核电站数字化仪控系统中兼容问题的研究

方 涛，陆道纲，马吉强，潘海波

（1.华北电力大学 核科学与工程学院，北京 102206；2.北京广利核系统工程有限公司 国家核电数字化仪控系统研究中心，北京 100084）

0 引言

核电站数字化仪控系统作为核电机组的关键设备，是核电站的重要组成部分，相当于核电站的神经和大脑.系统从设计到制造，需满足可靠性、安全性、系统复杂度、接口处理等多方面的要求，综合了各种技术，长期以来该技术一直被国外少数厂家所垄断.近年来随着国产化程度要求的不断提高，国内一些厂商也在尝试推出自己的产品.可由于核电站对安全级数字化仪控系统，无论在安全性和使用业绩上都有着极高的要求，尝试着从非安全级数字化仪控系统入手，逐渐积累经验成为了国内厂商更为切实可行的方法.

但该方法同时也会引发一些其它问题，比如说不同厂商生产（尤其是一个是国外厂商一个是国内厂商）的安全级与非安全级系统之间的相互兼容问题.本文就以红沿河电站为例，对其中重要的问题加以讨论.相信本文定会对其它电站和生产厂商有不错的借鉴意义.

1 信号隔离问题

不同安全级别的系统之间最大的问题就是信号隔离问题，即非安全级系统的信号不能对安全级系统造成影响.由于实际需要采集的安全级信号非常之少（与非安全级信号的比例大概为1∶10），而一些比较复杂的安全级信号需要引用非安全级信号来计算其结果，这就使得它们之间的信号传递问题显得非常棘手了.

1.1 解决该问题的两种主要途径

1）通过网关进行隔离

这样做的好处是能够传递的信号数量多，但最大的问题是安全性不高，尤其对于控制信号来说，它的安全级别是无法满足现场要求的（至少无法满足标准的要求）.

2）通过硬接线进行隔离

这样做的好处是安全级别能得以大幅提升，存在的问题是每条硬接线只能发送或接收一路信号.最后的结果是造成现场使用的控制柜数量大大增加，摆放空间无法满足要求.

1.2 具体实现方式

针对这个问题，红沿河电站采用了一种折衷方案：部分信号采用网关传递，部分信号使用硬接线处理.

基本原则是

1）安全级传向非安全级的信号

只用于报警和显示的信号可通过网络进行传送.见图1和图3.

用于逻辑控制的信号需要用硬接线进行传送.见图2和图4.

对于既要用于报警/显示，又要用于逻辑控制的信号，通过信号分配器一分为二.再通过网络和硬接线两个途径分别进行传送.见图5.

2）非安全级传向安全级的信号

所有信号都采用硬接线方式从非安全级部分的现场处理单元传向安全级反应堆保护系统的逻辑处理单元中.

图1 操作员站的显示和后备盘输出信号不参与逻辑控制的信号流向图Fig.1 Operator and BUP signals which are not used to logic control transm it

2 不同安全级别设备共用房间问题

标准中明确要求，为了防止共因故障，要求不同级别的设备之间不能相互影响（这主要是指非安全级设备发生问题时不能影响到安全级设备）.

比较常规的做法是增加安全距离，最好的方法是把不同安全级别的设备放入不同的房间以满足要求.

但实际的情况是，核电站用于摆放仪控设备的电子设备间的位置和数量都是固定的，由于各个DCS厂商所提供的设备大小尺寸都不相同，导致布置空间大大受限.

以红沿河电站为例，电站留给非安全级系统用于摆放B列供电设备的房间只有509房间.但与此同时该房间内还要布置一些安全级系统的设备.再加上为了电气隔离，双方又摆放了各种的配电和网络柜，造成该房间内更加的拥挤.同时还要考虑到维护空间、通风以及搬运、安装和人员进出等情况.

图2 操作员站的显示和后备盘输出信号参与逻辑控制的信号流向图Fig.2 Operator and BUP signals which are used to logic control transmit

图3 安全显示和事故记录监视中不参与逻辑控制的信号流向图Fig.3 S-VDU and PAMS signals which are not used to logic control transm it

图4 安全显示和事故记录监视中参与逻辑控制的信号流向图Fig.4 S-VDU and PAMS signals which are used to logic control transmit

基于以上情况，红沿河电站采取的方案是在无法满足房间内安全距离的情况下（由图6可看出安全级的网关柜与非安全级的电源柜间的距离只有0.8m，不足1 m），硬性提高非安全级设备的抗震等级，已达到非安全级设备发生故障后不会影响到安全级设备的正常使用（抗震1级要求，即震前、震中、震后都能使用）.

3 报警计算问题

报警功能作为核电站控制中的一个重要组成部分，一直备受关注，因为它是操作员的重要提示信息.

从功能上讲，报警可分为一般报警、首出报警和首故障报警.从报警级别上讲，报警又分为紫、红、黄、白、绿5个级别.

由于报警功能复杂、类别繁复，在设计时一般都会有专门的报警逻辑，并用单独的处理器进行计算.可是报警功能虽然重要，但毕竟只是用于显示，并不直接参与控制，这导致了各个厂商对报警处理的方法也不尽相同.LAII的做法是采用了安全相关级的处理器（西门子把系统按功能分成了3级，安全相关级设备的重要性处于安全与非安全级之间）来做报警计算.但在红沿河电站中只有安全和非安全级系统，而安全级设备在设计之初就没有考虑报警计算功能（即安全级的处理器由于个数和性能问题无法处理太多的报警逻辑）.

在不降低报警计算功能安全等级的情况下，红沿河电站采用了以下方案：首先对报警信号和逻辑进行分类.然后，对于重要性较低的信号通过硬接线的方式，把报警逻辑放到非安全级处理器上进行计算，并传回安全级系统上显示；对于重要性高的信号，直接放到PAMS处理器（该处理器在红沿河电站中属于安全级设备）上计算，并显示.该问题也可结合图3和图4进行深一步的理解.

图5 不同安全级别共享信号的流向图Fig 5 Shared signals which have different classification transm it

4 生命信号诊断问题

所谓生命信号诊断指的是用一个现场处理器对关键设备进行状态监测的方式.监测的设备主要有重要的现场处理设备及现场机柜、网络设备（重要的集线器、网络服务器等）、操作员站等.

这样做的原因是：所有的用于逻辑控制的运算都需要引用一些重要的现场采集信号，如果这些信号的质量无法保证的话，其计算结果也就无法保证，甚至会得到相悖的结果.如果这些结果被用于重要的控制和报警的话，其影响可想而知.

为了避免上述问题的出现，所有控制和报警逻辑在计算前会先检查这些采集信号的状态.如果采集上来的信号或是设备状态有异常的话，这些逻辑会默认采用上一周期的运算结果或是输出默认的安全值，以保障电站能够安全运行.

基于以上原因，生命信号的诊断就显得非常重要了.在LAII电站中采用了安全相关级的设备承担了该任务.红沿河电站由于没有该级别设备，采用了一种特殊方式：即用多个非安全级处理器分别对其诊断，最后做一个4取2的逻辑来做最后的判断（借鉴了安全级设备中的多通道采集的方案）.这样一来，不但不用增加设备，还增强了可靠性.

图6 B列房间机柜布置示意图Fig.6 Train B Cabinets distribution

5 结论

红沿河电站作为首个混用国产数字化仪控系统和国外数字化仪控系统的电站，其设计方案和具体实施过程都具有重要的借鉴意义.本文所讨论的4个问题也是核电站数字化仪控系统兼容问题的最为典型案例，针对这些问题的讨论无论是对后续设计，还是作为其它电站的参考电站都将具有重要的借鉴和指导意义.

致谢：本研究中，北京广利核系统工程有限公司（国家核电数字化仪控系统研究中心）的马吉强高级工程师给与了大力支持及指导，在此表示感谢.

[1]International Electrotechnical Comm ission.IEC 60880-2006，Nuclear Power Plants Instrument and Control Systems Important to Safety Software Aspects for Computer-based Systems Perform ing Category a functions[S].

[2]Nuclear Power Engineering Comm ittee.IEEE-344-2004，IEEE Recommended Practice for Seism ic Qualification of Class 1E Equipment for Nuclear Power Generating Stations[S].

[3]LAN/MAN Standards Comm ittee.IEEE-802.1x-2004，IEEE Standard for Local andmetropolitan area networks Port-Based Network Access Control [S].

[4]Software Engineering Standards Comm ittee.IEEE-1012，IEEE Standard for Software Verification and Validation[S].

[5]Software Engineering Standards Comm ittee.NUREG-700-Rev.2，Human-System Interface Design Review Guidelines[S].

[6]国家核安全局.HAF 102-2004，核动力厂设计安全规定 [S].

[7]NuclearPowerEngineeringComm ittee.IEEEstd.323，IEEEStandard forQualifyingClass1EEquipmentforNuclearPower Generating Stations[S].

[8]French association.RCC-E-2005，Design and Construction Rules for Electrical components of nuclear islands[S].

[9]国家核安全局.NS G1.3，核动力厂安全重要仪表控制系统 [S].

[10]国家核安全局.NS-R-1-2000，Safety of Nuclear Power Plants Design[S].