【核电站数字化仪控系统的特点】 核电站数字化仪控系统

　　摘要:由于核电站安全性的保守策略考虑，数字化仪控技术在核电站一直未得到全面应用，直到田湾核电站全数字化仪控系统成功投产，才开始受到关注。本文将在分析在役、在建核电厂仪控系统的基础上，总结全数字化仪控系统的技术特点。
　　关键词:核电;数字化;仪控
　　
　　一.数字化仪控发展现状
　　
　　常规电厂的全数字化仪控技术早在八十年代已经得到了很广泛的应用，而核电站由于核安全保守政策的考虑和对数字化技术的疑虑，全数字化仪控技术一直未得到全面应用，但在某些非核安全相关的领域，还是采用了成熟的分布式控制系统，例如对汽机的控制保护、蒸汽发生器水位的控制等，甚至部分系统，在一个系统内使用了两种不同的实现方式，如我国300MW的秦山核电站的通风控制，其非安全级部分全面采用DCS平台，安全级部分用继电器逻辑搭建。随着江苏田湾核电站数字化仪控系统成功投入使用，全数字化仪控技术才开始受到真正关注，在此后的新建扩建项目中，除秦山二期扩建项目继续保留原仪控系统外，其它电站都准备使用数字化仪控系统，如岭澳二期、红沿河都使用了法玛通的TXP＋TXS系统，作为西屋AP1000依托项目的浙江三门核电和山东海阳核电，也将采用了COMMON Q＋OVATION的全数字化仪控系统。
　　
　　二.数字化仪控的主要特点
　　
　　基于对国外成熟的数字化仪控系统的研究，可以总结出这些特点，通过了解其性能和特点，有助于在核电站数字化仪控系统选择方案中对目前众多的数字化控制系统更好地进行比较和选择。
　　（一）多样性
　　所谓多样性就是用两种或两种以上的完全不同的方法实现同样的一个功能，包括功能多样性、硬件多样性和软件多样性。配置多样性的目的是解决共模故障问题。共模故障即若干装置或部件的功能可能由于出现单一特定事件或原因而失效，在有些资料中也称为共因故障。
　　多样性只对安全级系统有要求，而对非安全级没有要求。对于传感器的多样性，只对模拟量有要求，对数字量没有要求。(关于安全级说明：根据国标GB/T 15474，可以将核电厂仪控系统分为安全级（1E级）、安全相关级（SR级）、非安全相关级（NS级），后面两个也可统称为非安全级。安全级用于实现反应堆保护系统，包括停堆保护和专设安全设施驱动)。
　　
　　多样性的配置贯穿到安全系统的各个层次中。第一个层次是系统级的配置，核电站配置了一个非安全级的系统，作为反应堆保护系统的多样性。在秦山核电机组，设置ATWS缓解系统，用于缓解由于反应堆保护系统共模故障引起的未能紧急停堆的预期瞬态，当导致失去核电站二次侧热阱（热导出）的事件，同时又不停堆，则启动ATWS缓解系统，启动辅助给水泵和汽机脱扣。在我国刚引进的第三代核电机组（美国西屋的AP1000），设置了一套DAS系统（Diverse Actuation System），比起ATWS系统，功能更加强大，驱动对象也不仅仅限于二回路设备，还包括了堆芯补水箱、主泵等一回路设备。无论是ATWS缓解系统还是AP1000的DAS系统，都是核电厂保护系统作为系统级的多样性配置，而且它们是孤立系统，与保护系统之间没有任何硬件设备的连接。第二个层次是保护系统内部的功能多样性配置，在保护系统内部，设置了两个功能多样性子组，称之为功能多样性A组和功能多样性B组，这两个子组实现同样的停堆和专设安全设施驱动的功能，但使用了不同的传感器，采用不同的保护参数，采用两套独立的机柜，两个机柜内安装不同的组态软件，采用不同的时序和计算方法，从而实现了保护系统内部的多样性。例如同样对压力的保护，在A组若使用压力参数的触发，在B组则使用温度参数的触发(根据温度和压力的关系)，从而形成不同的触发机制，下图是法马通为田湾核电厂反应堆保护系统设计的一个体系结构图，明显体现了功能多样性的特点。
　　在核电站全数字化仪控中，表现出来的一个新特点是软件共模故障的影响。针对这个问题，核电厂的数字化仪控根据工艺系统安全分级（安全级和非安全级），用两个不同的软件平台来实现，例如田湾核电厂和岭澳核电站，使用了法马通公司的TXP+TXS的配置组合，前者用于非安全级，后者用于安全级。AP1000仪控系统使用Ovation＋common Q的组合，Invensys采用IA＋Triconex的组合，都是体现了这个思想，这两个平台，采用不同的设备，不同的规范要求，从而消除软件共模故障的影响。但是，由于非安全级软件平台不具有抗震要求，在地震情况下，只有安全级平台可用，不满足多样性要求。此时，必要的基于硬件设备的后备盘可提供给操纵员使用，从而形成了这样一个纵深防御的机制：正常情况下，由数字化仪控系统的两个不同的软件平台完成对整个电厂的监控和操作；在地震或其它导致非安全级平台故障时，由安全级软件平台完成对电厂重要系统的监控和操作；在系统的两个平台都发生故障时，由以硬接线为基础的后备盘完成对电厂安全系统的监控和操作；在整个主控室不可居留时，由副控室对其监控和操作。每道屏障互相独立，不会因为一个屏障的失效，其故障传播到更高级别的屏障，而导致该级别失效。两个软件平台互相独立，软件平台之间采用单向传输（安全级向非安全级传输）的网关相联，非安全级平台的故障不会传播到安全级平台；软件平台和后备盘互相独立，后备盘由硬接线直接连到传感器和执行机构，软件故障不影响后备盘的操作；主控室和副控室互相独立，主控室因火灾等原因导致不可居留时，可切换到副控室操作。
　　与火电、水电等常规电厂比较，多样性是核电厂的特殊要求。
　　（二）冗余性
　　所谓冗余性，是指并行的重复配置设备，包括软件或硬件，以保证设备出现故障时，能继续保持系统运行，冗余性配置的主要目的是解决单一故障，提高系统的可利用率。所谓单一故障（单一故障），另外，冗余性配置使得不停运系统时，可进行在线的维修和试验工作，冗余性主要体现在以下几个方面：
　　操作员站和工程师站的冗余。在一个DCS系统中，往往配置有多台操作员站，在正常使用时，被划分为多个分区，如机操区、堆操区、电操区，各操作员站的功能是相同的，但由于各区域的操作员所关注的信息不同，调用的参数画面也不同。当某个区域的操作员站因故障而退出使用，其他区域的操作员站可替代。必要时，工程师站也可当作操作员站使用，工程师站除具有操作员站所有的功能外，还具有特殊的一些功能，如控制逻辑的组态、下载和上传等。在大多数的DCS系统中，工程师和操作员站除安装位置不同，其是完全相同，只是在登录时，使用不同的用户名，而导致权限不同。
　　网络的冗余。在DCS系统中，往往有一个实时数据网，所有的过程数据，都在该网中进行传播，上位机和控制机柜之间通过实时数据网进行通讯。实时数据网的配置是冗余热备，当一个网络故障，另外一个网络自动投入使用。
　　服务器的冗余。在DCS系统，一般配置有若干服务器，如诊断服务器，数据库服务器等，并非所有的服务器需要冗余配置，但对可利用率有影响，或有其它特殊要求，才需要冗余配置。数据库服务器需要冗余配置，以防止服务器损毁，数据丢失。
　　处理器模件的冗余。处理器模件承担着控制逻辑的计算功能，它将从输入模件传输过来的数据，经过计算后，通过输出模件，驱动现场设备。处理器模件的瘫痪，将导致整个系统瘫痪或退出自动运行转手动，因此处理器模件必须冗余配置，处理器模件之间配有一对冗余的连接线，实现处理器模件之间快速的、点对点的连接。在双冗余配置中，处于运行的处理器模件，称为主模件，热备用的称为从模件，从模件与主模件一样，参与过程数据的计算，但不进行输出，并且从模件检测主模件的运行状态，当检测到主模件出现严重问题时，会在10ms之内无扰切换到从模件。
　　通道冗余。一个过程参数从现场传感器输入到I/O模件，进行A/D的运算，称为一个通道。通道的冗余，在常见使用中，有二取一、二取二、三取二、三取一、四取二五种。选用哪种配置，是出于对有效性和安全性的综合考虑，或者说，是对误动和拒动的综合考虑，误动率和拒动率这两个指标有一定的矛盾性，降低误动率则将导致拒动率升高，例如对于开关量的二取一触发逻辑，误动率高于二取二逻辑，拒动率低于二取二逻辑。在控制系统中，侧重于考虑低误动率，在保护系统，侧重于考虑低拒动率。还有一些更复杂的应用，比如在三取二后再进行二取一，在四取二后再进行二取一等，在核电站反应堆保护系统中，过程参数量送到四个通道，在每个通道里进行四取二表决（软件表决），表决结果产生单通道停堆信号，该信号送到两个不同类型的停堆继电器，八个停堆断路器分成四组，再次进行四取二表决（硬件表决），这种冗余配置充分体现了核电站保守设计的策略，当需要维修和试验时，可旁通一个通道，变成三取二。
　　电源的冗余。在控制系统中，电源的冗余也是必要的，一般配置有双交流电源输入的电源模块，当其中一个电源丧失，电源模块自动切换到另一个输入，不影响对机柜的供电。
　　（三）独立性
　　保证独立性要求的方式是隔离，隔离可阻止故障的传播，包括实体隔离、功能隔离、电气隔离等。实体隔离使用障碍物或距离，防止设备的故障从一个区域传播到另一个区域。使用功能隔离，降低出现复杂瞬态的概率。使用电气隔离，防止故障通过供电线路或信号线路传播，光电耦合设备是常用的电气隔离的方式。
　　在核电厂的反应堆保护系统中，有四个序列，这四个序列就是独立的，首先在实体上是隔离的，分布在四个不同的房间，即使其中一个房间发生火灾或其它事故导致该序列不可用，也不会影响整个反应堆保护系统发挥作用，同时，各序列之间没有直接的电气连接，序列之间的通讯，通过光纤或其它专用隔离装置。
　　（四）其它
　　除了以上这些基本特点外，还有很多方面，体现了核电数字化仪控的特殊性，例如对于新技术的应用，一般要求经过验证。先进性不是核电厂仪控系统设计追逐的主要目标，可靠性才是。一些企业采用新技术，解决现存的问题，来改进旧的设计，这是合理的，但采用过多未经验证的技术，被认为是危险的。很多企业项目中使用了的国际领先或国内领先的技术数目多，或先进程度高，作为项目的亮点来推崇，这与核电厂的保守策略是相违背的。
　　另外，对于人因工程的考虑，在近来逐渐得到重视，人因被认为是可靠性和可利用性指标的重要贡献；仪控系统的设计也要保证电厂在整个寿命期内，可维修和试验，包括设备的替换和升级，冗余性也是解决在线试验的主要技术手段；设计简单化和标准化，有助于降低故障的概率；在仪控系统的开发、设计、集成过程中，也有V&V的要求，并且要求一个第三方的团队对其独立评审。
　　
　　三.结束语
　　
　　目前国内还没有设计数字化仪控系统安全级平台的能力，但正在通过与国外DCS供货商合作的方式，逐步走进这个领域。
　　由于全数字化仪控系统采用统一的人机界面，为电厂的运行和维护提供了便利，因此也越来越受到电厂工程人员的青睐。同时，对于在建电厂良好的运行环境，消除了对安全的疑虑，全数字化的仪控系统正全面走上中国核电舞台。
　　
　　参考资料：
　　1. 美国URD文件第二卷第十章
　　2. 田湾核电厂数字化仪控系统说明书