(阳江核电有限公司 广东阳江 529500)
摘要:本文对发生在某电厂主控操纵员手动停运设备冷却水泵时备用泵异常启动的现象进行研究,分析并行冗余控制CPU的逻辑运算过程,得出在同一扫描周期内同时采集到停泵指令与泵状态变化反馈使得停运泵运行记忆信号未及时复位是备用泵异常启动的原因。针对问题的原因给出解决方案,通过在泵状态反馈回路增加延时的方式使得停运泵的记忆信号能够复位后再参与逻辑运算,从而避免备用泵异常启动的情况发生。同时本文给出同类问题的排查方法。
关键词:设备冷却水泵;逻辑异常;原因;
引言
设备冷却水系统(RRI)用于向核电厂核岛内各热交换器提供冷却水,并将其热负荷通过重要厂用水系统传到海水中。某电厂曾出现主控操纵员手动停运RRI系统冷却水泵(PO)时备用泵异常启动,本文对该异常现象进行研究,分析问题的原因。针对问题的原因给出解决方案,同时给出同类问题的排查方法。
1 背景描述
设备冷却水系统(RRI)用于向核电厂核岛内各热交换器提供冷却水,并将其热负荷通过重要厂用水系统传到海水中。某电厂1号机组曾出现主控操纵员手动停运RRI系统4号冷却水泵(RRI004PO)时备用2号泵(RRI002PO)不明原因自动启动。
2 原因分析
该电厂1号机组数字化控制系统(DCS)采用三菱电机的MELTAC-N plus DCS。RRI002/004PO由DCS中的安全逻辑机柜(SLC) 的B2组机柜进行控制。SLC B2机柜采用的是MELTAC-N plusR3控制器(CPU),采用并行冗余的控制模式,两个并行冗余的CPU的输出指令送到一个通过优选卡(PIF)上,RRI泵的启动指令,由该PIF卡的OUT0进行控制。RRI泵对应的PIF卡设置为“或”逻辑,当SLC B2机柜并行运行的两个CPU,任何一个CPU输出RRI泵的启动指令时,则PIF卡输出启动指令,控制RRI002PO启动。
.png)
图1 手停RRI004PO导致RRI002PO启动CPU时序
SLC B2机柜的两个CPU,其运算是不同步的,各自进行。两个CPU运算的时差,由SLC B2机柜对CPU送电的时刻决定,并在CPU重启之前不会改变。三菱电机MELTAC DCS SLC B2机柜的CPU,采用的是定周期的处理机制。SLC B2机柜CPU处理周期是100ms,CPU负荷率要求小于70%(CPU负荷率指在一个周期中CPU运算时间占CPU周期的比值)。MELTAC-NplusR3 CPU的运算时间包括计时器复位、模式管理、信号输入处理、运算处理、自诊断、信号输出处理、与维护工具的通讯、与冗余CPU的数据通信。该电厂1号机SLC B2机组号机组CPU负荷现场测试为37.5毫秒,在这37.5毫秒中完成信号的采集、逻辑运算与信号输出等工作。
存在这样一种情况:主控操纵员手动按下停泵指令,被I系CPU采集到,而II系CPU刚过了信号采集的时间没有采集,II系CPU需等到下一CPU扫描周期的信号采集时间才会进行信号采集,如图1所示。I系CPU采集后进行逻辑运算,输出停泵指令到PIF卡,因PIF卡设置为“或”逻辑,任一CPU输出停泵指令则PIF卡输出停泵信号;从PIF卡输出停泵指令到现场的RRI004PO状态变化反馈送达SLC机柜,现场使用示波器录波,测得这段时间为51.4毫秒。而I系CPU实际运算时间测试得到时间为37.5毫秒,加上从PIF卡输出到泵状态反馈的时间(51.4mS),小于一个CPU周期100毫秒,因此存在停泵指令与泵状态变化反馈信号被II系CPU在同一个扫描周期采集的情况。
当SLC的两个并行冗余的CPU的时间步差小于时间差值(CPU扫描周期-CPU实际负荷运算时间-现场运作反馈时间),且在该时间差所处的区域,操纵员按下停泵指令,则会出现停泵指令与泵状态变化反馈信号被II系CPU在同一个扫描周期采集。
CPU中的逻辑运算顺序是按软件逻辑图中的页码先后进行逻辑运算的。SLC B2机柜的软件页码运算顺序是RRI201、RRI069A、RRI069B、RRI063B、RRI070、RRI067。I系和II系CPU是并行冗余的,其内部的运算逻辑是一致的,运算逻辑如图2所示。
.png)
图2 CPU内逻辑运算过程
在I系CPU,T0时刻采集到手动停泵指令,第一个周期内,输出停泵指令,在第一个周期内,RRI070页004PO运行记忆信号仍为1,004PO启动反馈信号为1,在RRI067页启动002PO的信号为0;在第二个周期内,RRI070页004PO运行记忆信号变为0,004PO启动反馈信号为0,在RRI067页启动002PO的信号依然为0。
II系CPU,T0时刻II系CPU已过了信号采集阶段,在该周期内,相关状态不变;在T1时刻,手动停泵指令和004PO状态变化反馈信号(由1变为0)同时被采集到,但RRI069B页的停泵信号在下一个周期才会送到RRI069A页,RRI070页004PO运行记忆信号在该周期没有收到复位信号仍保持为1,因此在RRI067页输出启动002PO的指令,从而导致当操纵员手运停运4号泵时2号泵异常启动现象的发生。
因此,并行冗余的两CPU时间步差小,且在该时间步差区域,操纵员按下停泵指令,使得停泵指令与泵状态变化反馈信号在同一扫描周期被另一系CPU采集,停运泵运行记忆信号未及时复位叠加泵状态变化反馈,是备用泵异常启动的原因。
.png)
图3 RRI002PO逻辑图
3 改造方案
基于以上原因,针对该问题有三个解决方案:1)增加0.2S的后延时方案;2)软件逻辑运算页调整;3)调整两CPU的时差。
方案一:增加0.2S的后延时方案
在RRI004PO的启动状态反馈信号增加两个CPU周期的后延时,以确保RRI004PO的运行记忆信号先复位为0,从而有效避免RRI002PO异常启动。
增加0.2S的后延时,当出现RRI004PO在运而电气配电盘的开关闭合信号(启动反馈信号),比原设计延迟0.2S启动RRI002PO。在RRI系统的设计中,RRI004PO在运且出口压力低信号延迟5S时间才需RRI002PO动作,如图3所示,延迟0.2S的改造方案,能够被原设计所包络,是可以接受的。
方案二:软件逻辑运算页调整增加
将软件的逻辑运算页RRI069A与RRI069B相互对调,使得CPU在计算时先执行RRI069B页的逻辑,再执行RRI069A页的逻辑。在这种情况下,即使手停004PO的指令和004PO启动反馈变化信号同时被同一扫描周期所扫描,在RRI070页的运行记忆信号会复位为0,从而避免在RRI067页触发002PO的异常启动信号。
该方案可以解决当前的问题,但RRI069A和RRI069B页中,涉及到其它的关联逻辑页之间的信号跳转,调整这两页的逻辑运算顺序,有可能会导致相关的其它信号带去不利的影响,从而使得其它的逻辑运算出现异常。
方案三:调整两CPU的时差
当出现异常的时间,通过对某一CPU进行重启,如果重启后两CPU步差,能够大于时间差值(CPU扫描周期-CPU实际负荷运算时间-现场运作反馈时间),则不会出现手停泵指令与泵状态反馈信号在同一CPU采集周期出现的情况,从而能够确保泵状态变化反馈信号被采集时泵运行状态已复位,从而避免002PO异常启动。
但两CPU的时间步差,目前没有合适的方法进行控制,只能由CPU重启开始运算的时刻决定,无法有效地人为控制。有可能需多次重启,才能使两CPU间的时间步差满足要求。而且当现场有其它检修工作造成CPU停电或重启后,仍需重新核实两CPU的时间步差情况。
基于以上三种方案的对比分析,方案一能够解决手停RRI泵导致同列备用泵异常启动的情况,同时不会引入额外的风险,且方案成熟可控。
4 结论
本文对发生在电厂的设备冷却水泵异常启动现象的原因进行分析,并行冗余的两CPU时间步差小,在该时间步差区域操纵员按下停泵指令,使得停泵指令与泵状态变化反馈信号在同一扫描周期被另一系CPU采集,停运泵运行记忆信号未及时复位叠加泵状态变化反馈,是备用泵异常启动的原因。增加0.2S的后延时方案,能够解决手停RRI泵导致同列备用泵异常启动的问题。笔者对此问题原因进行分析,并给出对应的解决方案,采用三菱电机MELTAC平台DCS的相关电厂可按照此文思路进行问题排查和处理。