安全级仪控系统国产化替代分析

傅长根

（三门核电有限公司，浙江 三门 317112）

0 引言

近年来计算机技术的飞速发展，使得现阶段国内建设的核电站都采用了数字化的仪控系统，这些数字化仪控系统平台以国外进口为主，三门核电同样如此。随着电厂的运行，采用国外平台的弊端将会逐渐显现，诸如核心技术没有转让、工控信息安全、设备老化、备品备件、可扩展性差和维护保养成本高等问题将变得格外突出。随着控制系统设备寿期的到来，仪控系统的国产化升级改造和替代是必经之路。目前，国内仪控设备供应商也在不断的致力于自主研发用于核电站的仪控系统，并且已经取得了不错的成果，国产化安全级仪控系统也在国内核电厂得到应用。

1 三门核电安全级仪控系统

1.1 系统结构

三门核电安全级仪控系统使用Common Q 平台实现反应堆保护和监测相关功能[1]。系统由4 个序列组成，4 个序列间相互隔离，且为冗余配置。自动控制时，系统完成四取二表决，如一个序列故障，则进行三取二，或者三取一表决。系统结构主要分三层：信号采集及处理、逻辑判断及表决、设备驱动及接口。不仅具备自动触发及控制设备功能，同时有手动触发及手动控制设备作为备用功能。

1.2 硬件设备

Common Q 平台硬件包括处理器模块、模拟量信号输入输出模块、数字量输入输出模块、脉冲信号模块、设备接口模块、安全显示器和维护测试面板。

1.3 信号传输

1） 安全级系统内信号通过AF100（Advant Fielbus 100）高速总线和高速数据链路（HSL）网络传输。AF100 总线用于单序列内通讯，用于监视通讯，不执行安全功能。HSL 网络提供序列内和序列间点对点的通讯，执行序列内和序列间的安全功能，在序列间通讯时，使用光纤保证系统序列间的电气隔离。

2）安全级与非安全级系统间信号主要传输两种信号：一种是用于事件记录；另一种是用于非安全级系统的控制与显示，但两种系统间必须是隔离的。

1.4 其他功能

1）诊断功能[2]：包括AI 输入信号的超量程、短路、断路、通信故障、处理器故障、机柜温度、电源模块状态和柜门状态等；系统平台的诊断信息最终送至相应系统进行显示和报警。

2）旁路及闭锁功能：可以旁路或闭锁某些安全相关功能。如果发生设计基准事故，当电厂进入安全功能需要的运行工况时，旁路自动去除。在试验模式下，允许旁路某个安全功能，对于旁路，要有足够的状态指示。

3）人机接口：通过人机接口操纵员可对现场工况进行监视及控制现场设备，便于对系统进行维护和试验。

1.5 平台技术特点

1）单一故障准则：系统中单一故障不能阻止系统安全功能触发或完成。采用冗余设计，减少反应堆停堆和专设安全设施的误触发，即使在试验或维护时旁通一个通道，仍满足单一故障准则。

2）完整性：系统在设计基准的所有可适用条件下，保持执行其安全功能的能力。经过环境和抗震鉴定，能保持执行安全功能的能力。具有抗电磁干扰（EMI）、射频干扰（RFI）、放电、浪涌、电瞬态的能力。

3）独立性和隔离：系统的多重序列间实体分隔和电气隔离。多重序列的设计和布置保证了自然事件、正常运行维护和试验、设计基准事故下不会引起安全功能的丧失。序列间的通信，采用隔离装置保证不同序列间的电气独立性，每个序列由单独的电源供电。

2 安全级仪控系统国产化现状和替代分析

目前国内的安全级系统主要有：国核自仪“和睿系统（NuPAC）”和核动力院“龙鳞系统”等。这些安全级系统均已实现国产化，通过了相应的认证，并且在国内运营或建设中的核电站应用。

2.1 和睿系统（NuPAC平台）

NuPAC 平台将作为CAP1400 示范电站的安全级仪控平台，为核电厂提供的分布式控制结构和高可靠性纯硬件实现方案。该平台采用FPGA 芯片开发运算逻辑处理模块、多种通用I/O 插件。由于采用模块化与标准化接口设计，平台具备高灵活性与可扩展性。NuPAC 平台不包含任何内嵌软件，其采用基于FPGA 的硬件来替代典型基于微处理器平台中的软件执行环路过程。采用基于可编程逻辑器件的设备，从本质上比基于微处理器的设备更安全、更可靠。

2.1.1 系统结构

NuPAC 平台的系统与Common Q 平台设计相似，由4个序列组成，4 个序列间相互隔离，且为冗余配置[3]。信号处理流程同样分三层：信号采集及处理、逻辑判断及表决、设备驱动及接口，同时也具备自动和手动功能。

2.1.2 硬件设备

平台采用一种真正基于硬件来替代采用微处理器和软件的方案，内部没有操作系统，没有运行软件程序，保护系统的逻辑则通过逻辑子卡的编程实现。以可配置电子模块为核心的通用逻辑模块，是由一块载卡、一块逻辑子卡和最多8 块I/O 子卡构成。I/O 子卡包括：模拟量输入子卡、开关量/脉冲输入子卡、温度输入子卡、三输入子卡（开关量）、RS-422/485 子卡、模拟量输出子卡和固态继电器子卡。

2.1.3 信号传输

平台以通讯的方式在序列内和序列间传递信号，以及与非安全级系统的传递信号，平台通过带隔离器的硬接线和网关传递信号实现隔离。

2.1.4 其他功能

具备旁路和闭锁功能，便于保护系统的运行、维护及试验，提供安全级人机接口作为平台的上位机系统，它接收来自FPGA 的数据，并把数据进行处理，将运行和维护指令发送至控制设备。

2.1.5 平台技术特点

1）先进的系统架构：采用特殊的双冗余星形网格通信拓扑架构，实现反应堆保护系统功能分散的设计思想，避免功能集中造成的风险。

2）降低软件共因故障风险：基于FPGA 的反应堆保护系统平台采用硬件配置的方式来实现各种运算功能，有效地降低了软件共因故障的风险。

3）长生命周期：与CPU 芯片相比，FPGA 芯片更长的生命周期、更好的逻辑可复用性都有助于提高寿期服务能力。

4）易于维护：具备全范围自诊断测试的功能，更快捷地对出现故障的设备进行定位维修。

5）安全性高：具有双重加密功能，可满足信息安全等级保护要求。

6）稳定性高：抗干扰能力强。

2.1.6 替代分析

通过上述可知NuPAC 平台与COMMON Q 平台设计相似，已经国产化的NuPAC 平台在设计和开发之初以不低于Common Q 平台安设计要求为标准，通过了国内HAF601认证，美国NRC SER 安全评估以及TUV 的IV&V 系统认证。NuPAC 平台包括全部与Common Q 平台相对应的子系统，在系统单一故障、冗余性、独立性、完整性和可维护测试等方面与Common Q 平台保持一致，能满足和实现Common Q 平台仪控系统的功能要求。作为基于FPGA 平台，具备更好的系统安全性，更好的卡件精度。NuPAC 平台也即将作为完整的反应堆保护系统在CAP1400、廉江项目CAP1000+等项目中应用。

2.2 龙鳞系统（NASPIC平台）

NASPIC 平台是中国核动力研究设计院根据核电厂法规、标准以及核电厂安全控制保护系统的系统要求，基于微处理器和网络通信等技术开发的一个通用的设备平台。以不同的软硬件模块为基础，根据工程应用的需要，可构成适用于不同堆型、不同架构的核电厂数字化安全级仪控系统。

2.2.1 系统结构

NASPIC 平台可以根据用户对系统整体可靠性的要求进行灵活配置，包括单控制器配置模式、热备冗余配置模式、1oo2 的冗余配置模式等。其保护系统可根据需求设计成多个冗余序列，以实现多序列冗余的表决逻辑，其中每个序列包括两个子列，保护系统具备自动和手动控制功能。

2.2.2 硬件设备

通用的、用于核电站安全控制保护系统设备集成的平台，主要包括：现场控制站、安全显示站、网关站、工程师站等。主控制站由一系列的核电基础板卡组成，可实现数据采集、逻辑处理、运算等功能，主要有控制器卡、通信卡、模拟量输入卡、模拟量输出卡、开关量输入卡、开关量输出卡、脉冲量输入卡。

2.2.3 信号传输

平台以点对点的安全通信方式在序列内和序列间传递信号，通信接收和发送链路独立，安全级与非安全级系统间，通过网关进行通信，传输介质采用光纤，确保了通信隔离和电气隔离。部分参与保护或控制的重要信号通过硬接线传递数据。

2.2.4 其他功能

平台具备旁路和闭锁功能，通过在主控制站中对系统的功能进行旁路操作，在优先模块中进行闭锁。同时采用了维护网络和工程师站的设计，这便于后续系统的维护和试验。

2.2.5 平台技术特点

1）单一故障准则：为了满足单一故障准则的要求，以便提供足够的系统可靠性，安全级仪控系统提供了冗余的设计，体现在信号监测层面和信号驱动层面。

2）监测层面设计：在信号监测层面提供了四重冗余的设计，分别对应4 个独立的保护组。任一保护组丧失，操作员可通过剩余的3 个保护组监测电厂状态；事故后监测系统所监测的参数也是冗余设置的，分别由对应的保护组进行采集和处理。

3）驱动层面设计：对于反应堆紧急停堆功能，在信号驱动层面提供了四重冗余的设计，分别对应4 个独立的保护组，至少需要两个保护组发出紧急停堆信号时才能触发反应堆紧急停堆。停堆断路器分为四组，构成了“2/4”的结构。任一保护组发生故障，驱动逻辑由2/4 退化为2/3。对于专设安全设施驱动功能，系统设计了两个逻辑系列，任一系列内的单一故障都不会导致安全功能的丧失。

4）故障安全准则：反应堆紧急停堆系统在设计中，当出现存在失去保护功能的故障或失去电源时趋于停堆动作。专设安全设施驱动系统当出现上述故障或失去电源时趋于不发出驱动命令。

5）自诊断：具有平台自诊断和工程应用配置的自诊断。系统的诊断信息经分类后送到常规控制盘上显示，同时在本地和维护工具上提供了丰富的故障定位手段。

6）隔离和独立性：系统的通道和序列都布置在不同的房间，满足独立性要求。安全级设备内部采用点对点光纤网络进行通信，安全级系统和非安全级系统通过网关进行通信，满足通信隔离性要求。

2.2.6 替代分析

通过上述NASPIC 平台的设计、功能等内容可以发现，目前已经国产化的NASPIC 平台在设计和开发之初遵循了安全级仪控平台的设计要求，标准体系涵盖HAF、HAD、GB、GJB、EJ、NB、IEC、IEEE、RG、RCC-E 等标准；设计、验证、试验鉴定等各个环节符合最新的国际和国内标准要求，通过TUV 的IV&V 认证，满足系统单一故障、冗余性、独立性、隔离性、完整性和可维护测试的要求，配置的各类I/O 卡件能覆盖所有的要求，能满足和实现Common Q 平台仪控系统的功能要求，并且NASPIC 平台即将作为完整的反应堆保护系统在霞浦核电中应用。

3 结束语

目前国内已经实现国产化的NuPAC 平台和NASPIC 平台在设计和开发之初都遵循了安全级仪控系统的要求，满足了安全级仪控系统在诸如单一故障、冗余性、独立性、完整性和可维护测试等方面的要求，基本可以满足和实现Common Q 平台系统的功能要求，并且在国内运营电厂中已有应用业绩，或已确定在后续核电项目中应用，故可考虑用于未来Common Q 平台仪控系统的国产化，但是国产化过程仍然需要进行修改和适用性开发。