电厂时钟介绍及分析

电厂时钟介绍及分析
发布时间：2022-04-26T15:14:00.669Z 来源：《中国科技信息》2022年1月第1期作者：韩錾龙
[导读] 时钟系统在核电厂的相关控制中有着非常重要的作用
韩錾龙
福建福清核电有限公司福建福清 350318
摘要：时钟系统在核电厂的相关控制中有着非常重要的作用，该文章通过对时钟系统的工作原理以及与其用户之间的关系的介绍，并联系实际的经验反馈举例，进一步阐明了时钟系统的工作方式，为后续电厂中的相关检修工作和日常期间的异常运行有很大的参考意义，避免相关事故的进一步扩大。

关键字：时钟；原理；用户；异常运行
1.时钟系统概述
福清核电全厂时钟系统是核电弱电系统的子系统之一。

而该系统中最重要的就是时钟的同步装置。

时钟同步装置主要由接收单元，时钟单元和输出单元三部分组成。

接收单元以接收的无线或有线时间基准信号作为外部时间基准，并将基准时间信号送给时钟单元，时钟单元跟踪锁定状态后，补偿传输延时，将精准的时间信号送给输出单元，输出单元输出各类同步信号和时间信息、状态信号和告警信号等。

其主要工作过程：母钟接收GPS/GLONASS/北斗标准信号，产生精确时间码，通过时间分配网络将精确的时间信号传送到厂区内的各个子钟和需要各种标准时间信号的输出设备。

输出设备将不同类型的同步时间信号传送给厂内需要授时的重要设备或网络，确保核电站内所有同步设备、网络的时间统一。

系统定时将输出装置的授时信号和母钟基准信号比较对时，当不同步时，输出装置和子钟将自动更新自身时间以保持和母钟的同步。

系统结构采用三层架构，见图1。

第一层为主时钟，接收GPS/BD（北斗）时间信号，也可接收外部地面其他信号作为备用时间源，主时钟作为系统内扩展钟、二级母钟的标准时间源；第二层为扩展钟及二级母钟，扩展钟接收2路（GPS/北斗）来自不同地点的主时钟的时间源信号，为被授时系统/设备提供授时服务；二级母钟接收主时钟时间源，并对电厂内各子钟进行统一管理；第三层为授时业务层及电厂各处子钟；时钟检测仪是独立于主系统之外的监控系统的一部分，根据实际需求配置；以太网交换机负责将主时钟、扩展钟、二级母钟、时钟检测仪组成监控局域网络。

图1 时钟同步系统基本架构
2.时钟与DCS之间关联
现实中不存在绝对精确的时钟，在没有时钟同步的情况下，无论双方本地时钟的精度有多高，发送端和接收端的时钟总会存在差异，如果接收端不进行时钟同步，而是使用自己本地的时钟，则足够长的时间后多少会出现一定的时间差。

在时钟系统的所有授时用户中，与我们运行人员密切相关并且影响最大的就是DCS系统。

在核电厂这种具有成千上万个仪表、探头、感应装置；且对于安全性要求极高的生产设施来说，DCS系统每一刻都会进行着上千条数据的交互工作，若出现时钟不同步问题，那么数据通讯必定会出现不可预知的重复或丢失，导致接收方出现接收迟滞或者错误，这无疑是极其危险的。

在DCS系统中，无论是来自底层的数据采集，还是一二层之间的数据交换
通讯，都需要一个精准、一致的时钟信号；而相关的趋势、报警信息、事件顺序更是需要绝对稳定和连续的时钟。

故障录波器用于电力系统，可以在系统发生故障时自动、准确的记录故障前、过程中的各种电气量变化情况，对一些电气量进行分析、比较，对分析处理事故、判断保护是否正确、提高电力系统安全运行水平有着重要作用，当通过时钟同步系统授时后，全网即可维持一个统一的时间基准，这样通过收集分步于各处系统中的故障记录数据以及故障时间顺序，在分析故障过程中可以更好的模拟事故场景，监视系统运行状态。

日常监测安全壳状态，当核岛安全壳发生泄漏时，能够及时发出报警，EPP授时系统可以准确的记录泄漏发生时间，对后续事故分析起到了至关重要的作用。

图2 3/4号机组时钟简图
2.1KCP系统（DCS一层）内部时钟信号同步机制
福清核电1-4号机组的DCS系统一层是由IA及Tricon控制系统组成（IA主要用于非安全级或安全级相关部分，而Tricon主要用于安全级部分）。

整个DCS一层的时钟同步信号都是来自KCP系统环网中的时间滤波发生器，时间滤波发生器是一块安装在MTK（3KCP501WS）中的PCI板卡，它主要用于接收来自外界GPS/北斗信号或是其他设备给予的IRIG-B时钟信号，通过mesh网络及时钟转换器对一层各FCP进行授时。

在福清核电1-4号机组DCS一层的设置中，这个时间信号的格式默认为UTC（格林威治）时间。

KCP为了保证环网的稳定和设备的可靠性，使用了冗余服务器的设计。

环网中除了一台MTK外，另设置了一台热备用的BTK（4KCP501WS）；两台服务器上都具备PCI卡件。

当MTK因故障失效时，BTK可以实现自动主备切换，并继续承担时钟同步的任务。

一层厂家在时钟同步时并没有考虑到上游GPS信号出现跳变或异常的可能性，因此一层环网无法判断上游时钟信号的质量，当上游时钟发生跳变（只有正向跳变，即向未来时间跳变）时，一层环网也将发生跳变异常，当放生负向跳变（即向过去时间跳变）时，一层自动切换为内部时钟走时。

一层厂家在时钟同步时并没有考虑到上游GPS信号出现跳变或异常的可能性，因此一层环网无法判断上游时钟信号的质量，当上游时钟发生跳变（只有正向跳变，即向未来时间跳变）时，一层环网也将发生跳变异常，当放生负向跳变（即向过去时间跳变）时，一层自动切换为内部时钟走时。

2.2 KIC系统（DCS二层）内部时钟信号同步机制
福清的DCS系统二层主要为ADACS-N系统，ADACS-N系统的环网由中央处理器（CCT），前端服务器（CFR），存档服务器（SAR/STR）和各个工程师站（OWP）组成。

在其中，接收上游时钟同步信号的是前端服务器CFR，与一层的结构不同的是，CFR没有办法直接解析来自GPS的高频信号，只能使用IRIG-B码作为时钟源。

CFR需求的时钟源也为UTC（格林威治）码。

与KCP一样，KIC也充分考虑了设备的冗余性，KIC设有两台CFR（CFR1和CRF2），两台CFR同时具备IRIG-B接收卡，在正常情况下，以CFR1为主CFR服务器时，CFR2不会主动调用IRIG-B的功能。

这样也保证了环网中只有一个稳定连续的时钟信号。

而CFR又会另外通过NTP协议，每间隔64秒调用一次IRIG-B接受卡服务，这次调用会将接收卡上的时钟信号取出，并经由NTP协议发送至整个二层环网，来借以实现全网络的时钟同步。

与一层不一样的是，KIC系统同时兼顾了自守时和错误时钟信号过滤两种功能，当CFR检测到自身本地时间与环网中的NTP时间相差超过10s 时，CFR会认为上游时钟出现了异常，环网中的时钟同步信号不可信任，此时KIC系统会抛弃上游时钟信号，改为由CFR直接通过本地时钟向环网授时。

同时，当上游IRIG-B码丢失时，CFR也会采取自守时的保护机制，向NTP环网发送本地时间以确保整个KIC网络时钟同步的一致性。

2.3 DCS二层内部时钟信号监测与处理机制
DCS二层平台的NTP程序中，设置了每间隔64s对IRIG-B信号状态进行一次检查，确认IRIG-B信号源工作正常，且IRIG-B时间信号与本地时间偏差不超过10s，否则将用CFR服务器内部时钟替代IRIG-B时间信号作为NTP同步的时间源，并申明NTP与外部IRIG-B信号源已失去同步。

同时，当CFR服务器切至内部时钟运行后，NTP程序会继续间隔64s一次对外部IRIG-B时间进行扫描，当监测到外部IRIG-B工作正常，且偏差时间恢复到10s以内后，将NTP时钟源由CFR服务器内部时间切回至外部时钟继续运行。

CFR服务器内部时钟主要依靠主板上的晶体振荡电路实现，精度比外部时间源低，但是能保证短期数天内时间信号同步的要求。

同时CFR服务器自身也有进程对IRIG-B状态监测并触发异常信息报警：CFR每隔30s会对IRIG-B状态进行一次扫描，当监测到NTP与IRIG-B不同步时将会触发IRIG-B故障的报警，在操纵员站HMI监视画面上将IRIG-B模块置于红色，且触发CFR服务器综合故障报警，提醒维修人员及时干预，避免DCS二层长期处于内部时钟信
号运行，导致与DCS一层失去同步。

当监测到NTP与IRIG-B不同步时将会触发IRIG-B故障的报警，在操纵员站HMI监视画面上将IRIG-B模块置于红色，即图3中的SRV画面上，IRG-B1/2会变成故障红色。

图3 SRV画面
DCS一层的时钟会根据外部时钟的变化而变化（只包括正向跳变），不会因为时钟的大幅改变而发生工作停止的情况。

DCS二层只要判断外部时钟与自身的本地时钟相差较大就会停止CFR服务器的工作，当CCT（DCS二层处理器）判断整个DCS二层设备和服务器的时钟均发生了较大的变化就会停止整个DCS二层的工作。

图4 DCS一层、二层时钟授时接入位置简图
3.时钟故障类型及影响
主备母钟失电。

8DTV200AR 主备母钟失电，至KIC、KCP 授时的扩展钟不受其影响，正常运行；继电器室扩展时钟屏3DTV903AR、3DTV904AR、4DTV903AR、4DTV904AR 与现场子钟均切换至自走时模式；3/4号机组的KIC、KCP、GPA、NCS、LGB、KKO 系统均不受影响。

3DTV904AR/4DTV904AR 扩展钟无时间源输入。

3DTV904AR/4DTV904AR 扩展钟无时间源输入，继电器室扩展时钟屏3DTV904AR、4DTV904AR扩展钟切换至自走时模式；3/4 号机组的KIC、KCP、NCS 系统均不受影响；有可能影响3/4 号机组的GPA、LGB 和KKO 系统。

3DTV903AR/4DTV903AR 扩展钟无时间源输入。

3DTV903AR/4DTV903AR 扩展钟无时间源输入，继电器室扩展时钟屏3DTV903AR、4DTV903AR扩展钟切换至自走时模式；3/4 号机组的KIC、KCP、GPA、LGB 系统均不受影响；有可能影响3/4号机组的NCS、KKO 的授时并产生PMU 系统告警。

主备母钟时钟跳变。

8DTV200AR 主备母钟时钟信号跳变，至KIC、KCP 授时的扩展钟不受其影响正常运行；继电器室扩展时钟屏3DTV903AR、3DTV904AR、4DTV903AR、4DTV904AR 与现场子钟均随主母钟信号产生了跳变；3/4 号机组的KIC、KCP 正常运行；3/4号GPA、NCS、LGB、KKO 系统产生对时告警，但不影响其系统动作。

子钟时间跳变或失去上游对时。

至KIC、KCP 授时的扩展钟不受其影响正常运行；继电器室扩展时钟屏3DTV903AR、3DTV904AR、4DTV903AR、4DTV904AR 正常运行；3/4号机组的KIC、KCP、GPA、NCS、LGB、KKO 系统均不受影响。

扩展钟失电。

当至DCS 授时的扩展钟失电，该扩展钟的下游负荷KIC、KCP 系统及EPP、KIS 机柜内设备会进入自走时状态；继电器室扩展时钟屏3DTV903AR、3DTV904AR、4DTV903AR、4DTV904AR 及各子项子钟均不受影响正常运行。

扩展钟故障或时钟跳变。

若扩展钟故障导致时间跳变，将对下游KIC、KCP 系统下发跳变的时间信号，即KIC 将进入自走时，KCP、EPP、KIS 设备时钟跳变，有产生KIC、KCP 系统一二层时间不一致的可能。

若扩展钟故障导致无时间源信号输出，将对下游KIC、KCP 系统产生影响，即KIC、KCP、EPP、KIS 均将进入自走时模式，有产生KIC、KCP 系统一二层时间不一致的可能。

3.1DCS一层典型时钟异常情况
单个FCP时钟偏差2-3秒。

反映在数据上的时标则会相对偏差2-3秒，若FCP时间是向将来走偏，则不影响数据的显示，DCS二层将按照接收的时间标签在趋势及日志中显示出来；若FCP时间是向过去走偏，DCS二层将默认为重复数据，在CCT数据处理阶段将此数据标识为无效数据，进而不会在HMI中显示，且在DCS二层中无报警触发。

整个DCS一层失去外部时钟或上游时钟信号向过去跳变。

当上游时钟源丢失或者向过去的时间跳变时，整个DCS一层将切换为内部时钟（DCS设计要求不能篡改历史，故无法同时钟源一起跳变至过去的时间）,DCS二层中无报警产生。

一层FCP时标将通过3号机组MTK服务器、4号机组BTK服务器作为时钟源，对一层所有FCP授时，并且授时过程日期和秒走两种网络独立授时，一二层时钟偏差10s以内不影响DCS二层的显示及控制。

整个DCS一层时间向将来跳变。

则在一层MTK服务器、BTK服务器校时过程中，检测到时间与上游时钟信号偏离，则将跟随上游时钟源信号，整个一层时间将向将来跳变，此时，送到DCS二层的数据的时标为将来的时标，此时DCS二层中实时心跳信号将变为直线，主控室中将触发CFR故障报警，此时一二层通讯异常。

DCS二层在检测到数据后，将数据存储在SAR历史服务器中，待DCS二层运行到该时标的时间时，该数值将在历史趋势中显示，但在DCS二层中，中间缺失的时间的趋势将变为一条直线，DCS二层默认在改段时间内，数值未发生变化。

当MTK工作站出现问题时，BTK将自动接管MTK的GPS校时功能，保证一层mesh网络的授时正常。

当两者全部失效时，此时其他工作站均设置并具备“抢夺”MTK功能。

此时将存在MTK快速“抖动”的可能性，快速的抖动可能导致工作站关键进程的卡死，从而导致工作站重新启动，影响工作站的正常运行。

若API服务器因抖动而重启，重启过程中主控室将触发CFR服务器失效，将影响DCS一二层数据通讯，严重的将影响DCS二层的可用性，同时由于大量工作站的重启，可能造成对一层mesh网络产生冲击，进而造成一层网络的失效，影响机组关键参数的显示及控制。

3.2时钟源异常下DCS系统的整体响应特点
时钟源向过去跳变时DCS的响应：DCS在接收到上游时钟发出的异常的时间信号，DCS二层CFR接收到过去的时间信号后，判定上游时钟信号错误，DCS二层时钟将切换至内部时钟运行，同步主控室将触发IRIG-B故障信号报警。

此时DCS一层同样由于接收到上游异常的时间信号后，切换至内部时钟运行，如下表4所示。

在短期内，DCS一二层各自按照机器时间进行稳定运行，一二层数据通讯正常，不影响数据显示及主控室控制，对平台的运行及控制无影响。

但是在长期的运行过程中，由于机器的性能不同，最终将导致一二层时间将出现不一致的情况，最终将影响DCS的运行。

时钟源向未来跳变时DCS的响应：DCS在接收到上游时钟发出的异常的时间信号，DCS二层CFR接收到未来的时间信号后，判定上游时钟信号错误，DCS二层时钟将切换至内部时钟运行，同步主控室将触发IRIG-B故障信号报警。

此时DCS一层同样由于接收到上游未来的时间信号后，MTK将跟随上游时钟信号的变化，最终导致整个一层mesh网络的时钟全部跳变至未来的时间，如下表5所示。

此时DCS二层心跳信号丧失，一二层通讯出现异常，主控室触发CFR服务器故障报警，DCS二层画面上所有趋势变为直线，但是实时数据仍然更新，DCS 接收到的一层的状态反馈信号出现异常响应。

3.3至DCS 授时的扩展钟有两种工作模式
Loop 模式：扩展钟跟随上游输入信号进行校时，并下发授时信号。

（1）当上游时间源信号跳变，跳变时间与扩展钟原走时偏差60s 以上，扩展钟将不与上游时间源校时，转为自走时模式，并下发授时信号，扩展钟在不与上游时间源校时的情况下只能运行30 天，30 天后扩展钟将停止输出。

（2）当上游时间源信号跳变，跳变时间与扩展钟原走时偏差60s 以内，扩展钟将与上游时间源校时产生时间跳变，并下发跳变后的授时信号。

（3）当上游时间源信号失去时，扩展钟进入自走时模式，并下发授时信号，扩展钟在不与上游时间源校时的情况下只能运行30 天，30 天后扩展钟将停止输出。

one-time 模式：扩展钟仅在上电时进行一次对上游输入信号的校时，校时后正常运行状态下仅对时间源的精度进行校时并对下发授时信号，当上游时间源信号失去、跳变或故障时，扩展钟均不与上游时间源校时，并转为自走时模式下发授时信号，扩展钟在不与上游时间源校时的情况下只能运行30 天，30 天后扩展钟将停止输出。

为保障至DCS 授时的连续性和可靠性，目前1-5 号机组扩展钟设置为one-time 模式，已避免出现上游信号跳变导致扩展钟时间跳变。

4.经验反馈
因为时钟的问题福清核电出现过几次事件，下面就通过以下几个事件进一步说明时钟在DCS系统中的工作机制。

101大修期间，KCP服务器在执行维护工作时，KCP一层出现了部分CP时间回跳的问题，当时部分CP的时间统一向后回跳了1:11:35，此现象造成操纵员站上部分画面数据无法更新，主控室失去对部分设备的监视和控制权限。

经分析，在KCP维护工作中，MTK、BTK服务器
设备掉电，导致两块冗余的PCI卡件不再向下进行时间同步工作；此时KCP失去上游时钟源，CP模块进入自守时，并可以在10小时中保持相对稳定和精确地时间。

超过10小时后，CP需要自动切换为NTP授时模式，与环网中其他设备进行时钟同步。

问题出现在CP自守时精度为毫秒级，而NTP协议的精度为秒级。

在执行NTP校时过程中发生了负毫秒现象，该现象导致CP时钟紊乱，并向后回跳了1:11:35。

2017年元旦零点，3号机组通信机房二级母钟发生了时钟跳变现象，由2017年1月1日跳变至2016年12月1日。

由于上游时钟系统的软件缺陷问题，错误的时钟信号被下发至DCS一二层。

此时由于一二层设备厂家不同，对时钟同步的要求和机制有差别。

KCP（DCS一层）根据上游信号完成了时钟同步工作，时间随之跳变；而二层KIC认为上游时钟有误，保持了本地时间不变；此现象导致一二层时钟信号不一致，KCP传来的通信数据无法被KIC识别并处理，致使数据流阻塞，操纵员站画面无法刷新。

同时，在2017年1月1日1:00，由于KIC内部存在整点强制向上游同步时间的机制，KIC系统的NTP协议于整点强制同步了上游的错误信号，但此时CFR本地时间仍为正确时间。

此现象导致CFR与KIC其他设备时钟同步故障，KIC平台完全失效。

注：当前福清1-4号机组DCS整点强制向上游同步时间的机制已经取消。

204大修期间，2KIC处于停运状态。

通讯人员执行2DCS授时扩展钟的移位工作。

在工作过程中由于扩展钟内一块授时输出板卡时区错误（输出为北京时间，下游实际需求是UTC（格林威治）时间）。

导致在工作恢复时，造成2KCP系统的2BTK工作时间增加8小时。

在经过通讯人员恢复板卡的正确时区后，2BTK工作站时间恢复正常，但是1/2KCP系统时间仍处于比实际时间快8小时的状态，同时1KIC的历史趋势和报警时间异常。

此次事件中，还有一个值得关注的就是，当时2号机组大修，1/2号机组DCS的备用授时服务器2BTK停运，统一由1MTK授时。

在2BTK服务器由于板卡授时错误导致时间快了8小时后，也就是备用服务器2BTK比1MTK时间快的情况下，1/2号机组DCS一层KCP处理器统一由2BTK进行授时，也是此次事件中导致1号机组出现KIC历史趋势与画面显示异常的原因。

参考文献
[1]杨利彪，FQ8-DTV-MNEQDM-0001 厂区通讯系统（DTV）系统手册。