 月在本次事件中，由于机组级交换机1U1ASW突发异常故障，导致方家山核电厂DCS一层MESH网络发生RSTP（R a p i d Sp a n n i n g-T r e ePro

11、tocol快速生成树协议）失效，房间级交换机发送数据传输时，数据包经过1U1ASW时没有屏蔽掉，短时间内形成了数据传输环路。为应对该网络风暴事件，1号机组与1U1ASW产生数据交互的其他交换机，根据自身配置的CoSLDP（Lo o pDetectionPolicy环路检测机制）将数据站速率超限的级联端口禁用，相关故障网络状态图如下所示（红色端口表示被禁用端口，红色线表示网络通信断开，蓝/黑色线表示网络通信正常）。由于被CoSLDP机制禁用的交换机端口，必须由维修工程师手动解除，因此在禁用端口释放前，1号机组DCSMESH网络上，1R3ASW/1R3BSW、1R 4A SW/1R 4BSW（L5

12、0 7/L50 9 两个电子设备间控制器）处于网络孤岛状态，由于1KIC系统用于判断MCM/BUP/RSS控制模式的4个状态点均在L507和L509房间，因此导致此时这些信号在二层均为无效状态，1KIC系统根据控制模式切换原则，自动退出MCM模式至BUP模式。正常情况下，当电厂在主控室控制模式，将BUP盘台的切换开关旋至BUP模式，电厂处于BUP控制模式，此时按下盘台上的释放按钮和工艺设备的控制按钮就可将控制指令送至对应一层控制器。在BUP设计中，针对同类型设备的集中性考虑，BUP切换开关产生的“BUP操作模式”和防止设备误动作的“释放按钮”逻辑组合结果，通过一层MESH网络传递至待操作设备的

13、BUP控制逻辑中，导致当一层网络失效时，BUP上部分设备无法操作，工艺系统此时控制功能不完整，进而导致BUP控制功能不完整。原因分析图见图3。BUP切换3取2机组级交换机开关通信中断主控室BUP控制模式房间级交换机房间级交换机控制模式&A跨房间信号通信中断控制功能不完整BUP释放&按钮设备1控&制按钮设备2 控&制按钮设备设备图3BUP不可用原因图Fig.3ThereasonforunavailableBUP3BUP控制方式优化3.1切换开关的逻辑分析BUP盘上切换按钮有两组：KSC901CC/903CC/905CC（A 列）和KSC902CC/904CC/906CC（B列）。以方家山核电厂1

14、号机组为例，其A列切换按钮信号以继电器扩展方式，有信号分别送至L507和L609房间；B列切换按钮信号则送至L509房间。在方家山核电厂NC级DCS设计中，L507/L607/L609房间所在DCS机柜属于A列，L509房间所在DCS机柜属于B列。因此，从逻辑上分析，B列切换按钮信号没有经过DCS一层网络机组级交换机。而A列L607房间的释放按钮信号没有从BUP直接输人，而是从其他房间通过机组级交换机获得。故在机组级交换机故障情况下，L607房间所在工艺设备无法通过BUP盘直接控制。3.2释放按钮的逻辑分析方家山核电厂BUP盘需控制的工艺设备多，为了操作便捷性，BUP上分成了12 板块，对应的

15、释放按钮分为12 组。每一组释放按钮分A/B列，并有两个按钮互为余，防止单一故障造成697核电技术NuclearPowerTechnology设备无法控制。通过对BUP盘上所有工艺系统控制按钮的逻辑分析，核级（1E级）工艺设备有7 9个，其信号进入DCSTricon平台（核级）进行逻辑控制，与NC级网络交换机不存在信号传输路径，故假如DCS一层网络机组级交换机故障情况下，BUP盘上核级工艺设备控制按钮可用。BUP盘上非核级工艺系统控制按钮总283个，经对控制按钮、释放按钮和切换开关的逻辑分析，确认在DCS一层网络房间级交换机故障情况下，BUP盘上不可用工艺系统设备按钮有93个，涉及系统有反应堆

16、冷却剂系统(RCP）、汽机旁排系统（GCT）、主给水流量控制系统（ARE）、安全壳喷淋系统（EAS）、化学和容积控制系统（RCV）、反应堆硼和水补给系统(REA)和设备冷却水系统充（RRI)等。3.3优化方案为了解决DCS一层网络机组级交换机故障造成BUP盘控制按钮不可用的问题，拟将释放按钮、控制按钮、切换开关及控制逻辑中间点/输出点的逻辑组合在一个房间内部的DCS机柜内完成。如果保持释放按钮信号逻辑不变，将工艺系统的内部逻辑、输出信号进行重新设计分配至释放按钮信号所在DCS房间，则需要改动的逻辑组态多，并需要重新改变DCS机柜至就地设备的电缆路径，后续施工量很大，该方法在已投用商运机组不可取

17、。为了减少施工量，合理的方式是将BUP切换开关和释放按钮的信号通过硬接线扩展的方式引至所需房间3。硬接线扩展的方式有以下两种方案。方案一：在BUP盘增加继电器，通过继电器扩展、敷设信号电缆将切换开关和释放按钮信号送至DCS机柜所在各个房间。方案二：在DCS机柜内，通过原有空余开关量通道，将原切换开关和释放按钮信号通过增加硬接线方式，引至DCS其他房间。两个方案的比较，见表1。表1两方案比较Table1Comparison of two schemes方案优点缺点需要增加继电器与原设计方式相同方案一需要增加继电器供电回路占用DCS机柜通道少敷设电缆较多无需额外电源与原设计方式不同方案二无需增加硬

18、件（继电器）占用DCS机柜通道多敷设电缆少方家山核电厂主控室BUP盘控制方式优化变更申请在2 0 19年2 月初获得秦山核电批准，计划在2 0 19年3月方家山10 4大修中实施，存在准备时间短和继电器等设备采购周期较长的矛盾；同时，方案一的现场施工工作量较大，给方家山大修的主线工作造成一定压力，故在本次优化变更中采用方案二来实施。BUP盘切换开关的优化方案是敷设一组电缆，将A列切换开关KSC901CC/903CC/905CC的信号从L507房间引至L607房间，保证NC级DCS机柜所在每个房间都有硬接线的切换开关信号输人。BUP盘释放按钮的优化，是分析释放按钮与工艺系统的逻辑关系，将释放按钮

19、的信号引至所需DCS机柜所在房间。通过BUP盘上每个控制按钮的具体逻辑分析，需敷设两组电缆，将A列释放按钮信号从L507房间分别引至L607房间和L609房间，如图4所示。AUAVAWAXAYKSCO07TOKSCO0STOSOO5ITOK7BUP释放按钮SC022TOKBBUP释放按钮K7BUP馨放拉锁KBU欣舒放按级原硬接线A列L609A列L607A列L507B列L509新增硬接线图4BUP释放按钮接线图Fig.4Release buttonwiring diagram for BUP698（上接第6 93页）中国核电第16 卷第5期2023年10 月POWER4总结故在方家山核电厂原DC

20、S设计中，没有考虑DCS一层网络整体故障模式，也没有DCS一层网络整体故障后系统可用性分析和机组操作应对预案。方家山核电厂1号机组DCS一层交换机端口禁用故障运行事件和后续发生的秦山第二核电厂4号机组DCS网络故障导致自动停堆事件，说明I/A平台DCS一层网络也存在整体故障的可能性。尤其是DCS网络其中一台交换机故障导致网络风暴或端口禁用，造成DCS一层网络不可用是需要重点关注的。本文是在假设方家山核电厂DCS一层网络机组级交换机故障复现时、保证机组BUP可用并使机组处于可控状态而提出的优化方案。通过变更后试验的验证，可确认本文中的优化方案可行。该应用方案具备向同类全数字化核电厂推广4.3根本

21、原因塘铅工艺管控不严格，未实时把控塘铅作业温度、观察铅层融合情况，导致主铅层与底铅层融合不到位。5总结国内很多电缆厂都不具备制作和修复高压充油电缆的能力，本文对修复过程的详细拆解，为同类设备同类缺陷的处理提供了一定的检修思路。本次缺陷的症结是塘铅工艺不到位，消缺方法为对该部位重新塘铅，但本文不仅重点分析了渗油原因及塘铅修复工艺相关的内容，同时也详细介绍了配合此项工作而开展的吊拆GIS电缆终的价值。建议方家山核电厂BUP盘的后续再优化中，可利用大数据仿真分析方法，重点考虑DCS一层网络房间级交换机部分故障或者整体故障的影响，并在DCS房间/机柜的工艺系统功能分组上予以考虑优化。对新建核电厂，建议

22、在设计初期即可借鉴“方家山核电厂1号机组DCS一层交换机端口禁用故障运行事件”的经验教训，在设计上考虑DCS一层网络整体不可用的故障模式和应对预案，并优化DCS总体设计方案和工艺系统功能分组方案。参考文献：1 国家核安全局.HAF0200核电厂设计安全规定 Z.2王强，钟洋.核电主控室后备盘与远程停堆站的切换方法 J.仪器仪表用户，2 0 16，2 3（0 4）：8 0-8 2.3 自动化仪表工程施工及验收规范：GB500932002S.端、抽真空注油、耐压试验等工序，这部分内容也是非常具有借鉴意义的。充油电缆作为电厂SPV重要设备，通过本文的介绍，消除了充油电缆渗油缺陷修复的盲区，视角更注重细节，更有助于检修人员提高设备维护质量。参考文献：1俞剑刚.大型油浸式电力变压器绝缘受潮的综合分析处理 D.杭州：浙江大学，2 0 0 8.2李上国.高压电缆终端绝缘油老化特性的研究 D.北京：华北电力大学，2 0 11.3史传卿.供用电工人技能手册一电力电缆 M.北京：中国电力出版社，2 0 0 4.4 张庆达.电缆使用技术手册M.北京：中国电力出版社，2 0 0 6.