1、第30卷 第12期2023年12月仪器仪表用户INSTRUMENTATIONVol.302023 No.12基于NASPIC的安全级DCS冗余IO设计何玉鹏,张 谊,姜 静,贾小东,臧锴钰(中国核动力研究设计院 核反应堆系统设计技术重点实验室,成都 610213)摘 要:在核电站反应堆保护系统的某些特殊应用中,比如极为重要的控制信号、无扰维护、不可运行性限制等场景,需要考虑可靠、稳定、有效的冗余 IO 设计,在不显著增加设备数量和故障点的前提下提高系统的可靠性和可用性指标。基于 NASPIC 平台的软件和硬件特征,以某核电站反应堆保护系统数字化升级项目为例,提供一种稳定可靠的冗余 IO 设计方
2、案,对类似应用需求场景具有适用性,对于华龙一号批量化建设具有一定的借鉴意义。关键词:核电厂;安全级 DCS 系统;冗余;设计优化中图分类号:TL362 文献标志码:ADesign of Safety Level DCS Redundant IO Based on NASPICHe Yupeng,Zhang Yi,Jiang Jing,Jia Xiaodong,Zang Kaiyu(Science and Technology on Reactor System Design Technology Laboratory,Nuclear Power Institute of China,Cheng
3、du,610213 China)Abstract:In some special applications of nuclear power plant Reactor protection system,such as extremely important control signals,undisturbed maintenance,limitations on non-operanility and other scenarios,reliable,stable and effective redundant IO design should be considered to impr
4、ove the reliability and availability of the system without significantly increasing the number of equipment and failure points.Based on the software and hardware characteristics of NASPIC platform,taking the digital upgrade project of a nuclear power plant Reactor protection system as an example,a s
5、table and reliable redundant IO design scheme is pro-vided,which is applicable to similar application demand scenarios and has certain reference significance for the batch construction of HPR1000.Key words:nuclear power plant;safety class DCS;redundant;design optimization收稿日期:2023-07-10基金项目:国家重点研发计划
6、项目(2022YFB3305200);四川省重大科技专项项目(2022ZDZX0008)。作者简介:何玉鹏(1988-),男,甘肃武威人,学士,从事核电厂安全级DCS的系统设计工作。DOI:10.3969/j.issn.1671-1041.2023.12.015文章编号:1671-1041(2023)12-0065-040 引言国内早期商运的 M310 核电机组,其仪控系统主要采用 SPEC200 或 Baily9020 等模拟技术,采用模拟仪表和继电器控制回路实现反应堆保护与安全监视功能,存在集成度低,自诊断率低,不便于维护和测试等困难。由于反应堆保护系统运行时间较长,设备老化严重,故障率出
7、现逐渐上升的态势,特别是在长期运行维护的消耗下,备品备件库存数量紧张,部分备件因停产而无法购买,将对核电机组的安全稳定运行造成隐患。因此,系统级别的数字化改造升级势在必行。国内华龙一号为主的新建核电机组,普遍采用国产的数字化控制平台,是国内核安全级 DCS 系统的主流发展趋势,具有高系统集成度、高可靠性和维护便利性等优势,可以显著降低运维成本,是理想的反应堆保护系统数字化升级替代选项。但在反应堆保护系统升级替代时,由于引入的数字化平台信号集成度更高,与原模拟技术的单信号回路相比,输入/输出板卡的信号通道数量显著增加。当单个信号故障后更换板卡,会导致该板卡上所有的输入/输出通道暂时不可用。此时,
8、保护系统的不可运行通道数量将超出机组运行规范要求(IO),导致核电机组不必要地直接退防。第30卷66 仪器仪表用户 INSTRUMENTATION为解决此问题,安全级 DCS 系统需要研究一种合理有效的冗余设计,以确保单一板卡因故障更换备件时,备用的信号采集与输出通道仍可以为系统提供有效可靠的信号,以满足机组运行规范要求,避免机组直接退防。此外,恰当的冗余设计也有助于提高系统的可靠性和可用性,有益于核电机组安全稳定运行。1 DCS冗余设计现状按照冗余对象,冗余设计通常考虑传感器冗余、IO 模块冗余、主控制器冗余、通信冗余等方面。按照冗余方式,冗余的分类方法多种多样,按工作方式分为工作冗余和非工
9、作冗余(备用冗余);按照在系统中所处的位置,可以分为元件级、部件级和系统级;国内外主流的工业过程控制系统大多采用 1:1 的部件级热冗余技术,具备有效且相对简单、配置灵活的特点1。作为核安全级 DCS 系统,日本三菱供货的 MELTAC 平台为一些极为重要的信号的 I/O 卡件作了冗余配置,目的是即使单块卡件出现了故障,也能保证安全、正确信号输出2。美国 Invensys 公司的 Tricon 平台设计为三重组合式冗余,由 3 个完全相同的系统支路组成,每个系统支路独立地执行控制程序,与其他两个支路并行工作,任一支路发生硬件故障,不会影响其他两路正常工作3。作为国内主流的核安全级控制系统之一,
10、龙鳞平台(nuclear advanced safety platform of I&C,NASPIC)根 据 核电厂法规、标准以及核电厂安全控制保护系统的系统要求,基于微处理器和网络通信等技术,开发了一个通用的设备平台4。目前,NASPIC 已全面进入供货阶段,广泛应用于华龙一号、玲珑一号等多个核电机组,特别是已成功应用在方家山核电厂区辐射气象监测系统改造工程5,充分展现了龙鳞平台在核电厂控制系统改造升级领域的优势。龙鳞平台主控制器可根据用户实际需求,灵活选择单主控、热备冗余、1oo2D、热备单主控等多种冗余配置方式。通信网络方面,也可根据具体工程应用需要配置为冗余或不冗余通信。对于龙鳞平台
11、各类 IO 模块,大多数模块本身不具备冗余配置功能,需要根据上游设计要求或实际应用要求,通过工程设计手段实现部件级的冗余设计。2 冗余设计策略由于数字化升级项目本身为旧系统的改造升级,在上游配电负荷、信号源接口、外部系统接口、设备安装空间等方面均有限制,故在考虑设计方案时,应充分利用NASPIC 平台的特点,尽可能采用平台已开发的冗余配置方案(如主控模块热备配置、网络通信冗余配置),避免因冗余设计导致系统显著增加设备数量和故障点。反应堆保护系统中,典型的信号传输链路为:传感器信号调理分配模块输入模块主控制器模块输出模块(通信模块)。其中,主控制器和通信模块都可按平台特征配置为冗余,故仅需考虑
12、IO 模块的冗余。由于反应堆系统所有的 IO 信号中,仅部分信号存在冗余配置要求,即参与反应堆停堆、专设安全设施驱动、事故后监视等重要功能的关键信号。结合以上因素综合考虑,所有 IO 信号全面采取冗余设计是不可取的。考虑借鉴MELTAC 平台的做法,仅对 IO 相关的关键信号实施部件级的冗余设计,即可以在最小化范围内配置冗余设计以满足用户需求,同时不过多占用设备安装空间,不显著增加系统的故障点。GB/T 13626-2008单一故障准则应用于核电厂安全系统中,对冗余设备或系统的定义为“功能相同的两个或以上的设备或系统,其中任何一个都可以完成要求的功能,而与其他设备或系统是否处于正常状态无关”6
13、。因此,冗余设计时还需特别考虑冗余部件的独立性,即冗余设计的两个模块中任一设备发生故障时,不会影响正常的功能执行。特别地,为了应对数字化升级后反应堆保护系统可能发生的软件共因故障,系统总体考虑设计一套多样化驱动系统(Diverse Actuation System,DAS),由不同于龙鳞平台的多样化平台实现,在冗余 IO 设计时,需要考虑与 DAS系统的接口,二者共用外部系统接口的同时保持隔离,均可独立驱动下游系统设备。在信号分配设计时,先不考虑冗余 IO 配置,按模块所有通道满配的原则,将所有信号分配到模块。然后,梳理其中存在 IO 要求的信号,集中配置到空余的模块。当设备故障需要更换时,无
14、论是满配信号的 IO 模块,还是冗余信号专用模块,整个系统依然可以为核安全相关重要功能提供稳定有效的信号。3 冗余IO设计典型回路对于输入信号和输出信号,冗余 IO 设计实现的原理和思路存在差异。针对输入信号,考虑在进行隔离分配模块设计时,额外增加一路信号去向,专用于冗余输入模块采集。两个不同的输入模块分别采集两路冗余信号,通过软件算法实现去冗余,再参与阈值比较等逻辑运算。对于输出信号,考虑配置两块独立的输出模块,软件组态设计模块输出相同的信号,再由硬逻辑电路实现去冗余的效果。此外,考虑 DAS 系统接口,硬逻辑还需实现龙鳞平台自动控制指令与 DAS 控制指令的逻辑取“或”的功能。3.1 AI
15、信号冗余设计冗余 AI 信号处理链路如图 1 所示。现场仪表信号传输到机柜后,经调理隔离分配,由两张不同的 AI 板卡采集信号后,通过软件进行去冗余处理,再参与逻辑运算,去冗余处理和逻辑运算都在主控制器模块中完成。对于模拟信号的去冗余算法,可采用 STA 两个输入(I1、I2)模拟量选择模件,已在龙鳞平台多个安全级 DCS供货项目中成熟应用。何玉鹏基于NASPIC的安全级DCS冗余IO设计第12期67图1 冗余AI信号处理链路Fig.1 Redundant AI signal processing link图4 得电动作的DO冗余设计Fig.4 DO Redundancy design for
16、 power on action图2 STA两个输入模拟量选择模件Fig.2 STA Two input analog selection module图3 O1N算法块Fig.3 O1N Algorithm block该模块可实现两个模拟量输入信号选择功能,输入信号 I1 和 I2 分别为 2 路模拟量输入信号,输出端 O1 为二者的平均值,输出信号也为模拟量类型。当 I1 和 I2 中某一路质量位变为“坏”时,会被算法自动剔除,输出值 O1 即为另一路的值,质量位为“好”;当二者质量位均为“坏”时,输出保持上一刻的有效值,质量位为“坏”。3.2 DI信号冗余设计冗余 DI 信号的处理链路与
17、图 1 相同,区别在于开关量的去冗余的算法与模拟量不同,采用龙鳞平台成熟应用的O1N 通用“或”模件。O1N 为带逻辑降级的“或”逻辑运算。其中,I1 和 I2分别代表两路开关量输入(最大可支持 10 路输入),O1 为逻辑表决的结果。当输入信号中有且仅有一路质量位为“坏”时,会被算法剔除,输出结果为剩余信号取逻辑“或”的结果,质量位为“好”;当输入信号质量位全都为“坏”,输出位所有输入信号逻辑“或”结果,输出质量位为“坏”。第30卷68 仪器仪表用户 INSTRUMENTATION图5 失电动作的DO冗余设计Fig.5 DO Redundancy design for power loss
18、action3.3 冗余DO设计用于控制功能 DO 输出信号有两种常见的动作触发方式,即得电动作与失电动作。对于设计为得电动作的 DO 信号,冗余 DO 的输出在电气上构成逻辑“或”的关系。此外,还需要考虑送下游设备开关量信号同时受 DAS 控制时,上述做“或”逻辑后的信号还需要与 DAS 的输出在逻辑上进行“或”运算。设计为失电动作的 DO 信号,冗余 DO 的输出在电气上构成逻辑“与”的关系,它们之中的任一回路得电均将使输出继电器得电。以上两种情形,在满足安全级 DCS 侧冗余设计的前提下,均保证了 DAS 独立驱动,系统的多样性功能未受到影响。3.4 冗余AO输出龙鳞平台开发有冗余模拟量
19、输出模块,该冗余 AO 模块可实现半值均流输出,设计采用自动处理方式,在故障发生情况下不需要人为操作而实现故障的快速切除,并在极短的时间内完成输出方式转换,从而达到输出“无扰”7。因此,可直接采用该模块进行冗余 AO 设计,不需要额外设计特殊的硬逻辑选择电路,仅需要将两个冗余模块的输出并联即可。3.5 故障推演对于 AI/DI 等输入信号,当存在信号故障时对应的信号质量位自动置于坏,拔出整张模块,模块所有输入通道对应的信号质量位自动置于坏,被去冗余算法自动剔除,算法输出值自动切换为另一模块的输入信号。更换备件后,故障信号质量位恢复正常,算法输出值保持不变。对于 AO 信号,当单张模块发生设备故
20、障时,平台自诊断功能探测该模块处于不可用状态,对应的冗余 AO 模块输出值可在极短时间内自动从半值上升到全值,系统整体的输出值维持不变。设备更换备件后,手动干预成功则模块正常输出。对于 DO 信号,当单个板卡的某一通道发生设备故障时,输出值可通过缺省值提前配置,不会导致下游继电器误动作。拔出单张模块后,相关的备用模块输出仍然可以保持硬逻辑电路中的继电器线圈状态,下游系统的 A 列和B 列设备不受影响。4 定期试验设计HAD 102/10-2021核动力厂仪表和控制系统设计中要求:“安全系统必须具有在核动力厂运行时对其进行定期试验的条件,包括各通道分别进行试验的可能性,以查明可能发生的故障和多重
21、的丧失”8。因此,针对冗余 IO 信号路径,结合平台的自诊断功能考虑,对于无法覆盖的 IO通道部分,应设计必要的定期试验,以确保设备故障可被及时发现。对于模拟量冗余输入信号,可以将不同输入模块采集的信号进行不一致比较。当二者偏离大于某一值时,则视为其中某一路信号链路不可用,将触发报警以提醒电厂运维人员。对于冗余开关量输入信号,根据信号触发特性,取二者“异或”后的结果,如结果为 1,则认为二者不一致,触发报警。对于冗余开关量输出信号,可通过工程师站分别强制DO 信号,依次触发信号功能,通过下游系统采集的反馈状态,以验证信号回路是否正常运行。下转64页第30卷64 仪器仪表用户 INSTRUMEN
22、TATION设备维护,可以在遇到问题时执行初步的故障排查。工程师级别:工程师可以访问所有的设备和系统设置,并且被授权执行高级的维护和调试任务。他们通常是对设备和系统有深入理解的专家,可以解决复杂的问题。管理员级别:管理员有权限访问和控制整个系统。他们可以添加和删除用户,更改用户的权限级别,以及配置系统的高级设置。他们也负责监控系统的整体性能,并确保所有的人员授权、设备定值符合要求。这种分级授权的方式可以确保每个级别的员工都只能执行他们被授权的任务,这样可以大大降低由于人为操作失误导致的问题。同时,平台采用先进的秘钥生成、存储、分发机制,使用非对称加密和对称加密算法结合,实现设备/操作人员身份认
23、证、动态对称秘钥协商、对称加密、数字签名等功能,确保开关通信安全。4 结论针对电站断路器领域遇到的问题进行初步分析,提出了一种系统的智能控制方案,给出了从智能微断、智能网关、智能平台 3 个方面实现方案,搭建核电站低压配电防人因智能管理平台,利用平台优势进行数据实时监控、风险预警、远程操作、自我诊断和安全控制,并将防人因管理的思路融入软硬件设计、运行维护方式,有效地管控低压配电及负荷,提升安全性。这是一次融合断路器和核电站防人因管理两个领域的探索运用,其中仍有很多方向值得深入研究,利用分级管理方式进行人员行为的管理将是下一步探索的方向。参考文献:谢昌荣,曾宝国.物联网技术概论M.重庆:重庆大学
24、出版社,2013.许友龙,刘莞,郑丽馨,等.近五年核电站人因相关运行事件统计分析与建议J.核安全,2023,22(01):49-54.刘林山.泛在电力物联网下配电微型智能断路器技术及应用J.农村电气化,2020(01):38-40.赵骥,齐晓锐,吴教丰,等.未来工业互联网松耦合结构理论、分析、评估及实现平台J.计算机集成制造系统,2021,27(05):1249-1255.杜小勇,卢卫,张峰.大数据管理系统的历史、现状与未来J.软件学报,2019,30(01):127-14l.123455 结束语安全级 DCS 系统检测核电厂异常工况并且触发必要的安全相关功能来达到并保持电厂处于安全停堆状态9
25、,直接关系核安全相关功能的执行。因此,安全级 DCS 系统的可靠性和可用性对于核电机组运行的安全性和经济性至关重要。本文针对某核电机组数字化升级的需求,在维持外部接口不变的前提下,提出针对 AI、DI、AO、DO 4 种类型信号的冗余设计方案,实现了设备故障更换时避免测量/输出通道不可用,进而避免了机组不必要的退防。与此同时,这种设计方案提高了系统的可用率和可靠性。这种设计思路与方法同样适用于其他重要信号通道的无扰切换,不仅适用于反应堆保护系统的数字化升级项目,对于华龙系列新建核电机组批量建设也具有借鉴意义。参考文献:李帮军,贺丽岩,赵中河,等.冗余技术在DCS系统中的应用J.自动化应用,20
26、12(06):5-6.董伟鹤,张岚,逄魁建,等.CPR1000核电站安全级DCS冗余DO配置单一故障分析J.自动化博览,2012(11):80-83.傅俊娴.Tricon系统在核电厂的应用J.仪器仪表用户,2018,25(09):71-73.武有光,张子鹏,杜枢,等.基于NASPIC平台的数字化核安全级DCS主辅数据分流研究J.科技视界,2019(14):8-10.马斌,王熙,潘东辉.NASPIC在方家山核电工程的应用研究J.核动力工程,2017,38(S2):136-139.中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.单一故障准则应用于核电厂安全系统:GB/T 13626-2008S.北京:中国标准出版社,2008.严浩,丁捷,赵淄弘,等.热备架构的冗余AO模块设计J.上海交通大学学报,2018(S1):102-106.何玉鹏,姜静,徐文杰.AP1000保护与安全监视系统定期试验风险分析与优化J.电力系统装备,2017(11):191-192.12345678(上接68页)
浙ICP备2021020529号-1 | 浙B2-20240490 
