核电站数字化保护系统维护系统设计

，，

（北京广利核系统工程有限公司，北京 100094）

核电站数字化保护系统维护系统设计

孙娜，齐敏，谢逸钦

（北京广利核系统工程有限公司，北京 100094）

核电厂数字化保护系统的维护系统是对安全级数字化控制系统进行故障分析和系统维护处理的关键环节。为了提高当前核电厂安全级数字化控制系统维护期间的安全性以及调试维修的工作效率，本文在对数字化保护系统架构和维护功能分析的基础上，同时结合FMEA分析技术，设计出了一套全新的集中维护系统，通过对其独立性进行分析，认为其能够满足安全相关标准要求。该设计方案具有人机接口简单，操作方便，不影响安全功能等优点。可应用于核电厂安全级数字化控制系统故障诊断和系统维护中，也可为其他行业数字化控制系统维护系统设计提供参考。

核电厂；保护系统；数字化仪控系统；维护系统；安全级；FMEA

当前新建核电厂的保护系统一般均由数字化控制系统 （Digital Control System简称数字化控制系统）来实现，数字化控制系统为分散式结构［1］，可分成多个现场控制站实现保护功能，每个控制站均需要实现设备维修调试、参数调整、软件下装、定期试验等维护功能。此时不仅需要考虑到维修工具对保护系统的影响，如安全性、安保性及运行约束，也要考虑到现场调试及维护人员的工作效率、维修设备的易用性等因素。

因维护工具并不直接执行安全功能，所以一般为非安全级设备，而保护系统则直接执行安全功能［2-4］，为安全级设备。因此当连接维护工具对保护系统进行维护时，需要特别考虑非安设备对其安全性的影响。本文以中广核在建的阳江核电站5、6号机组为例，依据核安全法规和标准的相关要求，结合保护系统架构，同时考虑提高现场人员工作效率，利用系统故障模式及后果分析 （Failure Mode and Effect A-nalysis，简称FMEA）方法，提出了一套维护系统的设计方案。

l 保护系统维护功能要求

由于保护系统执行反应堆保护功能，其对安全性有极高的要求，需要定期进行检测或试验发现故障并及时对系统进行维护，确保系统的安全性维持在设计要求的水平。GB／T13284．1-2008中要求应对保护系统的故障设备及时进行识别、定位、更换和调整。因此，维护工作也成为确保核电站保护系统安全稳定运行的重要部分［5］［6］［7］。对于数字化保护系统，由于采用计算机技术，一般利用专用的维护工具对系统进行维护。对于维护工具的要求主要包括：应具有应用软件组态、编译、下装、在线监视、变量强制、参数修改等功能。在当前应用数字化保护系统的核电厂中［8］，对设备的维护主要有以下实现方式：

（1）维护系统采用安全级设备实现。如西屋公司AP1000核电机组安全级数字化控制系统的维护采用维护和测试盘［9］，10］（Maintenance Test Panel，简称MTP），虽然该方案能够较好地解决维护系统与保护系统的隔离问题，但该方案也有如下缺点：

①保护系统的每个通道单独配置一套MTP，需要维护人员分散操作和管理，增加工作复杂性且只能就地操作，不能远程进行维护；

②维护和测试盘属于安全级设备，因此需要满足安全级相关标准要求，如硬件设备鉴定、软件验证与确认 （Verification and Validation简称V&V）［11，12］等等。维护功能为非安全级功能，而使用安全级设备实现，增加了系统设计的复杂性。同时，受限于目前技术水平，安全级设备能够提供的功能有限，限制了其作为维护工具部分功能性、易用性的要求实现。部分功能如组态编译等仍需离线进行。

（2）维护系统采用非安全级设备实现。其维护操作对保护系统的影响成为设计时应考虑的关键因素。另外，数字化保护系统控制站分散于电子设备间，为提高现场维修调试人员工作效率，需要设计一套维护系统用于远程集中维护，同时满足就地维护要求。此方案可充分满足维护工具灵活、易用性方面的要求。但此方案必须解决维护工具与保护系统之间的隔离问题。该方案也是目前的主流设计方案，为大多数厂商所采用。

2 保护系统架构分析

阳江核电站5、6号机组反应堆保护系统是基于北京广利核系统工程有限公司的和睦系统（简称FirmSys）平台进行设计的，系统架构如图1所示，反应堆停堆保护机柜 （Reactor Protection Cabinet，简称RPC）为执行反应堆停堆功能，有四个保护通道设计。专设安全设施驱动机柜 （Engineered Safety Features Actuation Cabinets，简称ESFAC）分为A、B两列，执行专设安全设施的系统级驱动功能。安全相关系统驱动机柜 （Safety Related Cabinet，简称SRC）为A、B两列，执行专设安全设施驱动设备级操作功能。反应堆停堆保护机柜四个保护通道之间以及其与专设安全设施驱动机柜之间通过点对点通信进行数据传输。专设安全设施驱动机柜、安全相关系统驱动机柜、安全级控制与显示设备 （Safety Control and Information Device，简称SCID）、堆芯温度监测系统 （Core Cooling Monitoring System，简称CCMS）之间通过安全总线 （Safety BUS）进行通信。与非安全级系统通过安全系统总线 （Safety System BUS）和人机数据总线（HM Data BUS）进行通信。

图l 阳江核电站5、6号机组保护系统架构Fig.l Yangjiang nuclear power plant unit 5／6 protection system architecture

以上安全级控制站根据保护系统实体隔离的要求，机柜分散布置于电气厂房的不同房间，其中反应堆停堆保护系统、安全相关驱动系统和堆芯温度监测系统控制站为热备冗余设计。专设安全设施驱动系统和数据传输机柜DTC的控制站为并行冗余设计。安全控制显示设备位于主控室操作员工作站 （Operator Work Place简称OWP）、后备盘 （Back Up Panel简称BUP）及远程停堆站。共涉及到26个控制站和16个安全级控制与显示设备，具体见表1。如果采用就地维护的方式，将会给维护调试人员带来很大的麻烦及风险，因此，采用远程维护方式是数字化保护系统的维护系统设计中必须解决的问题。

表l 控制站数量Table l The number of control station

3 集中维护系统设计方案

保护系统中每个控制站的主处理单元板卡上面设计有维护接口，同时具有运行模式开关，只有当开关位于测试或下装模式时，维护工程师站通过维护接口才能对其进行下装、监视、参数修改等操作。阳江核电站5、6号机组保护系统中，维护工程师站选用非安全级设备实现，即由安装有维护软件工具的普通PC机或笔记本电脑实现。

3.l维护网络设计

维护网络设计如图2所示：

DI＆C-ISG-04提到用于维护目的的非安全级工程师站不能同时与多个序列或保护通道的安全级控制站相连接，因此设计一个网络切换连接盘，工程师站通过该连接盘和交换机（SWITCH）与安全级控制站相连接，连接盘上面配有6个网络接口，分别与反应堆停堆四个通道及专设安全设施驱动A/B列的控制站相连接，网络切换连接盘采用硬件设计方式，通过手动开关切换的方式在物理上保证工程师站同一时刻只能与一个保护通道或一个专设安全设施序列的安全设备相连接，从而满足标准要求。

图2 维护网络拓扑图Fig.2 Maintenance of the network topology

每个保护通道/序列使用一个或两个交换机设备，主处理单元板卡上的维护接口始终与交换机连接，从而避免每次维护插拔线缆带来的设备可用性降低。6个交换机分别连接网络切换连接盘的6个端口，将来自安全级多个控制站上的通讯链路通过网络切换连接盘实现多路输入单路输出的通信转换，构建形成集中维护网络。交换机设备与网络切换连接盘布置在一个机柜中，位于计算机房，交换机设备与控制站之间通过光纤进行通信。通过上述手段解决了电气隔离及实体隔离的问题。某个保护通道/序列的内部维护网络连接图如图3所示。

图3 保护通道／序列内部维护网络连接图Fig.3 Protection channel／Train within the network connection diagram

每个安全级控制站的维护接口通过光电转换模块 （E/O）与交换机连接。满足电气隔离要求。光电转换模块为安全级设备，与主处理单元板卡位于同一机柜中。

3.2 维护协议设计

维护工程师站中的软件工具可通过维护网络完成对安全级控制站的下装、监视、参数修改等维护操作。工程师站与控制站主处理单元 （Main Processing Unit，简称MPU）之间通过维护接口进行数据交换，维护接口使用以太网接口，此接口通信功能与主处理单元板卡内在线运行的安全级保护功能进行隔离，完全独立，双方互不干扰。维护网络数据传输速率≥10Mbps。

阳江核电站5、6号机组安全级系统的维护网络采用自定义协议方式。数据帧格式为固定长度、统一的帧格式，包头、包尾和功能码的协议结构有统一结构。采用循环通信、对话通信的通信形式，提供服务主要包括：连接请求、读写文件、读写变量、参数整定、变量强制与释放、消息通知等。

通信协议采用三层协议，如图4所示。对应于开放式通信系统互联参考模型 （Open System Interconnection简称OSI）分别是：第一层，物理层；第二层，数据链路层；第七层，应用层。

图4 维护通信协议Fig.4 Maintain communication protocol

（1）物理层

通信网络的物理层遵循IEEE802．3：2008。数据的接收和发送使用标准以太网接口。支持全双工模式，接收与发送隔离，互不干扰。

（2）数据链路层

通信网络的数据链路层遵循 IEEE802．3：2008标准。支持全双工模式。

（3）应用层

应用层为上层软件提供访问通信网络服务的接口。

3.3 硬件配置

维护系统中需要的硬件设备见表2。以上设备中，端口连接盘、光交换机放置于计算机房内的交换机机柜中，工程师站、打印机放置于计算机房内操作盘台上，其他放入安全级机柜或盘台内部。

表2 系统硬件配置表Table 2 System hardware configuration

3.4 软件配置

维护系统中工程师站配备的软件工具包括的软件见表3。

4 独立性分析

阳江核电站5、6号机组数字化保护系统的维护工具采用非安全级设备实现，应具有选型设备成熟、简单，降低系统复杂性等优点。同时也必须满足核安全法规标准对非安全级设备与安全级设备之间须保证充分的独立性的要求。独立性设计主要通过实体隔离、电气隔离、通信独立三方面实现，确保非安全级设备对安全功能无影响［13，14］。

表3 系统软件配置Table 3 System software configuration

4.l实体隔离

维护系统设备与安全级系统应满足实体隔离要求。保护系统的维护相关设备位于L709房间，包括光交换机、维护工程师站、网络切换连接盘等。光交换机与网络切换连接盘放置在一个HUB机柜中，维护工程师站位于旁边的操作台，均与保护系统设备位于不同的房间，满足实体隔离要求。

4.2 电气隔离

维护系统及设备采用非安全级设备实现，其与保护系统安全级设备连接时，满足GB/T 13286 -2008对电气隔离的要求：

（1）维护工程师站与控制站维护端口通过1E级的光电转换模块进行连接，隔离点位于光电转换模块处，隔离设备光电转换模块属于1E级设备，满足标准要求。

（2）安全级控制站设备与工程师站之间采用光纤通信介质，满足长距离传输及电气隔离要求。

4.3 通信独立性

DI＆C-ISG-04中提到非安全级设备与安全级设备之间通信独立性的要求，维护系统的通信独立性设计如下：

（1）在保护系统正常运行的时候，光电转换模块供电电源处于断开状态，与维护工程师站断开连接，因此不影响安全功能执行。另外只有在控制站旁通状态下才能与非安全级维护工具连接，且一旦与其连接，将在主控室进行报警显 示。如图5所示。

图5 维护端口网络连接示意图Fig.5 Maintenance port network connection diagram

（2）保护系统主处理单元板卡上面备有模式切换开关，该开关具有三个档位，分别为运行、测试和下装三档。当开关位于正常运行位时，主处理器单元执行正常安全级的保护功能逻辑，不处理来自维护接口的数据，确保正常运行期间系统的安全。只有当开关位于测试和下装位置时，主处理器单元才能与工程师站建立起网络连接进行数据交互。

（3）维护工程师站与控制站主处理器单元维护端口之间应采用点对点的通信设计，控制站主处理器单元内采用了专用的通信芯片。

图6 维护接口示意图Fig.6 Maintenance interface diagram

（4）传输数据经通信芯片处理后，经由缓存与其内部处理器交互数据。

（5）软件采用无操作系统，无中断、无握手的异步通信。一旦通信芯片或缓冲区出现错误，软件能主动诊断出这些错误。若达到规定时间还不能接收时，软件会主动退出接收功能，因此主处理器单元内执行安全功能的软件不会受到干扰，仍会正常运行，实现功能上的隔离。

（6）维护通信协议采用预定义的数据长度和数据结构保证确定性，安全级主处理单元采用固定规则使用这些数据，只接受根据事先预定义的合法命令清单来确定合法的信息，其他信息都将被丢弃。

4.4 通信FMEA分析

DI＆C-ISG-04中提到通信故障不应以任何方式影响安全功能的性能，因此在进行维护系统设计时，按照相关标准的要求，充分考虑了通信中可信的故障模式，进行了故障模式及后果分析，同时给出诊断或缓解措施，确保即使发生通信故障也不会影响保护系统内部安全功能运行。故障模式及后果分析举例见表4［15］。

表4的故障模式及后果分析表明，维护系统中发生的通信故障均设计有诊断和缓解措施，能够确保不影响保护系统安全功能执行。

集中维护系统的设计能够满足实体隔离、电气隔离和通信独立性的设计原则，硬件配置简单，软件易操作，通过故障模式及后果分析，满足系统通信可靠性要求，能够应用于安全级数字化仪控系统的维护工作。

表4 通信FMEA分析Table 4 Communication FMEA analysis

5 结束语

综上所述，阳江核电站5、6号机组数字化保护系统的维护系统的设计，具有以下优点：

（1）远程集中维护功能：维护人员在计算机房的工程师站即可远程完成对全厂安全级系统设备的维护，给维护工作带来很大的便利性，降低了人力和设备成本；

（2）可靠的通信技术：维护设备采用非安全级设备实现，严格遵循相关法规标准的要求，与保护系统之间实现了实体隔离、电气隔离和通信独立，能确保维护通信网络的故障不影响系统的安全功能；

（3）设备选型简单：采用非安全级设备实现，工程师站可以选用当前主流成熟的商用设备。

［1］王常力，罗安．分布式控制系统 （DCS）设计与应用实例［M］．北京：电子工业出版社，2016．

［2］国家核安全局．HAF 102-2004核动力厂设计安全规定［S］．北京：国家核安全局，2004．

［3］中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会．GB/T 15474-2010核电厂安全重要仪表和控制功能分类 ［S］．北京：中国标准出版社，2010．

［4］广东核电培训中心．900MW压水堆核电站系统与设备 ［M］．北京：原子能出版社，2007．

［5］国家核安全局．HAD 102/10-1988核电厂保护系统及有关设施 ［S］．北京：国家核安全局，1988．

［6］IEC．IEC61513 Nuclear power plants-Intrumentation and control important to safety-General requirements for systems［S］，2011

［7］中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会GB/T 13284．1-2008核电厂安全系统第1部分：设计准则 ［S］．北京：中国标准出版社，2008．

［8］中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会GB/T 13629-2008核电厂安全系统中数字计算机的适用准则［S］．北京：中国标准出版社，2008．

［9］孙汉虹．第三代核电技术AP1000［M］．北京：中国电力出版社，2010．

［10］张淑慧，任永忠．AP1000核电厂仪控系统介绍 ［J］．自动化仪表，2010，31（10）：48-51．

［11］IEEE Std 1012 IEEE Standard for Software Verification and Validationd［S］．2004．

［12］中国人民解放军总装备部电子信息基础部．GJB 5234军用软件验证与确认 ［S］．北京：中国人民解放军总装备部，2004． ［13］中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会．GB／T 13286-2008核电厂安全级电气设备和电路独立性准则［S］．北京：中国标准出版社，2008．

［14］NRC．DI&C-ISG-04，Highly-Integrated Control Rooms-Communications Issues（HICRc）［S］．Washington DC：NRC，2009．

［15］IEC．61500 Nuclear power plants-Instrumentation and control important to safety-Data communication in systems performing category A functions［S］．Geneva：IEC，2009．

Design of The Maintenance System for Nuclear Power Plant Digital Protection System

SUN Na，QI Min，XIE YiQin
（China Techenergy CO．LTD，Beijing，100094）

Maintenance system of the digital protection system of nuclear power plant is the key link of the fault analysis and system maintenance of the safety DCS．In order to improve the safety and work efficiency of maintenance during the system maintenance of nuclear power plant，based on the analysis of the digital protection system architecture and the maintenance function，combines the technique of FMEA analysis，design a new set of centralized maintenance system．Through analysis on its independence，which can meet the requirements of safety standards．The design scheme has the advantages of simple man-machine interface，convenient operation，and no influence on the safety function．Can be applied to the nuclear power plant safety DCS fault diagnosis and system maintenance，also can provide a reference for other industry DCS maintenance system design

Nuclear Power Plant；Protection System；Digital I&C System；Maintenance System；Safety class；FMEA

TP2

A

：1672-5360（2016）04-0027-07

2016-08-02

2016-09-22

国家科技重大专项 “自主知识产权的核电站数字化仪控平台研制”课题，项目编号2011ZX06004-030

孙 娜 （1980—），女，辽宁营口人，工程师，硕士，现主要从事核电站反应堆安全级DCS设计工作