核电站模拟仪控系统数字化改造规划及实施策略

王洪涛，顾 毅

（中科华核电技术研究院有限公司，广东 深圳518026）

以DCS为代表的分布式数字化仪控技术，近年几乎在所有新建核电项目上得到应用。基于DCS技术对在运核电机组的模拟仪控系统进行数字化升级改造技术上完全可行。改造项目成败的关键在于科学合理的前期规划和可行性研究论证。核电站仪控系统改造是一个复杂的系统工程，其准备和实施阶段需要考虑的因素很多，本文主要就项目管理和技术因素两个方面对项目前期阶段需关注的工作进行初步的分析和论述。

1 项目管理方面

20世纪九十年代中后期，以捷克等东欧国家为代表的部分在运核电站就已经对WWER电机组部分模拟仪控系统进行了数字化改造。NEI（NUCLEAR ENERGY INSTIUTE——美国核能研究所）指出：从WWER核电机组的改造升级过程中得到的最关键的经验教训并非技术问题，而是项目的管理问题。从项目前期准备阶段开始，电站最高领导层就应给与足够的重视和支持，为项目提供资源上的保障，建立规范的项目管理和组织运作体系［1］。项目管理方面需要关注以下几点：

1.1 核电站仪控系统生命周期管理

EPRI（Electric Power Research Institute—美国电力研究协会）从九十年代开始为满足美国核电站仪控系统升级改造的需求，组织进行了一系列的专题研究，并发布了一系列实施核电站仪控系统改造的方法和导则。这其中关键的一项就是仪控系统改造的生命周期管理（LCM—LIFECYCLE MANAGEMENT）。EPRI发布的生命周期管理方法是针对整个核电站运行寿期内的仪控系统综合管理计划。其目的是在仪控系统的维修和改造计划之间寻求对特定电站最优的解决方案。综合性的仪控系统改造应在项目的初始阶段就立足于全局建立仪控系统的生命周期管理计划。生命周期管理计划提供了一种系统性的方法，使得核电站仪控系统改造不再孤立地分系统进行，而是通过对整个电站纳入计划范围内的仪控系统现状进行评估，通过建立计划周期内仪控系统的最终愿景，对改造和纳入维修计划的子仪控系统设备进行系统性地规划管理。

核电站仪控系统改造的项目生命周期按IAEA相关报告可划分为十一个阶段：项目长期战略规划阶段、项目可行性研究阶段、仪控系统整体架构和基本需求规范建立阶段、各子仪控系统详细需求规范建立和招标阶段、各子仪控系统详细设计规范阶段、系统实现阶段、工厂验收测试阶段（FAT）、培训服务和文件移交阶段、各子系统设备安装阶段、现场验收（SAT）及调试阶段、系统运行和维修阶段。前三个阶段属于项目总体阶段，中间7个阶段属于各仪控子系统改造实施阶段；最后两个阶段则与电站生产工艺系统直接相关。从各阶段活动或任务责任划分，项目生命周期的初始阶段和结束阶段主要由电站业主负责，中间系统开发和设计制造等主要由供应商负责［2］。图1至图10参考IAEA相关文献给出了生命周期中从可行性研究阶段至最终系统运行和维修阶段等10个阶段的关键活动及其上游输入和成果输出。以下对电站相关的可行性研究、基本需求规范建立及子仪控系统详细需求规范的建立等三个阶段的主要工作内容作以简单说明。

图1 生命周期阶段1Fig.1 Phase 1of life－cycle

图2 生命周期阶段2Fig.2 Phase 2of life－cycle

图3 生命周期阶段3Fig.3 Phase 3of life－cycle

图4 生命周期阶段4Fig.4 Phase 4of life－cycle

图5 生命周期阶段5Fig.5 Phase 5of life－cycle

图6 生命周期阶段6Fig.6 Phase 6of life－cycle

图7 生命周期阶段7Fig.7 Phase 7of life－cycle

图8 生命周期阶段8Fig.8 Phase 8of life－cycle

图9 生命周期阶段9Fig.9 Phase 9of life－cycle

图10 生命周期阶段10Fig.10 Phase 10of life－cycle

可行性研究阶段的主要工作包括：审查现存仪控系统的需求文件，经分析和整理作为改造后新系统的输入信息；明确改造范围内涉及的仪控系统功能以及相关的仪控系统和设备；从功能、性能、独立性、可操作性等方面评估识别现存仪控系统的优缺点；提出对新系统的初步需求，尤其应重视新增的和需要变动的功能要求；提出新系统的概念设计可选方案；从安全和运行角度分析改造给电站带来的好处；新系统可选技术方案生命周期内的成本代价和利益分析；确定新系统的最优概念设计方案。可行性研究阶段的成果是可行性研究报告，该报告提交用户审查批准。在可行性研究报告中应对仪控系统改造范围和实质提出明确的结论和建议。可行性研究报告作为电站管理层决策是否启动仪控系统改造项目的基础。

仪控系统总体架构和基本需求规范建立阶段的工作是核电站仪控系统改造项目的核心工作。该阶段的主要任务包括：定义改造范围内涉及仪控系统的整体架构及相关的内外部接口；明确安全仪控系统，正常运行仪控系统，以及操作员人机接口系统的功能、性能以及可靠性要求；明确仪控系统的安全功能分类；明确操作员任务和仪控系统之间的功能分配；提出仪控系统的鉴定要求。该阶段的输出成果是概念设计文件以及新系统采购要求文件，同时作为改造仪控系统设计的一个基本原则指导文件。

仪控子系统详细需求规范书编制及招标采购阶段：仪控系统详细需求规范建立阶段需明确所有子仪控系统的设计和供货通用要求、安全分级要求、功能要求、性能要求、可靠性以及相应的鉴定要求。该阶段的主要活动包括：确定合适的潜在供货商名单；准备采购技术规范书和招标书；编制评标标准；开标选择供应商；与选择的供应商就供货和服务范围、项目执行方式、选项以及项目进度计划等合同条款取得一致意见，对基本需求规范和详细的子系统需求规范进行升版并与供应商取得一致意见。该阶段的结束标志是选定供应商并与之签订合同。

1.2 核电站仪控系统升级改造的长期战略规划

核电站大范围的模拟仪控系数字化升级改造项目应根据电站的目标和承诺，以及电站的中长期运营规划、中长期大修规划、电站财务状况针对核电站仪控系统的维修和改造作一个整体长远规划。首先对现有仪控系统现状和潜在的未来需求进行全面调查和评估，根据评估结果并综合考虑改造的成本代价分析初步明确项目范围以及各子仪控系统的改造优先级；在项目长期战略规划中需明确项目最终完成后仪控系统、设备、及其架构的最终愿景，制订各子仪控系统和主控室的分步实施规划；初步确定项目的预算上限。

1.3 项目设计和实施导则

应根据项目要求制定特定的设计和实施导则，以保证在项目不同阶段实施的各类似的子系统改造都有统一的设计要求和设计原则，保证系统在总体运行、设备维修等方面的一致性。需要特别注意数字化仪控系统有其特别的设计要求，如软件V＆V的要求和应对共因故障的要求等。同时数字化仪控系统因其自身的技术特点，不可能对原来模拟仪控系统完全采用功能等效的替代方式，数字化仪控系统的强大的在线故障自诊断能力可简化对安全仪控系统定期试验方式的要求；数字化仪控系统丰富的数据信息和灵活可配置的技术特点可用来优化以任务为导向的人机界面系统；因而结合电站运行、维修、设备管理等各方面用户的需求并充分考虑数字化仪控系统的技术特点制定全面、系统的改造设计和实施导则是成功实施数字化改造的基础。

1.4 主控室的升级改造计划

数字化仪控系统改造项目管理涉及的一个关键方面是制定主控室的同步升级计划，建立改造后的主控室最终愿景，主控室可以是局部改动，也可以是基于模拟和数字混合式的主控室，还可能完全颠覆式地改为全新的数字化主控室，主控室的升级改造需要特别关注改造前后自动化水平的变化、人机任务的重新分配、运行规程的适应性修改和人因工程设计的应用与验证。

1.5 仪控系统数字化改造风险

数字化仪控系统虽然在近期的新建核电机组建设上得到了普遍应用，其相关设备开发、系统设计等应用标准体系也基本建立；但由于数字化仪控技术本身的特点、核电站大范围模拟仪控系统改造的复杂性，在基于数字化仪控技术进行升级改造时，需着重关注以下项目风险：改造需求规范（包括功能需求和性能需求）的正确性、完整性及适用性（针对数字化仪控技术特点提出针对性的需求）；数字化仪控安全软件的共因故障风险及其应对措施；数字化仪控技术升级换代快由此带来的仪控平台及其软件版本选择及版本管理的风险；数字化仪控平台及其工具软件的成熟度及其鉴定的可靠性、可信性风险；数字化安全仪控系统软件V＆V过程管理及其有效性风险；项目实施各过渡阶段数字／模拟混合运行期间系统间接口、临时运行规程的适用性、人因工程设计的有效性风险。

2 项目技术因素

2.1 核电站仪控系统的设计基准

核电站设计基准不仅作为电站的设计基准，也是核电站仪控系统的设计要求参考。作为核电站基本设计原则的纵深防御原则在数字化仪控系统应对共因故障方面也同样适用。仪控专业的功能要求来源于工艺专业，仪控系统的安全功能要求同样基于核电站的四大安全功能：反应性控制、三道安全屏障的防护、堆芯冷却功能以及防止放射性扩散。除执行安全功能外，仪控系统对于核电站系统、构筑物和部件免受某些故障情况造成的威胁也起到重要的防护作用；核电站仪控系统还为运行人员提供事故工况的监视和故障诊断功能。在进行核电站仪控系统数字化改造时，如涉及核安全相关，则必须向安全监管当局申请许可，需重新审视核电站仪控系统的设计基准，并相应升版最终安全分析报告。

2.2 核电站仪控系统改造安全分级要求

核电站的仪控系统从其执行的安全功能上可分为安全级仪控系统和非安全级仪控系统。根据IEC61513、IEEE7＿4.3.2以及国家标准GB13629的要求，对核电站安全相关基于计算机技术的仪控系统需要考虑纵深防御、故障安全、多样性、隔离、冗余，单一故障等设计准则，并满足软件V＆V、硬件鉴定、电磁兼容等方面的严格要求。针对改造后仪控系统的安全分级，应在原设计安全分级的基础上，对照国际和国家相关安全功能分类和设备分级及数字化仪控系统的相关标准的最新要求，进行适应性调整。对不同安全等级的仪控功能，应采用满足相应安全功能要求的仪控技术平台。IEC61226对核电站仪控系统安全功能分类和分级作出了详细的要求。

2.3 核电站仪控系统改造对仪控功能的考虑

核电站仪控系统改造对其原有仪控功能可采取两种方式：一种是所谓”like for like”形式的替代，即采取新的仪控系统实现对原有仪控系统的替代，功能上与原有系统基本等同。另一种方式是功能增强型的改造，该种方式将充分利用新系统的技术特点，可满足电站对安全性、可用性、可靠性的提高或提升机组出力的要求。例如采用DCS技术对原有工艺系统的控制采用按工艺流程的方式进行功能分配，提高机组的自动化设计水平、增加先进报警管理功能和数字化运行支持系统功能等都属于功能增强型改进。

2.4 核电站数字化仪控技术特点

数字化技术相比模拟技术的最主要的特点是信号采样的离散化和信号处理的数字化。对比模拟仪控技术，数字化仪控技术一方面具有零漂移、高精度、易于实现复杂算法、易于扩展、良好的故障自诊断能力等优势；另一方面，数字化仪控技术使用软件的复杂性和不确定性、功能的高度集中及其可测试性差等方面的特点在核电站安全仪控应用领域一直都是各国核安全监管部门高度关注的问题。核电站数字化仪控系统软件工程需要V＆V以确保其可靠性。

2.5 核电站数字化仪控系统工程主要设计阶段

核电站数字化仪控系统工程设计过程一般包括概念设计、系统设计、详细设计等设计阶段。概念设计主要包括拟定设计原则和编制功能设计规范文件。设计原则包括：电站安全分级原则；纵深防御和多样性原则（3D）；信号编码原则；通信和接口原则；测量、自动控制、监测、软件人机接口和硬件人机接口设置原则；竣工文件编制、设备标志等原则。功能设计规范（FDS）独立地详细描述每个仪控系统应用功能，用于后续的各子仪控系统设备的招标采购。概念设计阶段的设计原则和功能设计规范是项目V＆V测试的基准文件。系统设计和详细设计阶段的工作主要由设备供货商完成。系统设计和详细设计阶段的主要工作包括：人机接口功能设计规范、专用应用软件和接口的开发；数字化仪控系统网络结构及系统配置的确定；项目I／O点数据库的建立；控制功能组的划分和控制任务在控制站中的分配；使用专用的数字化仪控系统功能图开发工具创建控制功能图；基于专用的人机界面编辑工具开发人机界面；生成接线图、供电图、端子图等硬件设计文件和功能验证测试程序。

2.6 核电站仪控系统数字化改造总体架构方案

从新建核电站工程实践上看，安全级仪控系统和非安全级仪控系统两个数字化平台完全可以覆盖核电站全厂仪控系统；参考当前我国在建核电机组的数字化仪控系统总体方案，考虑采用数字化反应堆保护系统后应对共因故障而增加必要的多样性ATWS缓解系统设备，同时在主控室设置硬接线后备盘（BUP）的仪控总体架构方案是比较成熟和稳妥的技术方案。该方案的优点是选择单一的DCS／PLC设备供货商，能实现备件的标准化管理并有成熟的工程应用经验，缺点是国内外能完全提供包括经鉴定合格的安全级DCS／PLC平台的核电站数字化仪控系统成套产品的厂家数量有限，且形成了安全级平台和非安全级平台绑定的联队供货模式，容易在长期备件和售后服务支持上受制于人。数字化改造总体架构的另一可选方案是采用多家DCS／PLC的产品进行开放式的集成（比如基于大多数DCS／PLC厂商都支持的OPC互联技术），主控室人机界面系统采用统一的第三方成熟的SCADA软件（如intouch或IFIX等），该技术路线的优点是在每个子仪控系统实施阶段可以展开独立招标，有利于降低设备造价；缺点是备件无法统一，各子系统间接口多，软件V＆V困难。

2.7 核电站安全级仪控系统升级改造的可选技术方案

经过安全认证的DCS／PLC作为核电站安全仪控系统平台是目前的主流发展方向。基于FPGA（field programmable gate array）和ASIC（application specific integrated circuit）等可编程逻辑器件的解决方案也可以作为备选方案。DCS／PLC是基于微处理器和操作系统的，相比于传统意义上的模拟电路解决方式，它们显得更为复杂。基于DCS的仪控解决方案一般是面向系统级的。ASIC和FPGA可视为“基于硬件的可编程设备”。它们在设计和实现方面比PLC和DCS要简单得多，因此更利于进行安全性评估。它们也易于在不同的硬件平台上使用（借助通用逻辑功能的实现），便于对安全级仪控系统实施进一步细分的多阶段改造，减少系统整体改造的风险；乌克兰、日本以及美国安全监管当局已认可FPGA应用于核安全仪控系统，法国和芬兰也正在对基于FPGA的核安全应用进行认证。美国Wolfcreek核电站主蒸汽和主给水隔离安全仪控系统就是采用基于FPGA的数字化改造方案获得了NRC的最终批准；日本Toshiba则基于FPGA技术开发了安全级的核功率量程监测系统；乌克兰RAIDY公司更开发了基于FPGA技术的安全级RAIDY仪控平台。IEC于2012年初发布了基于可编程逻辑器件开发核电站A类安全功能的仪控系统的技术标准，这也一定程度上表明了可编程逻辑器件用于核电站安全级模拟仪控系统改造技术上的可行性。

3 建议与总结

在运核电站模拟仪控系统大范围的数字化升级改造是一项复杂的系统工程，涉及项目范围的确定、项目的长期战略规划、实施方式的选择（分步实施或一次实施）、子系统实施顺序优先级的确定、是否进行主控室的现代化改造、安全监管当局的审批、数字化仪控系统总体架构和基本需求规范的建立、数字化仪控系统3D分析和软件V＆V等管理和技术多方面的工作任务［3］。核电站业主方应系统性地建立一套项目管理方法和流程，采用IAEA／IEC等国际组织推荐的生命周期管理理念，充分评估电站自身仪控系统现状，结合数字化仪控技术的特点，及早开展项目的前期规划和可行性研究论证工作，并在整个项目进行过程中持续与国家核安全监管部门保持有效沟通，才能最大限度地实现改造的整体目标［4］。

［1］ IEC62096.Nuclear power plants instrumentation and control guide for the decision on modernization［S］.

［2］ IAEA－TECDOC－1389Managing modernization of nuclear power plant instrumentation and control system［S］.

［3］ IAEA－TECDOC－1016Modernization of instrumentation and control in nuclear power plants［S］.

［4］ 蒋祖跃.秦山核电厂反应堆保护系统及其相关设备数字化改造规划和实施策略［J］.原子能科学技术，2010，44（1）：66－69.