★北京广利核系统工程有限公司赵红霞，刘静波，张红梅

关键词：核电站；安全级；模拟系统；数字化；改造策略

核电站反应堆保护系统是核电站最重要的安全仪控系统，是保证核电站安全、稳定、经济运行的关键。早期建设的核电站保护系统是以模拟量组合单元仪表、硬件逻辑电路为主的模拟系统，其当前面临系统硬件老化、维护不方便、备品备件采购困难等问题，已严重影响到核电站的安全稳定运行，因此核电站安全级模拟系统的数字化改造迫在眉睫。

然而对安全级模拟系统进行数字化改造不是简单的升级改造，而是一项涉及安全、质量、进度和投资的复杂的系统工程。本文通过对改造模拟保护系统进行研究，并分析识别实施数字化改造的限制条件，评估其各系统面临的改造风险，从而提出可供选择的改造策略，以满足现场不同的改造诉求。

1    安全级模拟系统现状

核电站反应堆保护系统主要实现核电站反应堆紧急停堆、专设安全设施驱动等安全功能。早期采用模拟技术的保护系统主要包含过程仪表系统、保护逻辑系统、保护执行系统三部分。核电站安全级模拟系统框架如图1所示。

图1 核电站安全级模拟系统架构

（1）过程仪表系统：包括核岛四个独立的保护组，接收来自现场过程测量仪表的模拟信号（包括4～20mA信号、热电阻信号、热电偶信号、频率信号等），实现现场传感器模拟量信号的采集和阈值比较功能。每个独立通道内无冗余无子组区分，通道间无信号交互，不进行表决退化逻辑。

（2）保护逻辑系统：包括两个同样的逻辑列，主要由输入隔离插件、阈值继电器、符合逻辑（三取二、四取二、二取一）以及“与”“或”“非”以及记忆元件等逻辑处理部件组成。两个序列相互实体隔离并与电气隔离，接收来自过程仪表系统的信号，进行符合逻辑处理，产生停堆控制信号和专设安全设施驱动信号。

（3）保护执行系统：一般由继电器机架组成，通过继电器回路输出保护执行信号，继而完成紧急停堆和专设安全设施两部分功能。其通过大量继电器实现不同系统的控制功能，一个基本系统可由一个或多个继电器机架组成；继电器架为裸露机架形式，占用空间狭窄；信号功能布置按工艺系统布置，不同安全等级（1E/NC）信号未进行实体分离。

此外，主控制室模拟操作盘需要向操纵员提供全厂范围内系统设备状态监视及控制功能。因此核电站反应堆保护系统的改造还涉及与主控制室模拟操作盘的适应性改造。操作盘分布有大量报警窗、记录仪及机械式显示仪表、手操器等模拟仪表，仪表与设备间通常采用硬接线方式连接，信号种类存在非标准信号。

2　数字化改造风险分析

2.1　改造限制条件

相比新建电站，在役核电站安全级模拟系统的数字化改造工作将会受到更为严苛的限制。改造涉及核安全相关，必须向安全监管机构申请许可，从项目规划阶段开始就需密切与监管单位建立联系，项目实施全过程中需持续与监督单位沟通汇报。在此基础上，数字化改造至少还需要考虑以下几个方面限制条件：

（1）系统总体架构设计将首先与核电站建设时期已有的设计基准与系统配置。其次对电站整体进行安全分析评估，针对系统的安全分级原则、多样性与纵深防御层次、各系统接口关系等方面，必须在现有核电站设计基础上，并考虑当前数字化系统需遵循的标准法规和设计准则，进行数字化改造的总体设计；

（2）数字化改造一般不会涉及现场Level0设备更换，改造需要尽量匹配已有设备的控制接口和信号类型；

（3）原模拟系统中有大量的非标准信号及特殊接口，数字化改造时需考虑将非标准信号转换为标准信号，同时需考虑安全级设备的适用性确认（CGD）验证、鉴定等工作；

（4）改造后的设备布局尽量满足原有房间的预埋、桥架布置，同时考虑现有土建结构、开孔等制约条件；

（5）数字化改造一般不会重新规划电缆桥架，原有电缆也难以抽出更换，改造需尽可能考虑电缆复用；

（6）改造后的数字化仪控系统需要适应已有的厂房环境条件，必要时，需进行供电、通风系统的改造；

（7）数字化改造后，基于多样性和纵深防御原则，同时考虑到数字化保护系统软件共因失效问题，需要考虑增加多样性驱动系统。

2.2　改造风险评估

基于安全级模拟系统特点，结合数字化改造限制条件，识别出各部分改造主要风险如下：

2.2.1　过程仪表系统与逻辑保护系统改造风险

（1）改造内容：对保护功能重新进行功能分配，将原有系统功能明确，反应堆停堆控制功能、专设安全设施驱动功能分别在不同系统中实现，实现功能分离。

（2）影响范围：分散控制改造为集中控制,需要对保护功能重新进行功能分配，模拟量控制和逻辑控制融合，同时考虑反应堆停堆控制、专设安全设施驱动功能的功能分离。

（3）接口变更：非标准信号需转化为数字化系统能够接收的标准模拟量信号，大量硬接线接口改造后需变更为点对点通讯接口。

（4）线缆调整：数字化技术采用需新增通讯电缆，减少了硬接线电缆数量，需进行线缆的复用评估。综合评估，改造内容有相对成熟的方案可供参考，此部分改造空间相对充足，改造制约因素较小，改造风险正常可控。

2.2.2　保护执行系统改造风险

（1）改造内容：梳理、识别继电器机架上不同系统设备的安全等级，将1E与NC设备进行区分：1E设备分配至保护系统对应的专设安全设施和安全相关系统中，完成相应的控制逻辑；NC设备分配至非安全级NC-DCS系统中，同时增加对应的控制逻辑。

（2）影响范围：改造需要尽可能进行不同信号的安全分级，将1E、SR、NC功能进行分离，对安全级和非安全级仪控系统均有影响，同时还涉及与其有接口的其它系统（如报警系统等）的改造。

（3）空间限制：原有继电器机架空间狭窄，数字化改造后设备安装方式变化大，改造方案设计时需考虑机柜尺寸、安装方式与原有条件的匹配。

（4）线缆调整：数字化技术采用需新增通讯电缆，减少了硬接线电缆数量，需进行线缆的复用评估。同时，改造涉及继电器机架及线缆数量多，原有信号进行安全分级时需考虑隔离等要求，线缆调整范围更大，难度更高。

综合评估，改造影响范围大，限制条件多，空间限制尤其突出，信号梳理相对复杂，改造风险较大。

2.2.3　主控制室模拟操作盘改造风险

（1）改造内容：对主控制室进行整体数字化升级改造工作，在主控室Level2层重新设计后备盘（BUP），或采用数字化ACP系统来取代传统的模拟操作盘。同时，原有非安全级操纵员站（OWP）需同步改造。

（2）影响范围：涉及主控制室整体规划、原有模拟仪表及设备的拆除及替代，以及数字化人机接口设计，对安全级和非安全级仪控系统均有影响，同时涉及操作方式的变更，影响操纵员执照申请、操纵员监控手段及运行规程等全面变更。

（3）空间限制：主控制室存在大量模拟仪表及设备，需要在原有空间、安装等限制条件基础上重新设计布置主控制室盘台。

（4）线缆调整：数字化技术采用需新增通讯电缆，减少了硬接线电缆数量，需进行线缆的复用评估。

综合评估，改造涉及范围广，考虑到操作方式变更、操纵员执照申请等影响，需尽可能地提前考虑操纵员培训工作，改造所需时间长，改造风险大。

综上所述，安全级模拟系统各部分改造风险如表1所示。

表1 改造风险评估

3　安全级模拟系统数字化改造策略

根据安全级模拟系统功能相对分散特点，各系统改造风险难度不一，可以考虑对过程仪表系统、逻辑保护系统、保护执行系统，主控制室模拟操作盘各系统采取不同的改造策略，具体如表2所示。

表2 改造策略

3.1　改造策略1

考虑在运核电站通常在大修期间实施改造，而改造的时间窗口可能很短，因此我们提出了最小化的改造实施策略，规避保护执行系统和主控制室模拟操作盘改造会面临的高风险。

本策略仅针对过程仪表系统与逻辑保护系统进行数字化改造，保留模拟系统中的保护执行系统和主控制室模拟操作盘，同时对即将停产的模拟器件进行物项替代的方式保持可靠运行。

采用此方式，改造难度不大，改造工期要求不长，风险可控。但相对的，模拟器件的物项替代工作仅针对个别设备，尤其是安全级产品的物项替代，需要与原设备进行关键参数分析对比，并对安装该部件的原设备的鉴定性能（环境、抗震、EMC）进行影响评估，因而替代产品的选型和设计制造是一个比较繁琐的工作。而保护执行系统和主控制室模拟操作盘系统中需要进行物项替代的模拟器件种类繁多，随着机组运行时间增加，设备持续老化，物项替代整体进度未必能够完全满足机组后续运行要求。

3.2　改造策略2

如果改造时间窗口允许，为了保证整体控制层的统一性，便于后续运行维护，在过程仪表系统与逻辑保护系统改造的基础上，可增加对保护执行系统的数字化改造，但需要提前考虑小型化控制站的设计开发。

当评估产品具备应用条件时，可按该策略实施改造。改造风险最大的主控制室模拟操作盘，仍采用物项替代的方案保证可靠运行。同样地，物项替代整体进度未必能够完全满足机组后续运行要求。

3.3　改造策略3

如果改造时间窗口充分，可在控制层全数字化改造的基础上，增加对主控室模拟操作盘的改造，可以采用当前在二代加堆型（CPR1000等）核电站成熟应用的部分数字化方案，即OWP为全数字化设计，后备盘（BUP）采用模拟和数字结合的技术实现。

采用此策略，改造过程中可以统一考虑标准化接口模式，规避改造与未改造系统接口兼容风险，一定程度上减少后续因其他系统改造引起的已改造系统的二次改造或多次改造，基本解决模拟器件所面临的停产采购困难等问题；同时，可以充分利用数字化仪控系统的优点，提高仪控系统的可靠性及稳定性，提供相对丰富、便捷的人机接口信息。

3.4　改造策略4

如果改造时间窗口充分，且考虑保持技术的先进性，可考虑对控制层和主控制室模拟操作盘均执行全数字化改造。但目前在同类型堆型上尚无成功应用案例，因此改造前需要充分研究并验证方案的可行性。

采用此策略，改造过程中可以统一考虑标准化接口模式，规避改造与未改造系统接口兼容风险，最大程度上减少后续因其他系统改造引起的已改造系统的二次改造或多次改造，一次性解决模拟器件所面临的停产采购困难等问题；同时能够提供更加丰富、便捷的人机接口信息。

4　结论

核电站安全级模拟系统的数字化改造是一项复杂的工程，根据安全级模拟系统功能相对分散特点，各系统改造风险难度不一，本文通过分析安全级模拟系统构成及特点，对改造过程中各系统可能面临的风险进行了评估，并提出了四个改造策略。每种策略都各有优缺点，电厂可基于现场系统的改造紧迫性、改造预算及现场实施窗口等因素选取最适合的策略。

作者简介：

赵红霞（1982-），女，河南人，工程师，学士，现就职于北京广利核系统工程有限公司，主要从事在役核电站安全级DCS改造工作。

参考文献：

[1] 陈济东. 大亚湾核电站系统及运行[M]. 北京: 原子能出版社, 1994.

[2] 王洪涛, 黄立民, 熊国华, 等. 核电厂模拟仪表控制系统数字化改造规划及实施策略探讨[J]. 大亚湾核电期刊, 2016, 5 : 61 - 64.

[3] 蔡俊东. 核电厂仪控系统全数字化改造项目规划和策略[J]. 大亚湾核电期刊, 2016, 1: 63 - 66.

[4] 蒋祖跃. 秦山核电厂反应堆保护系统及其相关设备数字化改造规划和实施策略[J]. 原子能科学技术, 2010, 1: 65 - 69.

摘自《自动化博览》2024年12月刊