核電廠全范圍模擬機保護和安全監測系統仿真分析

陳素萌

（山東核電有限公司，山東 煙臺 265116）

0 引言

核電廠數字化儀控系統[1]提供了一個一體化的數字化控制系統，覆蓋了核電廠所有過程系統，實現了核電廠所有工藝系統和設備的數字監測、診斷、控制和保護功能。其主要分為電廠控制系統（PLS）、保護和安全監測系統（PMS）、多樣化驅動系統（DAS）、數據顯示與處理系統（DDS）、運行和控制中心系統（OCS）等。機組正常運行期間，通過電廠控制系統（PLS）完成機組啟停、參數控制等操作；機組某些關鍵參數異常時，則由保護和安全監測系統（PMS）通過停堆、專設安全設施驅動等手段為電站提供保護功能；多樣化驅動系統（DAS）則為PMS 系統的保護功能提供多樣化后備。核電廠數字化儀控系統架構如圖1 所示。

圖1 核電廠數字化儀控系統架構

保護和安全監測系統（PMS）作為安全級系統，主要有以下作用：①監測機組關鍵參數，必要時可使反應堆自動停堆和根據需要觸發專設安全設施。②根據操縱人員的判斷手動停堆和手動觸發系統級專設安全設施。③在事故期間和事故后提供必要的核級數據變化過程顯示。

全范圍模擬機作為操縱人員培訓、考試的重要設施，根據《核電廠操縱人員培訓及考試用模擬機》，仿真范圍應使操縱人員在模擬機上使用參考機組的運行規程處理某一變化過程所采取的操作行動與在參考機組上采取的操作行動相同，模擬機上要求的特定故障能力應滿足參考機組持照操縱人員培訓和再培訓大綱的有關要求。因而，為在模擬機上做好保護和安全監測系統（PMS）仿真工作，應對實際機組的保護邏輯、畫面、故障、交互等進行充分了解，選擇可行的技術方案仿真開發，并測試驗證仿真效果。

1 保護邏輯仿真

在實際機組上，與電廠控制系統（PLS）用DPU 裝載控制邏輯的方式不同，保護和安全監測系統（PMS）的邏輯主要以硬件的方式實現，即通過堆外核儀表機柜、雙穩態邏輯處理器、就地符合邏輯、綜合邏輯處理器、綜合通信處理器、綜合試驗處理器、高級現場總線、高速數據鏈接等實現其表決、信號傳輸的功能。保護和安全監測系統單通道邏輯架構如圖2 所示。

圖2 保護和安全監測系統單通道邏輯架構

全范圍模擬機對保護邏輯的仿真，應考慮實際機組的處理器結構、處理器間數據通信、I/O 模塊、高級現場總線通信、高速數據鏈接通信。

目前對保護邏輯的仿真一般有兩種方式。

（1）按照保護邏輯設計圖紙，在邏輯仿真軟件上進行算法塊、邏輯宏、邏輯頁組態[2]，加點、生成代碼，編譯后集成至模擬機。這種方式的好處在于簡單明了，便于維護，但同時也存在著結構單薄，若不人工添加組態則無法實現保護和安全監測系統故障仿真功能。

（2）根據機組保護和安全監測系統Function Chart Buider 輸出的組態，其中過程控制元素、數據庫元素的定義，以及系統通道、過程站、過程模塊、高級現場總線的布局，采用算法庫編制+整體翻譯的方式實現系統功能仿真。需要輸出的仿真代碼一般有以下11 類：①系統心跳監測代碼。②系統電源代碼。③雙穩態邏輯處理器、就地符合邏輯、綜合邏輯處理器、綜合通信處理器、綜合試驗處理器等的通信接口代碼。④過程模塊的輸入、輸出，其每個子模塊的輸入、邏輯、輸出代碼。⑤邏輯算法塊代碼。⑥故障列表及定義文件。⑦就地操作（如部分失效、部分旁路）代碼，就地操作列表及定義文件。⑧點的初始化文件。⑨與工藝系統模型、電廠控制系統（PLS）的接口文件。⑩與模擬機硬件的接口文件。1○與保護畫面的通信文件。

這種方式的好處是全面完整，與機組一致性較高，但維護起來缺少直觀界面，需要查找修改具體代碼或整體重新翻譯。

2 保護畫面仿真

在實際機組上，保護和安全監測系統（PMS）的人機界面安裝在主控室盤臺內獨立的PC 節點盒上（每個通道一個），PC 節點盒通過高級現場總線與保護邏輯對接，處理收到的信號，并在盤臺工業級顯示器上顯示，同時PC 節點盒也處理操縱人員的命令信息，將它們發送給保護邏輯。

全范圍模擬機對保護畫面的仿真，不僅需要考慮安全級設備狀態、參數信息的顯示，還要考慮關鍵安全功能狀態樹、曲線、報表功能的顯示。

目前對保護畫面的仿真一般有兩種方式。

（1）純模擬方式[3]，即按照機組保護畫面的樣式，在畫面仿真軟件繪制設備、開關、管道、線路、參數顯示、彈出框的圖符，完成畫面頁組態，并具體為每一個圖符的每一個配置項接點。這種方式的好處是不受設備限制，無須PC 節點盒，可直接安裝在模擬機模型計算機上進行調用，但缺點是仿真工作量巨大，容易人因失誤，并且需要龐大數量的點進行支持，運算占用CPU 較高。

（2）實物模擬方式，即采用與機組相同的方式，收集機組各通道安全畫面軟件直接安裝至工控機或計算機[4]，完成與模型計算機的通信接口開發，即可正確與保護邏輯交互。這種方式可使操縱人員感觀與在機組上完全一致，但往往需要采購指定PC 節點盒，或解決機組安全畫面軟件對硬件的綁定/授權問題。解決綁定/授權問題后，還可移植至虛擬機或云平臺等。

3 故障仿真

作為安全級系統，實際機組保護和安全監測系統在設計上故障率極低，但全范圍模擬機為向操縱人員提供全面的培訓，幫助其練習故障發生時的正確操作，需要分析機組可能發生的故障及其現象，對它們進行仿真。

3.1 系統故障類型

保護和安全監測系統（PMS）有如下類型的故障。

（1）機柜/站失電。受影響的過程模塊終止與高級現場總線、高速數據鏈接、I/O 的通信，數字量、模擬量輸出為0。

（2）過程模塊故障。故障的過程模塊終止與高級現場總線通信、高速數據鏈接、I/O 的通信，故障前最后一個數字量、模擬量輸出值保持有效。站內其他過程模塊仍舊正常工作，接收故障過程模塊數據的其他過程模設ERRON、VALIDOFF，接收的最后一個非故障數值保持有效。

（3）高速數據鏈接故障。故障高速數據鏈接到接收過程模塊的數據不再更新，接收過程模塊HSRERROˉ RON，接收的最后一個非故障數值保持有效。

（4）高級現場總線通道故障。故障的高級現場總線網絡所有通信終止，該網絡上所有站不再通過高級現場總線傳輸數據，接收數據的過程模塊設VALIDOFF，接收的最后一個非故障數值保持有效。

（5）高級現場總線失去電纜連接。發送數據的站不受影響，受影響的站不再通過高級現場總線傳輸數據，接收數據的過程模塊設VALIDOFF，接收的最后一個非故障數值保持有效。

（6）通信接口模塊故障。受影響的站不再通過高級現場總線傳輸數據，通信功能全局內存不再可用。受影響的過程模塊設RunOFF、ERRON，數字量、模擬量輸出保持故障前最后一個值。接收受影響過程模塊數據的其他過程模塊設ERRON、VALIDOFF，接收的最后一個非故障數值保持有效。

（7）I/O 模塊故障或失電。①AI 模塊故障或失電：AI 模塊設ERRON，所有AIS 通道設ERRON，最近一個有效AIS 信號值保持。②DI 模塊故障或失電：DI 模塊設ERRON，所有DIS 通道設ERRON，最近一個有效DIS 信號值保持。③AO 模塊故障或失電：AO 模塊設ERRON，所有AOS 通道設ERRON，AOS 輸出變為0。④DO 模塊故障或失電：DO 模塊設ERRON，所有DOS通道設ERRON，DOS 輸出變為0。⑤DP 模塊故障或失電：DP 模塊設ERRON，所有DPS 通道設ERRON，最近一個有效DPS 信號值保持。

（8）輸入通道故障。①對于模擬量輸入AI：過程模塊選定AIS 通道設ERRON，最近一個有效AIS 信號值保持。②對于數字量輸入DI：過程模塊選定DIS 通道設ERRON，最近一個有效DIS 信號值保持。③對于數字脈沖DP：過程模塊選定DPS 通道設ERRON，最近一個有效DPS 信號保持。

（9）數字量輸出信號故障。故障分為“FailON”“Failˉ OFF”“FailAsˉIs”，分別代表故障后DOS 通道值變為ON、OFF 和保持原狀。

（10）模擬量輸出通道故障。故障分為“FailHigh”“FailLow”“FailAsˉIs”，分別代表故障后AOS 通道值變為最高限值、最低限值和保持原狀。

（11）模擬量輸出通道失效為選定值。AOS 通道值變為選定值。

3.2 在模擬機上的仿真

保護和安全監測系統（PMS）故障的仿真基本需要從保護邏輯處著手。

如本文第1 節所述，若采用按照設計圖紙對保護邏輯進行繪制組態的方式，因機組設計圖紙并無仿真所需的故障點位設置，也不會有電源、系統內數據通信、系統內輸入輸出相關內容，因而仿真出的邏輯無法實現故障功能，若要添加，則需分析出最合適的強制位置，手動在邏輯圖上增加點塊、接線，并編制功能代碼。當需要仿真的故障較多時，按照上述方法逐個添加將無比煩瑣。

而若按照機組輸出組態，加過程控制元素、數據庫元素的定義，以及系統通道、過程站、過程模塊、高級現場總線的布局，整體翻譯仿真代碼（庫內算法塊設不同功能引腳），則可根據算法設置、代碼嵌套調用關系整體地考慮各類故障的實現位置，電源、通信、I/O 故障也可方便地實現。

4 系統仿真分析

正如保護和安全監測系統（PMS）在核電機組中的重要性，該系統同樣為全范圍模擬機非常重要的組成部分。從邏輯仿真、畫面仿真、故障仿真3 個方面綜合來看，目前該系統主流的仿真方式有兩種。

一種是純模擬，即邏輯按照設計圖紙繪制+邏輯繪制圖中增加故障仿真所需組態+畫面按照機組樣式繪制+逐項添加畫面算法；另一種是虛擬實物模擬[5]，即邏輯根據機組配置及組態翻譯輸出不同功能類型的仿真代碼+畫面實裝機組畫面軟件。兩種方式的優缺點已在本文1、2、3 節進行了說明，概括來講，純模擬的仿真方式軟件結構簡單，方便問題定位，但仿真點數量多，需單獨添加的算法多，模擬機數據更新或升級時，工作量巨大，工期較長；虛擬實物模擬的仿真方式與實際機組的一致性更高，數據更新或升級工期較短，但前期算法庫、翻譯工具開發難度大，因缺少直觀查看組態的界面，后期局部維護工作較為復雜，同時畫面安裝的設備可能會受到綁定或授權問題的影響。

新建機組全范圍模擬機建造時，應根據現場數據的完整性、模擬機開發進度要求、使用技術的成熟度、開發人員數量及經驗、實際操縱人員培訓需求、后續維護便捷性等諸多因素統籌考慮并選定保護和安全監測系統（PMS）仿真方案，上文所述的兩種方案也可以結合進行。總之，全范圍模擬機保護和安全監測系統（PMS）仿真精度越高，則感官、操作上越能復刻實際機組，其軟件架構與機組硬件架構越相似，則越能方便的實現部分失效、部分旁路、故障等拓展培訓功能，更好地提高操縱人員培訓準確性、有效性、全面性。

5 結語

本文僅對筆者單位機組類型的全范圍模擬機安全級儀控系統一層、二層仿真方式進行了闡述、分析，但核電模擬機該部分的仿真思路大體如此，實際開發過程中可能會遇到更為復雜的問題，需根據真實參考機組進行調整。