核電站模擬儀控系統數字化改造規劃及實施策略

王洪濤，顧 毅

（中科華核電技術研究院有限公司，廣東 深圳518026）

以DCS為代表的分布式數字化儀控技術，近年幾乎在所有新建核電項目上得到應用。基于DCS技術對在運核電機組的模擬儀控系統進行數字化升級改造技術上完全可行。改造項目成敗的關鍵在于科學合理的前期規劃和可行性研究論證。核電站儀控系統改造是一個復雜的系統工程，其準備和實施階段需要考慮的因素很多，本文主要就項目管理和技術因素兩個方面對項目前期階段需關注的工作進行初步的分析和論述。

1 項目管理方面

20世紀九十年代中后期，以捷克等東歐國家為代表的部分在運核電站就已經對WWER電機組部分模擬儀控系統進行了數字化改造。NEI（NUCLEAR ENERGY INSTIUTE——美國核能研究所）指出：從WWER核電機組的改造升級過程中得到的最關鍵的經驗教訓并非技術問題，而是項目的管理問題。從項目前期準備階段開始，電站最高領導層就應給與足夠的重視和支持，為項目提供資源上的保障，建立規范的項目管理和組織運作體系［1］。項目管理方面需要關注以下幾點：

1.1 核電站儀控系統生命周期管理

EPRI（Electric Power Research Institute—美國電力研究協會）從九十年代開始為滿足美國核電站儀控系統升級改造的需求，組織進行了一系列的專題研究，并發布了一系列實施核電站儀控系統改造的方法和導則。這其中關鍵的一項就是儀控系統改造的生命周期管理（LCM—LIFECYCLE MANAGEMENT）。EPRI發布的生命周期管理方法是針對整個核電站運行壽期內的儀控系統綜合管理計劃。其目的是在儀控系統的維修和改造計劃之間尋求對特定電站最優的解決方案。綜合性的儀控系統改造應在項目的初始階段就立足于全局建立儀控系統的生命周期管理計劃。生命周期管理計劃提供了一種系統性的方法，使得核電站儀控系統改造不再孤立地分系統進行，而是通過對整個電站納入計劃范圍內的儀控系統現狀進行評估，通過建立計劃周期內儀控系統的最終愿景，對改造和納入維修計劃的子儀控系統設備進行系統性地規劃管理。

核電站儀控系統改造的項目生命周期按IAEA相關報告可劃分為十一個階段：項目長期戰略規劃階段、項目可行性研究階段、儀控系統整體架構和基本需求規范建立階段、各子儀控系統詳細需求規范建立和招標階段、各子儀控系統詳細設計規范階段、系統實現階段、工廠驗收測試階段（FAT）、培訓服務和文件移交階段、各子系統設備安裝階段、現場驗收（SAT）及調試階段、系統運行和維修階段。前三個階段屬于項目總體階段，中間7個階段屬于各儀控子系統改造實施階段；最后兩個階段則與電站生產工藝系統直接相關。從各階段活動或任務責任劃分，項目生命周期的初始階段和結束階段主要由電站業主負責，中間系統開發和設計制造等主要由供應商負責［2］。圖1至圖10參考IAEA相關文獻給出了生命周期中從可行性研究階段至最終系統運行和維修階段等10個階段的關鍵活動及其上游輸入和成果輸出。以下對電站相關的可行性研究、基本需求規范建立及子儀控系統詳細需求規范的建立等三個階段的主要工作內容作以簡單說明。

圖1 生命周期階段1Fig.1 Phase 1of life－cycle

圖2 生命周期階段2Fig.2 Phase 2of life－cycle

圖3 生命周期階段3Fig.3 Phase 3of life－cycle

圖4 生命周期階段4Fig.4 Phase 4of life－cycle

圖5 生命周期階段5Fig.5 Phase 5of life－cycle

圖6 生命周期階段6Fig.6 Phase 6of life－cycle

圖7 生命周期階段7Fig.7 Phase 7of life－cycle

圖8 生命周期階段8Fig.8 Phase 8of life－cycle

圖9 生命周期階段9Fig.9 Phase 9of life－cycle

圖10 生命周期階段10Fig.10 Phase 10of life－cycle

可行性研究階段的主要工作包括：審查現存儀控系統的需求文件，經分析和整理作為改造后新系統的輸入信息；明確改造范圍內涉及的儀控系統功能以及相關的儀控系統和設備；從功能、性能、獨立性、可操作性等方面評估識別現存儀控系統的優缺點；提出對新系統的初步需求，尤其應重視新增的和需要變動的功能要求；提出新系統的概念設計可選方案；從安全和運行角度分析改造給電站帶來的好處；新系統可選技術方案生命周期內的成本代價和利益分析；確定新系統的最優概念設計方案。可行性研究階段的成果是可行性研究報告，該報告提交用戶審查批準。在可行性研究報告中應對儀控系統改造范圍和實質提出明確的結論和建議。可行性研究報告作為電站管理層決策是否啟動儀控系統改造項目的基礎。

儀控系統總體架構和基本需求規范建立階段的工作是核電站儀控系統改造項目的核心工作。該階段的主要任務包括：定義改造范圍內涉及儀控系統的整體架構及相關的內外部接口；明確安全儀控系統，正常運行儀控系統，以及操作員人機接口系統的功能、性能以及可靠性要求；明確儀控系統的安全功能分類；明確操作員任務和儀控系統之間的功能分配；提出儀控系統的鑒定要求。該階段的輸出成果是概念設計文件以及新系統采購要求文件，同時作為改造儀控系統設計的一個基本原則指導文件。

儀控子系統詳細需求規范書編制及招標采購階段：儀控系統詳細需求規范建立階段需明確所有子儀控系統的設計和供貨通用要求、安全分級要求、功能要求、性能要求、可靠性以及相應的鑒定要求。該階段的主要活動包括：確定合適的潛在供貨商名單；準備采購技術規范書和招標書；編制評標標準；開標選擇供應商；與選擇的供應商就供貨和服務范圍、項目執行方式、選項以及項目進度計劃等合同條款取得一致意見，對基本需求規范和詳細的子系統需求規范進行升版并與供應商取得一致意見。該階段的結束標志是選定供應商并與之簽訂合同。

1.2 核電站儀控系統升級改造的長期戰略規劃

核電站大范圍的模擬儀控系數字化升級改造項目應根據電站的目標和承諾，以及電站的中長期運營規劃、中長期大修規劃、電站財務狀況針對核電站儀控系統的維修和改造作一個整體長遠規劃。首先對現有儀控系統現狀和潛在的未來需求進行全面調查和評估，根據評估結果并綜合考慮改造的成本代價分析初步明確項目范圍以及各子儀控系統的改造優先級；在項目長期戰略規劃中需明確項目最終完成后儀控系統、設備、及其架構的最終愿景，制訂各子儀控系統和主控室的分步實施規劃；初步確定項目的預算上限。

1.3 項目設計和實施導則

應根據項目要求制定特定的設計和實施導則，以保證在項目不同階段實施的各類似的子系統改造都有統一的設計要求和設計原則，保證系統在總體運行、設備維修等方面的一致性。需要特別注意數字化儀控系統有其特別的設計要求，如軟件V＆V的要求和應對共因故障的要求等。同時數字化儀控系統因其自身的技術特點，不可能對原來模擬儀控系統完全采用功能等效的替代方式，數字化儀控系統的強大的在線故障自診斷能力可簡化對安全儀控系統定期試驗方式的要求；數字化儀控系統豐富的數據信息和靈活可配置的技術特點可用來優化以任務為導向的人機界面系統；因而結合電站運行、維修、設備管理等各方面用戶的需求并充分考慮數字化儀控系統的技術特點制定全面、系統的改造設計和實施導則是成功實施數字化改造的基礎。

1.4 主控室的升級改造計劃

數字化儀控系統改造項目管理涉及的一個關鍵方面是制定主控室的同步升級計劃，建立改造后的主控室最終愿景，主控室可以是局部改動，也可以是基于模擬和數字混合式的主控室，還可能完全顛覆式地改為全新的數字化主控室，主控室的升級改造需要特別關注改造前后自動化水平的變化、人機任務的重新分配、運行規程的適應性修改和人因工程設計的應用與驗證。

1.5 儀控系統數字化改造風險

數字化儀控系統雖然在近期的新建核電機組建設上得到了普遍應用，其相關設備開發、系統設計等應用標準體系也基本建立；但由于數字化儀控技術本身的特點、核電站大范圍模擬儀控系統改造的復雜性，在基于數字化儀控技術進行升級改造時，需著重關注以下項目風險：改造需求規范（包括功能需求和性能需求）的正確性、完整性及適用性（針對數字化儀控技術特點提出針對性的需求）；數字化儀控安全軟件的共因故障風險及其應對措施；數字化儀控技術升級換代快由此帶來的儀控平臺及其軟件版本選擇及版本管理的風險；數字化儀控平臺及其工具軟件的成熟度及其鑒定的可靠性、可信性風險；數字化安全儀控系統軟件V＆V過程管理及其有效性風險；項目實施各過渡階段數字／模擬混合運行期間系統間接口、臨時運行規程的適用性、人因工程設計的有效性風險。

2 項目技術因素

2.1 核電站儀控系統的設計基準

核電站設計基準不僅作為電站的設計基準，也是核電站儀控系統的設計要求參考。作為核電站基本設計原則的縱深防御原則在數字化儀控系統應對共因故障方面也同樣適用。儀控專業的功能要求來源于工藝專業，儀控系統的安全功能要求同樣基于核電站的四大安全功能：反應性控制、三道安全屏障的防護、堆芯冷卻功能以及防止放射性擴散。除執行安全功能外，儀控系統對于核電站系統、構筑物和部件免受某些故障情況造成的威脅也起到重要的防護作用；核電站儀控系統還為運行人員提供事故工況的監視和故障診斷功能。在進行核電站儀控系統數字化改造時，如涉及核安全相關，則必須向安全監管當局申請許可，需重新審視核電站儀控系統的設計基準，并相應升版最終安全分析報告。

2.2 核電站儀控系統改造安全分級要求

核電站的儀控系統從其執行的安全功能上可分為安全級儀控系統和非安全級儀控系統。根據IEC61513、IEEE7＿4.3.2以及國家標準GB13629的要求，對核電站安全相關基于計算機技術的儀控系統需要考慮縱深防御、故障安全、多樣性、隔離、冗余，單一故障等設計準則，并滿足軟件V＆V、硬件鑒定、電磁兼容等方面的嚴格要求。針對改造后儀控系統的安全分級，應在原設計安全分級的基礎上，對照國際和國家相關安全功能分類和設備分級及數字化儀控系統的相關標準的最新要求，進行適應性調整。對不同安全等級的儀控功能，應采用滿足相應安全功能要求的儀控技術平臺。IEC61226對核電站儀控系統安全功能分類和分級作出了詳細的要求。

2.3 核電站儀控系統改造對儀控功能的考慮

核電站儀控系統改造對其原有儀控功能可采取兩種方式：一種是所謂”like for like”形式的替代，即采取新的儀控系統實現對原有儀控系統的替代，功能上與原有系統基本等同。另一種方式是功能增強型的改造，該種方式將充分利用新系統的技術特點，可滿足電站對安全性、可用性、可靠性的提高或提升機組出力的要求。例如采用DCS技術對原有工藝系統的控制采用按工藝流程的方式進行功能分配，提高機組的自動化設計水平、增加先進報警管理功能和數字化運行支持系統功能等都屬于功能增強型改進。

2.4 核電站數字化儀控技術特點

數字化技術相比模擬技術的最主要的特點是信號采樣的離散化和信號處理的數字化。對比模擬儀控技術，數字化儀控技術一方面具有零漂移、高精度、易于實現復雜算法、易于擴展、良好的故障自診斷能力等優勢；另一方面，數字化儀控技術使用軟件的復雜性和不確定性、功能的高度集中及其可測試性差等方面的特點在核電站安全儀控應用領域一直都是各國核安全監管部門高度關注的問題。核電站數字化儀控系統軟件工程需要V＆V以確保其可靠性。

2.5 核電站數字化儀控系統工程主要設計階段

核電站數字化儀控系統工程設計過程一般包括概念設計、系統設計、詳細設計等設計階段。概念設計主要包括擬定設計原則和編制功能設計規范文件。設計原則包括：電站安全分級原則；縱深防御和多樣性原則（3D）；信號編碼原則；通信和接口原則；測量、自動控制、監測、軟件人機接口和硬件人機接口設置原則；竣工文件編制、設備標志等原則。功能設計規范（FDS）獨立地詳細描述每個儀控系統應用功能，用于后續的各子儀控系統設備的招標采購。概念設計階段的設計原則和功能設計規范是項目V＆V測試的基準文件。系統設計和詳細設計階段的工作主要由設備供貨商完成。系統設計和詳細設計階段的主要工作包括：人機接口功能設計規范、專用應用軟件和接口的開發；數字化儀控系統網絡結構及系統配置的確定；項目I／O點數據庫的建立；控制功能組的劃分和控制任務在控制站中的分配；使用專用的數字化儀控系統功能圖開發工具創建控制功能圖；基于專用的人機界面編輯工具開發人機界面；生成接線圖、供電圖、端子圖等硬件設計文件和功能驗證測試程序。

2.6 核電站儀控系統數字化改造總體架構方案

從新建核電站工程實踐上看，安全級儀控系統和非安全級儀控系統兩個數字化平臺完全可以覆蓋核電站全廠儀控系統；參考當前我國在建核電機組的數字化儀控系統總體方案，考慮采用數字化反應堆保護系統后應對共因故障而增加必要的多樣性ATWS緩解系統設備，同時在主控室設置硬接線后備盤（BUP）的儀控總體架構方案是比較成熟和穩妥的技術方案。該方案的優點是選擇單一的DCS／PLC設備供貨商，能實現備件的標準化管理并有成熟的工程應用經驗，缺點是國內外能完全提供包括經鑒定合格的安全級DCS／PLC平臺的核電站數字化儀控系統成套產品的廠家數量有限，且形成了安全級平臺和非安全級平臺綁定的聯隊供貨模式，容易在長期備件和售后服務支持上受制于人。數字化改造總體架構的另一可選方案是采用多家DCS／PLC的產品進行開放式的集成（比如基于大多數DCS／PLC廠商都支持的OPC互聯技術），主控室人機界面系統采用統一的第三方成熟的SCADA軟件（如intouch或IFIX等），該技術路線的優點是在每個子儀控系統實施階段可以展開獨立招標，有利于降低設備造價；缺點是備件無法統一，各子系統間接口多，軟件V＆V困難。

2.7 核電站安全級儀控系統升級改造的可選技術方案

經過安全認證的DCS／PLC作為核電站安全儀控系統平臺是目前的主流發展方向。基于FPGA（field programmable gate array）和ASIC（application specific integrated circuit）等可編程邏輯器件的解決方案也可以作為備選方案。DCS／PLC是基于微處理器和操作系統的，相比于傳統意義上的模擬電路解決方式，它們顯得更為復雜。基于DCS的儀控解決方案一般是面向系統級的。ASIC和FPGA可視為“基于硬件的可編程設備”。它們在設計和實現方面比PLC和DCS要簡單得多，因此更利于進行安全性評估。它們也易于在不同的硬件平臺上使用（借助通用邏輯功能的實現），便于對安全級儀控系統實施進一步細分的多階段改造，減少系統整體改造的風險；烏克蘭、日本以及美國安全監管當局已認可FPGA應用于核安全儀控系統，法國和芬蘭也正在對基于FPGA的核安全應用進行認證。美國Wolfcreek核電站主蒸汽和主給水隔離安全儀控系統就是采用基于FPGA的數字化改造方案獲得了NRC的最終批準；日本Toshiba則基于FPGA技術開發了安全級的核功率量程監測系統；烏克蘭RAIDY公司更開發了基于FPGA技術的安全級RAIDY儀控平臺。IEC于2012年初發布了基于可編程邏輯器件開發核電站A類安全功能的儀控系統的技術標準，這也一定程度上表明了可編程邏輯器件用于核電站安全級模擬儀控系統改造技術上的可行性。

3 建議與總結

在運核電站模擬儀控系統大范圍的數字化升級改造是一項復雜的系統工程，涉及項目范圍的確定、項目的長期戰略規劃、實施方式的選擇（分步實施或一次實施）、子系統實施順序優先級的確定、是否進行主控室的現代化改造、安全監管當局的審批、數字化儀控系統總體架構和基本需求規范的建立、數字化儀控系統3D分析和軟件V＆V等管理和技術多方面的工作任務［3］。核電站業主方應系統性地建立一套項目管理方法和流程，采用IAEA／IEC等國際組織推薦的生命周期管理理念，充分評估電站自身儀控系統現狀，結合數字化儀控技術的特點，及早開展項目的前期規劃和可行性研究論證工作，并在整個項目進行過程中持續與國家核安全監管部門保持有效溝通，才能最大限度地實現改造的整體目標［4］。

［1］ IEC62096.Nuclear power plants instrumentation and control guide for the decision on modernization［S］.

［2］ IAEA－TECDOC－1389Managing modernization of nuclear power plant instrumentation and control system［S］.

［3］ IAEA－TECDOC－1016Modernization of instrumentation and control in nuclear power plants［S］.

［4］ 蔣祖躍.秦山核電廠反應堆保護系統及其相關設備數字化改造規劃和實施策略［J］.原子能科學技術，2010，44（1）：66－69.