核电数字化保护系统概述.doc

核电数字化保护系统控制器研究摘 要目前，国际上核电仪控系统已经发展到第三代，新一代的核电仪控 系统采用数字化技术，提高了核电站运行的安全性和可靠性。我国正处 于核电事业的发展阶段，不仅需要新建数座百万千瓦级的核电站，还急 需将原有的部分老化的仪控系统更新换代。因此，发展我国自主设计的 核电仪控系统有着极其重要的意义。控制模件是整个保护系统中十分重要的组成部分，控制模件首先完 成数据信号采集后的预处理和数值正确性的确认，然后，根据反应堆紧 急停堆系统和专设安全系统分别设定的限值产生是否到达限值的逻辑信 号，再分别进行必要的逻辑运算，最后产生反应堆紧急停堆系统断路器 和专设安全系统驱动装置的启动信号。安全可靠的控制模件对于降低核电厂各种事故造成的经济损失，尤 其是重大的安全事故，起到非常重要的作用。所以说安全可靠的控制模 件是实现安全仪控系统功能的前提条件。为了保证核级数字化设备达到足够的可靠性，除了设备本身（包括 相应的硬件和软件）的高可靠性外，还在很大程度上取决于系统的设计， 包括它的技术方案、体系结构等。作为保护系统中设计较为复杂的组件，控制模件系统的设计不光要 考虑自身的运行情况，还要为 I/O 组件、通信组件等提供必要的接口和 通信协议。本文在遵循核级仪控设备的设计准则的基础上，比较国外保护系统控制模件的设计方案，采用当今计算机领域先进的技术，提出了一种基 于先进中央处理器的控制模件，通过可编程逻辑器件连接处理器和系统 部件的设计方案。文章首先对核级控制模件系统的功能需求进行分析，提出了模块化 的设计方案，并对各模块进行了详细的功能说明。其次，在基于模块设计的基础上，阐述了采用先进计算机技术的控 制模件系统硬件架构设计方案，并给出了完整的设计电路。最后，对于控制模件中比较重要的任务调度设计了一种较为可行的 方法。核电保护系统的控制模件系统设计在我国还处于一个空白阶段，希 望通过本论文中的控制模件的开发，为我国核电仪控系统的自主化设计 提供一些思路。关键词：核电仪控，保护系统，控制模件，系统设计The Research of Process Module for Digital Reactor Protection SystemABSTRACTNowadays, nuclear power plant (NPP) have been developed to the third-generation. The new technology use digital instrument and control (I&C) system, which can improve the safety and reliability of nuclear power plant. Our country is in the period of developing nuclear power, nearly 40 million kilowatt-level nuclear power stations will be build in the next 20 years and most of aging I&C system will be replaced in the resent years. So, it has great meanings to realize the nuclear powers self-development.Control module is one of the most important parts of the protection system. It directly controls the reactor shutdown system.To make digital nuclear instrument have enough reliability, except for devices it selfs high reliability (including hardware and software), it also depends on the design of the system, includes system architecture and technology proposal.As one of the most complex module in protection system, when design a control module, a lot of matters should be take into consideration. Not only running status, but also I/O interface and communication protocols.Based on the design criteria of the nuclear I&C system, this paper bring out these following parts:Firstly, analyze the needs of the control module and bring forward a design method of modularization.Secondly, this paper expatiate the design method based on advanced computer technology. Entire schematic circuit diagram is presented in hardware design, and every main module is introduced detailedly.Finally, take all the I/O module into account, this paper bring forward a method of process scheduling which is based on time sharing. In the end, theboot code is given also.Keywords: Nuclear I&C, Safety System, Control Module, System Design第一章 绪论1.1 引言到 2020 年，中国大陆的人均 GDP 要达到 3000 美元。为了适应社会、经济发展 的需要，能源必须要有较大发展。政府有关部门提出，2020 年，在降低煤电比例的 同时，要把核电的比例提高到 4%以上，使 2020 年核电机组的装机容量达到 4000 万 kW，加上在建的核电机组，未来 15 年，平均每年要新建 23 台百万千瓦级核电机 组，总的投资规模超过 500 亿美元。仪表和控制系统是核电站的重要组成部分，机组的安全可靠、经济运行已经在很 大程度上取决于仪表控制系统的性能水平，因此仪表与控制系统是发展核电的一个关 键。从我国已经建成的核电厂来看，早期建设的核电厂都是以模拟量组合单元仪表为 主的控制系统（如秦山核电厂主控制系统采用 Foxboro 公司的 SPEC200 组装仪表， 大亚湾核电站主控制系统采用 Baily 9020 系统），整个系统所需要的仪表控制器件数 量多，运行操作管理和维护工作任务重，大部分采用手动操作，控制系统性能已明显 落后，安全性和经济性也随着设备老化和备件减少以及故障率的升高而明显降低。同 时，大部分在役核电机组都在进行寿期延长工作，更换大量陈旧的仪表与控制设备是 其中的一个非常重要的部分。因此，早期核电厂的仪表控制系统急需换型改造。计算机技术的飞速发展使得现阶段核电厂数字化 I&C（仪表和控制）系统部分已 经从单机测控系统进入集散控制系统（DCS）阶段，并且随着通讯技术的高速发展， 产生了全数字化仪表控制系统概念，它将成熟的常规电厂集散控制系统融入现场总线 控制系统（FCS）及可编程序控制器（PLC），全面应用在常规岛、BOP（核蒸汽系统 以外的设备）、核岛部分的全过程控制，构成核电厂全新数字化仪表控制系统。数字化仪控系统除了完成其自身的测量、数据采集、控制等功能外，还具备自检 功能，能完成自我诊断、自我管理、在线修改、信息采集等，为预防性维修提供了有 效的手段。数字化仪控系统还具备高容错性、高冗余度的特点。通过数字化仪控系统 的改造，可进一步完善和提高仪控系统的功能和安全性。所以，我国核电数字化仪控 系统的改造势在必行。1.2 核电仪控系统的发展从我国已建成的和在建的核电工程来看，核电站的仪控系统经历了三个阶段1： (1) 常规模拟控制组合单元仪表为主的仪控系统，主要采用小规模集成电路为基础的模拟量功能元件及继电器等硬逻辑电路来控制，仪表器件数量多,运行操作管理和维护工作任务重,主控室较大，典型的有我国 300MW 秦山核电站主控制系统应用的 FOXBORO 公司的 SPEC200 组装仪表。(2) 模拟量和数字量混合运用的主控制系统，主要以模拟控制加上数字式分散控制系统，所需仪表数量大为减少，大量采用软硬件自诊断技术、冗余技术和网络通信技术等，提高了系统运行的可靠性。数字化技术是经过大量的试验验证后，逐步运用于常规岛等辅助系统。广东岭澳核电站（2980MW）仪表控制系统就属于这一类。(3) 数字化仪控系统，数字化仪控系统将应用成熟的常规电站分布式控制系统（DCS）加以改进并移植过来，高级的人机接口技术、光纤网络技术等合理地构成了核电站的全新数字化仪控系统。在常规岛、核岛等都全面应用数字化技术。典型的有：法国法马通公司 N4 系 统、美国西屋公司的 AP1000 的 Common Q+Ovation 系统以及德国西门子 TELEPERM XP+XS 系统等。1.2.1 核级数字化保护系统特点核级数字化仪控系统特点：(1) 系统各工作站是通过网络接口连接起来的，各工作站独立自主地完成自己的 任务，且各站的容量可扩充，配套软件随时可加载组态，每个工作站都是一个能独立 运行的高可靠性子系统；(2)实时可靠的工业控制局域网使整个系统信息共享，各站之间从总体功能及优 化处理方面具有充分的协调性；(3) 通过人机接口和 I/O 接口，对过程对象的数据进行实时采集、分析、记录、 监视、操作控制，还可以进行系统结构、组态回路的在线修改、局部故障的在线维修；(4) 结构上采用容错和冗余设计，使得在任一个单元失效的情况下，仍可保持系 统的完整性，即使全局性通信或管理失效，局部站仍能维持工作。从硬件上包括操作 站、控制站、通讯链路都采用双重化配置，从软件上采用分段与模块化设计、积木式结构、程序卷回或指令复执的容错设计，具有很高的可靠性；(5) 硬件和软件采用开放式，标准化设计，具有灵活的配置，可适应不同用户的 需要。工厂改变生产工艺、生产流程时只需改变系统配置和修改软件组态即可实现；(6) 软件面向工业控制技术人员、工艺技术人员和生产操作人员，采用实用而简 捷的人机会话系统，复合窗口技术，画面丰富、直观。趋势图、流程图、批量控制图、 计量报表、操作指导画面、菜单功能等均具有实时性。所配置的平面密封式薄膜操作 键盘、触摸式屏幕、鼠标器、跟踪球等操作器更便于操作，并越来越具有通用性。1.3 数字化仪控系统概述核电站数字化仪控系统的含义是指使用以微处理器芯片构成的，以数字处理技 术为特点的智能化电子设备和计算机系统替代核电厂中传统的常规测量控制系统，这 其中同时包括与核安全有关的控制与保护系统2。仪表和控制系统的主要目的是在稳态和瞬态功率运行期间，执行适当的控制和 提供自动保护，防止反应堆不安全和不正常的运行，以及提供触发信号以减轻事故工 况的后果。仪表和控制系统由下述系统组成3：(1) 反应堆仪控系统反应堆 I&C 系统完成所有安全 I&C 系统对核电厂重要安全参数的测量、处理， 并驱动安全设施，以保护反应堆和核电厂的安全。(2) 工程系统 工程系统实现工程设计、调试及系统的维护。 (3) 操作与信息系统实现安全 I&C 系统与操纵员之间的接口。 田湾核电站是我国第一个全面采用数字化仪控系统的核电厂，其数字化仪控系统的结构框图如图 1-1 所示：OM960操纵员终端 （主控室）网关 终端总线监测服务端口 监测服务端口处理单元 服务单元 工程系统 诊断系统 防火墙反应堆 紧急停 堆系统专设安 全设施反应堆 自动功 率调节 系统反应堆 限值系 统SR级TXP.AP电厂总线外部计算 机系统T X S优先级模块功能模件控制棒控制系统 驱动设备正常运行TXP.AP功能模件驱动设备驱动设备图 1-1 田湾核电站仪控系统框图Fig.1-1 The I&C system structure of Tianwan主要包括由网络、显示系统及操纵员终端 OM690、TXP 等构成的核电厂正常运 行控制和信息处理与显示系统，由 1E 级（安全系统）的 TXS 系统构成的反应堆保护 系统和反应堆限值和控制系统，以及通过防火墙按照 TCP、IP 标准网络协议与外部 连接的其他 DCS 计算机系统。根据国际原子能机构（IAEA）颁布的安全导则 IAEA50-SG-D3/D8，核电站仪控 系统分为三个安全等级，即安全级，安全相关级和非安全级。安全级仪控系统即反应堆保护系统，主要功能是在当反应堆超出安全限值范围 时，产生控制动作触发的反应堆停堆，它主要包括反应堆停堆断路器，以及合适的设 备布置，通过切断棒控系统的电源，之后所有的棒束在其自重作用下降至最低点，使 反应堆快速停堆，此过程通过反应堆保护系统的自动指令或操作员操作实现4。专设安全设施驱动系统是安全仪控系统的一个子系统。其前端驱动系统为反应堆 保护系统。安全设施包括其驱动单元及适当的设备布置，根据驱动系统或操作员发出 的信号实现保护措施。保护系统是核电仪控系统中极其重要的一部分，一个安全可靠的保护系统是核 电厂安全运行的必备条件。为了提高核电厂的安全性，就必须设计出更为先进、可靠 的反应堆保护系统，来保障相关人员及环境的安全。由此可见，核电厂反应堆保护系统对于核电厂安全稳定运行具有至关重要的作用。1.4 核电数字化仪控系统可靠性设计准则核电保护系统在核电厂中应用的一切技术和设备都必须是安全、可靠、十分成熟 且经过验证的, 必须严格遵守现行国家标准与核安全法规，如核动力厂设计安全规定 HAF102、HAF103，核电厂质量安全规定 HAF104 等56，设计理念则沿袭了模拟仪 控系统的设计理念。并且我国和其他国家都有非常严格的安全评审制度。简单来说，核电站安全设计的一般原则是：采用行之有效的工艺和通过的设计标准。保护系统作为一个特殊的安全系统，在数字化的开发过程中，应满足安全与可靠性原则。 可靠性设计准则可分为以下几个部分： (1) 单一故障准则满足单一故障准则的设备，在其任何部位发生单一随机故障时，仍能保持所赋予的功能。保护系统可采用模块化的模件技术及冗余技术，增强系统的可靠性及减少 共模故障出现的几率，还应符合可试验性和可维修性原则。对于构成核电厂设计的每 个安全组，都必须运用单一故障准则。安全组是用以完成各项为抑制特定假设始发时 间的后果使之不超过设计基准所规定限值所需要的动作的设备组合7。(2) 冗余性为完成一向特定安全功能而采用多于最少套数的设备，即冗余性，它是提高安全重要系统的可靠性并借以满足单一故障准则的重要设计原则8。为了满足冗余性的 要求，可采用相同的或不同的部件。(3) 多样性采用多样性原则能减少某些共模故障的可能，从而提高某些系统的可靠性9。设计应研究安全重要系统潜在的共模故障原因，以确定能有效应用多样性原则的场合。 同时给出安全重要系统的多样性分组。共模故障是这样一些故障，即当它们发生时，某单一事件能阻止多重的和类似 的部件按照设计的那样工作。多样性包括功能多样性和设备多样性。对要测量的参数尽量采用不同的物理效应或不同的变量来监测。在某些条件下可用不同类型的设备来测量同一物理量，以便克服共模故障。 运用多样性原则时必须： 考虑材料、部件和制造工艺的相似性； 运行原理或公用的辅助设施的类似性； 多样化对运行、维护和实验程序带来的复杂性。(4) 独立性为了排除环境、电气的相关影响，在通道与通道之间，保护系统与其它系统之间及在驱动信号的接口处均应设置隔离设备，保持物理上的隔离，要求在电气和结构 上都相互独立，以免丧失冗余性。为提高系统的 可在设计中采用下列独立性原则： 保持冗余系统部件之间的独立性； 保持系统中各部件与假设始发事件效应之间的独立性，即，假设始发事件不 得引起为减轻该事件后果而设置的安全系统或安全功能的失效或丧失； 保持不同安全等级的系统或部件之间适当的独立性； 保持安全重要物项与非安全重要物项之间的独立性。 独立性可在系统设计中通过功能隔离或者实体分隔实现。(5) 故障安全设计在设计核电厂的安全重要系统和部件时，应尽可能贯彻故障安全原则，即系统 或部件发生故障时，电厂应能在毋需任何触发动作的情况下进入安全状态10。(6) 可试验性和可维修性保护系统应用冗余度是为了使它们在发生一些故障之后还能继续成功地运行。然而，为了能发现和修理故障的元件，以防止故障积累和因之而发生总的保护系统故 障，则需要定期的试验，试验的要求是必须能够发现第一个故障。保护系统的冗余性 为在线测试提供了可能性。通过测试发现故障以及时检修11。1.5 数字化保护系统硬件平台1.5.1 数字化保护系统结构 (1) 数据采集计算机由数据采集计算机实现测量数据的 A/D 转换和数据调理，过程变量参数和设备状态参数的输入。(2) 功能计算机 由功能计算机实现必要的计算与处理，并与每个参数的安全限值相比较。若某个通道的测量值超过其限值，即产生以局部停堆信号。 (3) 表决计算机 各个通道的局部停堆信号，经表决计算机处理后产生停堆驱动信号。1.5.1 数字化保护硬件结构一般计算部分由下列模件组成：处理模件、安全通信处理器、安全通信模件、通 信模件和总线接口模件。处理模件实现报警和信息处理、功能处理等任务； 安全通信处理器实现与以太网、服务器接口计算机之间的数据传输； 外围模件包括模拟量和数字量输入、输出模件； 通信部分的模件包括接口模件收发模件和星型耦合器以实现光信号和电信号的收发功能，实现数据的传输。保护系统硬件架构如图 1-2 所示。 从图中可以看出对于保护系统的计算部分而言，控制模块与众多功能模块相连，处于整个计算部分核心的位置。处理模件作为保护系统中重要的核级设备，它的设计 必须满足核级设备的设计规范，并且整个保护系统的 I/O 总线，内存访问等与个人计 算机系统有所区别。所以，保护系统的处理模件不能套用现成的计算机主板系统。因 此，处理模件的设计直接影响整个保护系统功能的实现。保护系统硬件架构机柜Computing Components Communication Components背板SBG1H1 LAN L2 LANSBG2Control ModulesH1接口模件L2连接模件收发器处理模件星型耦合器通信模件总线接口模件安全通信处理器Peripheral ModulesAnalogDigital模拟量输出模件数字量输出模件模拟量输入模件数字量输入模件图 1-2 保护系统硬件架构Fig.1-2 The hardware structure of protection system1.6 本课题的目标和关键技术（1） 处理模件是安全仪控系统的重要组成部分 安全可靠的控制模件对于减少“误停堆”、“拒动”12，降低核电厂各种事故造成的经济损失，尤其是重大的安全事故，起到非常重要的作用。所以说安全可靠的控制模件是实现安全仪控系统功能的前提条件。（2） 控制模件是整个保护系统中的核心部件控制模件下连 I/O 总线，与 I/O 卡件通信，采集所需数据信号；上接实时数据网， 与工程师站、网管计算机通讯。控制模件完成数据信号采集后，进行预处理和数值正确性的确认。然后，根据反 应堆紧急停堆系统和专设安全系统分别设定的限值产生是否到达限值的逻辑信号，再 分别进行必要的逻辑运算，最后产生反应堆紧急停堆系统断路器和专设安全系统驱动 装置的启动信号。由此可见，控制模件是保护系统中直接控制停堆系统的部件，它的可靠性直接影 响了整个保护系统的安全运作。其次，控制模件是保护系统中为数不多存在软件的部件，其软件的 V&V 认证也 是保护系统可靠性的保障。控制模件是一个完整的计算机系统，它的实现方法直接影响各种输入输出模件和 通信模件的接口设计与软件编程。不仅如此，控制模件的软件编写也和系统设计有着 直接的联系。（3） 设计理念与常规的计算机系统不同 核级保护系统控制模件与普通的计算机主板有很大的区别，他们的控制任务和控制目