图１   ＲＣＷ系统工艺流程图

    1.2   改造原因及目标

    改造前，RCW母管压力控制方式是由一台基地式控制器同时控制两台调节阀进行压力调节，没有冗余设计，一旦出现设备故障，整个RCW 压力控制将受到影响；同时基地式控制器的控制精度也较低；另外，RCW系统经常出现压力波动，尽管波动幅值在设计范围内，但对机组的安全稳定运行不利。

    系统改进目标：

    （1）提高系统压力控制精度。

    （2）提高系统冗余度，满足单一故障准则。

2     基于DCS的RCW系统母管压力控制系统的设计

    2.1   系统总体设计

    （1）系统采用和利时公司先进的DCS系统——HOLLiAS MACS 系统。

    （2）DCS系统设计双路供电，每路供电电源功率为3kVA（余量50%）。两路供电电源在DCS机柜内保持独立性。

    （3）系统设计成分布式网络结构，系统网络图如图2所示。

    （4）该系统采用两层网络结构：系统网络与控制网络。其中系统网络采用工业以太网通讯协议实现现场控制站与系统服务器的互连；控制网络通过采用PROFIBUS-DP现场总线协议实现现场控制站与过程I/O单元的通信。

    （5）系统网络、控制网络设备和控制站的主控模块、电源、部分I/O模块采用冗余配置。冗余设备的任一部分故障不会影响系统的正常运行。

    （6）系统具有实现与核电站的其它控制系统或局域网的连接和通信的备用以太网接口。

    2.2   控制站设计

    控制站由一个主控制柜组成。主控制柜内包括机柜、DCS机笼、电源模块、主控单元（双冗余）、冗余过程I/O单元、操作站主机和折叠式显示器等主要配套设备,控制站机柜示意图如图3所示。

    控制站的逻辑结构包括主控模件、I/O模件、电源模件等三个组成部分，而各个模件又由若干板级产品构成。主控模件与I/O模件之间使用现场总线Profibus-DP实现连接。I/O站的物理结构为集中安装的机柜式结构，包括机柜外壳、功能模件、端子模块（端子模块是外部信号线接入点）。

    主控模件是100M以太双光纤环网和现场总线Profibus-DP之间的枢纽，是一个与PC兼容的高性能的工业级中央处理单元。主控模件采用模件化结构，由CPU板、多功能卡（完成主从判定逻辑电路、掉电保护SRAM电路、双冗余以太双网控制器、Profibus-DP控制器等功能）、电源模件组成，完成对本地控制站中各I/O模件数据的集中处理，包括控制和逻辑运算、模拟量工程单位的转换、超量程监视、变化率监视、开关信号抖动的处理等。CPU板上带有Profibus-DP接口，用以同各个I/O模件进行通信。主控模件可以以热备份方式冗余工作，在出现故障时能够自动无扰切换，保证不会丢失数据，并实现掉电保护（断电恢复后，控制器立即恢复断电前的全部数据）等重要功能。

    I/O模件主要完成现场信号的连接以及与本模块相关的I/O处理工作。系统的所有I/O功能模件均为智能模件，模件上带有CPU和Profibus-DP控制器。CPU完成各种I/O处理和在线自诊断功能，而Profibus-DP控制器完成I/O模件与主控模件之间的通信。I/O模件支持带电插拔和冗余配置。
现场采集站的电源模件包括：

    （1）CPU、各个功能模块供电以及通过I/O模件为与其相连的现场接口部分供电的+24V系统电源模件；

    （2）开关量信号查询电压（+24V）电源模件。电源模件均支持冗余配置。

    2.3   系统性能

    2.3.1 系统安全性与可靠性
    
    系统安全性与可靠性两者是相互依存的。RCW压力控制DCS设计符合以下安全准则：

    （1）单一故障准则与系统设备冗余配置：必须确保系统内的任何单一故障不会导致系统功能。而为了使保护系统能够满足单一故障原则，系统采用多种冗余技术，即采用并列的多个装置同时完成某一个给定功能。所使用的冗余包括：网络冗余、控制站电源冗余、控制站CPU单元冗余、I/O卡件冗余。

    （2）独立性：保持冗余部件之间的独立性是克服冗余部件之间的相互的有害作用，实现单一故障准则、实现在线检验和维修的前提。在系统中采用大量的隔离技术，包括：

    电气隔离：在卡件设计中采用电气隔离，保证冗余的通讯总线之间电气隔离，通讯总线和卡件采集控制电路之间电气隔离，输出电路和卡件控制电路之间电气隔离；

    实体隔离：采用高强度机柜，卡件之间保持足够空间，机柜之间也保持足够距离，在单一卡件出现故障，限流电路动作保证其他卡件不会受到影响；

    监控层与控制层隔离：操作站与控制站不在同一网络上，避免操作站人为的任务影响实时数据采集和处理；

    （3）对外部灾害的防护：系统设备具有对火灾、地震和飞射物的防护要求。在结构设计和安装上，考虑到使火灾或爆炸造成的后果减至最小。

    2.3.2 系统处理能力

    RCW压力控制系统的软硬件具有足够的计算速度和容量，以保证在核电厂异常或者应急情况下，不会丢失实时信息、报警信息及其历史记录。主要采用如下措施：

    （1） 控制站CPU单元采用多处理器结构，其中一个处理器负责Profibus-DP现场总线，完成于IO卡件的实时数据交换，另一个处理器负责控制算法运算和控制网络，完成实时计算和与服务器的数据通讯。单个控制站CPU单元具有在0.5秒的周期内，完成控制126个IO卡件的能力和相当于50个回路PID的计算。

    （2） 服务器采用P4 CPU，主频3.0G，按照类似工程实际测算，可以满足10000点/s的处理要求。

    （3） 通信网络的平均负荷，在正常工况下≤15％，繁忙工况下≤30％。

    （4） 控制现场总线采用Profibus-DP，数据传输速率快，负荷低，满足使用要求。

    （5） 控制网络采用100M以太网，速率可以达到100Mbps。实际每个控制站最多500点，总共1个控制站，按照1秒1次全数据传输，负荷仅为8.4%，满足使用要求。

    （6） 系统网络采用快速以太网，速率达到100Mbps。
   
    2.3.3 系统可扩充性

    系统具有强大的扩充能力，最多可配置不超过32个控制站和20个操作站，并可以按照用户的要求增加核电站专用功能和操作站对话功能。

    2.3.4 系统可维护性             

    （1）自诊断 

    RCW压力控制系统的所有设备均具有自诊断功能，并在发生故障时给出指示，使运行人员能立即确定故障部位，并更换设备。在操作员站上可以方便地监控到当前系统主要设备的工作状态和实时报警信息。

    （2）带电插拔

    控制站的所有卡件均支持带电更换，包括CPU、IO卡件和电源卡件等。在卡件故障需要更换时，无须停止整个控制站的运行，即可拔出故障卡件，当新卡件插入后，系统自动识别卡件，实现即插即用，大大提高了可维护性。

    （3）在线无扰下装

    系统软件支持在线修改和无扰下装，允许用户在工程师站修改系统数据库、算法、动态流程图等，经过系统编译检查后，通过工程师站下装。下装过程只涉及变化部分系统，对于没有变化的部分系统无须下装。

    2.3.5 断电保护

    各种设备选用的电源输入部分均配有大容量电容，在外部电源瞬间断电时（≤10ms），RCW压力控制系统不受影响。
   
    系统在断电恢复后，控制站能够自动启动，立即投入运行，并恢复到断电前状态，断电前的全部数据不丢失。

3     系统具体功能实现及现场试验

    3.1   监视控制功能的实现

    （1）压力控制调节功能

    为降低管道振动对控制设备的影响，选用FISHER公司生产的远程智能阀门定位器DVC6025PD。该设备要求4-20MA 的电流控制信号并加载最少11VDC 的CPU 电源。而压力变送器采用ROSEMOUNT3051系列变送器，共3台变送器。

    从控制逻辑上，要求DCS同时采集三台压力变送器的压力信号，而参与控制的压力值遵照一定的算法原则来选取，保证是最可靠的值。

    为减小扰动，控制系统采用单一的控制信号回路同时控制2台阀门；该控制信号在主控模块中经过PID调节等一系列运算后从两组冗余的AO模块SM520分别输出到现场两台阀门定位器，实际上是两个互为热备用的控制回路，当单一回路失电或者单一回路中任何设备、卡件等故障时，完全可以实现自动无扰动切换，并输出故障报警。

    RCW压力控制回路如图4所示。

    （2） 系统报警功能

    报警信号分系统供电电源故障报警、系统硬件报警信号、变送器故障报警信号、工艺报警和阀门控制命令与实际阀门开度的偏差报警信号。上述报警信号在DCS中经软件处理，输出1点开关量输出信号。

    （3) 操作员站功能

    操作员站在线时，在主画面窗口可以监视到当前系统的压力值、现场阀门开度、阀位指令等动态信息。此外还可以进行PID的手自动切换控制。
   
    通过趋势画面还可以监视到三个压力变送器对应压力、阀位指令信号值和阀位反馈信号的趋势变化情况。
在全日志画面，可查看到系统发生的事件记录，包括动态或历史的信息，如系统设备报警、工艺报警和操作员所执行的一些重要操作等，这些信息可以自动存档，便于必要时查看。

    3.2    现场试验曲线

    （1）在泵的手动切换过程中，要求DCS系统在受到扰动后60秒内将系统压力调节到设定值允许范围内(689±10kPa)。

图5是现场起泵试验趋势曲线。

    从图中可看出，系统受到扰动1分钟后，压力回落到691.11kPa,该值完全符合要求。

    （2）运行中的单泵故障跳闸

    2 泵运行模式下，1 台泵发生故障跳闸时，压力会迅速下降80kPa 左右（3 泵运行模式下1 台泵跳闸时，压力大约下降60kPa），备用泵能自动启动以维持压力。整个过程中不能出现系统甩负荷工况。

    图6是针对这种工况，在系统投入运行时做的试验曲线。

图6  关阀停泵试验

    从图6中所示试验结果可以看出控制效果完全符合设计要求。

    （3）失掉压缩空气

    旁路调节阀设计为故障关，它们是气动调节阀，在失掉给调节阀供气的仪表压缩空气时，阀门将全部自动关闭。

    针对这种工况，我们设计了两个相关的试验方案，即PCV4205#1定位器失电试验和PCV4205#1失气故障试验，目的在于模拟1台RCW调节阀在发生故障后，评估系统压力的控制效果。图7和图8分别对应两种试验的趋势曲线。

图7   PCV4205#1定位器失电试验

图8  PCV4205#1失气故障试验