安全級(jí)儀控系統(tǒng)國產(chǎn)化替代分析

傅長根

（三門核電有限公司，浙江 三門 317112）

0 引言

近年來計(jì)算機(jī)技術(shù)的飛速發(fā)展，使得現(xiàn)階段國內(nèi)建設(shè)的核電站都采用了數(shù)字化的儀控系統(tǒng)，這些數(shù)字化儀控系統(tǒng)平臺(tái)以國外進(jìn)口為主，三門核電同樣如此。隨著電廠的運(yùn)行，采用國外平臺(tái)的弊端將會(huì)逐漸顯現(xiàn)，諸如核心技術(shù)沒有轉(zhuǎn)讓、工控信息安全、設(shè)備老化、備品備件、可擴(kuò)展性差和維護(hù)保養(yǎng)成本高等問題將變得格外突出。隨著控制系統(tǒng)設(shè)備壽期的到來，儀控系統(tǒng)的國產(chǎn)化升級(jí)改造和替代是必經(jīng)之路。目前，國內(nèi)儀控設(shè)備供應(yīng)商也在不斷的致力于自主研發(fā)用于核電站的儀控系統(tǒng)，并且已經(jīng)取得了不錯(cuò)的成果，國產(chǎn)化安全級(jí)儀控系統(tǒng)也在國內(nèi)核電廠得到應(yīng)用。

1 三門核電安全級(jí)儀控系統(tǒng)

1.1 系統(tǒng)結(jié)構(gòu)

三門核電安全級(jí)儀控系統(tǒng)使用Common Q 平臺(tái)實(shí)現(xiàn)反應(yīng)堆保護(hù)和監(jiān)測(cè)相關(guān)功能[1]。系統(tǒng)由4 個(gè)序列組成，4 個(gè)序列間相互隔離，且為冗余配置。自動(dòng)控制時(shí)，系統(tǒng)完成四取二表決，如一個(gè)序列故障，則進(jìn)行三取二，或者三取一表決。系統(tǒng)結(jié)構(gòu)主要分三層：信號(hào)采集及處理、邏輯判斷及表決、設(shè)備驅(qū)動(dòng)及接口。不僅具備自動(dòng)觸發(fā)及控制設(shè)備功能，同時(shí)有手動(dòng)觸發(fā)及手動(dòng)控制設(shè)備作為備用功能。

1.2 硬件設(shè)備

Common Q 平臺(tái)硬件包括處理器模塊、模擬量信號(hào)輸入輸出模塊、數(shù)字量輸入輸出模塊、脈沖信號(hào)模塊、設(shè)備接口模塊、安全顯示器和維護(hù)測(cè)試面板。

1.3 信號(hào)傳輸

1） 安全級(jí)系統(tǒng)內(nèi)信號(hào)通過AF100（Advant Fielbus 100）高速總線和高速數(shù)據(jù)鏈路（HSL）網(wǎng)絡(luò)傳輸。AF100 總線用于單序列內(nèi)通訊，用于監(jiān)視通訊，不執(zhí)行安全功能。HSL 網(wǎng)絡(luò)提供序列內(nèi)和序列間點(diǎn)對(duì)點(diǎn)的通訊，執(zhí)行序列內(nèi)和序列間的安全功能，在序列間通訊時(shí)，使用光纖保證系統(tǒng)序列間的電氣隔離。

2）安全級(jí)與非安全級(jí)系統(tǒng)間信號(hào)主要傳輸兩種信號(hào)：一種是用于事件記錄；另一種是用于非安全級(jí)系統(tǒng)的控制與顯示，但兩種系統(tǒng)間必須是隔離的。

1.4 其他功能

1）診斷功能[2]：包括AI 輸入信號(hào)的超量程、短路、斷路、通信故障、處理器故障、機(jī)柜溫度、電源模塊狀態(tài)和柜門狀態(tài)等；系統(tǒng)平臺(tái)的診斷信息最終送至相應(yīng)系統(tǒng)進(jìn)行顯示和報(bào)警。

2）旁路及閉鎖功能：可以旁路或閉鎖某些安全相關(guān)功能。如果發(fā)生設(shè)計(jì)基準(zhǔn)事故，當(dāng)電廠進(jìn)入安全功能需要的運(yùn)行工況時(shí)，旁路自動(dòng)去除。在試驗(yàn)?zāi)Ｊ较?，允許旁路某個(gè)安全功能，對(duì)于旁路，要有足夠的狀態(tài)指示。

3）人機(jī)接口：通過人機(jī)接口操縱員可對(duì)現(xiàn)場工況進(jìn)行監(jiān)視及控制現(xiàn)場設(shè)備，便于對(duì)系統(tǒng)進(jìn)行維護(hù)和試驗(yàn)。

1.5 平臺(tái)技術(shù)特點(diǎn)

1）單一故障準(zhǔn)則：系統(tǒng)中單一故障不能阻止系統(tǒng)安全功能觸發(fā)或完成。采用冗余設(shè)計(jì)，減少反應(yīng)堆停堆和專設(shè)安全設(shè)施的誤觸發(fā)，即使在試驗(yàn)或維護(hù)時(shí)旁通一個(gè)通道，仍滿足單一故障準(zhǔn)則。

2）完整性：系統(tǒng)在設(shè)計(jì)基準(zhǔn)的所有可適用條件下，保持執(zhí)行其安全功能的能力。經(jīng)過環(huán)境和抗震鑒定，能保持執(zhí)行安全功能的能力。具有抗電磁干擾（EMI）、射頻干擾（RFI）、放電、浪涌、電瞬態(tài)的能力。

3）獨(dú)立性和隔離：系統(tǒng)的多重序列間實(shí)體分隔和電氣隔離。多重序列的設(shè)計(jì)和布置保證了自然事件、正常運(yùn)行維護(hù)和試驗(yàn)、設(shè)計(jì)基準(zhǔn)事故下不會(huì)引起安全功能的喪失。序列間的通信，采用隔離裝置保證不同序列間的電氣獨(dú)立性，每個(gè)序列由單獨(dú)的電源供電。

2 安全級(jí)儀控系統(tǒng)國產(chǎn)化現(xiàn)狀和替代分析

目前國內(nèi)的安全級(jí)系統(tǒng)主要有：國核自儀“和睿系統(tǒng)（NuPAC）”和核動(dòng)力院“龍鱗系統(tǒng)”等。這些安全級(jí)系統(tǒng)均已實(shí)現(xiàn)國產(chǎn)化，通過了相應(yīng)的認(rèn)證，并且在國內(nèi)運(yùn)營或建設(shè)中的核電站應(yīng)用。

2.1 和睿系統(tǒng)（NuPAC平臺(tái)）

NuPAC 平臺(tái)將作為CAP1400 示范電站的安全級(jí)儀控平臺(tái)，為核電廠提供的分布式控制結(jié)構(gòu)和高可靠性純硬件實(shí)現(xiàn)方案。該平臺(tái)采用FPGA 芯片開發(fā)運(yùn)算邏輯處理模塊、多種通用I/O 插件。由于采用模塊化與標(biāo)準(zhǔn)化接口設(shè)計(jì)，平臺(tái)具備高靈活性與可擴(kuò)展性。NuPAC 平臺(tái)不包含任何內(nèi)嵌軟件，其采用基于FPGA 的硬件來替代典型基于微處理器平臺(tái)中的軟件執(zhí)行環(huán)路過程。采用基于可編程邏輯器件的設(shè)備，從本質(zhì)上比基于微處理器的設(shè)備更安全、更可靠。

2.1.1 系統(tǒng)結(jié)構(gòu)

NuPAC 平臺(tái)的系統(tǒng)與Common Q 平臺(tái)設(shè)計(jì)相似，由4個(gè)序列組成，4 個(gè)序列間相互隔離，且為冗余配置[3]。信號(hào)處理流程同樣分三層：信號(hào)采集及處理、邏輯判斷及表決、設(shè)備驅(qū)動(dòng)及接口，同時(shí)也具備自動(dòng)和手動(dòng)功能。

2.1.2 硬件設(shè)備

平臺(tái)采用一種真正基于硬件來替代采用微處理器和軟件的方案，內(nèi)部沒有操作系統(tǒng)，沒有運(yùn)行軟件程序，保護(hù)系統(tǒng)的邏輯則通過邏輯子卡的編程實(shí)現(xiàn)。以可配置電子模塊為核心的通用邏輯模塊，是由一塊載卡、一塊邏輯子卡和最多8 塊I/O 子卡構(gòu)成。I/O 子卡包括：模擬量輸入子卡、開關(guān)量/脈沖輸入子卡、溫度輸入子卡、三輸入子卡（開關(guān)量）、RS-422/485 子卡、模擬量輸出子卡和固態(tài)繼電器子卡。

2.1.3 信號(hào)傳輸

平臺(tái)以通訊的方式在序列內(nèi)和序列間傳遞信號(hào)，以及與非安全級(jí)系統(tǒng)的傳遞信號(hào)，平臺(tái)通過帶隔離器的硬接線和網(wǎng)關(guān)傳遞信號(hào)實(shí)現(xiàn)隔離。

2.1.4 其他功能

具備旁路和閉鎖功能，便于保護(hù)系統(tǒng)的運(yùn)行、維護(hù)及試驗(yàn)，提供安全級(jí)人機(jī)接口作為平臺(tái)的上位機(jī)系統(tǒng)，它接收來自FPGA 的數(shù)據(jù)，并把數(shù)據(jù)進(jìn)行處理，將運(yùn)行和維護(hù)指令發(fā)送至控制設(shè)備。

2.1.5 平臺(tái)技術(shù)特點(diǎn)

1）先進(jìn)的系統(tǒng)架構(gòu)：采用特殊的雙冗余星形網(wǎng)格通信拓?fù)浼軜?gòu)，實(shí)現(xiàn)反應(yīng)堆保護(hù)系統(tǒng)功能分散的設(shè)計(jì)思想，避免功能集中造成的風(fēng)險(xiǎn)。

2）降低軟件共因故障風(fēng)險(xiǎn)：基于FPGA 的反應(yīng)堆保護(hù)系統(tǒng)平臺(tái)采用硬件配置的方式來實(shí)現(xiàn)各種運(yùn)算功能，有效地降低了軟件共因故障的風(fēng)險(xiǎn)。

3）長生命周期：與CPU 芯片相比，F(xiàn)PGA 芯片更長的生命周期、更好的邏輯可復(fù)用性都有助于提高壽期服務(wù)能力。

4）易于維護(hù)：具備全范圍自診斷測(cè)試的功能，更快捷地對(duì)出現(xiàn)故障的設(shè)備進(jìn)行定位維修。

5）安全性高：具有雙重加密功能，可滿足信息安全等級(jí)保護(hù)要求。

6）穩(wěn)定性高：抗干擾能力強(qiáng)。

2.1.6 替代分析

通過上述可知NuPAC 平臺(tái)與COMMON Q 平臺(tái)設(shè)計(jì)相似，已經(jīng)國產(chǎn)化的NuPAC 平臺(tái)在設(shè)計(jì)和開發(fā)之初以不低于Common Q 平臺(tái)安設(shè)計(jì)要求為標(biāo)準(zhǔn)，通過了國內(nèi)HAF601認(rèn)證，美國NRC SER 安全評(píng)估以及TUV 的IV&V 系統(tǒng)認(rèn)證。NuPAC 平臺(tái)包括全部與Common Q 平臺(tái)相對(duì)應(yīng)的子系統(tǒng)，在系統(tǒng)單一故障、冗余性、獨(dú)立性、完整性和可維護(hù)測(cè)試等方面與Common Q 平臺(tái)保持一致，能滿足和實(shí)現(xiàn)Common Q 平臺(tái)儀控系統(tǒng)的功能要求。作為基于FPGA 平臺(tái)，具備更好的系統(tǒng)安全性，更好的卡件精度。NuPAC 平臺(tái)也即將作為完整的反應(yīng)堆保護(hù)系統(tǒng)在CAP1400、廉江項(xiàng)目CAP1000+等項(xiàng)目中應(yīng)用。

2.2 龍鱗系統(tǒng)（NASPIC平臺(tái)）

NASPIC 平臺(tái)是中國核動(dòng)力研究設(shè)計(jì)院根據(jù)核電廠法規(guī)、標(biāo)準(zhǔn)以及核電廠安全控制保護(hù)系統(tǒng)的系統(tǒng)要求，基于微處理器和網(wǎng)絡(luò)通信等技術(shù)開發(fā)的一個(gè)通用的設(shè)備平臺(tái)。以不同的軟硬件模塊為基礎(chǔ)，根據(jù)工程應(yīng)用的需要，可構(gòu)成適用于不同堆型、不同架構(gòu)的核電廠數(shù)字化安全級(jí)儀控系統(tǒng)。

2.2.1 系統(tǒng)結(jié)構(gòu)

NASPIC 平臺(tái)可以根據(jù)用戶對(duì)系統(tǒng)整體可靠性的要求進(jìn)行靈活配置，包括單控制器配置模式、熱備冗余配置模式、1oo2 的冗余配置模式等。其保護(hù)系統(tǒng)可根據(jù)需求設(shè)計(jì)成多個(gè)冗余序列，以實(shí)現(xiàn)多序列冗余的表決邏輯，其中每個(gè)序列包括兩個(gè)子列，保護(hù)系統(tǒng)具備自動(dòng)和手動(dòng)控制功能。

2.2.2 硬件設(shè)備

通用的、用于核電站安全控制保護(hù)系統(tǒng)設(shè)備集成的平臺(tái)，主要包括：現(xiàn)場控制站、安全顯示站、網(wǎng)關(guān)站、工程師站等。主控制站由一系列的核電基礎(chǔ)板卡組成，可實(shí)現(xiàn)數(shù)據(jù)采集、邏輯處理、運(yùn)算等功能，主要有控制器卡、通信卡、模擬量輸入卡、模擬量輸出卡、開關(guān)量輸入卡、開關(guān)量輸出卡、脈沖量輸入卡。

2.2.3 信號(hào)傳輸

平臺(tái)以點(diǎn)對(duì)點(diǎn)的安全通信方式在序列內(nèi)和序列間傳遞信號(hào)，通信接收和發(fā)送鏈路獨(dú)立，安全級(jí)與非安全級(jí)系統(tǒng)間，通過網(wǎng)關(guān)進(jìn)行通信，傳輸介質(zhì)采用光纖，確保了通信隔離和電氣隔離。部分參與保護(hù)或控制的重要信號(hào)通過硬接線傳遞數(shù)據(jù)。

2.2.4 其他功能

平臺(tái)具備旁路和閉鎖功能，通過在主控制站中對(duì)系統(tǒng)的功能進(jìn)行旁路操作，在優(yōu)先模塊中進(jìn)行閉鎖。同時(shí)采用了維護(hù)網(wǎng)絡(luò)和工程師站的設(shè)計(jì)，這便于后續(xù)系統(tǒng)的維護(hù)和試驗(yàn)。

2.2.5 平臺(tái)技術(shù)特點(diǎn)

1）單一故障準(zhǔn)則：為了滿足單一故障準(zhǔn)則的要求，以便提供足夠的系統(tǒng)可靠性，安全級(jí)儀控系統(tǒng)提供了冗余的設(shè)計(jì)，體現(xiàn)在信號(hào)監(jiān)測(cè)層面和信號(hào)驅(qū)動(dòng)層面。

2）監(jiān)測(cè)層面設(shè)計(jì)：在信號(hào)監(jiān)測(cè)層面提供了四重冗余的設(shè)計(jì)，分別對(duì)應(yīng)4 個(gè)獨(dú)立的保護(hù)組。任一保護(hù)組喪失，操作員可通過剩余的3 個(gè)保護(hù)組監(jiān)測(cè)電廠狀態(tài)；事故后監(jiān)測(cè)系統(tǒng)所監(jiān)測(cè)的參數(shù)也是冗余設(shè)置的，分別由對(duì)應(yīng)的保護(hù)組進(jìn)行采集和處理。

3）驅(qū)動(dòng)層面設(shè)計(jì)：對(duì)于反應(yīng)堆緊急停堆功能，在信號(hào)驅(qū)動(dòng)層面提供了四重冗余的設(shè)計(jì)，分別對(duì)應(yīng)4 個(gè)獨(dú)立的保護(hù)組，至少需要兩個(gè)保護(hù)組發(fā)出緊急停堆信號(hào)時(shí)才能觸發(fā)反應(yīng)堆緊急停堆。停堆斷路器分為四組，構(gòu)成了“2/4”的結(jié)構(gòu)。任一保護(hù)組發(fā)生故障，驅(qū)動(dòng)邏輯由2/4 退化為2/3。對(duì)于專設(shè)安全設(shè)施驅(qū)動(dòng)功能，系統(tǒng)設(shè)計(jì)了兩個(gè)邏輯系列，任一系列內(nèi)的單一故障都不會(huì)導(dǎo)致安全功能的喪失。

4）故障安全準(zhǔn)則：反應(yīng)堆緊急停堆系統(tǒng)在設(shè)計(jì)中，當(dāng)出現(xiàn)存在失去保護(hù)功能的故障或失去電源時(shí)趨于停堆動(dòng)作。專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)當(dāng)出現(xiàn)上述故障或失去電源時(shí)趨于不發(fā)出驅(qū)動(dòng)命令。

5）自診斷：具有平臺(tái)自診斷和工程應(yīng)用配置的自診斷。系統(tǒng)的診斷信息經(jīng)分類后送到常規(guī)控制盤上顯示，同時(shí)在本地和維護(hù)工具上提供了豐富的故障定位手段。

6）隔離和獨(dú)立性：系統(tǒng)的通道和序列都布置在不同的房間，滿足獨(dú)立性要求。安全級(jí)設(shè)備內(nèi)部采用點(diǎn)對(duì)點(diǎn)光纖網(wǎng)絡(luò)進(jìn)行通信，安全級(jí)系統(tǒng)和非安全級(jí)系統(tǒng)通過網(wǎng)關(guān)進(jìn)行通信，滿足通信隔離性要求。

2.2.6 替代分析

通過上述NASPIC 平臺(tái)的設(shè)計(jì)、功能等內(nèi)容可以發(fā)現(xiàn)，目前已經(jīng)國產(chǎn)化的NASPIC 平臺(tái)在設(shè)計(jì)和開發(fā)之初遵循了安全級(jí)儀控平臺(tái)的設(shè)計(jì)要求，標(biāo)準(zhǔn)體系涵蓋HAF、HAD、GB、GJB、EJ、NB、IEC、IEEE、RG、RCC-E 等標(biāo)準(zhǔn)；設(shè)計(jì)、驗(yàn)證、試驗(yàn)鑒定等各個(gè)環(huán)節(jié)符合最新的國際和國內(nèi)標(biāo)準(zhǔn)要求，通過TUV 的IV&V 認(rèn)證，滿足系統(tǒng)單一故障、冗余性、獨(dú)立性、隔離性、完整性和可維護(hù)測(cè)試的要求，配置的各類I/O 卡件能覆蓋所有的要求，能滿足和實(shí)現(xiàn)Common Q 平臺(tái)儀控系統(tǒng)的功能要求，并且NASPIC 平臺(tái)即將作為完整的反應(yīng)堆保護(hù)系統(tǒng)在霞浦核電中應(yīng)用。

3 結(jié)束語

目前國內(nèi)已經(jīng)實(shí)現(xiàn)國產(chǎn)化的NuPAC 平臺(tái)和NASPIC 平臺(tái)在設(shè)計(jì)和開發(fā)之初都遵循了安全級(jí)儀控系統(tǒng)的要求，滿足了安全級(jí)儀控系統(tǒng)在諸如單一故障、冗余性、獨(dú)立性、完整性和可維護(hù)測(cè)試等方面的要求，基本可以滿足和實(shí)現(xiàn)Common Q 平臺(tái)系統(tǒng)的功能要求，并且在國內(nèi)運(yùn)營電廠中已有應(yīng)用業(yè)績，或已確定在后續(xù)核電項(xiàng)目中應(yīng)用，故可考慮用于未來Common Q 平臺(tái)儀控系統(tǒng)的國產(chǎn)化，但是國產(chǎn)化過程仍然需要進(jìn)行修改和適用性開發(fā)。