★北京广利核系统工程有限公司高德民

关键词：仪控系统；模拟系统；数字化改造；策略；风险

1　引言

我国在建以及在役的核电站目前已居于世界前列，随着时间的推移以及技术的进步，在役的电站陆续都面临改造问题，尤其是上世纪九十年代运营至今的核电站，其仪控系统多采用模拟技术设计，更面临整体技术的更新换代，即进行数字化改造。NB/Z20250指出更新改造的动因主要出于经济性和安全性两个方面的考虑。用更先进的设备替代原有的仪控设备，通常可增加系统的功能和改进系统的性能，但多数情况下，进行设备升级的主要原因是由于旧设备存在问题而不是出于新设备可带来的收益^[1]。仪控系统的主要问题多集中在仪控设备老化和面临设备停产。另外，基于模拟技术的仪控系统也限制了进一步提高仪控系统性能和提升电站自动化水平。与模拟技术相比，数字化技术具有明显的优势，其应用不仅有利于改善核电站的安全状况及稳定运行水平，对于解决备件问题、优化人机接口，以及减少人因事故也具有重要意义。因此，当前模拟仪控系统的数字化整体改造也都逐步在执行，但该类改造因涉及范围较大，会面临更多的改造风险，需要提前考虑应对。本文对模拟仪控系统的数字化改造实施策略提出了建议，并对存在的风险进行了分析和给出了应对措施。

2　模拟仪控系统改造实施策略

作为核电站的“神经中枢”的仪控系统，其控制着数百个系统和近万个设备的运行。根据对核电站这些系统或设备改造的调研结果，模拟仪控系统改造实施的策略基本可分类为如表1所示的5种具体情况。

表1 改造实施策略

注：备品备件指原物项，全新物项指非原物项但可替代原物项，单元整体指机箱不见组合，机柜整体指成套整体单机柜，系统整体指完整系统设备（一般包含多机柜）。

其中，（1）、（2）不涉及I&C系统整体架构的变化，可保持当前功能分配和设计基准（纵深防御和多样性等）不变。其他几类可能需要升版整个I&C系统架构，并进行可靠性、故障和危险分析。对于（3）、（4）、（5）则还需要区分，是对一个单一I&C系统的改造，还是将多个分散的I&C系统集成到一个新的I&C系统中（这可能会对安全原则提出挑战，如纵深防御和多样性）。

2.1　备品备件替换

备品备件即应用原物项（原设备供应商提供的相同型号的物项）进行替换，通常用于应对设备发生单一随机故障。

对于暂未停产设备可通过老化更换进行预防性维修以降低故障率，对于已经停产或者即将停产设备，可通过物项替代、反向设计或者老化翻新维修暂时解决备件问题。但该措施只能维持原系统的性能，长期来看，只能通过数字化改造才能彻底解决。

2.2　全新物项替代

为了解决备品备件短缺或价格过于昂贵的问题，一般也会采用相同功能的全新部件进行等效替代^[2]。基于不同应用场景，通常可采用如表2所示的方式。

表2 全新物项替代执行方式

为保证可实现替代，采购物项需要与原部件进行关键参数分析对比，并对安装该部件的原设备的鉴定性能（环境、抗震、EMC）进行影响评估，必要时需搭建环境与相关设备连接后执行功能、性能、接口验证。

2.3　单元整体替代

如果涉及对多模块进行功能改造，可能会应用到仪控单元替换，例如机笼整体替换。基于不同应用场景，通常可采用如表3所示的方式。

表3 单元整体替代执行方式

替换单元需要与原功能模块进行功能分析对比，并与未执行改造的关联单元进行匹配性评估，还需要对安装该仪控单元的原设备的鉴定性能（环境、抗震、EMC）进行影响评估，必要时需搭建环境与相关设备连接后执行功能、性能、接口验证。如果涉及软件开发，应按照安全级设计流程开展软件开发工作。

2.4　机柜整体改造

在更多的改造项目中，通常会对一个或几个机柜整体进行更新改造，此时应严格按照设计流程开展改造设计工作，并需评估改造后机柜对相邻或相关设备，以及电厂环境的影响，包括用电负荷、散热量、楼板承载等。

对于安全级改造，机柜内数字化设备通常应采用成熟的安全级DCS平台实现，而相关的电气部件（如电源、断路器、继电器等）通常需采购商品级部件，通过执行适用性确认（CGD）验证。

2.5　系统整体改造

对于执行规模更大的系统整体改造，例如保护系统（RPS）整体改造，应严格按照安全级设计流程开展改造设计工作，并应完成纵深防御和多样性（DiD）分析，以及对电站整体安全分析（PSA）的影响。

对于安全级改造，系统内数字化设备通常应采用成熟的安全级DCS平台实现，而相关的电气部件（如电源、断路器、继电器等）通常需采购商品级部件，通过执行适用性确认（CGD）验证。

3　数字化改造考虑因素

当前我国核电站进行仪控系统设计或改造时主要遵照《核动力厂设计安全规定》（HAF102）《核动力厂运行安全规定》（HAF103）等相关法规要求开展相关工作，所以进行核电站模拟仪控系统改造时，需对以下因素重点考虑：

3.1　设计要求

对于运行时间很长的电站，例如使用模拟仪控系统运行超过30年的核电站，其当初施工的工程方法和当前工程方法会存在很大不同，且期间发生了很多技术革新以及相关法规标准的升版。因此原设计要求可能很多不再适用，必须考虑与当前最新的法规标准结合。

仪控系统的安全分级是更新改造面临的首要问题，系统的安全分级规定了仪控系统生命周期要求的资质和质量保证。近年发布的SSG-30、IEC61226等对安全分级要求有了很大调整，考虑了功能与预期运行事件（PIE）之间的关系，以及功能未执行的后果严重程度。首先，所有的仪控系统或设备功能（准备改造的）都必须要识别、说明并分类。这样具体的仪控系统或设备功能规格要求通常不同于旧电站，但监管机构可能期望形成一套完整的现代化设计体系。

除安全分级外，纵深防御和多样性的设计也是需要面对的一大问题。福岛事故后，核安全法规已对纵深防御要求进行了修订。更新改造时，必须要考虑纵深防御和多样性的要求，可能需要增配独立的多样性系统。

3.2　设计文档

早期建成电站的生命周期过程要求的文件范围与当前可能存在较大差异，之前整体架构设计文档和规范可能普遍不再适用。原有竣工文件的不完整也会对更新改造的实施带来很大的挑战，具体的影响还取决于更新改造的范围和类别。另外，在运行期间，可能执行了很多修改或优化，而相应的文档可能没有全部对应升版。变更文档的缺失可能导致更新改造基于不正确的设计输入。

3.3　物理配置

应识别电站中安装的所有部件，要求对电站中安装的所有安全级和非安全级部件全覆盖，包括相关系统的标识、位置、部件类型、版本、模块编号等。如果准备执行整体改造，则需重点对线缆及端接相关信息勘察清楚，因为经验表明，线缆及端接是影响改造实施的关键因素。

3.4　改造过程

HAD103/14要求，修改应当满足核动力厂质量保证大纲和程序、工作管理体系等要求；应当全面评价修改的后果，并确定出修改的边界和影响（包括实体、系统和控制的边界，以及修改实施的环境条件）；应当适当地审查修改对核动力厂安全造成的所有影响并完成必要的安全分析，确保修改满足安全基准^[4]。质量保证工作过程是用户和供应商必须开发和遵循的。确定设计要求和工程的生命周期过程至关重要，包括质保大纲、质量计划、配置管理和工程管理要求。

在充分考虑效益产出比预算满足的情况下，仪控系统更新改造的范围和类型是整体工作过程复杂性的重要因素。对于新仪控系统的实施（机柜、系统替换），需要用户评估改造范围相关的所有SSC（系统、构筑物、部件）和专业的影响，通常包括如下方面的重新评估：

（1）仪控系统功能规格（包括仪控系统功能分配到不同的纵深防御层次、安全分类）；

（2）隔离准则（关于房间/电缆桥架的实体分隔、电气隔离、功能独立性和通信独立性）；

（3）多样性准则（设备、设计、功能、人因等）；

（4）人机接口（报警、电厂运行等）；

（5）信息安全（访问、网络控制等）；

（6）运行和维护（定期试验等）；

（7）供电系统（电源、环境条件等）；

（8）内部和外部危害（地震、火灾、导弹等）；

（9）接口匹配（改造需要尽量匹配已有设备的控制接口和信号类型）；

（10）安装空间（改造后的仪控设备布置需尽量适应已有土建结构）；

（11）现场改造时间窗口（改造时间需满足在役电站预留时间窗口）。

根据当前电厂文档的质量和范围，可能需要进行全面的重新设计。范围越复杂，相关方的互动就需要越多，尤其是用户和供应商的密切合作，联合执行工作，并明确各自的职责任务。

配置管理（CM）是每个更新改造的必备条件，包括已安装的SSC的信息和有效的系统文件的修订版。CM还将进一步监督配置变更控制、状态记录和发布管理。所有相关方必须在整个工程生命周期内支持CM的工作过程，相关方的协调至关重要。

3.5　人员技能

当前主要相关方（监管机构、用户、供应商）面临人员技能方面的挑战。对技能的挑战不仅与新技术或工程方法的应用有关，事实上，最关键的方面在于对几十年前的电站设计知识的丢失，包括整个与I&C相关的活动相关知识。例如对某个模块的实际技术应用的相关知识，基于模块特性可以实施专用的设计支持应用，而这些特性可能不会记录在模块的产品手册中，但只有原始设计人员知道，而缺失或错误的理解可能会导致改造错误。

另外由于核电行业的特殊性以及福岛核事故等影响，核电从业者可能被迫数量减少。退休或离开的专家可能没有得到充分的补充，知识技能没有得到继承便会造成重大的风险。而且专家通常了解各个专业领域（例如设计、分析、安装、调试），而当前员工可能只关注自己的专项工作领域，而没有获得自己工作外的知识。而对于复杂度高的改造，要求工程师涵盖整个工程范围。因此缺少专家的支持，项目执行过程中会面临很多挑战。

4　改造风险分析及应对措施

为确保核电站改造的高效、顺利完成，保障核电站的安全运行，在改造过程中将风险分析和规划应对列为实施的关键，以下是主要的风险分析及应对措施：

（1）技术风险。受限于电厂建设时期已有的设计基准与系统配置，存在与当前数字化的一些标准法规和设计准则不符合因素导致的技术风险，例如仪控的安全分级原则、仪控纵深防御层次、各仪控系统接口关系等，必须在已有电站设计基础上，满足当前数字化的一些标准法规和设计准则，进行数字化改造的仪控总体结构设计；另外，存在通讯接口风险，改造需要尽量匹配已有设备的控制接口和信号类型。而且改造的仪控系统与其他仪控系统改造窗口和实施设备平台可能不同，两者之间的通信接口兼容性要提前考虑，并应留有后续适应全厂数字化改造的接口，以避免这些系统多次改造。

（2）安装空间风险。当前已有房间的预埋、桥架布置难以改造，存在无法满足改造后的设备布置，需提前调研现有土建、桥架等已有结构定制开发部分产品。

（3）现场改造工期风险。在役电站改造为现场调试预留的时间很短，而改造工作密度极高，存在工期不足风险，因此需提前对改造后设备进行充分的功能、性能及接口验证，搭建原型系统及测试工作，同时安排精兵强将，合理安排工序，对各类工况进行模拟试验验证，可有效应对工期带来的风险。

5　结束语

模拟仪控系统数字化改造通常首先考虑采用最小代价解决现场问题。在机组投入运行的初期阶段，各设备状态相对稳定，对于随机故障只需执行替代工作。随着时间的推移，其面临监管要求提升、停产停服等情况，则不得不执行系统级改造。系统级改造因涉及范围较大，需要考虑各种影响因素，以应对人员、技术、设备等方面可能存在的各种风险，在实际执行改造时还需提前调研结合现场情况有针对性地制定更为具体的应对措施。

作者简介：

高德民（1977-），男，山东济南人，工程师，硕士，现就职于北京广利核系统工程有限公司，主要从事于核电DCS项目管理工作。

参考文献：

[1] NB/Z20250-2013, 核电厂安全重要仪表和控制系统更新改造决策指南[S].

[2] NB/T20088-2012, 核电厂安全级电气设备零部件更换要求[S].

[3] NB/Z20540-2019, 商品级物项在核电厂安全级电气仪控设备中的应用指南[S].

[4] HAD103/14-2023, 核动力厂修改的管理[S].

摘自《自动化博览》2024年6月刊