核電站數(shù)字化儀控TXP系統(tǒng)升級(jí)改造研究

劉雙金,金征盈,何 超

(1.中廣核工程有限公司,廣東 深圳 518124;2.大亞灣核電運(yùn)營(yíng)管理有限公司,廣東 深圳 518124)

0 引言

某核電站非安全級(jí)數(shù)字化控制系統(tǒng)(digital control system,DCS)平臺(tái)采用西門(mén)子公司非過(guò)程控制系統(tǒng)(teleperm XP,TXP)系統(tǒng)，包含二層人機(jī)接口系統(tǒng)OM(版本V4.0)、一層過(guò)程控制系統(tǒng)AS(版本S5)以及相關(guān)網(wǎng)絡(luò)通信設(shè)備。設(shè)備從出廠至今已運(yùn)行超過(guò)12年。數(shù)字儀控系統(tǒng)老化期一般為10～15年。目前，TXP系統(tǒng)備件大量停產(chǎn)停供，OM系統(tǒng)故障率越來(lái)越高，可靠性越來(lái)越差。同時(shí)，隨著新網(wǎng)絡(luò)安全法的頒布，目前TXP網(wǎng)絡(luò)安全設(shè)計(jì)不能滿(mǎn)足相關(guān)要求，存在較多待改進(jìn)項(xiàng)。

鑒于目前存在的問(wèn)題，根據(jù)商運(yùn)以來(lái)的運(yùn)行、維修經(jīng)驗(yàn)和外部反饋，結(jié)合電廠的中長(zhǎng)期改造規(guī)劃，以十年大修為契機(jī)，完成兩臺(tái)機(jī)組非安全級(jí)DCS平臺(tái)TXP系統(tǒng)升級(jí)改造。當(dāng)前，可以參考借鑒的核電DCS平臺(tái)整體改造經(jīng)驗(yàn)較少。其中，可行性研究、工期控制、風(fēng)險(xiǎn)控制以及測(cè)試體系是成功實(shí)施改造的關(guān)鍵。

1 改造必要性研究

1.1 設(shè)備可替代性研究

本文所依托的核電項(xiàng)目DCS非安全級(jí)平臺(tái)TXP系統(tǒng)設(shè)備已運(yùn)行十二年，在十年大修后將進(jìn)入損耗故障期，故障率可能急劇升高。經(jīng)評(píng)估，服務(wù)器以及一層控制卡件等關(guān)鍵設(shè)備庫(kù)存?zhèn)浼褵o(wú)法滿(mǎn)足未來(lái)十年機(jī)組維修需要，會(huì)影響機(jī)組可靠性和可用性[1]。

OM系統(tǒng)的主要備件為SUN服務(wù)器及其附件(如內(nèi)存、硬盤(pán)等)。主要備件數(shù)量少，特別是SUN服務(wù)器已停產(chǎn)停供。此外，運(yùn)行的OM版本基于Unix操作系統(tǒng)，而新OM版本基于Linux操作系統(tǒng)，無(wú)法直接替代。

目前，TXP S7系列是西門(mén)子主流DCS平臺(tái)。其運(yùn)行的S5系列已于2013年停產(chǎn)，軟硬件可維護(hù)性越來(lái)越差，需要通過(guò)升級(jí)改造確保服務(wù)可用性和可維護(hù)性。以一層控制系統(tǒng)AS為例，其所包含的處理器(automation processor,AP)機(jī)架相關(guān)備件除機(jī)架尚可少量采購(gòu)，其他中央處理器(central processing unit，CPU)、通信模件CP1430、接口模件(interface module,IM)均已停產(chǎn)停供。AS-S5與AS-S7硬件配置有差異，停供的備件無(wú)直接替代產(chǎn)品，需要通過(guò)系統(tǒng)升級(jí)解決[2]。

1.2 網(wǎng)絡(luò)安全問(wèn)題

TXP平臺(tái)網(wǎng)絡(luò)設(shè)備除備件數(shù)量不滿(mǎn)足運(yùn)行維修需求外，還存在網(wǎng)絡(luò)安全問(wèn)題[3]，特別是不滿(mǎn)足新網(wǎng)絡(luò)安全法要求。在中央網(wǎng)信辦、四部委、能源局檢查中，TXP系統(tǒng)存在以下不足。

①網(wǎng)絡(luò)與信息安全：沒(méi)有部署入侵檢測(cè)防御相關(guān)設(shè)備，沒(méi)有部署防惡意代碼的相關(guān)設(shè)備。

②應(yīng)用安全：應(yīng)用系統(tǒng)缺乏對(duì)安全標(biāo)記、剩余信息保護(hù)、抗抵賴(lài)、軟件容錯(cuò)、資源控制等的安全控制功能。

③主機(jī)安全：生產(chǎn)控制服務(wù)器未實(shí)現(xiàn)對(duì)基礎(chǔ)平臺(tái)(操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件)的審計(jì)日志統(tǒng)計(jì)收集，以及對(duì)服務(wù)器主機(jī)資源(CPU、內(nèi)存、存儲(chǔ))的集中監(jiān)控。

由于上述原因，非安全級(jí)DCS系統(tǒng)的改造非常必要和緊迫。

2 改造技術(shù)方案

2.1 總體改造原則

由于核電機(jī)組安全的特殊性，按照運(yùn)行技術(shù)規(guī)范對(duì)DCS平臺(tái)的安全要求，升級(jí)改造的窗口只能在大修期間堆芯完全卸料(reactor complet decharge,RCD)模式一回路為低低水位窗口內(nèi)。經(jīng)評(píng)估改造工作量以及需求時(shí)間，為最大限度控制風(fēng)險(xiǎn)和成本，將實(shí)施窗口定為單臺(tái)機(jī)組十年大修水位期間。總的實(shí)施原則如下。

①保守測(cè)試原則。日常期間，提前實(shí)施全范圍模擬機(jī)(fullscope simulation system，F(xiàn)SS)的升級(jí)改造。完成性能測(cè)試后，將機(jī)組的數(shù)據(jù)庫(kù)下裝到模擬機(jī)中，并基于模擬機(jī)的仿真模型進(jìn)行全范圍功能測(cè)試，以保證控制功能的完整性和正確性、有效減少運(yùn)行機(jī)組升級(jí)改造測(cè)試量、縮短運(yùn)行機(jī)組升級(jí)改造工期，從而獲得最大投資回報(bào)。

②分列實(shí)施原則。根據(jù)核電機(jī)組的安全要求，在實(shí)施期間必須保證操縱員在主控室對(duì)機(jī)組重要設(shè)備和參數(shù)的監(jiān)視要求。因此在實(shí)施期間，人機(jī)接口必須保證有一列OM可用，同時(shí)一層設(shè)備實(shí)施期間應(yīng)按照設(shè)備分列要求分列實(shí)施，保證現(xiàn)場(chǎng)重要設(shè)備的冗余性要求。

③分層實(shí)施原則。一、二層設(shè)備分層實(shí)施，一方面保證實(shí)施期間滿(mǎn)足大修窗口對(duì)DCS的需求，另一方面可結(jié)合大修計(jì)劃靈活安排實(shí)施窗口，最大限度減少大修占用關(guān)鍵路徑的時(shí)間。

④功能保持原則。整個(gè)TXP平臺(tái)的一、二層邏輯組態(tài)功能應(yīng)保證完全一致，確保改造不會(huì)造成功能缺失和缺陷。人機(jī)接口界面應(yīng)保持一致，任何改變應(yīng)及時(shí)升版運(yùn)行手冊(cè)，確保不會(huì)對(duì)運(yùn)行操縱產(chǎn)生影響。

⑤風(fēng)險(xiǎn)控制原則。鑒于升級(jí)改造帶來(lái)的信號(hào)變化可能導(dǎo)致的設(shè)備誤動(dòng)，提前作出完善的風(fēng)險(xiǎn)分析預(yù)案。實(shí)施期間，應(yīng)做好完善的隔離措施，確保不因升級(jí)改造誤發(fā)信號(hào)造成現(xiàn)場(chǎng)設(shè)備的誤動(dòng)作。

改造總體邏輯圖如圖1所示。

圖1 改造總體邏輯圖

結(jié)合機(jī)組十年大修計(jì)劃、機(jī)組狀態(tài)、設(shè)備隔離窗口以及水位窗口，進(jìn)行合理的施工窗口安排。

2.2 兩層人機(jī)接口系統(tǒng)OM系統(tǒng)升級(jí)

目前，OM V4.0運(yùn)行環(huán)境為SUN硬件和Solaris操作系統(tǒng)，升級(jí)后OM V5.0運(yùn)行環(huán)境為X86硬件和Linux操作系統(tǒng)。因此，目前所有OM服務(wù)器，包括實(shí)時(shí)服務(wù)器(processing unit，PU)、歷史服務(wù)器(server unit,SU)、網(wǎng)關(guān)服務(wù)器(XU)、畫(huà)面服務(wù)器(operational terminal,OT)、工程師站服務(wù)器(ES680)等，以及工作站(操作員、工程師站等)都將被替換。

除服務(wù)器替換外，采用NAS服務(wù)器替換磁盤(pán)陣列。NAS通過(guò)一個(gè)快速環(huán)形總線(1 GB/s)連接兩個(gè)SU。Jukebox服務(wù)器由長(zhǎng)期存檔服務(wù)器(long term archive,LTA)替代，并以現(xiàn)有連接方式接入。新增冗余網(wǎng)頁(yè)服務(wù)器單元(redundant sheet server unit,RSSU)，存儲(chǔ)并運(yùn)行原安裝于SU中的運(yùn)行程序和報(bào)警卡，以降低SU/OM負(fù)荷，同時(shí)通過(guò)冗余存儲(chǔ)保持高可用性。

2.3 一層過(guò)程控制系統(tǒng)AS升級(jí)方案

①一層控制機(jī)架及模塊整體更換。采用帶有CPU、電源和通信模塊的S7-AP機(jī)架整體替換S5-AP機(jī)架。大多數(shù)情況下，1對(duì)1地替換S5-AP機(jī)架中的CPU、電源和通信模塊。

②一層運(yùn)行軟件和數(shù)據(jù)庫(kù)的升級(jí)。邏輯代碼由工程師站ES680 V8.5基于現(xiàn)有S5功能圖生成。但目標(biāo)系統(tǒng)是S7而不是S5，因此需要替換拓?fù)鋱D和硬件相關(guān)系統(tǒng)圖中的符號(hào)。工程師站自動(dòng)將邏輯不加任何改動(dòng)地編譯為S7代碼。與S5系統(tǒng)相比，其區(qū)別僅在于機(jī)器代碼的格式由S5轉(zhuǎn)換為S7。因此，升級(jí)前后的代碼具有相同的功能[4]。

③安全相關(guān)機(jī)柜的抗震分析。對(duì)于SR機(jī)柜，由于安裝方式有較大的改變，采用新的設(shè)備可能將突破原來(lái)的抗震分析和計(jì)算，需要進(jìn)行供應(yīng)論證并給出報(bào)告。

④與安全級(jí)平臺(tái)TXS的通信方案升級(jí)。AP與安全級(jí)優(yōu)選模件(AV42)通信設(shè)備升級(jí)后，采用Y-Link型光電轉(zhuǎn)換器替換Y-Switch型光電轉(zhuǎn)換器。這將會(huì)導(dǎo)致反應(yīng)堆保護(hù)系統(tǒng)(reactor protection system,RPS)的供電、布置發(fā)生變化，與TXS系統(tǒng)在國(guó)家核安全局(national nuclear security agent,NNSA)備案的配置報(bào)告中關(guān)于軟、硬件的說(shuō)明不一致，造成網(wǎng)絡(luò)架構(gòu)發(fā)生變化。因此，在詳細(xì)設(shè)計(jì)階段需對(duì)升級(jí)方案進(jìn)行核實(shí)、驗(yàn)證、分析等。

2.4 網(wǎng)絡(luò)組件升級(jí)

網(wǎng)絡(luò)組件具體設(shè)備包括LEVEL2層交換機(jī)、OM服務(wù)器機(jī)柜內(nèi)交換機(jī)、操作員站交換機(jī)、工程師站交換機(jī)、打印機(jī)交換機(jī)；LEVEL1層交換機(jī)，AP機(jī)柜內(nèi)交換機(jī)、通信網(wǎng)關(guān)設(shè)備(communication module,CM)機(jī)柜內(nèi)交換機(jī)。升級(jí)引入的交換機(jī)型號(hào)主要為Scalance X308-2 M、Scalance XC106-2(SC)等。

新型號(hào)交換機(jī)需確保物理層的協(xié)議信息不會(huì)跨過(guò)3、4、8號(hào)機(jī)網(wǎng)絡(luò)，并需通過(guò)廠家正式的分析和獨(dú)立的第三方測(cè)試，從而能夠控制網(wǎng)絡(luò)風(fēng)暴的風(fēng)險(xiǎn)。

交換機(jī)的安全、可靠性將在信息安全框架中進(jìn)行測(cè)試。

3 實(shí)施過(guò)程中的進(jìn)度控制

由于核電站自身的特殊性，盡管升級(jí)改造的工作安排在大修期間實(shí)施，但仍然無(wú)法將整個(gè)DCS平臺(tái)全部下電進(jìn)行直接改造。大修期間，核電站的冷源、電源、通風(fēng)以及放射性監(jiān)測(cè)等系統(tǒng)仍然需要進(jìn)行實(shí)時(shí)監(jiān)控，以確保堆芯的安全性。

十年大修的時(shí)間窗口，主要分為三個(gè)階段。第一階段為低低水位檢修窗口，約12 d；第二階段為低低水位檢修窗口，機(jī)組主要檢修工作為安全殼密封性試驗(yàn)，約8 d；第三個(gè)階段為兩個(gè)低低水位窗口之間，主要是一回路水壓試驗(yàn)、壓力容器在役檢查窗口，約14 d。

3.1 工期安排思路

因此，在改造準(zhǔn)備階段，結(jié)合機(jī)組對(duì)DCS的需求，提前策劃如下分段實(shí)施計(jì)劃控制思路。按照指定的詳細(xì)工作計(jì)劃，大約需要30 d的工時(shí)，應(yīng)結(jié)合大修窗口分段實(shí)施。

進(jìn)度控制簡(jiǎn)圖如圖2所示。

圖2 進(jìn)度控制簡(jiǎn)圖

①第一個(gè)低低水位前(5 d)：由于大修實(shí)施更換的AS機(jī)柜硬件主要涉及常規(guī)島相關(guān)系統(tǒng)的控制，因此AS機(jī)柜硬件更換工作可提前到低低水位之前開(kāi)始，在常規(guī)島主隔離完成之后，可以開(kāi)展升級(jí)更換工作。

②第一個(gè)低低水位期間(12 d)：完成整個(gè)OM系統(tǒng)軟硬件升級(jí)/一層代碼下裝,考慮之后進(jìn)行水壓試驗(yàn)、在役檢查和安全殼打壓試驗(yàn)要保證電站計(jì)算機(jī)信息和控制系統(tǒng)可用性。第一個(gè)低低水位為工期控制關(guān)鍵點(diǎn)。其中，一層代碼全下裝的窗口對(duì)工期有決定性影響。因大修期間機(jī)組仍需要監(jiān)測(cè)部分重要設(shè)備(如冷源、電源、放射性監(jiān)測(cè)、通風(fēng)等)的運(yùn)行狀態(tài)，因此考慮將OM拆分為兩列冗余環(huán)網(wǎng)，分列進(jìn)行升級(jí)，確保升級(jí)期間有一列OM可用。操縱員可以在主控進(jìn)行監(jiān)視。另外，在OM 升級(jí)期間，可以切換到后備盤(pán)(backup panel,BUP)進(jìn)行控制，通過(guò)BUP盤(pán)監(jiān)測(cè)重要設(shè)備參數(shù)。

③第一個(gè)低低水位之后：完成網(wǎng)絡(luò)設(shè)備的更換，工期約13 d。

3.2 工期控制難點(diǎn)

①結(jié)合大修期間控制器離線下裝的經(jīng)驗(yàn)，設(shè)備隔離和風(fēng)險(xiǎn)溝通的工期較長(zhǎng)。因此，本次大量控制器整體下裝是工期控制的難點(diǎn)，也是項(xiàng)目按期完成的關(guān)鍵點(diǎn)[5]。

②項(xiàng)目為整體升級(jí)，軟硬件更換、升級(jí)的工作量巨大。其中如果出現(xiàn)意外技術(shù)問(wèn)題，處理的時(shí)間可能會(huì)占用工期。這也是項(xiàng)目按期完成的風(fēng)險(xiǎn)點(diǎn)。

③本次升級(jí)以上次大修之后的數(shù)據(jù)庫(kù)作為基準(zhǔn)，距本次大修包括本次大修本身涉及數(shù)據(jù)庫(kù)修改的工作需要在新工程師站(engineering system,ES)上進(jìn)行修改。這部分改動(dòng)量較大，也是工期控制的重要關(guān)注點(diǎn)。

④第三個(gè)階段，所有一層機(jī)柜的交換機(jī)更換期間，需要按離線下裝機(jī)柜控制，涉及的機(jī)柜數(shù)量多，是工期控制的關(guān)注點(diǎn)。

4 實(shí)施過(guò)程中的風(fēng)險(xiǎn)控制

AP離線下裝過(guò)程將造成該AP的所有信號(hào)失去運(yùn)行監(jiān)視，需將輸出信號(hào)復(fù)位至默認(rèn)狀態(tài)，離線下裝結(jié)束后信號(hào)采集和邏輯處理恢復(fù)正常。由于輸出信號(hào)在整個(gè)過(guò)程中可能出現(xiàn)變化，將導(dǎo)致工藝設(shè)備的誤動(dòng)或拒動(dòng)，因此要做好相應(yīng)的風(fēng)險(xiǎn)分析和隔離措施。

①隔離措施保證。AP離線下裝中有三類(lèi)信號(hào)會(huì)發(fā)生變化。第一類(lèi)是硬接線輸出信號(hào)，在AP離線下裝過(guò)程中，所有模擬量和開(kāi)關(guān)量信號(hào)會(huì)失去輸出。第二類(lèi)是AP間網(wǎng)絡(luò)信號(hào)，在AP下裝過(guò)程中所有模擬量和開(kāi)關(guān)量信號(hào)同樣會(huì)失去。第三類(lèi)是開(kāi)關(guān)選擇功能塊，如SLC/SELECT，以及RS觸發(fā)器，在離線下裝后重啟的過(guò)程中會(huì)復(fù)位到默認(rèn)位置。因此，在進(jìn)行風(fēng)險(xiǎn)分析時(shí)，要全面分析所有影響信號(hào)輸出變化的設(shè)備，結(jié)合機(jī)組要求進(jìn)行相應(yīng)的隔離，以防止設(shè)備誤動(dòng)作。

②電廠冷源可用性保證。為保證在RCD模式下冷源可用，A/B列泵所在的AP不能同時(shí)開(kāi)展離線下裝工作，必須在確認(rèn)A列完成后方可進(jìn)行B列工作(質(zhì)量計(jì)劃控制)。此外，通過(guò)對(duì)影響列的泵的預(yù)先啟動(dòng)方式進(jìn)行干預(yù)。對(duì)意外啟動(dòng)的泵，主控優(yōu)先匹配流量后由現(xiàn)場(chǎng)人員及時(shí)手動(dòng)停運(yùn)。

③電源可用性保證。經(jīng)分析，離線下裝期間由于信號(hào)復(fù)位，會(huì)觸發(fā)6.6 kV柴油機(jī)啟動(dòng)，且6.6 kV電源開(kāi)關(guān)從正常電源模式切換到柴油機(jī)供電模式。因此，為保證機(jī)組電源可用，首先應(yīng)保證電源A、B兩列至少一列可用；其次，應(yīng)由運(yùn)行人員提前啟動(dòng)將受影響列的柴油機(jī)，將安全級(jí)6.6 kV電源切換至柴油機(jī)供電，避免因自動(dòng)切換異常導(dǎo)致的安全級(jí)6.6 kV電源下游負(fù)載失電；再次，為避免非安全級(jí)6.6 kV電源系相關(guān)開(kāi)關(guān)異常動(dòng)作，應(yīng)實(shí)施臨時(shí)措施，斷開(kāi)DCS通向就地勵(lì)磁繼電器的指令線，從而保持開(kāi)關(guān)的當(dāng)前狀態(tài)。

④通風(fēng)消防可用性保證。為保證RCD模式下火警/消防/通風(fēng)系統(tǒng)的可靠運(yùn)行(通常該類(lèi)設(shè)備運(yùn)行狀態(tài)不受影響)，對(duì)于誤動(dòng)后果難以接受的高風(fēng)險(xiǎn)設(shè)備(如主泵消防相關(guān)設(shè)備在重錘效應(yīng)下會(huì)釋放二氧化碳)，應(yīng)通過(guò)就地插銷(xiāo)的辦法防止期間誤噴。同時(shí)，由于AP控制器離線過(guò)程中，會(huì)失去相關(guān)的自動(dòng)控制功能，必須由儀控、運(yùn)行、安工、計(jì)劃等專(zhuān)業(yè)人員根據(jù)每個(gè)AP的輸入/輸出清單，識(shí)別出RCD模式下與運(yùn)行技術(shù)規(guī)范相關(guān)的系統(tǒng)設(shè)備，在進(jìn)行相關(guān)AP離線下裝工作期間嚴(yán)格控制I/O數(shù)目，以避免違反技術(shù)規(guī)范。

⑤閥門(mén)安全狀態(tài)保證。為保證離線下裝期間氣動(dòng)開(kāi)關(guān)/調(diào)節(jié)閥動(dòng)作不對(duì)系統(tǒng)產(chǎn)生影響，必須按照系統(tǒng)進(jìn)行篩選，由儀控、運(yùn)行、安工、計(jì)劃共同針對(duì)清單識(shí)別出機(jī)組在RCD模式下需要重點(diǎn)關(guān)注的設(shè)備，并預(yù)先做好措施。通過(guò)提前將上游手動(dòng)隔離閥置于合理位置、調(diào)整系統(tǒng)運(yùn)行方式等多種途徑，保證設(shè)備動(dòng)作不會(huì)對(duì)系統(tǒng)運(yùn)行產(chǎn)生影響，待AP離線下裝工作結(jié)束后再恢復(fù)閥門(mén)初始狀態(tài)。

⑥設(shè)備狀態(tài)一致性保證。為確保離線下裝前后設(shè)備狀態(tài)保持一致，尤其是下裝過(guò)程中被復(fù)位為默認(rèn)輸出值的操作塊所影響的設(shè)備，需要在開(kāi)工前，按照已經(jīng)梳理好的清單，記錄當(dāng)前狀態(tài)；工作結(jié)束后，運(yùn)行人員和儀控人員一起將操作塊狀態(tài)恢復(fù)為初始狀態(tài)[6]。

5 升級(jí)改造的相關(guān)測(cè)試

經(jīng)過(guò)升級(jí)改造，TXP平臺(tái)包含的硬件(包括二層人機(jī)接口系統(tǒng)OM的服務(wù)器、一層過(guò)程控制系統(tǒng)AS的模件)均更換為新型號(hào)設(shè)備，運(yùn)行在服務(wù)器和控制器中的軟件版本也更新為更高版本。其中，所運(yùn)行的數(shù)據(jù)庫(kù)、組態(tài)邏輯均適應(yīng)性地進(jìn)行了轉(zhuǎn)換。但是，為了確保升級(jí)改造前后畫(huà)面組態(tài)、控制組態(tài)實(shí)現(xiàn)的功能與升級(jí)前保持一致，需要全面策劃以下三個(gè)階段的測(cè)試工作。

5.1 設(shè)備出廠測(cè)試

因升級(jí)改造不包括AS系統(tǒng)的采集和輸出模件，因此測(cè)試的重點(diǎn)是設(shè)備和系統(tǒng)的可用性。通過(guò)執(zhí)行出廠測(cè)試程序，對(duì)一、二層系統(tǒng)進(jìn)行全范圍的功能和性能測(cè)試。主要測(cè)試內(nèi)容如下。

OM690功能測(cè)試，測(cè)試監(jiān)視操作畫(huà)面功能完整，報(bào)警、打印、趨勢(shì)顯示、歷史存儲(chǔ)燈功能正常，與升級(jí)改造前保持一致。

①網(wǎng)絡(luò)通信測(cè)試:測(cè)試一、二層各設(shè)備網(wǎng)絡(luò)配置正確，各設(shè)備通信正常，互相之間信號(hào)傳輸正常。

②系統(tǒng)負(fù)荷測(cè)試：測(cè)試服務(wù)器、控制器、網(wǎng)絡(luò)設(shè)備負(fù)荷在合同規(guī)定的范圍內(nèi)。

③工程師站功能測(cè)試：測(cè)試工程師站代碼生成、下裝、動(dòng)態(tài)監(jiān)視、DAMO生成、畫(huà)面分發(fā)等功能正常。

④冗余功能測(cè)試：測(cè)試具有冗余配置的服務(wù)器、控制器、網(wǎng)絡(luò)設(shè)備，在離線的情況下可以完成無(wú)擾切換。

⑤邏輯組態(tài)初步檢查：對(duì)一層邏輯組態(tài)進(jìn)行初步檢查，保證邏輯組態(tài)功能在改造前后保持一致。

5.2 全范圍模擬機(jī)功能測(cè)試

由于模擬機(jī)采用仿真模型，可對(duì)核電站工藝系統(tǒng)進(jìn)行高度仿真。完成仿真模型與新型系統(tǒng)設(shè)備的連接配置后，可借助仿真系統(tǒng)對(duì)邏輯組態(tài)功能進(jìn)行完整的測(cè)試。

①信號(hào)監(jiān)視、設(shè)備操作功能測(cè)試：在仿真平臺(tái)建立完整工況，例如100%功率平臺(tái)，檢查信號(hào)顯示、設(shè)備操作是否正常。

②模擬機(jī)組啟停測(cè)試：在仿真模型中模擬一次機(jī)組啟動(dòng)、機(jī)組正常停運(yùn)的操作過(guò)程，檢查啟停過(guò)程信號(hào)的顯示，設(shè)備動(dòng)作、報(bào)警、趨勢(shì)、規(guī)程等均功能正常。

③機(jī)組重要閉環(huán)控制測(cè)試：建立100%功率平臺(tái)后，分別執(zhí)行穩(wěn)壓器壓力/水位擾動(dòng)、蒸發(fā)器水位擾動(dòng)、一回路平均溫度擾動(dòng)、汽機(jī)功率調(diào)節(jié)等試驗(yàn)，檢查機(jī)組相關(guān)參數(shù)、報(bào)警是否正常。

④瞬態(tài)功能測(cè)試：建立100%功率平臺(tái)，分別模擬跳堆、跳機(jī)、甩負(fù)荷等瞬態(tài)試驗(yàn)，檢查機(jī)組相關(guān)參數(shù)、報(bào)警是否正常[7]。

5.3 現(xiàn)場(chǎng)升級(jí)改造后的再鑒定測(cè)試

設(shè)備現(xiàn)場(chǎng)安裝完成并重新投入運(yùn)行后，具備了現(xiàn)場(chǎng)真實(shí)聯(lián)合測(cè)試的條件。

①平臺(tái)功能測(cè)試：平臺(tái)設(shè)備改造升級(jí)完成后，測(cè)試自身功能的正確性和完整性、設(shè)備各項(xiàng)性能以及整體系統(tǒng)的性能和功能是否滿(mǎn)足要求。

②系統(tǒng)聯(lián)合測(cè)試：重點(diǎn)是邏輯組態(tài)與現(xiàn)場(chǎng)設(shè)備的準(zhǔn)確對(duì)應(yīng)，分別在改造升級(jí)的一層AS機(jī)柜中開(kāi)關(guān)量、模擬量、執(zhí)行機(jī)構(gòu)的通道，檢查現(xiàn)場(chǎng)輸入狀態(tài)是否與畫(huà)面顯示一致；在主控操作具備執(zhí)行條件的執(zhí)行機(jī)構(gòu)進(jìn)行操作，檢查設(shè)備能否按照指令要求正常動(dòng)作。

③機(jī)組啟動(dòng)平臺(tái)可用性試驗(yàn)：在機(jī)組啟動(dòng)過(guò)程中，檢查操縱員的各項(xiàng)操作均能正常執(zhí)行，現(xiàn)場(chǎng)信號(hào)、報(bào)警、趨勢(shì)、規(guī)程等功能正常，機(jī)組各閉環(huán)控制系統(tǒng)投自動(dòng)后調(diào)節(jié)功能正常[8]。

6 結(jié)論

數(shù)字化儀控系統(tǒng)DCS整體升級(jí)改造，是未來(lái)核電站面臨的一項(xiàng)難題。整體升級(jí)改造是一項(xiàng)系統(tǒng)工程，工作量大，對(duì)工藝設(shè)備影響復(fù)雜。改造工程既要將大修工期控制在最短，避免影響發(fā)電效益[9]；同時(shí)又要確保改造目標(biāo)的完整實(shí)現(xiàn)，過(guò)程中不能帶來(lái)風(fēng)險(xiǎn)和隱患。因此，改造技術(shù)的方案研究、進(jìn)度計(jì)劃、測(cè)試安排以及風(fēng)險(xiǎn)控制都需要深入研究，以提升核電運(yùn)行的安全穩(wěn)定性和和核電企業(yè)的實(shí)際收益。本文在核電站數(shù)字化儀控系統(tǒng)DCS改造實(shí)踐過(guò)程中，風(fēng)險(xiǎn)控制、工期控制均達(dá)到了預(yù)期效果，順利完成了升級(jí)工作，對(duì)于后續(xù)的電廠改造具有重要參考意義。