基于核級數字化平臺的應急柴油機控制保護系統設計與應用

劉克超，孫洪濤，夏利民，王志嘉，張 波

（北京廣利核系統工程有限公司，北京 100094）

0 引言

應急柴油發電機組作為核電廠的應急安全電源，在喪失廠用工作電源和輔助電源后，可以為核電廠安全相關設備提供驅動電源，確保核電廠的余熱排除，最終實現安全停堆[1]。因此，如何提高應急柴油發電機組自身的可用性和可靠性，也是核電廠設計時應該考慮的重要問題。

當前核電廠應急柴油發電機組的安全級控制保護系統廣泛采用以繼電器為主的模擬電路控制。由于繼電器普遍存在設備故障率高、維護性差，以及自診斷覆蓋率低等自身缺陷，導致現有應急柴油發電機組的安全隱患逐漸顯現出來，并引起行業內的廣泛重視。安全級數字化控制保護系統平臺，簡稱“核級DCS”，其研發過程嚴格遵循核安全法規及相關行業標準，相比模擬電路控制具有高可靠性、穩定性及維護便捷等特點。隨著核級DCS在核電廠的廣泛應用，及其在運行過程中所展現的安全優勢，使得采用安全級數字化平臺實現核電廠核級主設備的控制及保護，已逐漸成為更優的解決方案。

1 控制保護系統設計要求

應急柴油發電機組執行RCC-P 3級安全功能，其控制保護系統應滿足B類軟件要求，質保等級C1。應急柴油發電機組控制保護系統按照設備分級分為：安全級和非安全級，安全級需滿足IEC 62138中B類軟件要求[2]。

安全級控制保護系統主要執行應急啟動功能，在收到啟動指令之后，確保機組能夠在10s內完成啟動，達到額定頻率并具備加載能力。當發生超速及失壓等保護后，能夠快速實現機組停機功能，具體包括如下：①柴油機速度控制以及相關的監視功能；②發電機勵磁調節系統，包含自動電壓調節和勵磁電流調節；③安全相關的輔助系統；④24V電源監視及信號處理；⑤低壓配電盤監視和保護信號的處理。

非安全級控制保護系統主要實現非應急模式（定期試驗模式）下機組的啟停控制及非應急保護功能，具體包括如下：①非安全相關的輔助系統的監視和操作；②發電機及電氣系統的信號的監視；③定期試驗和維護，以及用于實現維護功能的人機接口設備；④自動同期功能。

2 現有控制保護系統問題分析

先前受限于國外核級DCS的高價格影響，安全級控制保護系統廣泛采用模擬電路控制。由于其不存在軟件，不需要軟件V&V等活動，具有成本低、開發周期短的優點[3]。但是模擬控制由大量的繼電器構成，集成度低，單個設備故障率高且不具有冗余控制功能，最終降低了整個柴油發電機組運行的穩定性及可靠性。另外，模擬控制保護系統接線復雜[4]，設備維護很不方便。當設備出現故障時，很難進行快速定位，對現場維護人員帶來了一定的困擾。

通過上述分析可以看出，采用傳統的模擬控制作為應急柴油發電機組的安全級控制保護系統，已不能滿足業主當前迫切需求，需要對此類設備的控制保護系統進行重新設計并全面提升控制保護系統的可用性及可靠性。

3 控制保護系統改進方案

為了解決上述問題，本方案采用廣利核公司自主研發的安全級數字化控制保護系統平臺FirmSys產品，進行應急柴油發電機組的全數字化控制保護系統設計，即安全級和非安全級均采用FirmSys產品。本方案控制保護系統由一臺安全級控制柜、一臺非安全級控制柜及一臺非安全級網關柜組成，控制保護系統架構如圖1。

圖1 控制保護系統架構Fig.1 Control and protection system architecture

安全級控制柜用于控制安全級設備，主要用于執行應急模式下柴油發電機組的緊急啟動功能。該控制柜的柜門上配有硬手操，可以實現部分安全級設備的手動控制以及機組的手動緊急停機功能。

非安全級控制柜用于控制非安全級設備，主要實現非應急模式下機組啟停控制以及非應急保護功能。該機柜的柜門上裝有帶觸摸功能的人機接口設備，可以實現設備的軟操作以及數據歷史記錄及顯示功能，另外柜門上配有硬開關實現點動調速調壓以及機組的啟停功能，柜門上的報警指示燈和蜂鳴器用于指示當前系統的異常狀態。

非安全級網關柜主要用來實現跟第三方系統Profibus DP設備的通信。Profibus信號首先通過協議轉化模塊轉換為Modbus TCP協議數據，然后由網關轉換為FirmSys平臺所能識別的環網通信協議，最終送給非安全級控制柜或觸摸屏，用于設備的控制和顯示。

3.1 信號預處理及采集

應急柴油機控制保護系統需處理的信號類型包括4mA～20mA模擬量信號、RTD信號以及數字量干接點信號。

為了提高系統的抗干擾能力，柴油發電機組本體送往控制柜的模擬量信號，先后進入調理模塊及信號采集單元實現輸入信號的隔離以及濾波功能。

數字量采集信號，對于同一安全級別的信號和控制保護系統間的采集不需要隔離，信號直接送往采集單元。由于本方案中存在非安全級控制保護系統向安全級控制保護系統傳輸信號的情況，需要在安全級側增加隔離繼電器，以實現不同等級設備間的隔離，最后送往信號采集單元。

本方案中所有低級別（非安全級）系統向高級別（安全級）系統發送的信號均采用硬接線，以提高系統信號傳輸的可靠性。

不同信號采集原理如圖2～圖4。

圖2 模擬量信號采集示意圖Fig.2 Schematic diagram of analog signal acquisition

圖4 隔離型數字量信號采集示意圖Fig.4 Schematic diagram of isolated digital signal acquisition

1）模擬量輸入信號

2）數字量輸入信號

圖3 非隔離型數字量信號采集示意圖Fig.3 Schematic diagram of non-isolated digital signal acquisition

信號采集系統與邏輯處理系統通過冗余的鏈路進行數據通訊，單個通信鏈路故障，不影響整個系統的采集功能。為了防止數據采集鏈路中單個部件故障，而導致機組某個功能完全喪失，系統在IO分配中充分考慮了功能分散原則，對于機組的重要冗余信號，例如柴油機轉速信號，控制保護系統在設計時會將3個轉速信號分配到不同的調理模塊，然后再送往3塊不同的AI采集板卡，最終在控制保護系統內部進行閾值處理及表決邏輯運算。通過上述手段，可有效提高整個柴油發電機組控制保護系統信號采集的可靠性。

3.2 網絡通信

控制保護系統內部網絡通信方式主要有兩種：點對點通信和多節點環網通信。

本方案中安全級控制柜向非安全級控制柜發送數據采用點對點的單向通信方式，即只允許安全級控制柜給非安全級控制柜發送數據，而不允許非安全級控制柜給安全級控制柜發送數據。通過配置可以實現通信路徑上的物理隔離[5]，以確保非安全級控制柜故障或信號失效，不會影響安全級控制柜執行安全功能。另外，采用點對點通信相較以前繼電器方案可節省大量柜間電纜。

非安全級控制柜、非安全級網關柜以及觸摸屏之間采用多節點環網通信，該通信方式適合同級別控制設備間的網絡通信，為雙向通信。

點對點和多節點通信隔離措施如下：

1）點對點通信采用單向、點對點的通信，使得接收方與發送方的功能不會因對方的異常而受到干擾。

2）通信采用獨立于主處理器的通信處理器來完成。通信處理器與主處理器之間的數據傳輸使用定制的雙口RAM，從而保證CPU的運行不會受到通信板卡故障的影響。

3）通信具有確定性，預定義的數據長度和數據結構保證通信順利進行。

4） 通過對控制站配置文件的下裝，可以使通信處理器不接收內存映射區中的任何數據，同時CPU也不會從通信處理器的主寫交換區讀取任何數據。

3.3 邏輯控制

為了應對模擬控制器故障失效率高，無冗余備份等功能，提高應急柴油發電機組的可靠性，本方案控制保護系統采用主備冗余配置。其中MPU控制器、IO通訊板卡、環網通訊板卡，均采用冗余配置。當單個卡件發生故障時控制保護系統可實現無擾切換，不會出現控制保護系統整體失效的情況。

3.4 操作及顯示記錄

核電廠的人因工程正成為一個越來越受重視的課題，而人機接口設計是人因工程設計的一個重要要素[6]。該方案中，針對安全級和非安全級設備的具體控制要求，制定了以下人機接口實現方式。

由于安全級相關功能設備操作較少，通過在安全級控制柜門上安裝鑰匙開關及按鈕來實現。對于非安全級功能設備的相關操作、狀態監視及歷史記錄功能，主要是通過裝在非安全級控制柜門上的安全操作顯示單元來實現。該設備屬于安全級設備，相比傳統應急柴油發電機控制保護系統采用的工業級觸摸屏具有更高的可靠性，操作面板設計對防人因誤操作做了充分考慮。調出操作面板后，首先需要激活該面板，點擊操作按鈕后需要二次確認，操作指令方可下達。另外，非安全級控制柜門上裝有少量旋轉開關以及報警指示燈和蜂鳴器。該控制保護系統中用到的所有鑰匙開關均配有不同型號的鑰匙，以防止現場維護人員錯用鑰匙引發的誤操作。

3.5 供配電設計

控制保護系統在設計時，為了防止機柜內部供電部件失效進而影響控制柜可靠性，同時保證系統具備在線維修功能，控制柜內部供電設備采用冗余配置[7]電廠24VDC直流供電線路進入機柜后被分為A、B兩路為下游設備供電。這樣即使單個電源或開關設備損壞，不影響整個控制柜的供電，進而提高控制保護系統的可靠性。另外，現場給每個控制柜提供一路非安全級220VAC交流電，用于機柜的照明和加熱，系統供配電示意圖如圖5。

圖5 機柜配電示意圖Fig.5 Schematic diagram of cabinet power distribution

3.6 故障診斷及安全

控制保護系統設計了自診斷和自監視功能[8]，故障診斷可定位到模塊級，系統可通過板卡點陣、安全顯示單元以及機柜門燈等多種方式對故障進行報警顯示，便于運維人員進行故障定位及處理。通過自診斷，控制保護系統可有效定位，諸如處理器、數據總線、通信、信號采集等故障，同時監視諸如供電狀態、機柜溫度、風扇狀態等異常。當系統發生異常時，控制保護系統可根據設備安全需求，將系統輸出置于安全狀態或已證實的可接受狀態。通過此方法，在控制保護系統故障狀態下，使機組安全性、可用性和設備/人員的保護達到最優化的狀態。

4 結束語

綜上所述，基于安全級全數字化平臺的應急柴油發電機組控制保護系統，在滿足核電廠法規標準要求的前提下，通過采用冗余的硬件架構及配電，可確保單個部件損壞不影響整個柴油發電機組執行安全功能，相比繼電器模擬控制保護系統在可靠性和可用性方面有了明顯的提高。通過數字化平臺帶來的高自診斷覆蓋率，方便用戶進行快速問題定位。另外，非安全級控制保護系統采用核級控制設備大大降低了設備的故障率，降低了后期的維護成本。

安全級和非安全級控制保護系統采用同一平臺，給現場維護人員帶來了極大的便利性，同時由于采用了國產安全級數字化控制保護系統平臺，使得整個系統的硬件成本大幅降低，為后續其它應急柴油機項目提供了很好的借鑒。