核電站數字化儀控系統中兼容問題的研究

方 濤，陸道綱，馬吉強，潘海波

（1.華北電力大學 核科學與工程學院，北京 102206；2.北京廣利核系統工程有限公司 國家核電數字化儀控系統研究中心，北京 100084）

0 引言

核電站數字化儀控系統作為核電機組的關鍵設備，是核電站的重要組成部分，相當于核電站的神經和大腦.系統從設計到制造，需滿足可靠性、安全性、系統復雜度、接口處理等多方面的要求，綜合了各種技術，長期以來該技術一直被國外少數廠家所壟斷.近年來隨著國產化程度要求的不斷提高，國內一些廠商也在嘗試推出自己的產品.可由于核電站對安全級數字化儀控系統，無論在安全性和使用業績上都有著極高的要求，嘗試著從非安全級數字化儀控系統入手，逐漸積累經驗成為了國內廠商更為切實可行的方法.

但該方法同時也會引發一些其它問題，比如說不同廠商生產（尤其是一個是國外廠商一個是國內廠商）的安全級與非安全級系統之間的相互兼容問題.本文就以紅沿河電站為例，對其中重要的問題加以討論.相信本文定會對其它電站和生產廠商有不錯的借鑒意義.

1 信號隔離問題

不同安全級別的系統之間最大的問題就是信號隔離問題，即非安全級系統的信號不能對安全級系統造成影響.由于實際需要采集的安全級信號非常之少（與非安全級信號的比例大概為1∶10），而一些比較復雜的安全級信號需要引用非安全級信號來計算其結果，這就使得它們之間的信號傳遞問題顯得非常棘手了.

1.1 解決該問題的兩種主要途徑

1）通過網關進行隔離

這樣做的好處是能夠傳遞的信號數量多，但最大的問題是安全性不高，尤其對于控制信號來說，它的安全級別是無法滿足現場要求的（至少無法滿足標準的要求）.

2）通過硬接線進行隔離

這樣做的好處是安全級別能得以大幅提升，存在的問題是每條硬接線只能發送或接收一路信號.最后的結果是造成現場使用的控制柜數量大大增加，擺放空間無法滿足要求.

1.2 具體實現方式

針對這個問題，紅沿河電站采用了一種折衷方案：部分信號采用網關傳遞，部分信號使用硬接線處理.

基本原則是

1）安全級傳向非安全級的信號

只用于報警和顯示的信號可通過網絡進行傳送.見圖1和圖3.

用于邏輯控制的信號需要用硬接線進行傳送.見圖2和圖4.

對于既要用于報警/顯示，又要用于邏輯控制的信號，通過信號分配器一分為二.再通過網絡和硬接線兩個途徑分別進行傳送.見圖5.

2）非安全級傳向安全級的信號

所有信號都采用硬接線方式從非安全級部分的現場處理單元傳向安全級反應堆保護系統的邏輯處理單元中.

圖1 操作員站的顯示和后備盤輸出信號不參與邏輯控制的信號流向圖Fig.1 Operator and BUP signals which are not used to logic control transm it

2 不同安全級別設備共用房間問題

標準中明確要求，為了防止共因故障，要求不同級別的設備之間不能相互影響（這主要是指非安全級設備發生問題時不能影響到安全級設備）.

比較常規的做法是增加安全距離，最好的方法是把不同安全級別的設備放入不同的房間以滿足要求.

但實際的情況是，核電站用于擺放儀控設備的電子設備間的位置和數量都是固定的，由于各個DCS廠商所提供的設備大小尺寸都不相同，導致布置空間大大受限.

以紅沿河電站為例，電站留給非安全級系統用于擺放B列供電設備的房間只有509房間.但與此同時該房間內還要布置一些安全級系統的設備.再加上為了電氣隔離，雙方又擺放了各種的配電和網絡柜，造成該房間內更加的擁擠.同時還要考慮到維護空間、通風以及搬運、安裝和人員進出等情況.

圖2 操作員站的顯示和后備盤輸出信號參與邏輯控制的信號流向圖Fig.2 Operator and BUP signals which are used to logic control transmit

圖3 安全顯示和事故記錄監視中不參與邏輯控制的信號流向圖Fig.3 S-VDU and PAMS signals which are not used to logic control transm it

圖4 安全顯示和事故記錄監視中參與邏輯控制的信號流向圖Fig.4 S-VDU and PAMS signals which are used to logic control transmit

基于以上情況，紅沿河電站采取的方案是在無法滿足房間內安全距離的情況下（由圖6可看出安全級的網關柜與非安全級的電源柜間的距離只有0.8m，不足1 m），硬性提高非安全級設備的抗震等級，已達到非安全級設備發生故障后不會影響到安全級設備的正常使用（抗震1級要求，即震前、震中、震后都能使用）.

3 報警計算問題

報警功能作為核電站控制中的一個重要組成部分，一直備受關注，因為它是操作員的重要提示信息.

從功能上講，報警可分為一般報警、首出報警和首故障報警.從報警級別上講，報警又分為紫、紅、黃、白、綠5個級別.

由于報警功能復雜、類別繁復，在設計時一般都會有專門的報警邏輯，并用單獨的處理器進行計算.可是報警功能雖然重要，但畢竟只是用于顯示，并不直接參與控制，這導致了各個廠商對報警處理的方法也不盡相同.LAII的做法是采用了安全相關級的處理器（西門子把系統按功能分成了3級，安全相關級設備的重要性處于安全與非安全級之間）來做報警計算.但在紅沿河電站中只有安全和非安全級系統，而安全級設備在設計之初就沒有考慮報警計算功能（即安全級的處理器由于個數和性能問題無法處理太多的報警邏輯）.

在不降低報警計算功能安全等級的情況下，紅沿河電站采用了以下方案：首先對報警信號和邏輯進行分類.然后，對于重要性較低的信號通過硬接線的方式，把報警邏輯放到非安全級處理器上進行計算，并傳回安全級系統上顯示；對于重要性高的信號，直接放到PAMS處理器（該處理器在紅沿河電站中屬于安全級設備）上計算，并顯示.該問題也可結合圖3和圖4進行深一步的理解.

圖5 不同安全級別共享信號的流向圖Fig 5 Shared signals which have different classification transm it

4 生命信號診斷問題

所謂生命信號診斷指的是用一個現場處理器對關鍵設備進行狀態監測的方式.監測的設備主要有重要的現場處理設備及現場機柜、網絡設備（重要的集線器、網絡服務器等）、操作員站等.

這樣做的原因是：所有的用于邏輯控制的運算都需要引用一些重要的現場采集信號，如果這些信號的質量無法保證的話，其計算結果也就無法保證，甚至會得到相悖的結果.如果這些結果被用于重要的控制和報警的話，其影響可想而知.

為了避免上述問題的出現，所有控制和報警邏輯在計算前會先檢查這些采集信號的狀態.如果采集上來的信號或是設備狀態有異常的話，這些邏輯會默認采用上一周期的運算結果或是輸出默認的安全值，以保障電站能夠安全運行.

基于以上原因，生命信號的診斷就顯得非常重要了.在LAII電站中采用了安全相關級的設備承擔了該任務.紅沿河電站由于沒有該級別設備，采用了一種特殊方式：即用多個非安全級處理器分別對其診斷，最后做一個4取2的邏輯來做最后的判斷（借鑒了安全級設備中的多通道采集的方案）.這樣一來，不但不用增加設備，還增強了可靠性.

圖6 B列房間機柜布置示意圖Fig.6 Train B Cabinets distribution

5 結論

紅沿河電站作為首個混用國產數字化儀控系統和國外數字化儀控系統的電站，其設計方案和具體實施過程都具有重要的借鑒意義.本文所討論的4個問題也是核電站數字化儀控系統兼容問題的最為典型案例，針對這些問題的討論無論是對后續設計，還是作為其它電站的參考電站都將具有重要的借鑒和指導意義.

致謝：本研究中，北京廣利核系統工程有限公司（國家核電數字化儀控系統研究中心）的馬吉強高級工程師給與了大力支持及指導，在此表示感謝.

[1]International Electrotechnical Comm ission.IEC 60880-2006，Nuclear Power Plants Instrument and Control Systems Important to Safety Software Aspects for Computer-based Systems Perform ing Category a functions[S].

[2]Nuclear Power Engineering Comm ittee.IEEE-344-2004，IEEE Recommended Practice for Seism ic Qualification of Class 1E Equipment for Nuclear Power Generating Stations[S].

[3]LAN/MAN Standards Comm ittee.IEEE-802.1x-2004，IEEE Standard for Local andmetropolitan area networks Port-Based Network Access Control [S].

[4]Software Engineering Standards Comm ittee.IEEE-1012，IEEE Standard for Software Verification and Validation[S].

[5]Software Engineering Standards Comm ittee.NUREG-700-Rev.2，Human-System Interface Design Review Guidelines[S].

[6]國家核安全局.HAF 102-2004，核動力廠設計安全規定 [S].

[7]NuclearPowerEngineeringComm ittee.IEEEstd.323，IEEEStandard forQualifyingClass1EEquipmentforNuclearPower Generating Stations[S].

[8]French association.RCC-E-2005，Design and Construction Rules for Electrical components of nuclear islands[S].

[9]國家核安全局.NS G1.3，核動力廠安全重要儀表控制系統 [S].

[10]國家核安全局.NS-R-1-2000，Safety of Nuclear Power Plants Design[S].