安全級儀控系統國產化替代分析

傅長根

（三門核電有限公司，浙江 三門 317112）

0 引言

近年來計算機技術的飛速發展，使得現階段國內建設的核電站都采用了數字化的儀控系統，這些數字化儀控系統平臺以國外進口為主，三門核電同樣如此。隨著電廠的運行，采用國外平臺的弊端將會逐漸顯現，諸如核心技術沒有轉讓、工控信息安全、設備老化、備品備件、可擴展性差和維護保養成本高等問題將變得格外突出。隨著控制系統設備壽期的到來，儀控系統的國產化升級改造和替代是必經之路。目前，國內儀控設備供應商也在不斷的致力于自主研發用于核電站的儀控系統，并且已經取得了不錯的成果，國產化安全級儀控系統也在國內核電廠得到應用。

1 三門核電安全級儀控系統

1.1 系統結構

三門核電安全級儀控系統使用Common Q 平臺實現反應堆保護和監測相關功能[1]。系統由4 個序列組成，4 個序列間相互隔離，且為冗余配置。自動控制時，系統完成四取二表決，如一個序列故障，則進行三取二，或者三取一表決。系統結構主要分三層：信號采集及處理、邏輯判斷及表決、設備驅動及接口。不僅具備自動觸發及控制設備功能，同時有手動觸發及手動控制設備作為備用功能。

1.2 硬件設備

Common Q 平臺硬件包括處理器模塊、模擬量信號輸入輸出模塊、數字量輸入輸出模塊、脈沖信號模塊、設備接口模塊、安全顯示器和維護測試面板。

1.3 信號傳輸

1） 安全級系統內信號通過AF100（Advant Fielbus 100）高速總線和高速數據鏈路（HSL）網絡傳輸。AF100 總線用于單序列內通訊，用于監視通訊，不執行安全功能。HSL 網絡提供序列內和序列間點對點的通訊，執行序列內和序列間的安全功能，在序列間通訊時，使用光纖保證系統序列間的電氣隔離。

2）安全級與非安全級系統間信號主要傳輸兩種信號：一種是用于事件記錄；另一種是用于非安全級系統的控制與顯示，但兩種系統間必須是隔離的。

1.4 其他功能

1）診斷功能[2]：包括AI 輸入信號的超量程、短路、斷路、通信故障、處理器故障、機柜溫度、電源模塊狀態和柜門狀態等；系統平臺的診斷信息最終送至相應系統進行顯示和報警。

2）旁路及閉鎖功能：可以旁路或閉鎖某些安全相關功能。如果發生設計基準事故，當電廠進入安全功能需要的運行工況時，旁路自動去除。在試驗模式下，允許旁路某個安全功能，對于旁路，要有足夠的狀態指示。

3）人機接口：通過人機接口操縱員可對現場工況進行監視及控制現場設備，便于對系統進行維護和試驗。

1.5 平臺技術特點

1）單一故障準則：系統中單一故障不能阻止系統安全功能觸發或完成。采用冗余設計，減少反應堆停堆和專設安全設施的誤觸發，即使在試驗或維護時旁通一個通道，仍滿足單一故障準則。

2）完整性：系統在設計基準的所有可適用條件下，保持執行其安全功能的能力。經過環境和抗震鑒定，能保持執行安全功能的能力。具有抗電磁干擾（EMI）、射頻干擾（RFI）、放電、浪涌、電瞬態的能力。

3）獨立性和隔離：系統的多重序列間實體分隔和電氣隔離。多重序列的設計和布置保證了自然事件、正常運行維護和試驗、設計基準事故下不會引起安全功能的喪失。序列間的通信，采用隔離裝置保證不同序列間的電氣獨立性，每個序列由單獨的電源供電。

2 安全級儀控系統國產化現狀和替代分析

目前國內的安全級系統主要有：國核自儀“和睿系統（NuPAC）”和核動力院“龍鱗系統”等。這些安全級系統均已實現國產化，通過了相應的認證，并且在國內運營或建設中的核電站應用。

2.1 和睿系統（NuPAC平臺）

NuPAC 平臺將作為CAP1400 示范電站的安全級儀控平臺，為核電廠提供的分布式控制結構和高可靠性純硬件實現方案。該平臺采用FPGA 芯片開發運算邏輯處理模塊、多種通用I/O 插件。由于采用模塊化與標準化接口設計，平臺具備高靈活性與可擴展性。NuPAC 平臺不包含任何內嵌軟件，其采用基于FPGA 的硬件來替代典型基于微處理器平臺中的軟件執行環路過程。采用基于可編程邏輯器件的設備，從本質上比基于微處理器的設備更安全、更可靠。

2.1.1 系統結構

NuPAC 平臺的系統與Common Q 平臺設計相似，由4個序列組成，4 個序列間相互隔離，且為冗余配置[3]。信號處理流程同樣分三層：信號采集及處理、邏輯判斷及表決、設備驅動及接口，同時也具備自動和手動功能。

2.1.2 硬件設備

平臺采用一種真正基于硬件來替代采用微處理器和軟件的方案，內部沒有操作系統，沒有運行軟件程序，保護系統的邏輯則通過邏輯子卡的編程實現。以可配置電子模塊為核心的通用邏輯模塊，是由一塊載卡、一塊邏輯子卡和最多8 塊I/O 子卡構成。I/O 子卡包括：模擬量輸入子卡、開關量/脈沖輸入子卡、溫度輸入子卡、三輸入子卡（開關量）、RS-422/485 子卡、模擬量輸出子卡和固態繼電器子卡。

2.1.3 信號傳輸

平臺以通訊的方式在序列內和序列間傳遞信號，以及與非安全級系統的傳遞信號，平臺通過帶隔離器的硬接線和網關傳遞信號實現隔離。

2.1.4 其他功能

具備旁路和閉鎖功能，便于保護系統的運行、維護及試驗，提供安全級人機接口作為平臺的上位機系統，它接收來自FPGA 的數據，并把數據進行處理，將運行和維護指令發送至控制設備。

2.1.5 平臺技術特點

1）先進的系統架構：采用特殊的雙冗余星形網格通信拓撲架構，實現反應堆保護系統功能分散的設計思想，避免功能集中造成的風險。

2）降低軟件共因故障風險：基于FPGA 的反應堆保護系統平臺采用硬件配置的方式來實現各種運算功能，有效地降低了軟件共因故障的風險。

3）長生命周期：與CPU 芯片相比，FPGA 芯片更長的生命周期、更好的邏輯可復用性都有助于提高壽期服務能力。

4）易于維護：具備全范圍自診斷測試的功能，更快捷地對出現故障的設備進行定位維修。

5）安全性高：具有雙重加密功能，可滿足信息安全等級保護要求。

6）穩定性高：抗干擾能力強。

2.1.6 替代分析

通過上述可知NuPAC 平臺與COMMON Q 平臺設計相似，已經國產化的NuPAC 平臺在設計和開發之初以不低于Common Q 平臺安設計要求為標準，通過了國內HAF601認證，美國NRC SER 安全評估以及TUV 的IV&V 系統認證。NuPAC 平臺包括全部與Common Q 平臺相對應的子系統，在系統單一故障、冗余性、獨立性、完整性和可維護測試等方面與Common Q 平臺保持一致，能滿足和實現Common Q 平臺儀控系統的功能要求。作為基于FPGA 平臺，具備更好的系統安全性，更好的卡件精度。NuPAC 平臺也即將作為完整的反應堆保護系統在CAP1400、廉江項目CAP1000+等項目中應用。

2.2 龍鱗系統（NASPIC平臺）

NASPIC 平臺是中國核動力研究設計院根據核電廠法規、標準以及核電廠安全控制保護系統的系統要求，基于微處理器和網絡通信等技術開發的一個通用的設備平臺。以不同的軟硬件模塊為基礎，根據工程應用的需要，可構成適用于不同堆型、不同架構的核電廠數字化安全級儀控系統。

2.2.1 系統結構

NASPIC 平臺可以根據用戶對系統整體可靠性的要求進行靈活配置，包括單控制器配置模式、熱備冗余配置模式、1oo2 的冗余配置模式等。其保護系統可根據需求設計成多個冗余序列，以實現多序列冗余的表決邏輯，其中每個序列包括兩個子列，保護系統具備自動和手動控制功能。

2.2.2 硬件設備

通用的、用于核電站安全控制保護系統設備集成的平臺，主要包括：現場控制站、安全顯示站、網關站、工程師站等。主控制站由一系列的核電基礎板卡組成，可實現數據采集、邏輯處理、運算等功能，主要有控制器卡、通信卡、模擬量輸入卡、模擬量輸出卡、開關量輸入卡、開關量輸出卡、脈沖量輸入卡。

2.2.3 信號傳輸

平臺以點對點的安全通信方式在序列內和序列間傳遞信號，通信接收和發送鏈路獨立，安全級與非安全級系統間，通過網關進行通信，傳輸介質采用光纖，確保了通信隔離和電氣隔離。部分參與保護或控制的重要信號通過硬接線傳遞數據。

2.2.4 其他功能

平臺具備旁路和閉鎖功能，通過在主控制站中對系統的功能進行旁路操作，在優先模塊中進行閉鎖。同時采用了維護網絡和工程師站的設計，這便于后續系統的維護和試驗。

2.2.5 平臺技術特點

1）單一故障準則：為了滿足單一故障準則的要求，以便提供足夠的系統可靠性，安全級儀控系統提供了冗余的設計，體現在信號監測層面和信號驅動層面。

2）監測層面設計：在信號監測層面提供了四重冗余的設計，分別對應4 個獨立的保護組。任一保護組喪失，操作員可通過剩余的3 個保護組監測電廠狀態；事故后監測系統所監測的參數也是冗余設置的，分別由對應的保護組進行采集和處理。

3）驅動層面設計：對于反應堆緊急停堆功能，在信號驅動層面提供了四重冗余的設計，分別對應4 個獨立的保護組，至少需要兩個保護組發出緊急停堆信號時才能觸發反應堆緊急停堆。停堆斷路器分為四組，構成了“2/4”的結構。任一保護組發生故障，驅動邏輯由2/4 退化為2/3。對于專設安全設施驅動功能，系統設計了兩個邏輯系列，任一系列內的單一故障都不會導致安全功能的喪失。

4）故障安全準則：反應堆緊急停堆系統在設計中，當出現存在失去保護功能的故障或失去電源時趨于停堆動作。專設安全設施驅動系統當出現上述故障或失去電源時趨于不發出驅動命令。

5）自診斷：具有平臺自診斷和工程應用配置的自診斷。系統的診斷信息經分類后送到常規控制盤上顯示，同時在本地和維護工具上提供了豐富的故障定位手段。

6）隔離和獨立性：系統的通道和序列都布置在不同的房間，滿足獨立性要求。安全級設備內部采用點對點光纖網絡進行通信，安全級系統和非安全級系統通過網關進行通信，滿足通信隔離性要求。

2.2.6 替代分析

通過上述NASPIC 平臺的設計、功能等內容可以發現，目前已經國產化的NASPIC 平臺在設計和開發之初遵循了安全級儀控平臺的設計要求，標準體系涵蓋HAF、HAD、GB、GJB、EJ、NB、IEC、IEEE、RG、RCC-E 等標準；設計、驗證、試驗鑒定等各個環節符合最新的國際和國內標準要求，通過TUV 的IV&V 認證，滿足系統單一故障、冗余性、獨立性、隔離性、完整性和可維護測試的要求，配置的各類I/O 卡件能覆蓋所有的要求，能滿足和實現Common Q 平臺儀控系統的功能要求，并且NASPIC 平臺即將作為完整的反應堆保護系統在霞浦核電中應用。

3 結束語

目前國內已經實現國產化的NuPAC 平臺和NASPIC 平臺在設計和開發之初都遵循了安全級儀控系統的要求，滿足了安全級儀控系統在諸如單一故障、冗余性、獨立性、完整性和可維護測試等方面的要求，基本可以滿足和實現Common Q 平臺系統的功能要求，并且在國內運營電廠中已有應用業績，或已確定在后續核電項目中應用，故可考慮用于未來Common Q 平臺儀控系統的國產化，但是國產化過程仍然需要進行修改和適用性開發。