★北京廣利核系統(tǒng)工程有限公司趙紅霞，劉靜波，張紅梅

關鍵詞：核電站；安全級；模擬系統(tǒng)；數(shù)字化；改造策略

核電站反應堆保護系統(tǒng)是核電站最重要的安全儀控系統(tǒng)，是保證核電站安全、穩(wěn)定、經(jīng)濟運行的關鍵。早期建設的核電站保護系統(tǒng)是以模擬量組合單元儀表、硬件邏輯電路為主的模擬系統(tǒng)，其當前面臨系統(tǒng)硬件老化、維護不方便、備品備件采購困難等問題，已嚴重影響到核電站的安全穩(wěn)定運行，因此核電站安全級模擬系統(tǒng)的數(shù)字化改造迫在眉睫。

然而對安全級模擬系統(tǒng)進行數(shù)字化改造不是簡單的升級改造，而是一項涉及安全、質量、進度和投資的復雜的系統(tǒng)工程。本文通過對改造模擬保護系統(tǒng)進行研究，并分析識別實施數(shù)字化改造的限制條件，評估其各系統(tǒng)面臨的改造風險，從而提出可供選擇的改造策略，以滿足現(xiàn)場不同的改造訴求。

1    安全級模擬系統(tǒng)現(xiàn)狀

核電站反應堆保護系統(tǒng)主要實現(xiàn)核電站反應堆緊急停堆、專設安全設施驅動等安全功能。早期采用模擬技術的保護系統(tǒng)主要包含過程儀表系統(tǒng)、保護邏輯系統(tǒng)、保護執(zhí)行系統(tǒng)三部分。核電站安全級模擬系統(tǒng)框架如圖1所示。

圖1 核電站安全級模擬系統(tǒng)架構

（1）過程儀表系統(tǒng)：包括核島四個獨立的保護組，接收來自現(xiàn)場過程測量儀表的模擬信號（包括4～20mA信號、熱電阻信號、熱電偶信號、頻率信號等），實現(xiàn)現(xiàn)場傳感器模擬量信號的采集和閾值比較功能。每個獨立通道內(nèi)無冗余無子組區(qū)分，通道間無信號交互，不進行表決退化邏輯。

（2）保護邏輯系統(tǒng)：包括兩個同樣的邏輯列，主要由輸入隔離插件、閾值繼電器、符合邏輯（三取二、四取二、二取一）以及“與”“或”“非”以及記憶元件等邏輯處理部件組成。兩個序列相互實體隔離并與電氣隔離，接收來自過程儀表系統(tǒng)的信號，進行符合邏輯處理，產(chǎn)生停堆控制信號和專設安全設施驅動信號。

（3）保護執(zhí)行系統(tǒng)：一般由繼電器機架組成，通過繼電器回路輸出保護執(zhí)行信號，繼而完成緊急停堆和專設安全設施兩部分功能。其通過大量繼電器實現(xiàn)不同系統(tǒng)的控制功能，一個基本系統(tǒng)可由一個或多個繼電器機架組成；繼電器架為裸露機架形式，占用空間狹窄；信號功能布置按工藝系統(tǒng)布置，不同安全等級（1E/NC）信號未進行實體分離。

此外，主控制室模擬操作盤需要向操縱員提供全廠范圍內(nèi)系統(tǒng)設備狀態(tài)監(jiān)視及控制功能。因此核電站反應堆保護系統(tǒng)的改造還涉及與主控制室模擬操作盤的適應性改造。操作盤分布有大量報警窗、記錄儀及機械式顯示儀表、手操器等模擬儀表，儀表與設備間通常采用硬接線方式連接，信號種類存在非標準信號。

2　數(shù)字化改造風險分析

2.1　改造限制條件

相比新建電站，在役核電站安全級模擬系統(tǒng)的數(shù)字化改造工作將會受到更為嚴苛的限制。改造涉及核安全相關，必須向安全監(jiān)管機構申請許可，從項目規(guī)劃階段開始就需密切與監(jiān)管單位建立聯(lián)系，項目實施全過程中需持續(xù)與監(jiān)督單位溝通匯報。在此基礎上，數(shù)字化改造至少還需要考慮以下幾個方面限制條件：

（1）系統(tǒng)總體架構設計將首先與核電站建設時期已有的設計基準與系統(tǒng)配置。其次對電站整體進行安全分析評估，針對系統(tǒng)的安全分級原則、多樣性與縱深防御層次、各系統(tǒng)接口關系等方面，必須在現(xiàn)有核電站設計基礎上，并考慮當前數(shù)字化系統(tǒng)需遵循的標準法規(guī)和設計準則，進行數(shù)字化改造的總體設計；

（2）數(shù)字化改造一般不會涉及現(xiàn)場Level0設備更換，改造需要盡量匹配已有設備的控制接口和信號類型；

（3）原模擬系統(tǒng)中有大量的非標準信號及特殊接口，數(shù)字化改造時需考慮將非標準信號轉換為標準信號，同時需考慮安全級設備的適用性確認（CGD）驗證、鑒定等工作；

（4）改造后的設備布局盡量滿足原有房間的預埋、橋架布置，同時考慮現(xiàn)有土建結構、開孔等制約條件；

（5）數(shù)字化改造一般不會重新規(guī)劃電纜橋架，原有電纜也難以抽出更換，改造需盡可能考慮電纜復用；

（6）改造后的數(shù)字化儀控系統(tǒng)需要適應已有的廠房環(huán)境條件，必要時，需進行供電、通風系統(tǒng)的改造；

（7）數(shù)字化改造后，基于多樣性和縱深防御原則，同時考慮到數(shù)字化保護系統(tǒng)軟件共因失效問題，需要考慮增加多樣性驅動系統(tǒng)。

2.2　改造風險評估

基于安全級模擬系統(tǒng)特點，結合數(shù)字化改造限制條件，識別出各部分改造主要風險如下：

2.2.1　過程儀表系統(tǒng)與邏輯保護系統(tǒng)改造風險

（1）改造內(nèi)容：對保護功能重新進行功能分配，將原有系統(tǒng)功能明確，反應堆停堆控制功能、專設安全設施驅動功能分別在不同系統(tǒng)中實現(xiàn)，實現(xiàn)功能分離。

（2）影響范圍：分散控制改造為集中控制,需要對保護功能重新進行功能分配，模擬量控制和邏輯控制融合，同時考慮反應堆停堆控制、專設安全設施驅動功能的功能分離。

（3）接口變更：非標準信號需轉化為數(shù)字化系統(tǒng)能夠接收的標準模擬量信號，大量硬接線接口改造后需變更為點對點通訊接口。

（4）線纜調整：數(shù)字化技術采用需新增通訊電纜，減少了硬接線電纜數(shù)量，需進行線纜的復用評估。綜合評估，改造內(nèi)容有相對成熟的方案可供參考，此部分改造空間相對充足，改造制約因素較小，改造風險正常可控。

2.2.2　保護執(zhí)行系統(tǒng)改造風險

（1）改造內(nèi)容：梳理、識別繼電器機架上不同系統(tǒng)設備的安全等級，將1E與NC設備進行區(qū)分：1E設備分配至保護系統(tǒng)對應的專設安全設施和安全相關系統(tǒng)中，完成相應的控制邏輯；NC設備分配至非安全級NC-DCS系統(tǒng)中，同時增加對應的控制邏輯。

（2）影響范圍：改造需要盡可能進行不同信號的安全分級，將1E、SR、NC功能進行分離，對安全級和非安全級儀控系統(tǒng)均有影響，同時還涉及與其有接口的其它系統(tǒng)（如報警系統(tǒng)等）的改造。

（3）空間限制：原有繼電器機架空間狹窄，數(shù)字化改造后設備安裝方式變化大，改造方案設計時需考慮機柜尺寸、安裝方式與原有條件的匹配。

（4）線纜調整：數(shù)字化技術采用需新增通訊電纜，減少了硬接線電纜數(shù)量，需進行線纜的復用評估。同時，改造涉及繼電器機架及線纜數(shù)量多，原有信號進行安全分級時需考慮隔離等要求，線纜調整范圍更大，難度更高。

綜合評估，改造影響范圍大，限制條件多，空間限制尤其突出，信號梳理相對復雜，改造風險較大。

2.2.3　主控制室模擬操作盤改造風險

（1）改造內(nèi)容：對主控制室進行整體數(shù)字化升級改造工作，在主控室Level2層重新設計后備盤（BUP），或采用數(shù)字化ACP系統(tǒng)來取代傳統(tǒng)的模擬操作盤。同時，原有非安全級操縱員站（OWP）需同步改造。

（2）影響范圍：涉及主控制室整體規(guī)劃、原有模擬儀表及設備的拆除及替代，以及數(shù)字化人機接口設計，對安全級和非安全級儀控系統(tǒng)均有影響，同時涉及操作方式的變更，影響操縱員執(zhí)照申請、操縱員監(jiān)控手段及運行規(guī)程等全面變更。

（3）空間限制：主控制室存在大量模擬儀表及設備，需要在原有空間、安裝等限制條件基礎上重新設計布置主控制室盤臺。

（4）線纜調整：數(shù)字化技術采用需新增通訊電纜，減少了硬接線電纜數(shù)量，需進行線纜的復用評估。

綜合評估，改造涉及范圍廣，考慮到操作方式變更、操縱員執(zhí)照申請等影響，需盡可能地提前考慮操縱員培訓工作，改造所需時間長，改造風險大。

綜上所述，安全級模擬系統(tǒng)各部分改造風險如表1所示。

表1 改造風險評估

3　安全級模擬系統(tǒng)數(shù)字化改造策略

根據(jù)安全級模擬系統(tǒng)功能相對分散特點，各系統(tǒng)改造風險難度不一，可以考慮對過程儀表系統(tǒng)、邏輯保護系統(tǒng)、保護執(zhí)行系統(tǒng)，主控制室模擬操作盤各系統(tǒng)采取不同的改造策略，具體如表2所示。

表2 改造策略

3.1　改造策略1

考慮在運核電站通常在大修期間實施改造，而改造的時間窗口可能很短，因此我們提出了最小化的改造實施策略，規(guī)避保護執(zhí)行系統(tǒng)和主控制室模擬操作盤改造會面臨的高風險。

本策略僅針對過程儀表系統(tǒng)與邏輯保護系統(tǒng)進行數(shù)字化改造，保留模擬系統(tǒng)中的保護執(zhí)行系統(tǒng)和主控制室模擬操作盤，同時對即將停產(chǎn)的模擬器件進行物項替代的方式保持可靠運行。

采用此方式，改造難度不大，改造工期要求不長，風險可控。但相對的，模擬器件的物項替代工作僅針對個別設備，尤其是安全級產(chǎn)品的物項替代，需要與原設備進行關鍵參數(shù)分析對比，并對安裝該部件的原設備的鑒定性能（環(huán)境、抗震、EMC）進行影響評估，因而替代產(chǎn)品的選型和設計制造是一個比較繁瑣的工作。而保護執(zhí)行系統(tǒng)和主控制室模擬操作盤系統(tǒng)中需要進行物項替代的模擬器件種類繁多，隨著機組運行時間增加，設備持續(xù)老化，物項替代整體進度未必能夠完全滿足機組后續(xù)運行要求。

3.2　改造策略2

如果改造時間窗口允許，為了保證整體控制層的統(tǒng)一性，便于后續(xù)運行維護，在過程儀表系統(tǒng)與邏輯保護系統(tǒng)改造的基礎上，可增加對保護執(zhí)行系統(tǒng)的數(shù)字化改造，但需要提前考慮小型化控制站的設計開發(fā)。

當評估產(chǎn)品具備應用條件時，可按該策略實施改造。改造風險最大的主控制室模擬操作盤，仍采用物項替代的方案保證可靠運行。同樣地，物項替代整體進度未必能夠完全滿足機組后續(xù)運行要求。

3.3　改造策略3

如果改造時間窗口充分，可在控制層全數(shù)字化改造的基礎上，增加對主控室模擬操作盤的改造，可以采用當前在二代加堆型（CPR1000等）核電站成熟應用的部分數(shù)字化方案，即OWP為全數(shù)字化設計，后備盤（BUP）采用模擬和數(shù)字結合的技術實現(xiàn)。

采用此策略，改造過程中可以統(tǒng)一考慮標準化接口模式，規(guī)避改造與未改造系統(tǒng)接口兼容風險，一定程度上減少后續(xù)因其他系統(tǒng)改造引起的已改造系統(tǒng)的二次改造或多次改造，基本解決模擬器件所面臨的停產(chǎn)采購困難等問題；同時，可以充分利用數(shù)字化儀控系統(tǒng)的優(yōu)點，提高儀控系統(tǒng)的可靠性及穩(wěn)定性，提供相對豐富、便捷的人機接口信息。

3.4　改造策略4

如果改造時間窗口充分，且考慮保持技術的先進性，可考慮對控制層和主控制室模擬操作盤均執(zhí)行全數(shù)字化改造。但目前在同類型堆型上尚無成功應用案例，因此改造前需要充分研究并驗證方案的可行性。

采用此策略，改造過程中可以統(tǒng)一考慮標準化接口模式，規(guī)避改造與未改造系統(tǒng)接口兼容風險，最大程度上減少后續(xù)因其他系統(tǒng)改造引起的已改造系統(tǒng)的二次改造或多次改造，一次性解決模擬器件所面臨的停產(chǎn)采購困難等問題；同時能夠提供更加豐富、便捷的人機接口信息。

4　結論

核電站安全級模擬系統(tǒng)的數(shù)字化改造是一項復雜的工程，根據(jù)安全級模擬系統(tǒng)功能相對分散特點，各系統(tǒng)改造風險難度不一，本文通過分析安全級模擬系統(tǒng)構成及特點，對改造過程中各系統(tǒng)可能面臨的風險進行了評估，并提出了四個改造策略。每種策略都各有優(yōu)缺點，電廠可基于現(xiàn)場系統(tǒng)的改造緊迫性、改造預算及現(xiàn)場實施窗口等因素選取最適合的策略。

作者簡介：

趙紅霞（1982-），女，河南人，工程師，學士，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事在役核電站安全級DCS改造工作。

參考文獻：

[1] 陳濟東. 大亞灣核電站系統(tǒng)及運行[M]. 北京: 原子能出版社, 1994.

[2] 王洪濤, 黃立民, 熊國華, 等. 核電廠模擬儀表控制系統(tǒng)數(shù)字化改造規(guī)劃及實施策略探討[J]. 大亞灣核電期刊, 2016, 5 : 61 - 64.

[3] 蔡俊東. 核電廠儀控系統(tǒng)全數(shù)字化改造項目規(guī)劃和策略[J]. 大亞灣核電期刊, 2016, 1: 63 - 66.

[4] 蔣祖躍. 秦山核電廠反應堆保護系統(tǒng)及其相關設備數(shù)字化改造規(guī)劃和實施策略[J]. 原子能科學技術, 2010, 1: 65 - 69.

摘自《自動化博覽》2024年12月刊