★北京廣利核系統(tǒng)工程有限公司趙紅霞，劉靜波，張紅梅

關(guān)鍵詞：核電站；安全級；模擬系統(tǒng)；數(shù)字化；改造策略

核電站反應(yīng)堆保護(hù)系統(tǒng)是核電站最重要的安全儀控系統(tǒng)，是保證核電站安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行的關(guān)鍵。早期建設(shè)的核電站保護(hù)系統(tǒng)是以模擬量組合單元儀表、硬件邏輯電路為主的模擬系統(tǒng)，其當(dāng)前面臨系統(tǒng)硬件老化、維護(hù)不方便、備品備件采購困難等問題，已嚴(yán)重影響到核電站的安全穩(wěn)定運(yùn)行，因此核電站安全級模擬系統(tǒng)的數(shù)字化改造迫在眉睫。

然而對安全級模擬系統(tǒng)進(jìn)行數(shù)字化改造不是簡單的升級改造，而是一項(xiàng)涉及安全、質(zhì)量、進(jìn)度和投資的復(fù)雜的系統(tǒng)工程。本文通過對改造模擬保護(hù)系統(tǒng)進(jìn)行研究，并分析識別實(shí)施數(shù)字化改造的限制條件，評估其各系統(tǒng)面臨的改造風(fēng)險，從而提出可供選擇的改造策略，以滿足現(xiàn)場不同的改造訴求。

1    安全級模擬系統(tǒng)現(xiàn)狀

核電站反應(yīng)堆保護(hù)系統(tǒng)主要實(shí)現(xiàn)核電站反應(yīng)堆緊急停堆、專設(shè)安全設(shè)施驅(qū)動等安全功能。早期采用模擬技術(shù)的保護(hù)系統(tǒng)主要包含過程儀表系統(tǒng)、保護(hù)邏輯系統(tǒng)、保護(hù)執(zhí)行系統(tǒng)三部分。核電站安全級模擬系統(tǒng)框架如圖1所示。

圖1 核電站安全級模擬系統(tǒng)架構(gòu)

（1）過程儀表系統(tǒng)：包括核島四個獨(dú)立的保護(hù)組，接收來自現(xiàn)場過程測量儀表的模擬信號（包括4～20mA信號、熱電阻信號、熱電偶信號、頻率信號等），實(shí)現(xiàn)現(xiàn)場傳感器模擬量信號的采集和閾值比較功能。每個獨(dú)立通道內(nèi)無冗余無子組區(qū)分，通道間無信號交互，不進(jìn)行表決退化邏輯。

（2）保護(hù)邏輯系統(tǒng)：包括兩個同樣的邏輯列，主要由輸入隔離插件、閾值繼電器、符合邏輯（三取二、四取二、二取一）以及“與”“或”“非”以及記憶元件等邏輯處理部件組成。兩個序列相互實(shí)體隔離并與電氣隔離，接收來自過程儀表系統(tǒng)的信號，進(jìn)行符合邏輯處理，產(chǎn)生停堆控制信號和專設(shè)安全設(shè)施驅(qū)動信號。

（3）保護(hù)執(zhí)行系統(tǒng)：一般由繼電器機(jī)架組成，通過繼電器回路輸出保護(hù)執(zhí)行信號，繼而完成緊急停堆和專設(shè)安全設(shè)施兩部分功能。其通過大量繼電器實(shí)現(xiàn)不同系統(tǒng)的控制功能，一個基本系統(tǒng)可由一個或多個繼電器機(jī)架組成；繼電器架為裸露機(jī)架形式，占用空間狹窄；信號功能布置按工藝系統(tǒng)布置，不同安全等級（1E/NC）信號未進(jìn)行實(shí)體分離。

此外，主控制室模擬操作盤需要向操縱員提供全廠范圍內(nèi)系統(tǒng)設(shè)備狀態(tài)監(jiān)視及控制功能。因此核電站反應(yīng)堆保護(hù)系統(tǒng)的改造還涉及與主控制室模擬操作盤的適應(yīng)性改造。操作盤分布有大量報警窗、記錄儀及機(jī)械式顯示儀表、手操器等模擬儀表，儀表與設(shè)備間通常采用硬接線方式連接，信號種類存在非標(biāo)準(zhǔn)信號。

2　數(shù)字化改造風(fēng)險分析

2.1　改造限制條件

相比新建電站，在役核電站安全級模擬系統(tǒng)的數(shù)字化改造工作將會受到更為嚴(yán)苛的限制。改造涉及核安全相關(guān)，必須向安全監(jiān)管機(jī)構(gòu)申請?jiān)S可，從項(xiàng)目規(guī)劃階段開始就需密切與監(jiān)管單位建立聯(lián)系，項(xiàng)目實(shí)施全過程中需持續(xù)與監(jiān)督單位溝通匯報。在此基礎(chǔ)上，數(shù)字化改造至少還需要考慮以下幾個方面限制條件：

（1）系統(tǒng)總體架構(gòu)設(shè)計(jì)將首先與核電站建設(shè)時期已有的設(shè)計(jì)基準(zhǔn)與系統(tǒng)配置。其次對電站整體進(jìn)行安全分析評估，針對系統(tǒng)的安全分級原則、多樣性與縱深防御層次、各系統(tǒng)接口關(guān)系等方面，必須在現(xiàn)有核電站設(shè)計(jì)基礎(chǔ)上，并考慮當(dāng)前數(shù)字化系統(tǒng)需遵循的標(biāo)準(zhǔn)法規(guī)和設(shè)計(jì)準(zhǔn)則，進(jìn)行數(shù)字化改造的總體設(shè)計(jì)；

（2）數(shù)字化改造一般不會涉及現(xiàn)場Level0設(shè)備更換，改造需要盡量匹配已有設(shè)備的控制接口和信號類型；

（3）原模擬系統(tǒng)中有大量的非標(biāo)準(zhǔn)信號及特殊接口，數(shù)字化改造時需考慮將非標(biāo)準(zhǔn)信號轉(zhuǎn)換為標(biāo)準(zhǔn)信號，同時需考慮安全級設(shè)備的適用性確認(rèn)（CGD）驗(yàn)證、鑒定等工作；

（4）改造后的設(shè)備布局盡量滿足原有房間的預(yù)埋、橋架布置，同時考慮現(xiàn)有土建結(jié)構(gòu)、開孔等制約條件；

（5）數(shù)字化改造一般不會重新規(guī)劃電纜橋架，原有電纜也難以抽出更換，改造需盡可能考慮電纜復(fù)用；

（6）改造后的數(shù)字化儀控系統(tǒng)需要適應(yīng)已有的廠房環(huán)境條件，必要時，需進(jìn)行供電、通風(fēng)系統(tǒng)的改造；

（7）數(shù)字化改造后，基于多樣性和縱深防御原則，同時考慮到數(shù)字化保護(hù)系統(tǒng)軟件共因失效問題，需要考慮增加多樣性驅(qū)動系統(tǒng)。

2.2　改造風(fēng)險評估

基于安全級模擬系統(tǒng)特點(diǎn)，結(jié)合數(shù)字化改造限制條件，識別出各部分改造主要風(fēng)險如下：

2.2.1　過程儀表系統(tǒng)與邏輯保護(hù)系統(tǒng)改造風(fēng)險

（1）改造內(nèi)容：對保護(hù)功能重新進(jìn)行功能分配，將原有系統(tǒng)功能明確，反應(yīng)堆停堆控制功能、專設(shè)安全設(shè)施驅(qū)動功能分別在不同系統(tǒng)中實(shí)現(xiàn)，實(shí)現(xiàn)功能分離。

（2）影響范圍：分散控制改造為集中控制,需要對保護(hù)功能重新進(jìn)行功能分配，模擬量控制和邏輯控制融合，同時考慮反應(yīng)堆停堆控制、專設(shè)安全設(shè)施驅(qū)動功能的功能分離。

（3）接口變更：非標(biāo)準(zhǔn)信號需轉(zhuǎn)化為數(shù)字化系統(tǒng)能夠接收的標(biāo)準(zhǔn)模擬量信號，大量硬接線接口改造后需變更為點(diǎn)對點(diǎn)通訊接口。

（4）線纜調(diào)整：數(shù)字化技術(shù)采用需新增通訊電纜，減少了硬接線電纜數(shù)量，需進(jìn)行線纜的復(fù)用評估。綜合評估，改造內(nèi)容有相對成熟的方案可供參考，此部分改造空間相對充足，改造制約因素較小，改造風(fēng)險正常可控。

2.2.2　保護(hù)執(zhí)行系統(tǒng)改造風(fēng)險

（1）改造內(nèi)容：梳理、識別繼電器機(jī)架上不同系統(tǒng)設(shè)備的安全等級，將1E與NC設(shè)備進(jìn)行區(qū)分：1E設(shè)備分配至保護(hù)系統(tǒng)對應(yīng)的專設(shè)安全設(shè)施和安全相關(guān)系統(tǒng)中，完成相應(yīng)的控制邏輯；NC設(shè)備分配至非安全級NC-DCS系統(tǒng)中，同時增加對應(yīng)的控制邏輯。

（2）影響范圍：改造需要盡可能進(jìn)行不同信號的安全分級，將1E、SR、NC功能進(jìn)行分離，對安全級和非安全級儀控系統(tǒng)均有影響，同時還涉及與其有接口的其它系統(tǒng)（如報警系統(tǒng)等）的改造。

（3）空間限制：原有繼電器機(jī)架空間狹窄，數(shù)字化改造后設(shè)備安裝方式變化大，改造方案設(shè)計(jì)時需考慮機(jī)柜尺寸、安裝方式與原有條件的匹配。

（4）線纜調(diào)整：數(shù)字化技術(shù)采用需新增通訊電纜，減少了硬接線電纜數(shù)量，需進(jìn)行線纜的復(fù)用評估。同時，改造涉及繼電器機(jī)架及線纜數(shù)量多，原有信號進(jìn)行安全分級時需考慮隔離等要求，線纜調(diào)整范圍更大，難度更高。

綜合評估，改造影響范圍大，限制條件多，空間限制尤其突出，信號梳理相對復(fù)雜，改造風(fēng)險較大。

2.2.3　主控制室模擬操作盤改造風(fēng)險

（1）改造內(nèi)容：對主控制室進(jìn)行整體數(shù)字化升級改造工作，在主控室Level2層重新設(shè)計(jì)后備盤（BUP），或采用數(shù)字化ACP系統(tǒng)來取代傳統(tǒng)的模擬操作盤。同時，原有非安全級操縱員站（OWP）需同步改造。

（2）影響范圍：涉及主控制室整體規(guī)劃、原有模擬儀表及設(shè)備的拆除及替代，以及數(shù)字化人機(jī)接口設(shè)計(jì)，對安全級和非安全級儀控系統(tǒng)均有影響，同時涉及操作方式的變更，影響操縱員執(zhí)照申請、操縱員監(jiān)控手段及運(yùn)行規(guī)程等全面變更。

（3）空間限制：主控制室存在大量模擬儀表及設(shè)備，需要在原有空間、安裝等限制條件基礎(chǔ)上重新設(shè)計(jì)布置主控制室盤臺。

（4）線纜調(diào)整：數(shù)字化技術(shù)采用需新增通訊電纜，減少了硬接線電纜數(shù)量，需進(jìn)行線纜的復(fù)用評估。

綜合評估，改造涉及范圍廣，考慮到操作方式變更、操縱員執(zhí)照申請等影響，需盡可能地提前考慮操縱員培訓(xùn)工作，改造所需時間長，改造風(fēng)險大。

綜上所述，安全級模擬系統(tǒng)各部分改造風(fēng)險如表1所示。

表1 改造風(fēng)險評估

3　安全級模擬系統(tǒng)數(shù)字化改造策略

根據(jù)安全級模擬系統(tǒng)功能相對分散特點(diǎn)，各系統(tǒng)改造風(fēng)險難度不一，可以考慮對過程儀表系統(tǒng)、邏輯保護(hù)系統(tǒng)、保護(hù)執(zhí)行系統(tǒng)，主控制室模擬操作盤各系統(tǒng)采取不同的改造策略，具體如表2所示。

表2 改造策略

3.1　改造策略1

考慮在運(yùn)核電站通常在大修期間實(shí)施改造，而改造的時間窗口可能很短，因此我們提出了最小化的改造實(shí)施策略，規(guī)避保護(hù)執(zhí)行系統(tǒng)和主控制室模擬操作盤改造會面臨的高風(fēng)險。

本策略僅針對過程儀表系統(tǒng)與邏輯保護(hù)系統(tǒng)進(jìn)行數(shù)字化改造，保留模擬系統(tǒng)中的保護(hù)執(zhí)行系統(tǒng)和主控制室模擬操作盤，同時對即將停產(chǎn)的模擬器件進(jìn)行物項(xiàng)替代的方式保持可靠運(yùn)行。

采用此方式，改造難度不大，改造工期要求不長，風(fēng)險可控。但相對的，模擬器件的物項(xiàng)替代工作僅針對個別設(shè)備，尤其是安全級產(chǎn)品的物項(xiàng)替代，需要與原設(shè)備進(jìn)行關(guān)鍵參數(shù)分析對比，并對安裝該部件的原設(shè)備的鑒定性能（環(huán)境、抗震、EMC）進(jìn)行影響評估，因而替代產(chǎn)品的選型和設(shè)計(jì)制造是一個比較繁瑣的工作。而保護(hù)執(zhí)行系統(tǒng)和主控制室模擬操作盤系統(tǒng)中需要進(jìn)行物項(xiàng)替代的模擬器件種類繁多，隨著機(jī)組運(yùn)行時間增加，設(shè)備持續(xù)老化，物項(xiàng)替代整體進(jìn)度未必能夠完全滿足機(jī)組后續(xù)運(yùn)行要求。

3.2　改造策略2

如果改造時間窗口允許，為了保證整體控制層的統(tǒng)一性，便于后續(xù)運(yùn)行維護(hù)，在過程儀表系統(tǒng)與邏輯保護(hù)系統(tǒng)改造的基礎(chǔ)上，可增加對保護(hù)執(zhí)行系統(tǒng)的數(shù)字化改造，但需要提前考慮小型化控制站的設(shè)計(jì)開發(fā)。

當(dāng)評估產(chǎn)品具備應(yīng)用條件時，可按該策略實(shí)施改造。改造風(fēng)險最大的主控制室模擬操作盤，仍采用物項(xiàng)替代的方案保證可靠運(yùn)行。同樣地，物項(xiàng)替代整體進(jìn)度未必能夠完全滿足機(jī)組后續(xù)運(yùn)行要求。

3.3　改造策略3

如果改造時間窗口充分，可在控制層全數(shù)字化改造的基礎(chǔ)上，增加對主控室模擬操作盤的改造，可以采用當(dāng)前在二代加堆型（CPR1000等）核電站成熟應(yīng)用的部分?jǐn)?shù)字化方案，即OWP為全數(shù)字化設(shè)計(jì)，后備盤（BUP）采用模擬和數(shù)字結(jié)合的技術(shù)實(shí)現(xiàn)。

采用此策略，改造過程中可以統(tǒng)一考慮標(biāo)準(zhǔn)化接口模式，規(guī)避改造與未改造系統(tǒng)接口兼容風(fēng)險，一定程度上減少后續(xù)因其他系統(tǒng)改造引起的已改造系統(tǒng)的二次改造或多次改造，基本解決模擬器件所面臨的停產(chǎn)采購困難等問題；同時，可以充分利用數(shù)字化儀控系統(tǒng)的優(yōu)點(diǎn)，提高儀控系統(tǒng)的可靠性及穩(wěn)定性，提供相對豐富、便捷的人機(jī)接口信息。

3.4　改造策略4

如果改造時間窗口充分，且考慮保持技術(shù)的先進(jìn)性，可考慮對控制層和主控制室模擬操作盤均執(zhí)行全數(shù)字化改造。但目前在同類型堆型上尚無成功應(yīng)用案例，因此改造前需要充分研究并驗(yàn)證方案的可行性。

采用此策略，改造過程中可以統(tǒng)一考慮標(biāo)準(zhǔn)化接口模式，規(guī)避改造與未改造系統(tǒng)接口兼容風(fēng)險，最大程度上減少后續(xù)因其他系統(tǒng)改造引起的已改造系統(tǒng)的二次改造或多次改造，一次性解決模擬器件所面臨的停產(chǎn)采購困難等問題；同時能夠提供更加豐富、便捷的人機(jī)接口信息。

4　結(jié)論

核電站安全級模擬系統(tǒng)的數(shù)字化改造是一項(xiàng)復(fù)雜的工程，根據(jù)安全級模擬系統(tǒng)功能相對分散特點(diǎn)，各系統(tǒng)改造風(fēng)險難度不一，本文通過分析安全級模擬系統(tǒng)構(gòu)成及特點(diǎn)，對改造過程中各系統(tǒng)可能面臨的風(fēng)險進(jìn)行了評估，并提出了四個改造策略。每種策略都各有優(yōu)缺點(diǎn)，電廠可基于現(xiàn)場系統(tǒng)的改造緊迫性、改造預(yù)算及現(xiàn)場實(shí)施窗口等因素選取最適合的策略。

作者簡介：

趙紅霞（1982-），女，河南人，工程師，學(xué)士，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事在役核電站安全級DCS改造工作。

參考文獻(xiàn)：

[1] 陳濟(jì)東. 大亞灣核電站系統(tǒng)及運(yùn)行[M]. 北京: 原子能出版社, 1994.

[2] 王洪濤, 黃立民, 熊國華, 等. 核電廠模擬儀表控制系統(tǒng)數(shù)字化改造規(guī)劃及實(shí)施策略探討[J]. 大亞灣核電期刊, 2016, 5 : 61 - 64.

[3] 蔡俊東. 核電廠儀控系統(tǒng)全數(shù)字化改造項(xiàng)目規(guī)劃和策略[J]. 大亞灣核電期刊, 2016, 1: 63 - 66.

[4] 蔣祖躍. 秦山核電廠反應(yīng)堆保護(hù)系統(tǒng)及其相關(guān)設(shè)備數(shù)字化改造規(guī)劃和實(shí)施策略[J]. 原子能科學(xué)技術(shù), 2010, 1: 65 - 69.

摘自《自動化博覽》2024年12月刊