核電站數(shù)字化保護系統(tǒng)維護系統(tǒng)設計

，，

（北京廣利核系統(tǒng)工程有限公司，北京 100094）

核電站數(shù)字化保護系統(tǒng)維護系統(tǒng)設計

孫娜，齊敏，謝逸欽

（北京廣利核系統(tǒng)工程有限公司，北京 100094）

核電廠數(shù)字化保護系統(tǒng)的維護系統(tǒng)是對安全級數(shù)字化控制系統(tǒng)進行故障分析和系統(tǒng)維護處理的關鍵環(huán)節(jié)。為了提高當前核電廠安全級數(shù)字化控制系統(tǒng)維護期間的安全性以及調(diào)試維修的工作效率，本文在對數(shù)字化保護系統(tǒng)架構(gòu)和維護功能分析的基礎上，同時結(jié)合FMEA分析技術，設計出了一套全新的集中維護系統(tǒng)，通過對其獨立性進行分析，認為其能夠滿足安全相關標準要求。該設計方案具有人機接口簡單，操作方便，不影響安全功能等優(yōu)點。可應用于核電廠安全級數(shù)字化控制系統(tǒng)故障診斷和系統(tǒng)維護中，也可為其他行業(yè)數(shù)字化控制系統(tǒng)維護系統(tǒng)設計提供參考。

核電廠；保護系統(tǒng)；數(shù)字化儀控系統(tǒng)；維護系統(tǒng)；安全級；FMEA

當前新建核電廠的保護系統(tǒng)一般均由數(shù)字化控制系統(tǒng) （Digital Control System簡稱數(shù)字化控制系統(tǒng)）來實現(xiàn)，數(shù)字化控制系統(tǒng)為分散式結(jié)構(gòu)［1］，可分成多個現(xiàn)場控制站實現(xiàn)保護功能，每個控制站均需要實現(xiàn)設備維修調(diào)試、參數(shù)調(diào)整、軟件下裝、定期試驗等維護功能。此時不僅需要考慮到維修工具對保護系統(tǒng)的影響，如安全性、安保性及運行約束，也要考慮到現(xiàn)場調(diào)試及維護人員的工作效率、維修設備的易用性等因素。

因維護工具并不直接執(zhí)行安全功能，所以一般為非安全級設備，而保護系統(tǒng)則直接執(zhí)行安全功能［2-4］，為安全級設備。因此當連接維護工具對保護系統(tǒng)進行維護時，需要特別考慮非安設備對其安全性的影響。本文以中廣核在建的陽江核電站5、6號機組為例，依據(jù)核安全法規(guī)和標準的相關要求，結(jié)合保護系統(tǒng)架構(gòu)，同時考慮提高現(xiàn)場人員工作效率，利用系統(tǒng)故障模式及后果分析 （Failure Mode and Effect A-nalysis，簡稱FMEA）方法，提出了一套維護系統(tǒng)的設計方案。

l 保護系統(tǒng)維護功能要求

由于保護系統(tǒng)執(zhí)行反應堆保護功能，其對安全性有極高的要求，需要定期進行檢測或試驗發(fā)現(xiàn)故障并及時對系統(tǒng)進行維護，確保系統(tǒng)的安全性維持在設計要求的水平。GB／T13284．1-2008中要求應對保護系統(tǒng)的故障設備及時進行識別、定位、更換和調(diào)整。因此，維護工作也成為確保核電站保護系統(tǒng)安全穩(wěn)定運行的重要部分［5］［6］［7］。對于數(shù)字化保護系統(tǒng)，由于采用計算機技術，一般利用專用的維護工具對系統(tǒng)進行維護。對于維護工具的要求主要包括：應具有應用軟件組態(tài)、編譯、下裝、在線監(jiān)視、變量強制、參數(shù)修改等功能。在當前應用數(shù)字化保護系統(tǒng)的核電廠中［8］，對設備的維護主要有以下實現(xiàn)方式：

（1）維護系統(tǒng)采用安全級設備實現(xiàn)。如西屋公司AP1000核電機組安全級數(shù)字化控制系統(tǒng)的維護采用維護和測試盤［9］，10］（Maintenance Test Panel，簡稱MTP），雖然該方案能夠較好地解決維護系統(tǒng)與保護系統(tǒng)的隔離問題，但該方案也有如下缺點：

①保護系統(tǒng)的每個通道單獨配置一套MTP，需要維護人員分散操作和管理，增加工作復雜性且只能就地操作，不能遠程進行維護；

②維護和測試盤屬于安全級設備，因此需要滿足安全級相關標準要求，如硬件設備鑒定、軟件驗證與確認 （Verification and Validation簡稱V&V）［11，12］等等。維護功能為非安全級功能，而使用安全級設備實現(xiàn)，增加了系統(tǒng)設計的復雜性。同時，受限于目前技術水平，安全級設備能夠提供的功能有限，限制了其作為維護工具部分功能性、易用性的要求實現(xiàn)。部分功能如組態(tài)編譯等仍需離線進行。

（2）維護系統(tǒng)采用非安全級設備實現(xiàn)。其維護操作對保護系統(tǒng)的影響成為設計時應考慮的關鍵因素。另外，數(shù)字化保護系統(tǒng)控制站分散于電子設備間，為提高現(xiàn)場維修調(diào)試人員工作效率，需要設計一套維護系統(tǒng)用于遠程集中維護，同時滿足就地維護要求。此方案可充分滿足維護工具靈活、易用性方面的要求。但此方案必須解決維護工具與保護系統(tǒng)之間的隔離問題。該方案也是目前的主流設計方案，為大多數(shù)廠商所采用。

2 保護系統(tǒng)架構(gòu)分析

陽江核電站5、6號機組反應堆保護系統(tǒng)是基于北京廣利核系統(tǒng)工程有限公司的和睦系統(tǒng)（簡稱FirmSys）平臺進行設計的，系統(tǒng)架構(gòu)如圖1所示，反應堆停堆保護機柜 （Reactor Protection Cabinet，簡稱RPC）為執(zhí)行反應堆停堆功能，有四個保護通道設計。專設安全設施驅(qū)動機柜 （Engineered Safety Features Actuation Cabinets，簡稱ESFAC）分為A、B兩列，執(zhí)行專設安全設施的系統(tǒng)級驅(qū)動功能。安全相關系統(tǒng)驅(qū)動機柜 （Safety Related Cabinet，簡稱SRC）為A、B兩列，執(zhí)行專設安全設施驅(qū)動設備級操作功能。反應堆停堆保護機柜四個保護通道之間以及其與專設安全設施驅(qū)動機柜之間通過點對點通信進行數(shù)據(jù)傳輸。專設安全設施驅(qū)動機柜、安全相關系統(tǒng)驅(qū)動機柜、安全級控制與顯示設備 （Safety Control and Information Device，簡稱SCID）、堆芯溫度監(jiān)測系統(tǒng) （Core Cooling Monitoring System，簡稱CCMS）之間通過安全總線 （Safety BUS）進行通信。與非安全級系統(tǒng)通過安全系統(tǒng)總線 （Safety System BUS）和人機數(shù)據(jù)總線（HM Data BUS）進行通信。

圖l 陽江核電站5、6號機組保護系統(tǒng)架構(gòu)Fig.l Yangjiang nuclear power plant unit 5／6 protection system architecture

以上安全級控制站根據(jù)保護系統(tǒng)實體隔離的要求，機柜分散布置于電氣廠房的不同房間，其中反應堆停堆保護系統(tǒng)、安全相關驅(qū)動系統(tǒng)和堆芯溫度監(jiān)測系統(tǒng)控制站為熱備冗余設計。專設安全設施驅(qū)動系統(tǒng)和數(shù)據(jù)傳輸機柜DTC的控制站為并行冗余設計。安全控制顯示設備位于主控室操作員工作站 （Operator Work Place簡稱OWP）、后備盤 （Back Up Panel簡稱BUP）及遠程停堆站。共涉及到26個控制站和16個安全級控制與顯示設備，具體見表1。如果采用就地維護的方式，將會給維護調(diào)試人員帶來很大的麻煩及風險，因此，采用遠程維護方式是數(shù)字化保護系統(tǒng)的維護系統(tǒng)設計中必須解決的問題。

表l 控制站數(shù)量Table l The number of control station

3 集中維護系統(tǒng)設計方案

保護系統(tǒng)中每個控制站的主處理單元板卡上面設計有維護接口，同時具有運行模式開關，只有當開關位于測試或下裝模式時，維護工程師站通過維護接口才能對其進行下裝、監(jiān)視、參數(shù)修改等操作。陽江核電站5、6號機組保護系統(tǒng)中，維護工程師站選用非安全級設備實現(xiàn)，即由安裝有維護軟件工具的普通PC機或筆記本電腦實現(xiàn)。

3.l維護網(wǎng)絡設計

維護網(wǎng)絡設計如圖2所示：

DI＆C-ISG-04提到用于維護目的的非安全級工程師站不能同時與多個序列或保護通道的安全級控制站相連接，因此設計一個網(wǎng)絡切換連接盤，工程師站通過該連接盤和交換機（SWITCH）與安全級控制站相連接，連接盤上面配有6個網(wǎng)絡接口，分別與反應堆停堆四個通道及專設安全設施驅(qū)動A/B列的控制站相連接，網(wǎng)絡切換連接盤采用硬件設計方式，通過手動開關切換的方式在物理上保證工程師站同一時刻只能與一個保護通道或一個專設安全設施序列的安全設備相連接，從而滿足標準要求。

圖2 維護網(wǎng)絡拓撲圖Fig.2 Maintenance of the network topology

每個保護通道/序列使用一個或兩個交換機設備，主處理單元板卡上的維護接口始終與交換機連接，從而避免每次維護插拔線纜帶來的設備可用性降低。6個交換機分別連接網(wǎng)絡切換連接盤的6個端口，將來自安全級多個控制站上的通訊鏈路通過網(wǎng)絡切換連接盤實現(xiàn)多路輸入單路輸出的通信轉(zhuǎn)換，構(gòu)建形成集中維護網(wǎng)絡。交換機設備與網(wǎng)絡切換連接盤布置在一個機柜中，位于計算機房，交換機設備與控制站之間通過光纖進行通信。通過上述手段解決了電氣隔離及實體隔離的問題。某個保護通道/序列的內(nèi)部維護網(wǎng)絡連接圖如圖3所示。

圖3 保護通道／序列內(nèi)部維護網(wǎng)絡連接圖Fig.3 Protection channel／Train within the network connection diagram

每個安全級控制站的維護接口通過光電轉(zhuǎn)換模塊 （E/O）與交換機連接。滿足電氣隔離要求。光電轉(zhuǎn)換模塊為安全級設備，與主處理單元板卡位于同一機柜中。

3.2 維護協(xié)議設計

維護工程師站中的軟件工具可通過維護網(wǎng)絡完成對安全級控制站的下裝、監(jiān)視、參數(shù)修改等維護操作。工程師站與控制站主處理單元 （Main Processing Unit，簡稱MPU）之間通過維護接口進行數(shù)據(jù)交換，維護接口使用以太網(wǎng)接口，此接口通信功能與主處理單元板卡內(nèi)在線運行的安全級保護功能進行隔離，完全獨立，雙方互不干擾。維護網(wǎng)絡數(shù)據(jù)傳輸速率≥10Mbps。

陽江核電站5、6號機組安全級系統(tǒng)的維護網(wǎng)絡采用自定義協(xié)議方式。數(shù)據(jù)幀格式為固定長度、統(tǒng)一的幀格式，包頭、包尾和功能碼的協(xié)議結(jié)構(gòu)有統(tǒng)一結(jié)構(gòu)。采用循環(huán)通信、對話通信的通信形式，提供服務主要包括：連接請求、讀寫文件、讀寫變量、參數(shù)整定、變量強制與釋放、消息通知等。

通信協(xié)議采用三層協(xié)議，如圖4所示。對應于開放式通信系統(tǒng)互聯(lián)參考模型 （Open System Interconnection簡稱OSI）分別是：第一層，物理層；第二層，數(shù)據(jù)鏈路層；第七層，應用層。

圖4 維護通信協(xié)議Fig.4 Maintain communication protocol

（1）物理層

通信網(wǎng)絡的物理層遵循IEEE802．3：2008。數(shù)據(jù)的接收和發(fā)送使用標準以太網(wǎng)接口。支持全雙工模式，接收與發(fā)送隔離，互不干擾。

（2）數(shù)據(jù)鏈路層

通信網(wǎng)絡的數(shù)據(jù)鏈路層遵循 IEEE802．3：2008標準。支持全雙工模式。

（3）應用層

應用層為上層軟件提供訪問通信網(wǎng)絡服務的接口。

3.3 硬件配置

維護系統(tǒng)中需要的硬件設備見表2。以上設備中，端口連接盤、光交換機放置于計算機房內(nèi)的交換機機柜中，工程師站、打印機放置于計算機房內(nèi)操作盤臺上，其他放入安全級機柜或盤臺內(nèi)部。

表2 系統(tǒng)硬件配置表Table 2 System hardware configuration

3.4 軟件配置

維護系統(tǒng)中工程師站配備的軟件工具包括的軟件見表3。

4 獨立性分析

陽江核電站5、6號機組數(shù)字化保護系統(tǒng)的維護工具采用非安全級設備實現(xiàn)，應具有選型設備成熟、簡單，降低系統(tǒng)復雜性等優(yōu)點。同時也必須滿足核安全法規(guī)標準對非安全級設備與安全級設備之間須保證充分的獨立性的要求。獨立性設計主要通過實體隔離、電氣隔離、通信獨立三方面實現(xiàn)，確保非安全級設備對安全功能無影響［13，14］。

表3 系統(tǒng)軟件配置Table 3 System software configuration

4.l實體隔離

維護系統(tǒng)設備與安全級系統(tǒng)應滿足實體隔離要求。保護系統(tǒng)的維護相關設備位于L709房間，包括光交換機、維護工程師站、網(wǎng)絡切換連接盤等。光交換機與網(wǎng)絡切換連接盤放置在一個HUB機柜中，維護工程師站位于旁邊的操作臺，均與保護系統(tǒng)設備位于不同的房間，滿足實體隔離要求。

4.2 電氣隔離

維護系統(tǒng)及設備采用非安全級設備實現(xiàn)，其與保護系統(tǒng)安全級設備連接時，滿足GB/T 13286 -2008對電氣隔離的要求：

（1）維護工程師站與控制站維護端口通過1E級的光電轉(zhuǎn)換模塊進行連接，隔離點位于光電轉(zhuǎn)換模塊處，隔離設備光電轉(zhuǎn)換模塊屬于1E級設備，滿足標準要求。

（2）安全級控制站設備與工程師站之間采用光纖通信介質(zhì)，滿足長距離傳輸及電氣隔離要求。

4.3 通信獨立性

DI＆C-ISG-04中提到非安全級設備與安全級設備之間通信獨立性的要求，維護系統(tǒng)的通信獨立性設計如下：

（1）在保護系統(tǒng)正常運行的時候，光電轉(zhuǎn)換模塊供電電源處于斷開狀態(tài)，與維護工程師站斷開連接，因此不影響安全功能執(zhí)行。另外只有在控制站旁通狀態(tài)下才能與非安全級維護工具連接，且一旦與其連接，將在主控室進行報警顯 示。如圖5所示。

圖5 維護端口網(wǎng)絡連接示意圖Fig.5 Maintenance port network connection diagram

（2）保護系統(tǒng)主處理單元板卡上面?zhèn)溆心Ｊ角袚Q開關，該開關具有三個檔位，分別為運行、測試和下裝三檔。當開關位于正常運行位時，主處理器單元執(zhí)行正常安全級的保護功能邏輯，不處理來自維護接口的數(shù)據(jù)，確保正常運行期間系統(tǒng)的安全。只有當開關位于測試和下裝位置時，主處理器單元才能與工程師站建立起網(wǎng)絡連接進行數(shù)據(jù)交互。

（3）維護工程師站與控制站主處理器單元維護端口之間應采用點對點的通信設計，控制站主處理器單元內(nèi)采用了專用的通信芯片。

圖6 維護接口示意圖Fig.6 Maintenance interface diagram

（4）傳輸數(shù)據(jù)經(jīng)通信芯片處理后，經(jīng)由緩存與其內(nèi)部處理器交互數(shù)據(jù)。

（5）軟件采用無操作系統(tǒng)，無中斷、無握手的異步通信。一旦通信芯片或緩沖區(qū)出現(xiàn)錯誤，軟件能主動診斷出這些錯誤。若達到規(guī)定時間還不能接收時，軟件會主動退出接收功能，因此主處理器單元內(nèi)執(zhí)行安全功能的軟件不會受到干擾，仍會正常運行，實現(xiàn)功能上的隔離。

（6）維護通信協(xié)議采用預定義的數(shù)據(jù)長度和數(shù)據(jù)結(jié)構(gòu)保證確定性，安全級主處理單元采用固定規(guī)則使用這些數(shù)據(jù)，只接受根據(jù)事先預定義的合法命令清單來確定合法的信息，其他信息都將被丟棄。

4.4 通信FMEA分析

DI＆C-ISG-04中提到通信故障不應以任何方式影響安全功能的性能，因此在進行維護系統(tǒng)設計時，按照相關標準的要求，充分考慮了通信中可信的故障模式，進行了故障模式及后果分析，同時給出診斷或緩解措施，確保即使發(fā)生通信故障也不會影響保護系統(tǒng)內(nèi)部安全功能運行。故障模式及后果分析舉例見表4［15］。

表4的故障模式及后果分析表明，維護系統(tǒng)中發(fā)生的通信故障均設計有診斷和緩解措施，能夠確保不影響保護系統(tǒng)安全功能執(zhí)行。

集中維護系統(tǒng)的設計能夠滿足實體隔離、電氣隔離和通信獨立性的設計原則，硬件配置簡單，軟件易操作，通過故障模式及后果分析，滿足系統(tǒng)通信可靠性要求，能夠應用于安全級數(shù)字化儀控系統(tǒng)的維護工作。

表4 通信FMEA分析Table 4 Communication FMEA analysis

5 結(jié)束語

綜上所述，陽江核電站5、6號機組數(shù)字化保護系統(tǒng)的維護系統(tǒng)的設計，具有以下優(yōu)點：

（1）遠程集中維護功能：維護人員在計算機房的工程師站即可遠程完成對全廠安全級系統(tǒng)設備的維護，給維護工作帶來很大的便利性，降低了人力和設備成本；

（2）可靠的通信技術：維護設備采用非安全級設備實現(xiàn)，嚴格遵循相關法規(guī)標準的要求，與保護系統(tǒng)之間實現(xiàn)了實體隔離、電氣隔離和通信獨立，能確保維護通信網(wǎng)絡的故障不影響系統(tǒng)的安全功能；

（3）設備選型簡單：采用非安全級設備實現(xiàn)，工程師站可以選用當前主流成熟的商用設備。

［1］王常力，羅安．分布式控制系統(tǒng) （DCS）設計與應用實例［M］．北京：電子工業(yè)出版社，2016．

［2］國家核安全局．HAF 102-2004核動力廠設計安全規(guī)定［S］．北京：國家核安全局，2004．

［3］中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局中國國家標準化管理委員會．GB/T 15474-2010核電廠安全重要儀表和控制功能分類 ［S］．北京：中國標準出版社，2010．

［4］廣東核電培訓中心．900MW壓水堆核電站系統(tǒng)與設備 ［M］．北京：原子能出版社，2007．

［5］國家核安全局．HAD 102/10-1988核電廠保護系統(tǒng)及有關設施 ［S］．北京：國家核安全局，1988．

［6］IEC．IEC61513 Nuclear power plants-Intrumentation and control important to safety-General requirements for systems［S］，2011

［7］中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局中國國家標準化管理委員會GB/T 13284．1-2008核電廠安全系統(tǒng)第1部分：設計準則 ［S］．北京：中國標準出版社，2008．

［8］中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局中國國家標準化管理委員會GB/T 13629-2008核電廠安全系統(tǒng)中數(shù)字計算機的適用準則［S］．北京：中國標準出版社，2008．

［9］孫漢虹．第三代核電技術AP1000［M］．北京：中國電力出版社，2010．

［10］張淑慧，任永忠．AP1000核電廠儀控系統(tǒng)介紹 ［J］．自動化儀表，2010，31（10）：48-51．

［11］IEEE Std 1012 IEEE Standard for Software Verification and Validationd［S］．2004．

［12］中國人民解放軍總裝備部電子信息基礎部．GJB 5234軍用軟件驗證與確認 ［S］．北京：中國人民解放軍總裝備部，2004． ［13］中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局中國國家標準化管理委員會．GB／T 13286-2008核電廠安全級電氣設備和電路獨立性準則［S］．北京：中國標準出版社，2008．

［14］NRC．DI&C-ISG-04，Highly-Integrated Control Rooms-Communications Issues（HICRc）［S］．Washington DC：NRC，2009．

［15］IEC．61500 Nuclear power plants-Instrumentation and control important to safety-Data communication in systems performing category A functions［S］．Geneva：IEC，2009．

Design of The Maintenance System for Nuclear Power Plant Digital Protection System

SUN Na，QI Min，XIE YiQin
（China Techenergy CO．LTD，Beijing，100094）

Maintenance system of the digital protection system of nuclear power plant is the key link of the fault analysis and system maintenance of the safety DCS．In order to improve the safety and work efficiency of maintenance during the system maintenance of nuclear power plant，based on the analysis of the digital protection system architecture and the maintenance function，combines the technique of FMEA analysis，design a new set of centralized maintenance system．Through analysis on its independence，which can meet the requirements of safety standards．The design scheme has the advantages of simple man-machine interface，convenient operation，and no influence on the safety function．Can be applied to the nuclear power plant safety DCS fault diagnosis and system maintenance，also can provide a reference for other industry DCS maintenance system design

Nuclear Power Plant；Protection System；Digital I&C System；Maintenance System；Safety class；FMEA

TP2

A

：1672-5360（2016）04-0027-07

2016-08-02

2016-09-22

國家科技重大專項 “自主知識產(chǎn)權(quán)的核電站數(shù)字化儀控平臺研制”課題，項目編號2011ZX06004-030

孫 娜 （1980—），女，遼寧營口人，工程師，碩士，現(xiàn)主要從事核電站反應堆安全級DCS設計工作