1　引言

循环水泵是核电厂的冷源，在华龙一号机组中，设计为2×50%——共计两台，每台承担50%的负荷。虽然循环水泵不执行核安全功能，但是在核电厂中举足轻重，任意一台的停运，都将直接导致核电厂降负荷，降低核电厂的经济性。一旦两台循环水泵在正常运行中误停运，将导致反应堆停堆，造成重大的经济损失。

国内某核电站曾经出现了仪控原因导致的非计划停堆，归根结底是因为信号分配不合理，以及质量位设置不正确。本文从信号分配的角度，运用DCS信号功能分配的方法，保证冗余功能的独立性的同时兼顾功能关联性，提出循环水泵信号分配的原则。

2　循环水泵工艺系统的特点

循环水泵本体由泵、电机、齿轮箱组成，此外还有电动辅助油泵和高压油泵为齿轮箱提供润滑油。从保护泵的角度出发，电机、齿轮箱、油系统的故障以及管道上的真空破坏阀打开都会导致循环水泵停运，因此将这些设备的信号都送入到DCS系统中实现设备的保护逻辑。

循环水泵与水路上下游的系统间关系紧密，相互影响，在进行功能分配的时候应该统筹考虑。循环水泵本身也是个庞大的系统，应该将其辅助系统和本体统筹考虑。

3　循环水泵的信号分配原则和方法

循环水泵泵本体测点众多，再加上其他辅助系统的测点，局限于处理器的处理能力，不能将所有的信号都分配至同一个处理器中，为了避免仪控系统本身故障导致的循环水泵运行状态异常，则需要根据相关性优先级的高低，来考虑信号分配。循环水泵相关的信号根据相关性，分为几个层级。

（1）第一层级是直接自动连锁跳泵的信号和手动跳泵信号。这一层级的信号故障可能直接导致循环水泵跳闸，从而降低电厂可用性，因此第一层级的信号必须和驱动逻辑分配至同一处理器。此外，直接跳泵信号均为冗余信号，为了避免单一卡件故障导致的功能丧失，应将测量同一物理量的冗余信号分配至不同卡件。

（2）第二层级是与循环水泵启动逻辑相关的信号。这一层级的信号故障将导致循环水泵不能正常启动，是比较容易发现的，因此第二层级的信号尽量和驱动逻辑分配至同一处理器，避免网络故障导致的水泵无法启动。

（3）第三层级是仅作为报警和指示信号。这一层级的信号故障不会对循环水泵的启停逻辑产生影响，但是如果不能正常显示则会对操纵员产生困扰，因此第二层级的信号可以不与驱动逻辑分配至同一处理器，但是测量同一物理量的信号应分配至不同卡件，避免同一卡件故障导致的冗余测量信号同时丧失。

基于DCS的I/O分配原则，采用从上到下、从大到小的方法，从几个方面考虑循环水泵的信号分配，如图1所示。

图1 循环水泵的信号分配方法

3.1　循环水泵与其他系统之间的I/O分配原则和方法

循环水泵的启动过程比较复杂，需要先满足十余项启动要求后，才具备启动条件，而且控制逻辑与多个辅助系统的运行状态有关系。例如，循环水泵的润滑油系统、压缩空气系统，以及水路的上下游系统。所以应该将循环水相关辅助系统的相关信号与循环水泵的控制逻辑分配至同一个处理器中。

某核电站根据厂址四季温差明显的特点，设计成冬季两泵、夏季三泵的运行模式，同时在每台泵的出口设置电动阀。这样设置保证泵与泵之间、泵与电动阀之间都存在信号关联。电动阀的正确开关，直接影响循环水泵的启停，错误的动作也可能会损坏设备，因此电动阀的控制逻辑必须与循环水泵的控制逻辑分配至同一处理器中。由于DCS处理器点数的限制，同时为了避免循环水泵间共因故障的影响，仍然考虑将三台循环水泵的控制逻辑分配至不同的处理器中。循环水泵间的切换逻辑同时考虑网络质量位的设置，没有特殊要求设置为“保持前一个有效值”，从而避免设备的误动。

某核电站为了节电，增加了变频器，变频器采用就地和远程控制相结合的方式，DCS根据在不同季节下水温的变化，对变频器发出频率指定信号。变频器的控制直接决定循环水泵的启停逻辑，因此将变频器系统作为循环水泵的一个重要辅助系统，和油系统一样，变频器系统的测点和控制逻辑与循环水泵本体的控制逻辑分配至同一处理器中。

3.2　循环水泵之间的I/O分配原则和方法

大部分核电厂循环水泵为2×50%配置，失去一台循环水泵将导致核电厂降功率，失去两台循环水泵将导致停堆。两台循环水泵之间没有连锁信号，独立运行。因此，为了避免DCS故障导致两台循环水泵同时失去的情况，应该将两台循环水泵相关的所有仪表信号和控制逻辑分配至不同的DCS处理器。

某核电厂误将两台水泵的控制逻辑分配至同一个处理器，当出现共因故障，该处理器成为网络孤岛时，错误地同时发出两台水泵的停泵指令，导致两台水泵同时停运，从而造成非正常停堆事故。

3.3　单台循环水泵信号的I/O分配原则和方法

循环水泵的被测参数较多，并且仪表大量采用3取2配置，使得单台水泵的相关信号多达一百多个，且多为模拟量。所以尽量把单台泵相关的测点信号都分配至同一处理器下。

如果因为DCS单个处理器中信号数量的限制，而不能将所有信号分配至同一处理器时，可以将报警指示信号分配至其他处理器中，特别应当注意的是上面提到的第一层级的停泵连锁逻辑相关的信号必须全都分配至同一机柜中，以避免网络故障导致处理器之间失联，从而可能导致的逻辑误动。重要的联锁信号如果因为其他原因不能分配至同一处理器，则必须考虑跨处理器信号的缺省值设置，当网络故障导致的信号质量位为坏时，设备的驱动逻辑应当综合考虑运行工况和设备保护的因素，选择最优的方案。对于循环水泵来说，不应该因为网络故障而直接跳泵，应设计专门的报警，提醒运行人员关注，由操纵员最终确定设备如何工作。某核电厂的循环水泵停运事件，是将3块参与停泵联锁逻辑的仪表均分配在了不同处理器中，当网络故障的时候，接收端的处理器认为3块仪表的信号同时丢失，质量位为坏，但是错误地将这三个信号的缺省值设置为触发逻辑，最终导致3取2复合逻辑触发停泵信号。

3.4 冗余仪表测点的分配原则和方法

冗余仪表的测量和控制方式，需要在就地仪表侧和DCS侧两方面考虑。同时应考虑必要的降级逻辑。

为了避免单一仪表故障导致循环水泵保护信号误触发，需要采用复合逻辑，将重要的就地仪表信号设置为3块，采用3取2逻辑提高设备可用性，既避免了设备误动，又避免了设备拒动。同时为了让操纵员更直观地了解每个信号的实际值，将三块模拟量仪表信号都直接送入DCS，在DCS内做完阈值比较后，通过3取2复合逻辑触发停堆保护信号。

在仪表侧考虑了冗余，但是如果DCS的I/O卡件故障，同样可能导致信号误触发或不触发。所以应该将参与3取2逻辑的三个信号分配至三块不同的模拟量输入卡件，避免单块卡件故障导致的三个信号同时丧失。当某一块卡件出现故障，另外两个信号仍然是正常的，3取2逻辑从保护设备的角度考虑可以降级成2取1，仍然具有必要的冗余度。

设置3重冗余仪表的同时，需要考虑必要的降级逻辑。降级逻辑要考虑维持运行工况和保护设备两个方面。鉴于循环水泵在核电厂中的重要性，因此不能随便停运；循环水泵通常是2×50%配置，一旦设备损坏，短时间内很难修复。在实际运行中，假设不考虑故障叠加的因素，DCS故障和设备同时故障的可能性微乎其微，因此往往倾向于维持运行工况。可以将降级逻辑设计为当一块仪表故障时降级成2取2；当两块仪表故障时降级成1取1；当三块仪表故障时仅报警，不跳泵。

重要冗余仪表的故障，除了合理的信号分配外，还需要辅以合理的报警逻辑，用以提醒操纵员关注。因此，所有重要的仪表测量通道都应关注质量位的状态。当单一仪表通道故障时，应触发报警逻辑，特别是与循环水泵运行状态相关的重要仪表通道的故障应该触发工艺报警，提醒运行人员立即关注并解决。

4　结论

采用了从上到下、从大到小的功能分配的方法后，循环水泵的信号分配更加合理，降低了仪控系统本身故障对工艺设备运行的影响。

本文明确了相关冗余设备需要分配至不同的处理器，避免单一处理器故障导致的冗余设备失去监视和控制手段。

本文同时明确了重要的、相关联的信号需要分配在同一处理器，这样对于上下游的设备联锁关系更加清晰、循环水泵之间的联锁关系更加明确，同时大大减少了处理器间传递的循环水泵相关的联锁信号，降低了DCS网络故障对系统产生的不利影响。

本文还明确了冗余功能的信号不能分配在同一I/O板卡或者同一处理器，避免了单一仪表故障、单一卡件故障、单一处理器故障造成的循环水泵的误动作的风险。

作者简介：

何庆镭（1981-），男，山西太原人，高级工程师，硕士，现就职于中核集团中国核电工程有限公司，主要从事核电厂仪控系统总体设计。

崔明路（1985-），女，河南郑州人，高级工程师，硕士，现就职于中核集团中国核电工程有限公司，主要从事核电厂仪控系统总体设计。

摘自《自动化博览》2021年7月刊