RU2734072C1 - Method for dividing risk of failure of pair of automatic processors of main dcs - Google Patents

Method for dividing risk of failure of pair of automatic processors of main dcs Download PDF

Info

Publication number
RU2734072C1
RU2734072C1 RU2019143565A RU2019143565A RU2734072C1 RU 2734072 C1 RU2734072 C1 RU 2734072C1 RU 2019143565 A RU2019143565 A RU 2019143565A RU 2019143565 A RU2019143565 A RU 2019143565A RU 2734072 C1 RU2734072 C1 RU 2734072C1
Authority
RU
Russia
Prior art keywords
signal
signals
analog
resulting
control
Prior art date
Application number
RU2019143565A
Other languages
Russian (ru)
Inventor
Сюнь Чи
Цзянь Чжан
Яо Хоу
Линьюань Ян
Шию Доун
Щянцзюнь Щюй
Цайчин Ту
Янин Хуан
Original Assignee
Цзянсуская корпорация по ядерной энергетике
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Цзянсуская корпорация по ядерной энергетике filed Critical Цзянсуская корпорация по ядерной энергетике
Priority to RU2019143565A priority Critical patent/RU2734072C1/en
Application granted granted Critical
Publication of RU2734072C1 publication Critical patent/RU2734072C1/en

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

FIELD: physics.
SUBSTANCE: invention relates to the field of distributed control systems (DCS), in particular, to a method of dividing the risk of failure of a pair of automatic processors (AP). Method of dividing the risk of failure of a pair of AP of a DCS system comprises collecting analogue and discrete signals, in which the control system of the DCS system includes logic operations and execution of signals. In case of AP failure, when analogue signal with discrete signal is not in one AP, analogue signal output takes value - 0, and signal converted to discrete changes state by -1. DCS decides to send an analogue significant digit signal to a module which performs the function of converting the signal from an analogue signal into a discrete one. In DCS the resulting analogue signals are formed by "two of three" or "one of two" logic.
EFFECT: technical result consists in improvement of reliability of power unit operation, reduction of unloading or unplanned shutdown of reactor.
3 cl, 8 dwg

Description

ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY

Данное изобретение относится к технической области распределенных систем управления (РСУ, англ. DCS -distributed control system), в частности к способу для разделения риска отказа пары автоматических процессором (АП, англ. AP - automatic processor) основной РСУ.This invention relates to the technical field of distributed control systems (DCS), in particular to a method for sharing the risk of failure of a pair of automatic processors (AP) of the main DCS.

УРОВЕНЬ ТЕХНИКИLEVEL OF TECHNOLOGY

Система РСУ называется также система собирательно-распределительного управления. Она представляет собой многоступенчатую компьютерную систему, составленную из класса процессного контроля и процессного мониторинга на ядре коммуникационной сети. В системе комплексно использованы компьютерные, коммуникационные, дисплейные и контрольные технологии. Основная идеология – распределительный контроль, централизованная операция, ступенчатое управление, гибкая компоновка и удобная конфигурация.The DCS system is also called a collective and distribution control system. It is a multi-stage computer system composed of a class of process control and process monitoring at the core of the communication network. The system uses computer, communication, display and control technologies in a complex manner. The main ideology is distribution control, centralized operation, staggered control, flexible layout and convenient configuration.

Класс процессного управления системы РСУ составляется из аппаратных средств (хардвер) и софтверных (программных) алгоритмов. Аппаратные средства комплектуются по принципу резервирования, т.е., предусмотрены двойные взаимо-резервирующие АП, что позволяет автоматическое переключение на АП-В в случае отказа АП-А и, тем самым, обеспечивает беспрерывное управление системой. Но тем не менее, в связи со случайностью возникновения отказа аппаратных средств, в случае одновременного отказа АП-А и АП-В, аппаратные средства могут целиком выйти из работы, что может привести к потере или резкому изменению важных контрольных параметров, и, соответственно, к потере управления оборудованием, и, в результате чего, может инициировать «событие в переходном режиме», которое будет впрямую сказываться на безопасной и надежной эксплуатации энергоблоков, в особенности для АЭС. В настоящее время, отсутствие надежных и действенных мер для заблаговременного мониторинга и диагностирования состояния аппаратных средств системы РСУ становится потенциальным риском для функционирования аппаратных средств. The class of process control of the DCS system is composed of hardware (hardware) and software (software) algorithms. The hardware is equipped according to the principle of redundancy, i.e., double mutually redundant APs are provided, which allows automatic switching to AP-V in the event of AP-A failure and, thereby, ensures continuous control of the system. But nevertheless, due to the randomness of a hardware failure, in the event of a simultaneous failure of AP-A and AP-V, the hardware can completely go out of work, which can lead to the loss or abrupt change of important control parameters, and, accordingly, loss of control of equipment, and, as a result, may initiate a “transient event” that will directly affect the safe and reliable operation of power units, especially for nuclear power plants. Currently, the lack of reliable and effective measures for early monitoring and diagnosis of the state of the hardware of the DCS system becomes a potential risk to the functioning of the hardware.

На сегодня, в функции защиты системы РСУ реализовано физическое резервирование АП разных шкафов, это означает, что отказа АП отдельного шкафа не повлияет на функцию защиты энергоблока. Для оборудования открытого контура управления, в случае выхода из работы шкафа из-за отказа обоих аппаратных АП, работа поддерживается в состоянии перед отказом, оборудование не может ложно срабатывать. А для оборудования замкнутого контура управления, искаженный сигнал, формированный в вышесказанном случае, может впрямую воздействовать на регулятор замкнутого контура и привести к ложному срабатыванию оборудования, тем самым, к пульсации системы, и вследствие чего, может повлечь за собой такие события как разгрузка, останов машины и останов реактора. Today, in the protection function of the DCS system, the physical redundancy of the AP of different cabinets is implemented, which means that the failure of the AP of a separate cabinet will not affect the protection function of the power unit. For equipment of an open control loop, if the cabinet is out of operation due to the failure of both hardware AP, the operation is maintained in the state before the failure, the equipment cannot be triggered falsely. And for closed-loop equipment, the distorted signal generated in the above case can directly affect the closed-loop controller and lead to a false operation of the equipment, thereby to the system ripple, and as a result, it can lead to events such as unloading, shutdown machines and reactor shutdown.

Отталкиваясь от программных алгоритмов класса процессного контроля системы DCS, путем создания разделения риска контрольных алгоритмов, данное изобретение позволяет поддерживать контрольную функцию системы и избежать от выхода энергоблока из-под контроля в случае выхода из работы системы из-за отказа обоих аппаратных АР.Based on the software algorithms of the process control class of the DCS system, by creating a risk sharing control algorithms, this invention allows you to maintain the control function of the system and avoid the power unit going out of control in the event of a system outage due to the failure of both hardware ARs.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯDISCLOSURE OF THE INVENTION

Целью данного изобретения является предоставление метода разделения риска от отказа обоих АП в РСУ, нацеленного на устранение недостатков имеющихся технологий и на повышение надежности эксплуатации энергоблока, уменьшение количества разгрузки или непланированного останова реактора, и создание экономических и социальных эффектов.The aim of this invention is to provide a method for sharing the risk of failure of both AP in the DCS, aimed at eliminating the shortcomings of existing technologies and increasing the reliability of the power unit operation, reducing the number of unloading or unplanned shutdown of the reactor, and creating economic and social effects.

Техническое решение данного изобретения:The technical solution of this invention:

Метод для разделения риска отказа пары АП РСУ включает в себя следующие шаги:The method for sharing the risk of failure of a pair of DCS ACS includes the following steps:

Шаг 1: сбор сигналов;Step 1: collecting signals;

Шаг 2: регулирование сигналов.Step 2: signal regulation.

В регуляторе включаются логические операции соответственных собираемых сигналов. Для собранных сигналов, которые учувствуют в операции прямой связи управляемых сигналов с РСУ, принимается мероприятие, чтобы значащий разряд аналогового сигнала управлял плавным временем и, таким образом, ослаблялось влияние на управляемый объект.In the regulator, the logical operations of the corresponding collected signals are switched on. For the collected signals, which take part in the operation of direct communication of the controlled signals with the DCS, measures are taken so that the significant bit of the analog signal controls the smooth time and, thus, the influence on the controlled object is weakened.

Шаг 3: Исполнение сигнала.Step 3: Execute the signal.

При описанном процессе сбора сигнала в РСУ собранные сигналы включаются в себя аналоговые и дискретные сигналы. Благодаря тому, что оборудование, управляемое дискретными сигналами, спроектировано с функцией самоудерживания и его управление срабатывается высоким электрическим уровнем, оно не влияют на функцию управления. Для сигналов, превращенных из аналоговых в дискретные, и когда аналоговый сигнал с дискретным сигналом не в одном АП, если возникает отказ АП, его выход аналогового сигнала - 0, и сигнал, превращенный в дискретный перевернётся, в таком случае система принимает решение следующим способом:In the described process of collecting a signal in the DCS, the collected signals include analog and discrete signals. Due to the fact that digital controlled equipment is designed with self-holding function and its control is triggered by a high electrical level, it does not affect the control function. For signals converted from analog to discrete, and when an analog signal with a discrete signal is not in one AP, if an AP failure occurs, its analog signal output is 0, and the signal turned into discrete will turn over, in this case the system makes a decision in the following way:

Высылать аналоговый сигнал значащего разряда на модуль, выполняющий функцию превращения сигнала с аналогового в дискретный когда возникает отказ АП, в котором аналоговые сигналы, управляющий модуль с помощью значащего разряда держит текущую выходную величину.Send an analog signal of a significant bit to the module that performs the function of converting the signal from analog to discrete when an AP failure occurs, in which the analog signals, the control module with the help of a significant bit, keeps the current output value.

В системе управления, для сбора аналоговых сигналов, принимая «два из трёх», «один из двух» или другие аналоговые логики, образуются результирующие сигналы, когда результирующие сигналы не в одном АП, если возникает отказ АП, то его аналоговые сигналы, выходящие на другой АП, становятся «0». Это создает возмущение для контура управления, в котором проводит операцию управляемого объекта с участием аналогового сигнала.In the control system, to collect analog signals, accepting "two out of three", "one of two" or other analog logics, resultant signals are formed, when the resulting signals are not in one AP, if an AP failure occurs, then its analog signals output to another AP, become "0". This creates a disturbance for the control loop, in which the controlled object is operated using an analog signal.

Если возникает отказ АП, то система выполняет следующие шаги, когда его аналоговые сигналы, выходящие на другой АП становятся «0»:If an AP failure occurs, the system performs the following steps when its analog signals output to another AP become "0":

Шаг 11. Для результирующего сигнала с поправкой управляемого объекта с участием аналогового сигнала перенести функцию операции результирующего сигнала, образованного путём «два из трёх», «один из двух» или других аналогических логик, на АП, где замкнутая логика регулятора или приводная логика органа исполнительного.Step 11. For the resulting signal with the correction of the controlled object with the participation of an analog signal, transfer the operation function of the resulting signal formed by "two of three", "one of two" or other similar logics to the AP, where the closed logic of the controller or the drive logic of the executive body ...

Шаг 12. Для результирующего аналогового сигнала, высылаемого на две и более регулирующих систем (система, которая влияет на возникновение неустойчивого события) выполняется следующее. Отдельно настраивается результирующий сигнал в АП разных важных регулирующих систем для одного аналогового сигнала, реализуется отделение функции результирующего сигнала, и, таким образом, сигналы избегают взаимной помехи.Step 12. For the resulting analog signal sent to two or more control systems (the system that affects the occurrence of an unstable event), the following is performed. The resulting signal in the AM of various important control systems is separately adjusted for one analog signal, the function of the resulting signal is separated, and thus the signals avoid mutual interference.

Шаг 13. Добавить функцию переключения логики для сбора аналоговых сигналов, избегать влияния на регулятор от сигнала неисправности.Step 13. Add a logic switching function to collect analog signals, avoid affecting the regulator from a fault signal.

В процессе исполнения этапа 13, когда значащий разряд результирующего сигнала аналоговой величины не был доведён до наружного места повреждения функционального модуля, управляющего регулирующим клапаном, и выход аналоговых результирующих сигналов не в одном АП, то при отказе АП аналоговый сигнал становится «0», замкнутый контур потеряет управляемый объект (главную меру регулирования) и выходит из-под контроля. В таком случае система принимает решение следующим способом:During the execution of stage 13, when the significant bit of the resulting signal of the analog value was not brought to the external place of damage of the functional module that controls the control valve, and the output of the analog resulting signals is not in one AP, then if the AP fails, the analog signal becomes "0", closed loop will lose the controlled object (the main control measure) and get out of control. In this case, the system makes a decision in the following way:

Шаг 21. Результирующий сигнал, в котором аналоговый сигнал участвует в управлении главной мерой регулирования предмета, перенесёт функцию результирующей операции аналоговых сигналов «два из трех» или «один из двух» в АП, где находится логика замкнутой цепи или приводная логика исполнительного органа.Step 21. The resulting signal, in which the analog signal participates in the control of the main control measure of the subject, will transfer the function of the resulting operation of the analog signals "two out of three" or "one out of two" to the AP, where the closed circuit logic or the actuator logic is located.

Шаг 22. Когда значащий разряд аналогового результирующего сигнала не дошел до места наружного отказа контрольного модуля регулирующего клапана, и аналоговый сигнал не действует, исполнительный орган выведен из автоматического режима, поддерживается нынешнее стабильное состояние.Step 22. When a significant bit of the analog resulting signal has not reached the point of external failure of the control valve control module, and the analog signal is not active, the actuator is taken out of automatic mode, the current stable state is maintained.

Технические эффекты данного изобретения:Technical effects of this invention:

При отсутствии у современных технологий возможности заблаговременно контролировать над работой аппаратных устройств системы РСУ, под другим углом зрения, т.е. методом программных алгоритмов, реализовано разделение риска, связанного с выходом из работы аппаратных средств обоих АП. В целях повышения возможности стабильной эксплуатации настоящий способ обеспечивает высокий уровень управляемости и надежности. Заявленный способ разделения риска может быть применен в различных промышленных сферах, например, электроэнергетики, металлургии, нефтехимии, нефтеперегонной промышленности и др. In the absence of modern technologies of the ability to control in advance the operation of the hardware devices of the DCS system, from a different angle, i.e. by the method of software algorithms, the separation of the risk associated with the failure of the hardware of both APs is realized. In order to increase the possibility of stable operation, the present method provides a high level of controllability and reliability. The claimed method of risk sharing can be applied in various industrial areas, for example, electric power, metallurgy, petrochemistry, oil refining industry, etc.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF DRAWINGS

Сущность заявленного решения поясняется представленными чертежами:The essence of the claimed solution is illustrated by the presented drawings:

Рис. 1 – Схема управления регулятора замкнутого контураFigure: 1 - Control circuit of the closed loop controller

Рис. 2 – Метод выхода дискретных сигналов, преобразованных из аналоговыхFigure: 2 - Method of output of discrete signals converted from analog

Рис. 3 – Метод участия корректированного (аналогового) значения в управлении замкнутого контура Figure: 3 - Method of participation of corrected (analog) value in closed loop control

Рис. 4 – Метод подачи результативного аналогового сигнала в две (или более двух) важных системы регулированияFigure: 4 - Method of supplying an effective analog signal to two (or more than two) important control systems

Рис. 5 – Метод добавления функции переключения логики для одного и того же сигнала физического значенияFigure: 5 - Method of adding a logic switching function for the same physical value signal

Рис. 6 – Метод дифференциального feedforwardFigure: 6 - Differential feedforward method

Рис. 7 – Метод участия результативного сигнала аналогового значения в управлении замкнутого контураFigure: 7 - Method of participation of the effective analog value signal in closed loop control

Рис. 8 – Метод участия сигнала аналогового значения в управлении исполнительным механизмомFigure: 8 - Method of participation of an analog value signal in the control of an actuator

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯCARRYING OUT THE INVENTION

Далее, с помощью приложенных рисунков и примеров осуществления будет раскрыто дальнейшее описание настоящего изобретения. Next, with the help of the accompanying drawings and examples of implementation, a further description of the present invention will be disclosed.

Метод для разделения риска отказа пары АП системы РСУ включает в себя следующие основные шаги:The method for sharing the risk of failure of a pair of AP of a DCS system includes the following basic steps:

Шаг 1: сбор сигналов. Под сигналами понимается аналоговый сигнал от устройств регулирующих систем, например, регулирующие системы уровня для парогенератора, деаэратора, компенсатора давления/стабилизатора давления и т.д.Step 1: collecting signals. Signals refers to an analog signal from control system devices such as level control systems for a steam generator, deaerator, pressure compensator / pressure stabilizer, etc.

Шаг 2: регулирование сигналов.Step 2: signal regulation.

В регуляторе включаются логические операции соответственных собираемых сигналов. Для собираемых сигналов, которые учувствуют в операции прямой связи управляемых сигналов, принимается мероприятие, чтобы значащий разряд аналогового сигнала управлял плавным временем и, таким образом, ослаблялся влияние на управляемый объект. Плавное время представляет собой время медленного перехода управляемых сигналов в «0» для того, чтобы ослаблять ступенчатые помехи сигналов прямой связи на замкнутый контур.In the regulator, the logical operations of the corresponding collected signals are switched on. For the collected signals, which take part in the operation of direct communication of the controlled signals, measures are taken so that the significant bit of the analog signal controls the smooth time and, thus, the influence on the controlled object is weakened. The smooth time is the time for the controlled signals to slowly transition to "0" in order to attenuate the step interference of the feedforward signals to the closed loop.

Шаг 3: Исполнение сигнала.Step 3: Execute the signal.

При описанном процессе сбора сигнала в РСУ собранные сигналы включаются в себя аналоговые и дискретные сигналы. Благодаря тому, что оборудование, управляемое дискретными сигналами, спроектировано с функцией самоудерживания и его управление срабатывается высоким электрическим уровнем, оно не влияет на функцию управления. Для сигналов, преобразованных из аналоговых в дискретные, и когда аналоговый сигнал с дискретным сигналом не в одном АП, если возникает отказ АП, его выход аналогового сигнала - 0, и сигнал, преобразованный в дискретный перевернётся (изменит состояние с «1» на «0» или обратно), в таком случае система принимает решение следующим способом.In the described process of collecting a signal in the DCS, the collected signals include analog and discrete signals. Due to the fact that digital controlled equipment is designed with self-holding function and its control is triggered by a high electrical level, it does not affect the control function. For signals converted from analog to discrete, and when an analog signal with a discrete signal is not in one AP, if the AP fails, its analog signal output is 0, and the signal converted to discrete will turn over (change state from "1" to "0 ”Or vice versa), in this case the system makes a decision in the following way.

При отказе аналогового сигнала, значащий разряд сигнала принимает значение «0» и блокирует выход модуля предельного значения, т.е. модуль предельного значения сохраняет текущее состояние.If the analog signal fails, the significant bit of the signal takes the value "0" and blocks the output of the limit value module, i.e. the limit value module retains its current state.

В системе управления, для сбора важных аналоговых сигналов, принимая «два из трёх», «один из двух» или другие аналогические логики, образуются результирующие сигналы, когда результирующие сигналы не в одном АП, при этом если возникает отказ АП, то его аналоговые сигналы, выходящие на другой АП, становятся «0». Это создает возмущение для контура управления, в котором проводит операцию управляемого объекта с участием аналогового сигнала.In the control system, to collect important analog signals, accepting "two out of three", "one of two" or other similar logics, resultant signals are formed when the resulting signals are not in one AP, while if an AP failure occurs, then its analog signals going to another AP become "0". This creates a disturbance for the control loop, in which the controlled object is operated using an analog signal.

Логика «Два из трёх» применяется когда на одной точке измерения находится три аналоговых сигнала. В случае, когда отклонения между двумя сигналами из данных трех аналоговых сигналов находятся в пределе, то выходными сигналами являются средние значения упомянутых трех аналоговых сигналов. В случае, если из трех аналоговых сигналов по крайней мере два сигнала оказываются значащими, то выходные сигналы будут эффектными. Логика «Один из двух» применяется когда из двух аналоговых сигнала на одной точке измерения учитывается больший или меньший сигнал. Logic "Two out of three" is applied when there are three analog signals at one measuring point. In the case where the deviations between two signals from these three analog signals are in the limit, then the output signals are the mean values of the three analog signals. If at least two of the three analog signals are significant, then the output signals will be effective. Logic "One of two" is used when the greater or lesser signal of two analog signals at one measuring point is taken into account.

Если возникает отказ АП, то система выполняет следующие шаги, когда его аналоговые сигналы, выходящие на другой АП становятся «0»:If an AP failure occurs, the system performs the following steps when its analog signals output to another AP become "0":

Шаг 11. Для результирующего сигнала с поправкой управляемого объекта с участием аналогового сигнала, перенести функцию операции результирующего сигнала, образованного путём «два из трёх», «один из двух» или других аналогических логик, на АП, где замкнутая логика регулятора или приводная (управляющая) логика исполнительного органа, в частности, регулирующего клапана.Step 11. For the resulting signal with the correction of the controlled object with the participation of an analog signal, transfer the operation function of the resulting signal formed by "two out of three", "one of two" or other similar logics to the AP, where the closed logic of the controller or drive (control ) the logic of the actuator, in particular the control valve.

Шаг 12. Для результирующего аналогового сигнала, высылаемого на две и более регулирующих систем (система, которая влияет на возникновение неустойчивого события) выполняется следующее. Отдельно настраивается результирующий сигнал в АП разных важных регулирующих систем для одного аналогового сигнала, реализуется отделение функции результирующего сигнала, и, таким образом, сигналы избегают взаимной помехи. При отказе АП все выходные аналоговые сигналы (сигналы прямой связи и регулируемые сигналы) в другие системы становятся "0", что приводит к потери регулирующей функции. Таким образом, необходимо передать эти аналоговые сигналы через эфирную сеть в тот АП, где находится соответствующая регулирующая система, в которой выполняется обработка вышеуказанных сигналов (проводится логическиая операция «два из трёх» и «один из двух»). Далее такие сигналы используются в функции регулирования регулирующей системы.Step 12. For the resulting analog signal sent to two or more control systems (the system that affects the occurrence of an unstable event), the following is performed. The resulting signal in the AM of various important control systems is separately adjusted for one analog signal, the function of the resulting signal is separated, and thus the signals avoid mutual interference. In the event of an AP failure, all analogue output signals (feedforward signals and regulated signals) to other systems become "0", which leads to the loss of the regulating function. Thus, it is necessary to transmit these analog signals through the air network to the AP where the corresponding regulatory system is located, in which the above signals are processed (the logical operation is “two out of three” and “one out of two”). Further, such signals are used in the regulation function of the control system.

Шаг 13. Добавление функции переключения логики для сбора аналоговых сигналов, во избежание влияния на регулятор от сигнала неисправности. На одной точке измерения собирается множество аналоговых сигналов, например, сигнал А и сигнал В. При отказе сигнала А по определению эффективности сигнала А логика автоматически переключается в сигнал В и т.д.Step 13. Adding a logic switching function to collect analog signals to avoid affecting the regulator from a fault signal. At one measuring point, many analog signals are collected, for example, signal A and signal B. If signal A fails, the logic automatically switches to signal B, according to the determination of the effectiveness of signal A, etc.

В процессе исполнения вышеуказанного Шага 13, когда значащий разряд результирующего сигнала аналоговой величины не был доведён до наружного места повреждения функционального модуля, управляющего регулирующим клапаном, и выход аналоговых результирующих сигналов не в одном АП, то при отказе АП аналоговый сигнал становится «0», что приводит к тому, что замкнутый контур потеряет управляемый объект (главную меру регулирования) и выйдет из-под контроля. In the process of executing the above Step 13, when the significant bit of the resulting signal of the analog value was not brought to the external place of damage of the functional module that controls the control valve, and the output of the analogue resulting signals in more than one AP, then if the AP fails, the analog signal becomes "0", which leads to the fact that the closed loop will lose the controlled object (the main control measure) and go out of control.

В регулирующей системе замкнутого контура при отказе аналоговых сигналов (сигналы прямой связи и регулируемые сигналы) во избежание ошибочного срабатывания регулирующей системы необходимо, чтобы регулирующий клапан вышел из управляющего режима замкнутого контура. По сигналу определения отказа (сигнал эффективности) аналоговых сигналов, управляющая логика регулирующего клапана выходит из режима замкнутого контура.In a closed loop control system, in the event of a failure of analog signals (feedforward signals and controlled signals), in order to avoid erroneous operation of the control system, it is necessary for the control valve to exit the closed loop control mode. On the failure detection signal (efficiency signal) of the analog signals, the control logic of the control valve exits closed loop mode.

В таком случае система принимает решение следующим способом:In this case, the system makes a decision in the following way:

Шаг 21. Результирующий сигнал, в котором аналоговый сигнал участвует в управлении главной мерой регулирующего клапана в регулирующей системе замкнутого контура, перенесёт функцию результирующей операции (сигнала) аналоговых сигналов «два из трех» или «один из двух» в АП, в котором находится логика замкнутой цепи или приводная логика исполнительного органа.Step 21. The resulting signal, in which the analog signal participates in the control of the main measure of the control valve in the closed-loop control system, will transfer the function of the resulting operation (signal) of the analog signals "two out of three" or "one of two" to the AP in which the logic is located closed circuit or actuator logic drive.

Шаг 22. Когда значащий разряд аналогового результирующего сигнала не дошел до места наружного отказа контрольного модуля регулирующего клапана, и аналоговый сигнал не действует, исполнительный орган выведен из автоматического режима, поддерживается нынешнее стабильное состояние.Step 22. When a significant bit of the analog resulting signal has not reached the point of external failure of the control valve control module, and the analog signal is not active, the actuator is taken out of automatic mode, the current stable state is maintained.

При отказе сигнала определения эффективности результирующего сигнала в АП1 соответствующий регулирующий клапан находится в АП2, сигнал определения эффективности результирующего сигнала из АП1 через эфирную сеть передается в АП2. If the signal for determining the effectiveness of the resulting signal in AP1 fails, the corresponding control valve is in AP2, the signal for determining the effectiveness of the resulting signal from AP1 is transmitted to AP2 through the air network.

При отказе АП 1 (одновременно возникает отказ двойных взаимно-резервирующих АП-А, АП-В, т.е. отказ пары АП), в АП1 сигнал эффективности в АП2 становится "0", регулирующий клапан выходит из режима замкнутого контура и текущая открытость клапана содержится.If AP 1 fails (at the same time there is a failure of double mutually redundant AP-A, AP-V, i.e. failure of a pair of AP), in AP1 the efficiency signal in AP2 becomes "0", the control valve leaves the closed loop mode and the current openness valve is contained.

При отказе пары АП, в АП1 сигнал эффективности в АП2 становится "0", регулирующий клапан выходит из режима замкнутого контура и открытость клапана сохраняется.If the AP pair fails, in AP1 the efficiency signal in AP2 becomes "0", the control valve leaves the closed loop mode and the valve remains open.

Пример реализацииImplementation example

Метод для разделения риска отказа пары АП РСУ достигает цели разделения риска путем совершенствования формы управления регулятором замкнутого контура. Схема управления регулятора замкнутого контура см. рис. 1, включает в себя следующие шаги:The method for sharing the risk of failure of a pair of AP DCS achieves the goal of risk sharing by improving the form of closed-loop controller control. For the closed loop regulator control circuit, see fig. 1, includes the following steps:

Шаг 1 – Сбор сигналов Step 1 - Collect Signals

Как показано на рис. 2, когда реализована функция преобразования аналогового сигнала через модуль предельного значения в дискретный сигнал, вводится значащий разряд аналогового сигнала. А при отказа аналогового сигнала, значащий разряд сигнала превращается в «0» и блокирует выход модуля предельного значения, т.е. модуль предельного значения сохраняет текущее состояние, тем самым предотвращается ложное срабатывания оборудования. As shown in fig. 2, when the function of converting the analog signal through the limit value module into a discrete signal is implemented, a significant bit of the analog signal is input. And in case of failure of the analog signal, the significant bit of the signal turns to "0" and blocks the output of the limit value module, i.e. the limit value module maintains its current state, thereby preventing false triggering of the equipment.

Как показано на рис. 3, для результирующего сигнала с поправкой управляемого объекта с участием аналогового сигнала, переносится функция операции результирующего сигнала, образованного путём «два из трёх», «один из двух» или других аналогических логик, на АП, где содержится замкнутая логика регулятора или приводная логика исполнительного органа.As shown in fig. 3, for the resulting signal with the correction of the controlled object with the participation of an analog signal, the function of the operation of the resulting signal formed by "two of three", "one of two" or other similar logics is transferred to the AP, which contains the closed logic of the controller or the drive logic of the executive organ.

Как показано на рис. 4, для результирующего аналогового сигнала, высылаемого в две и более регулирующей системы, отдельно настраивается результирующий сигнал в АП разных регулирующих систем для одного аналогового сигнала, реализовывается отделение функции результирующего сигнала, и, таким образом, сигналы избегаются взаимной помехи.As shown in fig. 4, for the resulting analog signal sent to two or more control systems, the resulting signal in the AP of different control systems for one analog signal is separately adjusted, the separation of the function of the resulting signal is realized, and thus the signals are avoided mutual interference.

Как показано на рис. 5, добавляется функция переключения логики для сбора аналоговых сигналов, принимается аналоговый сигнал А и В как один и тот же физическое значение, при нормальной эксплуатации выбирается сигнал А для в качестве выходного сигнала, а при отказе сигнала А, автоматически переключается на сигнал В как выходной сигнал. Таким образом, исключено влияние на регулятор от сигнала неисправности.As shown in fig. 5, add logic switching function to collect analog signals, take analog signal A and B as the same physical value, in normal operation, select signal A for as output signal, and if signal A fails, automatically switch to signal B as output signal. Thus, the influence on the regulator from the fault signal is excluded.

Шаг 2. РегуляторStep 2. Regulator

Как показано на рис. 6, когда аналоговый сигнал, участвующий в операции прямой связи управляемых сигналов, ослабляет влияние на управляемые объекты путем управления плавным временем через значащий разряд аналогового сигнала, при нормальной эксплуатации, дифференциальное время входного сигнала составляет 1, а при отказе входного сигнала, для того чтобы избавиться от влияния значения дифференциальной прямой связи на систему, добавляется плавного времени дифференциала чтобы ослабить и даже устранить влияние на управляемые объекты.As shown in fig. 6, when the analog signal participating in the feedforward operation of controlled signals attenuates the influence on the controlled objects by controlling the smooth time through a significant bit of the analog signal, in normal operation, the differential time of the input signal is 1, and when the input signal fails, in order to get rid of from the influence of the value of the differential feedforward on the system, a smooth time of the differential is added to weaken and even eliminate the influence on the controlled objects.

Шаг 3. Исполнительный органStep 3. Executive body

Как показано на рис. 7, результирующий сигнал, в котором аналоговый сигнал участвует в управлении главной мерой регулирования предмета, перенесёт функцию результирующей операции аналоговых сигналов «два из трех» или «один из двух» в АП, где находится логика замкнутой цепи или приводная логика исполнительного органа.As shown in fig. 7, the resulting signal, in which the analog signal participates in the control of the main control measure of the subject, will transfer the function of the resulting operation of the analog signals "two out of three" or "one of two" to the AP, where the closed circuit logic or the actuator logic is located.

Как показано на рис. 8, когда значащий разряд результирующего сигнала аналоговой величины не был доведён до наружного места повреждения функционального модуля, при отказе аналогового значения исполнительный орган выходит из автоматического режима, поддерживается стационарный режим настоящего времени.As shown in fig. 8, when the significant bit of the resulting signal of the analog value has not been brought to the external place of damage of the functional module, if the analog value fails, the actuator leaves the automatic mode, the stationary mode of the present time is maintained.

Описание спецификиDescription of specifics

Данное изобретение успешно реализовано на энергоблоках АЭС. При отсутствии у современных технологий возможности заблаговременно контролировать работу аппаратных устройств РСУ с помощью программных алгоритмов, реализовано разделение риска, связанного с выходом из работы аппаратных средств обоих АП. В целях повышения обеспечения стабильной эксплуатации, данный метод имеет высокий уровень управляемости и надежности. Такой метод разделения риска может быть применен в других промышленных сферах, например, электроэнергетики, металлургии, нефтехимии, нефтеперегонной промышленности и др. This invention has been successfully implemented at NPP power units. In the absence of the ability of modern technologies to control in advance the operation of the hardware devices of the DCS using software algorithms, a separation of the risk associated with the exit from the hardware of both APs is implemented. In order to improve the stability of operation, this method has a high level of controllability and reliability. This risk sharing method can be applied in other industrial areas, for example, electric power, metallurgy, petrochemicals, oil refining industry, etc.

Claims (11)

1. Способ разделения риска отказа пары АП (автоматических процессоров) системы РСУ (распределенная система управления), включающий: 1. A method for sharing the risk of failure of a pair of AP (automatic processors) of the DCS system (distributed control system), including: Шаг 1: сбор сигналов от устройств регулирующих систем, включающих аналоговые и дискретные сигналы; Step 1: collecting signals from control system devices, including analog and discrete signals; Шаг 2: регулирование сигналов, при котором в регуляторе системы РСУ включаются логические операции, при которых для собранных сигналов, которые участвуют в операции прямой связи управляемых сигналов, значащий разряд аналогового сигнала управляет плавным временем перехода управляемых сигналов в «0» для ослабления влияния на управляемый объект; Step 2: regulation of signals, in which logical operations are turned on in the controller of the DCS system, in which for the collected signals that participate in the direct communication of controlled signals, the significant bit of the analog signal controls the smooth transition time of controlled signals to "0" to weaken the influence on the controlled an object; Шаг 3: исполнение сигналов, при котором для сигналов, преобразованных из аналоговых в дискретные, и когда аналоговый сигнал с дискретным сигналом не в одном АП, если возникает отказ АП, его выход аналогового сигнала принимает значение - 0, и сигнал, преобразованный в дискретный изменяет состояние на - 1, то РСУ принимает решение высылать аналоговый сигнал значащего разряда на модуль, выполняющий функцию преобразования сигнала с аналогового в дискретный, причем, когда возникает отказ АП, в котором содержатся аналоговые сигналы, то модуль, управляющий значащим разрядом, держит текущую выходную величину, при этом в РСУ результирующие аналоговые сигналы образованы логиками «два из трёх» или «один из двух», причем когда результирующие сигналы не в одном АП, если возникает отказ АП, то его аналоговые сигналы, выходящие на другой АП, становятся «0», за счет чего создается возмущение для контура управления, в котором проводится операция управляемого объекта с участием аналогового сигнала. Step 3: execution of signals, in which for signals converted from analog to discrete, and when an analog signal with a discrete signal is not in one AP, if an AP failure occurs, its analog signal output takes the value - 0, and the signal converted to discrete changes state to - 1, then the DCS decides to send an analog signal of a significant bit to a module that performs the function of converting a signal from an analog to a discrete one, moreover, when an AP failure occurs, which contains analog signals, the module that controls a significant bit keeps the current output value , while in the DCS the resulting analog signals are formed by the logics "two out of three" or "one of two", and when the resulting signals are not in one AP, if an AP failure occurs, then its analog signals outputting to another AP become "0" , due to which a disturbance is created for the control loop, in which the operation of the controlled object is carried out with the participation of an analog signal. 2. Способ по п.1, характеризующийся тем, что если возникает отказ АП, то система выполняет следующие шаги, когда его аналоговые сигналы, выходящие на другой АП становятся «0»: 2. The method according to claim 1, characterized in that if an AP failure occurs, the system performs the following steps when its analog signals outputting to another AP become "0": Шаг 11: для результирующего сигнала с поправкой управляемого объекта с участием аналогового сигнала осуществляется перенос функции операции результирующего сигнала, образованного путём «два из трёх», «один из двух» на АП, где замкнутая логика регулятора или приводная логика исполнительного органа; Step 11: for the resulting signal with the correction of the controlled object with the participation of an analog signal, the function of the operation of the resulting signal formed by "two out of three", "one out of two" is transferred to the AP, where the closed logic of the controller or the drive logic of the executive body; Шаг 12: для результирующего аналогового сигнала, высылаемого в две и более РСУ, которая влияет на возникновение неустойчивого события, осуществляется отдельная настройка результирующего сигнала в АП разных важных регулирующих систем для одного аналогового сигнала, реализуется отделение функции результирующего сигнала, и, таким образом, сигналы избегают взаимной помехи; Step 12: for the resulting analog signal sent to two or more DCSs, which affects the occurrence of an unstable event, the resulting signal is separately adjusted in the AP of different important control systems for one analog signal, the function of the resulting signal is separated, and thus the signals avoid mutual interference; Шаг 13: добавление функции переключения логики для сбора аналоговых сигналов, во избежание влияния на регулятор от сигнала неисправности. Step 13: Add a logic switching function to collect analog signals to avoid affecting the regulator from a fault signal. 3. Способ по п.2, характеризующийся тем, что в процессе исполнения шага 13, когда значащий разряд результирующего сигнала аналоговой величины не был доведён до наружного места повреждения функционального модуля, управляющего регулирующим клапаном и выход аналоговых результирующих сигналов не в одном АП, то при отказе АП аналоговый сигнал становится «0», замкнутый контур теряет управляемый объект (главную меру регулирования) и выходит из-под контроля, при этом выполняются следующие этапы: 3. The method according to claim 2, characterized in that during the execution of step 13, when a significant bit of the resulting signal of an analog value was not brought to the external place of damage of the functional module that controls the control valve and the output of analog resulting signals in more than one AP, then at Failure of the AP, the analog signal becomes "0", the closed loop loses the controlled object (the main control measure) and goes out of control, while the following steps are performed: Шаг 21: результирующий сигнал, в котором аналоговый сигнал участвует в управлении главной мерой регулирования предмета, осуществляет перенос функции результирующей операции аналоговых сигналов «два из трех» или «один из двух» в АП, где находится логика замкнутой цепи или приводная логика исполнительного органа; Step 21: the resulting signal, in which the analog signal participates in the control of the main control measure of the subject, transfers the function of the resulting operation of the analog signals "two out of three" or "one of two" to the AP, where the closed-circuit logic or the drive logic of the executive body is located; Шаг 22: когда значащий разряд аналогового результирующего сигнала не дошел до места наружного отказа контрольного модуля регулирующего клапана, и аналоговый сигнал не действует, исполнительный орган выведен из автоматического режима, поддерживается нынешнее стабильное состояние.Step 22: when a significant bit of the analog resulting signal has not reached the point of external failure of the control valve control module, and the analog signal does not work, the actuator is taken out of automatic mode, the current stable state is maintained.
RU2019143565A 2020-01-23 2020-01-23 Method for dividing risk of failure of pair of automatic processors of main dcs RU2734072C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019143565A RU2734072C1 (en) 2020-01-23 2020-01-23 Method for dividing risk of failure of pair of automatic processors of main dcs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019143565A RU2734072C1 (en) 2020-01-23 2020-01-23 Method for dividing risk of failure of pair of automatic processors of main dcs

Publications (1)

Publication Number Publication Date
RU2734072C1 true RU2734072C1 (en) 2020-10-12

Family

ID=72940322

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019143565A RU2734072C1 (en) 2020-01-23 2020-01-23 Method for dividing risk of failure of pair of automatic processors of main dcs

Country Status (1)

Country Link
RU (1) RU2734072C1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6017143A (en) * 1996-03-28 2000-01-25 Rosemount Inc. Device in a process system for detecting events
EP0718727B1 (en) * 1994-12-21 2000-02-09 Allen-Bradley Company, Inc. Industrial controllers with highly distributed processing and method of programming same
US6047331A (en) * 1997-02-19 2000-04-04 Massachusetts Institute Of Technology Method and apparatus for automatic protection switching
RU2250494C1 (en) * 2003-10-02 2005-04-20 Федеральное государственное унитарное предприятие "Центральный институт авиационного моторостроения им. П.И. Баранова" Hardware-software device for multichannel conversion and recording of analog signals
US20080165460A1 (en) * 2006-12-21 2008-07-10 Colin Whitby-Strevens Data port transient protection apparatus and methods

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0718727B1 (en) * 1994-12-21 2000-02-09 Allen-Bradley Company, Inc. Industrial controllers with highly distributed processing and method of programming same
US6017143A (en) * 1996-03-28 2000-01-25 Rosemount Inc. Device in a process system for detecting events
US6047331A (en) * 1997-02-19 2000-04-04 Massachusetts Institute Of Technology Method and apparatus for automatic protection switching
RU2250494C1 (en) * 2003-10-02 2005-04-20 Федеральное государственное унитарное предприятие "Центральный институт авиационного моторостроения им. П.И. Баранова" Hardware-software device for multichannel conversion and recording of analog signals
US20080165460A1 (en) * 2006-12-21 2008-07-10 Colin Whitby-Strevens Data port transient protection apparatus and methods

Similar Documents

Publication Publication Date Title
CA1046140A (en) System for manually or automatically transferring control between computers without power generation disturbance in an electric power plant or steam turbine operated by a multiplecomputer control system
CN110095975A (en) A kind of redundancy control system
CN111431147B (en) Fault switching system and method for valve control system protection device of flexible direct current converter valve
CN108733021B (en) Method for dispersing double-AP fault risk of DCS (distributed control system)
RU2734072C1 (en) Method for dividing risk of failure of pair of automatic processors of main dcs
CN110503272B (en) Short-circuit-limiting current auxiliary decision-making method and system meeting safety and stability requirements
US6606366B2 (en) Nuclear power plant having steam turbine controller
CN215369958U (en) Redundant servo control system of steam turbine valve
CN1175428C (en) Fault tolerant control system
Rajan et al. Implementing an intelligent steam and electrical load-shedding system for a large paper mill: Design and validation using dynamic simulations
JP4901774B2 (en) Multiplexed steam turbine controller
RU2785561C1 (en) Method for preventive control of autonomous electric power system
JPS6038522B2 (en) Turbine control device
CN114688520B (en) Auxiliary control method and system for liquid level of steam generator of nuclear power station
Yao et al. Optimization measures to reduce the influence of the network failure in DCS system of power plant
JP2557056B2 (en) Governor operation constant switching circuit
CN116184884A (en) Device and method for maintaining adjustment capacity of closed-loop regulator after control cabinet failure
Kumar et al. Enhancing Power Quality Using Fuzzy Logic for Microgrid System
JPH04120601A (en) Controlling system for multiplex controller
JPS60118904A (en) Discriminating system of control operating device
JPS6132102A (en) Turbine controller
JPH04194782A (en) Recirculation flow controller
JPH06299801A (en) Steam valve controller
CN113765093A (en) Control method and control device for high voltage ride through of variable pitch system of wind turbine generator
JPH0525121B2 (en)