(中国核动力研究设计院 核反应堆系统设计技术重点实验室,四川 成都 610213)
核电站数字化控制系统(DCS)是核电站的“中枢神经”系统,及时有效控制核电站的稳定运行和安全防护。核电站DCS包括非安全级DCS和安全级DCS,其中安全级DCS在事故工况下完成反应堆安全停堆、专设安全设备驱动等功能,确保核电站以及环境与公众的安全。由于安全级DCS技术复杂以及对可靠性的严苛要求,目前我国大多数在运和在建核电站机组的安全级DCS系统采用国外进口,核心技术受制于人,供货周期长,且购买和维护成本高昂。基于自主可控和国际市场的拓展需求,我国迫切需要加快自主研制军用和民用安全级DCS的步伐。
中核集团中国核动力研究设计院先后完成了多代研究核反应堆一回路仪控系统的设计和设备供货,岭澳核电站、阳江核电站、“华龙一号”等一回路系统的设计,以及“华龙一号”堆芯测量系统的供货等,拥有丰富的核电及核动力装置的设计和供货经验。为实现安全级DCS国产化的目标,中国核动力研究设计院发挥自身在核反应堆仪控设备领域的技术和经验累积,攻坚克难,历时五年推出拥有自主知识产权的安全级DCS,抓住核电快速发展的机遇,助力中国核电“走出去”的国家战略。
2013年12月,依托中核集团“龙腾2020”科技创新计划的战略部署,中国核动力研究设计院开启核电站安全级DCS平台——“龙鳞系统”的研发。“龙鳞系统”是依据核安全法规、国家标准、能源局标准和国际电工委员会标准等一系列国内和国际的法规标准,以及核电站安全控制保护系统的系统要求,基于微处理器和网络通信等技术,打造的中核集团自主品牌的核安全级DCS通用平台。两年研制期间,系统研发团队在嵌入式微操作系统、核心主控制器板卡、安全通信协议、可靠性技术、信息安全技术和安全显示技术等众多关键设计领域均取得突破,2015年10月,平台1.0正式发布。系统包括紧急停堆系统(RTS)、专设安全设施驱动系统(ESFAS)、事故后监测系统(PAMS)等,可根据工程应用需要,灵活组成适用于不同堆型、不同架构的安全级DCS。龙鳞系统先后通过包括环境试验、电磁兼容(EMC)试验和振动试验的模拟件鉴定试验,并分别于2017年11月和2018年11月取得国家国防科技工业局颁发的军工核安全设备制造许可证以及国家核安全局颁发的民用核安全设备设计、制造许可证。2018年12月6日,拥有完全自主知识产权的多用途核安全级DCS平台——龙鳞系统正式发布,进一步打破安全级DCS技术受制于人,国内核电厂安全级DCS系统长期依赖国外供应商提供的局面,全面提升我国核仪控电设备设计制造能力,助力我国核电技术和设备实现整体出口。
“龙鳞系统”包括现场控制站、传输站、网关站、安全显示站和工程师站等五个基本的功能站,系统架构示意图如图1所示。其中反应堆保护系统主要通过现场控制站、传输站、网关站构建,主要功能包括当核电站条件达到安全限值时自动停堆,及时反映反应堆及专设系统状态并在出现异常时告警操作员,启动专设安全设施从而限制任何事故产生的后果和确保反应堆、核电站设备、人员和周边环境在事故条件下的安全等。安全显示系统主要由安全显示站构成,具有安全显示和有限的操作功能,包括安全级过程参数及报警显示、设备状态参数的显示、设备控制及复位闭锁等。事故后监测系统主要由安全显示站构成,主要用于运行及事故后的核电站重要参数的监测和显示以及存储,这些参数体现核电站的安全状况和事故处理的后果。
图1 龙鳞安全级DCS系统平台架构示意图Fig. 1 The structure of Longlinsafety-related DCS platform
现场控制站是完成控制保护功能的核心功能站。现场控制站由一系列核心基础板卡组成,包括主控模块、通信模块、扩展模块、输入模块、输出模块、优选模块、表决模块、终端模块和电源模块等,具有输入输出、网络通信和数据处理功能,可以根据工程需求进行配置、组合,执行数据采集、逻辑处理、运算等功能。来自现场仪表的信号在调理采集后,经过必要的信号转换和逻辑处理,最终通过输出模块或优选模块完成对现场执行器的控制。
传输站用于连接现场控制站与安全显示站、网关站、工程师站、其他系统(如后备盘BUP、紧急控制盘ECP等)的数据传输,主要完成运算处理、通信接口、支持维护与自监视功能。
安全显示站由处理单元、显示单元以及网络通信单元等构成,集成在一体机中。主要完成显示系统运行的关键参数并发送控制指令到现场的功能。
网关站用于实现安全级DCS平台与外部非安全系统之间协议转换和数据通信功能,由网关主控模块、网关安全侧通信模块和非安全侧通信模块组成。同时,网关站还起着隔离龙鳞系统安全级平台与非安全系统的作用。
工程师站软件NASPES是龙鳞安全级DCS系统的工具软件,离线运行在PC机上,用于安全级DCS系统自身参数和工程应用数据的配置和管理,实现生成逻辑组态和图像组态程序代码、生成工程配置信息、变量和状态监视等功能。
“龙鳞系统”作为中核集团首套具有完全自主知识产权的三代核电安全级DCS平台,具有全面的标准体系、高技术成熟性、完善的在线自诊断、高抗震机械结构、完整的产品系列、全面的冗余设计、良好的开放性、全面的验证与确认(V&V)等特性。
在标准体系方面,“龙鳞系统”在设计、研发、验证的全过程均严格遵循国际和国内核电行业最严、最新、最全的相关标准,同时也多种用途军用核动力仪控装置的相关标准,适合于多种用途。这些标准来源于监管机构的要求(包括国家核安全局和核管理委员会等)、行业领域标准的要求(核电领域、工业控制领域)、设计方和用户的经验反馈等方面,标准覆盖全面。“龙鳞系统”标准体系以HAF/HAD、IEEE系列法规标准为核心,结合了IEC、GB、NB等一系列当前最严格的法规标准要求,并根据核动力装置安全级DCS相关经验,在标准体系中增加了GJB、HJB等相关军用标准的要求。“龙鳞系统”融合了先进的功能安全理念,认证范围覆盖全面,由德国TUV SUD独立认证单通道即可达安全完整性最高等级SIL3。“龙鳞系统”符合行业相关标准达30余项,这些标准既是“龙鳞系统”设计研发的核心基础,也是“龙鳞系统”安全性可靠性最根本的保障。
在“龙鳞系统”的验证方面,对机箱机柜等结构方案根据设计要求进行力学仿真试验、热学仿真实验和电磁屏蔽仿真试验,根据评定标准和实验结果多次迭代优化结构设计方案,确保设计满足要求[1]。组建了独立的V&V团队开展V&V,依据IEEE 1012—2004确保V&V的独立性,“龙鳞系统”各项软件均通过V&V,展现了“龙鳞系统”平台软件设计的高可靠性。在仿真验证和V&V的基础上,通过鉴定试验对平台进行进一步的试验验证,包括基准试验、正常运行环境条件下极限值试验、机械强度试验和耐久性试验、抗震鉴定试验等一系列严格的高强度试验,同时还额外增加了冲击试验、颠震试验、高低温试验等船用鉴定试验。平台机械结构具有符合地面加速度0.3g设计基准的抗震能力,具备高抗震性能,满足三代核电的要求,保证系统在极端自然条件下正常工作[2]。
“龙鳞系统”是通用的安全级DCS平台,采用全面的冗余设计,平台的电源、控制器、IO、网络等重要部分均可提供冗余配置,能以不同功能的软件硬件平台为基础,根据不同的工程需要构成适用于不同堆型(如AP1000、“华龙一号”、M310机组堆型)、不同配置方案(单控制器配置模式、热备冗余配置模式以及1oo2D冗余配置模式)的核电厂数字化安全级仪控系统,满足用户对系统整体可靠性的不同需求。
图2 龙鳞系统样机Fig. 2 The prototype of Longlin system
“龙鳞系统”基于微处理器,网络通信等技术,历时五年,完成了包括自主操作系统NASBAY、安全通讯协议NASBUS、安全显示单元SVDU等一系列核心技术攻关,实现了软件以及系统集成的100%国产化,具有高可靠性、高稳定性、高自诊断率等特点。
“龙鳞系统”采用自主设计的核级微操作系统NASBAY,由中国核动力研究设计院为“华龙一号”研制供货的堆芯测量系统产品中成熟的微操作系统优化而来,成熟度高,拥有完全自主知识产权。该系统严格遵循IEC 60880、HAD102/16、IEC61508进行设计,其设计满足时间确定性、空间确定性以及任务确定性,系统自诊断与异常处理覆盖率大于90%,具有高确定性、高稳定性的特点。NASBAY结构框图如图3所示。
图3 NASBAY结构框图Fig. 3 The block diagram of NASBAY structure
自主设计的安全通讯协议NASBUS,采用高速串行网络,以光纤、UTP、STP为网络介质,具有低误码率、低串扰、低辐射等特点。在设计上采用物理连接上的点对点通信,保证一个链路上的故障不会扩散到其他链路,采用定周期通信,使通道之间关系确定、通信数据格式和长度固定、且通信不执行握手操作,同时发送安全数据都通过安全层封装。NASBUS满足安全级通讯协议独立性,确定性和可靠性的要求且全面覆盖IEC 61784-3要求的差错检验措施和残余错误率,通讯误码率低于10-11,领先国际标准一个量级。
安全级显示单元SVDU是安全级DCS的重要组成部分和核心关键技术。龙鳞系统SVDU采用一体化设计方案,通过一体机方案简化了安装方式和系统控制布局,优化了人机交互方式。在硬件方面,SVDU采用高达90%以上覆盖率的诊断单元,满足IEC 61508 & IEC 61513硬件安全完整性及系统安全完整性要求。在软件方面,SVDU运行软件按照A类软件要求进行开发,在设计中采用定周期运行、不使用中断、空间固定分配、使用自定义安全通信协议等方式来确保软件行为的确定性。龙鳞系统SVDU相对于其他同类产品,安装复杂度低,空间需求小,通讯接口多样化且通讯稳定,人机交互方式多样化等优势。图4所示为SVDU一体式结构示意。
图4 安全级显示单元SVDUFig.4 The safety-related display unit SVDU
“龙鳞系统”性能优异,系统精度、响应时间、可靠性等技术指标达到国内、国际主流DCS平台同等水平,同时部分关键指标更加优异。如设计系统容量水平优于大部分核级DCS平台(如西屋的COMMON-Q、阿海珐TXS等)。
“龙鳞系统”部分关键性能指标如下:
1)通道间链路延迟小于185 μs,通讯误码率低于10-11,通信速率不低于100 Mpbs;
2)信号采集及输出精度满足模拟量调理精度和输入精度均为0.1%,输出精度为0.2%;
3)系统可用率大于99.99%,拒动率低于10-7/指令,误动率低于0.1次/年;
4)误停堆率低于0.1次/年。
“龙鳞系统”的正式发布使我国核电拥有了自主可控的“中枢神经”,为我国核级仪控设备建设提供了有力支撑。目前“龙鳞系统”已签订并且在执行多个项目订单,涵盖二代核电站改项目及多个三代核电站项目。如“龙鳞系统”首次工程应用于方家山核电改造项目,2016年10月正式完成安装并投入运行,至今运行状态良好。同时,多个新建核电站以及已有核电站新建机组安全级DCS也将采用龙鳞系统。
比如在漳州核电项目中,“龙鳞系统”提供了包括反应堆紧急停堆系统、专设安全设施驱动系统、优选驱动系统、安全控制显示系统、网关系统、维护系统等6个子系统在内的全厂安全级DCS平台,供货规模超过50台。漳州核电项目安全级DCS平台采用热备架构,通过在单站中配置两块主控模块,以解决主控模块作为系统拒动和误动的风险集中点这一问题,系统设备上电后,备机周期性同步热机数据,正常运行并输出带备机标记的数据,提高系统的可用性和可维护性的同时尽量减小系统的规模。如图5所示为漳州核电站安全级DCS架构图。
图5 漳州核电站安全级DCS架构图Fig.5 The structure of safety-related DCS of Zhangzhou NPP
“龙鳞系统”的面世使我国成为世界上少数掌握安全级DCS技术的国家,但实现系统完全国产化和整体水平达到国际领先,还需要不断完善、优化和创新。核电DCS国产化包含系统设计、集成和软硬件平台制造的国产化[3]。目前,我国已具有系统自主设计能力和安全级DCS软硬件平台的自主知识产权,但在高端芯片方面尚与国际先进水平存在一定的差距,“龙鳞系统”中仍采用了部分进口的电子元器件。为避免芯片问题成为我国核电行业全面自主供货的阻碍,规避使用国外产品的潜在风险,元器件的国产化替代以及核级专用仪控芯片的研究迫在眉睫。此外,智能化也正改变着核电传统的设计和运行模式。大数据和新一代人工智能等前沿技术的发展将成为核反应堆仪控系统发展的推动力,在核电DCS上层建立智能控制平台,通过分析和处理历史数据,或利用核电模拟机的学习样本训练建立预测模型,实现故障预测和优化管理,降低发生事故的概率[4]。应用虚拟现实技术开发核电站仪控设备运维系统等方向均具有广阔的应用前景。