基于核级数字化平台的应急柴油机控制保护系统设计与应用

刘克超，孙洪涛，夏利民，王志嘉，张 波

（北京广利核系统工程有限公司，北京 100094）

0 引言

应急柴油发电机组作为核电厂的应急安全电源，在丧失厂用工作电源和辅助电源后，可以为核电厂安全相关设备提供驱动电源，确保核电厂的余热排除，最终实现安全停堆[1]。因此，如何提高应急柴油发电机组自身的可用性和可靠性，也是核电厂设计时应该考虑的重要问题。

当前核电厂应急柴油发电机组的安全级控制保护系统广泛采用以继电器为主的模拟电路控制。由于继电器普遍存在设备故障率高、维护性差，以及自诊断覆盖率低等自身缺陷，导致现有应急柴油发电机组的安全隐患逐渐显现出来，并引起行业内的广泛重视。安全级数字化控制保护系统平台，简称“核级DCS”，其研发过程严格遵循核安全法规及相关行业标准，相比模拟电路控制具有高可靠性、稳定性及维护便捷等特点。随着核级DCS在核电厂的广泛应用，及其在运行过程中所展现的安全优势，使得采用安全级数字化平台实现核电厂核级主设备的控制及保护，已逐渐成为更优的解决方案。

1 控制保护系统设计要求

应急柴油发电机组执行RCC-P 3级安全功能，其控制保护系统应满足B类软件要求，质保等级C1。应急柴油发电机组控制保护系统按照设备分级分为：安全级和非安全级，安全级需满足IEC 62138中B类软件要求[2]。

安全级控制保护系统主要执行应急启动功能，在收到启动指令之后，确保机组能够在10s内完成启动，达到额定频率并具备加载能力。当发生超速及失压等保护后，能够快速实现机组停机功能，具体包括如下：①柴油机速度控制以及相关的监视功能；②发电机励磁调节系统，包含自动电压调节和励磁电流调节；③安全相关的辅助系统；④24V电源监视及信号处理；⑤低压配电盘监视和保护信号的处理。

非安全级控制保护系统主要实现非应急模式（定期试验模式）下机组的启停控制及非应急保护功能，具体包括如下：①非安全相关的辅助系统的监视和操作；②发电机及电气系统的信号的监视；③定期试验和维护，以及用于实现维护功能的人机接口设备；④自动同期功能。

2 现有控制保护系统问题分析

先前受限于国外核级DCS的高价格影响，安全级控制保护系统广泛采用模拟电路控制。由于其不存在软件，不需要软件V&V等活动，具有成本低、开发周期短的优点[3]。但是模拟控制由大量的继电器构成，集成度低，单个设备故障率高且不具有冗余控制功能，最终降低了整个柴油发电机组运行的稳定性及可靠性。另外，模拟控制保护系统接线复杂[4]，设备维护很不方便。当设备出现故障时，很难进行快速定位，对现场维护人员带来了一定的困扰。

通过上述分析可以看出，采用传统的模拟控制作为应急柴油发电机组的安全级控制保护系统，已不能满足业主当前迫切需求，需要对此类设备的控制保护系统进行重新设计并全面提升控制保护系统的可用性及可靠性。

3 控制保护系统改进方案

为了解决上述问题，本方案采用广利核公司自主研发的安全级数字化控制保护系统平台FirmSys产品，进行应急柴油发电机组的全数字化控制保护系统设计，即安全级和非安全级均采用FirmSys产品。本方案控制保护系统由一台安全级控制柜、一台非安全级控制柜及一台非安全级网关柜组成，控制保护系统架构如图1。

图1 控制保护系统架构Fig.1 Control and protection system architecture

安全级控制柜用于控制安全级设备，主要用于执行应急模式下柴油发电机组的紧急启动功能。该控制柜的柜门上配有硬手操，可以实现部分安全级设备的手动控制以及机组的手动紧急停机功能。

非安全级控制柜用于控制非安全级设备，主要实现非应急模式下机组启停控制以及非应急保护功能。该机柜的柜门上装有带触摸功能的人机接口设备，可以实现设备的软操作以及数据历史记录及显示功能，另外柜门上配有硬开关实现点动调速调压以及机组的启停功能，柜门上的报警指示灯和蜂鸣器用于指示当前系统的异常状态。

非安全级网关柜主要用来实现跟第三方系统Profibus DP设备的通信。Profibus信号首先通过协议转化模块转换为Modbus TCP协议数据，然后由网关转换为FirmSys平台所能识别的环网通信协议，最终送给非安全级控制柜或触摸屏，用于设备的控制和显示。

3.1 信号预处理及采集

应急柴油机控制保护系统需处理的信号类型包括4mA～20mA模拟量信号、RTD信号以及数字量干接点信号。

为了提高系统的抗干扰能力，柴油发电机组本体送往控制柜的模拟量信号，先后进入调理模块及信号采集单元实现输入信号的隔离以及滤波功能。

数字量采集信号，对于同一安全级别的信号和控制保护系统间的采集不需要隔离，信号直接送往采集单元。由于本方案中存在非安全级控制保护系统向安全级控制保护系统传输信号的情况，需要在安全级侧增加隔离继电器，以实现不同等级设备间的隔离，最后送往信号采集单元。

本方案中所有低级别（非安全级）系统向高级别（安全级）系统发送的信号均采用硬接线，以提高系统信号传输的可靠性。

不同信号采集原理如图2～图4。

图2 模拟量信号采集示意图Fig.2 Schematic diagram of analog signal acquisition

图4 隔离型数字量信号采集示意图Fig.4 Schematic diagram of isolated digital signal acquisition

1）模拟量输入信号

2）数字量输入信号

图3 非隔离型数字量信号采集示意图Fig.3 Schematic diagram of non-isolated digital signal acquisition

信号采集系统与逻辑处理系统通过冗余的链路进行数据通讯，单个通信链路故障，不影响整个系统的采集功能。为了防止数据采集链路中单个部件故障，而导致机组某个功能完全丧失，系统在IO分配中充分考虑了功能分散原则，对于机组的重要冗余信号，例如柴油机转速信号，控制保护系统在设计时会将3个转速信号分配到不同的调理模块，然后再送往3块不同的AI采集板卡，最终在控制保护系统内部进行阈值处理及表决逻辑运算。通过上述手段，可有效提高整个柴油发电机组控制保护系统信号采集的可靠性。

3.2 网络通信

控制保护系统内部网络通信方式主要有两种：点对点通信和多节点环网通信。

本方案中安全级控制柜向非安全级控制柜发送数据采用点对点的单向通信方式，即只允许安全级控制柜给非安全级控制柜发送数据，而不允许非安全级控制柜给安全级控制柜发送数据。通过配置可以实现通信路径上的物理隔离[5]，以确保非安全级控制柜故障或信号失效，不会影响安全级控制柜执行安全功能。另外，采用点对点通信相较以前继电器方案可节省大量柜间电缆。

非安全级控制柜、非安全级网关柜以及触摸屏之间采用多节点环网通信，该通信方式适合同级别控制设备间的网络通信，为双向通信。

点对点和多节点通信隔离措施如下：

1）点对点通信采用单向、点对点的通信，使得接收方与发送方的功能不会因对方的异常而受到干扰。

2）通信采用独立于主处理器的通信处理器来完成。通信处理器与主处理器之间的数据传输使用定制的双口RAM，从而保证CPU的运行不会受到通信板卡故障的影响。

3）通信具有确定性，预定义的数据长度和数据结构保证通信顺利进行。

4） 通过对控制站配置文件的下装，可以使通信处理器不接收内存映射区中的任何数据，同时CPU也不会从通信处理器的主写交换区读取任何数据。

3.3 逻辑控制

为了应对模拟控制器故障失效率高，无冗余备份等功能，提高应急柴油发电机组的可靠性，本方案控制保护系统采用主备冗余配置。其中MPU控制器、IO通讯板卡、环网通讯板卡，均采用冗余配置。当单个卡件发生故障时控制保护系统可实现无扰切换，不会出现控制保护系统整体失效的情况。

3.4 操作及显示记录

核电厂的人因工程正成为一个越来越受重视的课题，而人机接口设计是人因工程设计的一个重要要素[6]。该方案中，针对安全级和非安全级设备的具体控制要求，制定了以下人机接口实现方式。

由于安全级相关功能设备操作较少，通过在安全级控制柜门上安装钥匙开关及按钮来实现。对于非安全级功能设备的相关操作、状态监视及历史记录功能，主要是通过装在非安全级控制柜门上的安全操作显示单元来实现。该设备属于安全级设备，相比传统应急柴油发电机控制保护系统采用的工业级触摸屏具有更高的可靠性，操作面板设计对防人因误操作做了充分考虑。调出操作面板后，首先需要激活该面板，点击操作按钮后需要二次确认，操作指令方可下达。另外，非安全级控制柜门上装有少量旋转开关以及报警指示灯和蜂鸣器。该控制保护系统中用到的所有钥匙开关均配有不同型号的钥匙，以防止现场维护人员错用钥匙引发的误操作。

3.5 供配电设计

控制保护系统在设计时，为了防止机柜内部供电部件失效进而影响控制柜可靠性，同时保证系统具备在线维修功能，控制柜内部供电设备采用冗余配置[7]电厂24VDC直流供电线路进入机柜后被分为A、B两路为下游设备供电。这样即使单个电源或开关设备损坏，不影响整个控制柜的供电，进而提高控制保护系统的可靠性。另外，现场给每个控制柜提供一路非安全级220VAC交流电，用于机柜的照明和加热，系统供配电示意图如图5。

图5 机柜配电示意图Fig.5 Schematic diagram of cabinet power distribution

3.6 故障诊断及安全

控制保护系统设计了自诊断和自监视功能[8]，故障诊断可定位到模块级，系统可通过板卡点阵、安全显示单元以及机柜门灯等多种方式对故障进行报警显示，便于运维人员进行故障定位及处理。通过自诊断，控制保护系统可有效定位，诸如处理器、数据总线、通信、信号采集等故障，同时监视诸如供电状态、机柜温度、风扇状态等异常。当系统发生异常时，控制保护系统可根据设备安全需求，将系统输出置于安全状态或已证实的可接受状态。通过此方法，在控制保护系统故障状态下，使机组安全性、可用性和设备/人员的保护达到最优化的状态。

4 结束语

综上所述，基于安全级全数字化平台的应急柴油发电机组控制保护系统，在满足核电厂法规标准要求的前提下，通过采用冗余的硬件架构及配电，可确保单个部件损坏不影响整个柴油发电机组执行安全功能，相比继电器模拟控制保护系统在可靠性和可用性方面有了明显的提高。通过数字化平台带来的高自诊断覆盖率，方便用户进行快速问题定位。另外，非安全级控制保护系统采用核级控制设备大大降低了设备的故障率，降低了后期的维护成本。

安全级和非安全级控制保护系统采用同一平台，给现场维护人员带来了极大的便利性，同时由于采用了国产安全级数字化控制保护系统平台，使得整个系统的硬件成本大幅降低，为后续其它应急柴油机项目提供了很好的借鉴。