姚萬業(yè) 鄭偉智 侯軍委

(華北電力大學(xué)控制與計(jì)算機(jī)工程學(xué)院1，河北 保定 071003;北京廣利核系統(tǒng)工程有限公司2，北京 100084)

0 引言

隨著計(jì)算機(jī)和通信等數(shù)字化技術(shù)的發(fā)展，核電站逐漸采用先進(jìn)的數(shù)字化技術(shù)DCS或PLC來取代傳統(tǒng)的模擬技術(shù)設(shè)計(jì)儀控系統(tǒng)。我國首先將西門子的DCS平臺(tái)TXS+TXP應(yīng)用于田灣核電站，并設(shè)計(jì)了儀控系統(tǒng)［1］;隨后在嶺澳二期、紅沿河、福清、三門等核電項(xiàng)目中也全部采用了數(shù)字化技術(shù)。

通信作為數(shù)字化技術(shù)中的關(guān)鍵技術(shù)之一，對(duì)構(gòu)建整個(gè)儀控系統(tǒng)，實(shí)現(xiàn)各個(gè)控制站之間的數(shù)據(jù)交互起著關(guān)鍵的作用。通信技術(shù)存在點(diǎn)對(duì)點(diǎn)通信、環(huán)網(wǎng)通信、總線通信等多種技術(shù)形態(tài)，這些技術(shù)分別具有不同的特點(diǎn)。儀控系統(tǒng)一般分為安全級(jí)和非安全級(jí)兩大部分，安全級(jí)儀控系統(tǒng)因主要用于保證核電站的安全控制功能，在可靠性方面要求更高，因此，相關(guān)核安全法規(guī)和標(biāo)準(zhǔn)對(duì)通信設(shè)計(jì)提出了很多要求。APWR項(xiàng)目是三菱重工開發(fā)的三代壓水堆核電站?；谌怆姍C(jī)的DCS平臺(tái)MELTAC，設(shè)計(jì)了儀控系統(tǒng)。

本文主要結(jié)合法規(guī)標(biāo)準(zhǔn)要求，對(duì)APWR數(shù)字化儀控系統(tǒng)通信技術(shù)的應(yīng)用進(jìn)行分析研究，為我國數(shù)字化儀控系統(tǒng)的自主化設(shè)計(jì)提供借鑒。

1 安全級(jí)通信設(shè)計(jì)一般要求

核電站安全級(jí)系統(tǒng)的設(shè)計(jì)須滿足核安全法規(guī)和標(biāo)準(zhǔn)的要求，并應(yīng)通過核安全機(jī)構(gòu)的審查。通信設(shè)計(jì)除需要滿足單一故障準(zhǔn)則等安全級(jí)通用設(shè)計(jì)要求外，IAEA的安全導(dǎo)則NS-G-1.3中規(guī)定，通信要保證獨(dú)立性。通過選擇系統(tǒng)結(jié)構(gòu)和數(shù)據(jù)通信協(xié)議方法，使一個(gè)系統(tǒng)中發(fā)生的邏輯故障或軟件故障不可能對(duì)與之相連接的系統(tǒng)產(chǎn)生不利影響。數(shù)據(jù)通信技術(shù)的應(yīng)用，不應(yīng)使系統(tǒng)結(jié)構(gòu)內(nèi)的處理部件或邏輯元件的實(shí)體的或功能的通道化失效。一般應(yīng)盡可能避免從較低安全級(jí)系統(tǒng)到較高安全級(jí)系統(tǒng)的數(shù)據(jù)流［2］。IEC 61513 和IEEE 7-4.3.2 中也提出了類似的要求［3－4］。美國安全審查機(jī)構(gòu)NRC通過的審查導(dǎo)則 RG1.152 參考了 IEEE 7-4.3.2(2003)，安全審查時(shí)須滿足該標(biāo)準(zhǔn)提出的設(shè)計(jì)要求，同時(shí)NRC的審查方法也是我國安全審查機(jī)構(gòu)的主要參照對(duì)象。具體如何實(shí)現(xiàn)通信獨(dú)立性，雖然IEEE 7-4.3.2通過附件E給出了幾種通信型式，但NRC并未對(duì)其認(rèn)可。

為了便于進(jìn)行安全審查，NRC又針對(duì)數(shù)字化通信技術(shù)的應(yīng)用出具了過渡審查導(dǎo)則ISG-04［5］，提出了如下關(guān)鍵要求。

①一個(gè)安全通道不應(yīng)該接收來自其所屬安全序列之外的任何通信，除非該通信支持或增強(qiáng)了安全功能的性能，如執(zhí)行表決邏輯。

②一個(gè)安全通道應(yīng)設(shè)置保護(hù)，使其不能受其他安全序列任何故障的影響。為了使通信錯(cuò)誤或故障不干擾安全功能的執(zhí)行，通信處理本身應(yīng)該由與執(zhí)行安全功能的處理器相分離的通信處理器來執(zhí)行。

③重要的通信應(yīng)采用通過專用介質(zhì)(銅或光纜)的“點(diǎn)對(duì)點(diǎn)”方式［5，8］，如在安全序列之間采用點(diǎn)對(duì)點(diǎn)的通信方式實(shí)現(xiàn)停堆邏輯表決。

除了相關(guān)法規(guī)標(biāo)準(zhǔn)要求外，通信設(shè)計(jì)還須滿足核電站的性能指標(biāo)要求，包括安全系統(tǒng)響應(yīng)時(shí)間、帶寬、傳輸速率等參數(shù)要求，以及所有鏈路和節(jié)點(diǎn)要有充足的容量來滿足所有的功能需求［9－11］。

2 APWR安全級(jí)通信技術(shù)應(yīng)用

APWR安全級(jí)儀控系統(tǒng)是應(yīng)用MELTAC平臺(tái)進(jìn)行設(shè)計(jì)的，MELTAC平臺(tái)是日本三菱電機(jī)公司開發(fā)的可應(yīng)用于核電站保護(hù)系統(tǒng)的安全級(jí)DCS平臺(tái)。該平臺(tái)在我國紅沿河等CPR1000核電站中也有所應(yīng)用。APWR保護(hù)系統(tǒng)主要由反應(yīng)堆保護(hù)系統(tǒng)(RPS)、專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)、安全邏輯系統(tǒng)(SLS)等組成［6］。MELTAC平臺(tái)主要應(yīng)用的通信技術(shù)有“點(diǎn)對(duì)點(diǎn)”通信(data-link)和彈性分組環(huán)網(wǎng)(resilient packet ring，RPR)。保護(hù)系統(tǒng)通信架構(gòu)如圖1所示。

圖1 保護(hù)系統(tǒng)通信架構(gòu)圖Fig.1 Communication architecture of the protections system in APWR project

APWR的保護(hù)系統(tǒng)分為A、B、C、D這4個(gè)安全序列，RPS用于實(shí)現(xiàn)反應(yīng)堆緊急停堆，ESFAS用于實(shí)現(xiàn)系統(tǒng)級(jí)專設(shè)安全設(shè)施的控制，SLS通過優(yōu)選驅(qū)動(dòng)模塊(PIF)實(shí)現(xiàn)設(shè)備級(jí)專設(shè)安全設(shè)施的驅(qū)動(dòng)控制。各個(gè)序列分別配置有安全顯示單元(S-VDU)，用于安全級(jí)設(shè)備的手動(dòng)控制操作。

RPS各序列間通過Data-link光纖通信傳遞“局部停堆”信號(hào)，以實(shí)現(xiàn)停堆功能的符合邏輯(2oo4)表決。RPS還通過Data-link光纖通信傳遞控制指令給各個(gè)序列的ESFAS，實(shí)現(xiàn)專設(shè)安全設(shè)施系統(tǒng)級(jí)的驅(qū)動(dòng)。ESFAS通過彈性分組環(huán)網(wǎng)Safety bus通信，將系統(tǒng)級(jí)驅(qū)動(dòng)指令傳遞給SLS，實(shí)現(xiàn)安全級(jí)設(shè)備的自動(dòng)驅(qū)動(dòng)控制。S-VDU通過Safety bus將手動(dòng)控制信號(hào)傳遞給SLS，實(shí)現(xiàn)安全級(jí)設(shè)備的手動(dòng)驅(qū)動(dòng)控制。另外，RPS、ESFAS、SLS(經(jīng)由COM)通過彈性分組環(huán)網(wǎng)-Unit bus將報(bào)警、指示等信息傳遞到Level2顯示屏進(jìn)行顯示。

2.1 點(diǎn)對(duì)點(diǎn)通信(Data-link)

點(diǎn)對(duì)點(diǎn)通信技術(shù)主要應(yīng)用于RPS各序列間以及RPS與ESFAS間。該類型通信應(yīng)用無握手信號(hào)的廣播協(xié)議，其傳輸速率可達(dá)到1 Mbit/s，通過獨(dú)立于CPU模塊的通信控制器實(shí)現(xiàn)兩點(diǎn)間的單向通信。通信方式為1∶N的主站輪回查詢方式。每塊通信控制器板卡可以提供4個(gè)通信接口，通信控制器模塊為異步執(zhí)行。通過雙口緩存(DPRAM)，過程處理完全獨(dú)立于CPU模塊。處于接收狀態(tài)的通信控制器模塊一直處于等待狀態(tài)，直到數(shù)據(jù)接收完畢。接收數(shù)據(jù)同時(shí)檢驗(yàn)數(shù)據(jù)的完整性，檢驗(yàn)正常之后，再將其寫入雙口緩存。點(diǎn)對(duì)點(diǎn)通信的基本結(jié)構(gòu)如圖2所示。

圖2 Data-link通信結(jié)構(gòu)圖Fig.2 Structure of Data-link communication

2.2 彈性分組環(huán)網(wǎng)(RPR)

在MELTAC平臺(tái)中，環(huán)網(wǎng)采用基于IEEE 802.17協(xié)議的彈性分組環(huán)網(wǎng)技術(shù)(RPR)。RPR技術(shù)主要應(yīng)用于1E級(jí)環(huán)網(wǎng)Safety bus、NC級(jí)環(huán)網(wǎng)Unit bus。彈性分組環(huán)網(wǎng)的基本結(jié)構(gòu)是由2根光纖組成的內(nèi)、外2個(gè)相反方向的環(huán)形拓?fù)浣Y(jié)構(gòu)。彈性分組環(huán)網(wǎng)基于包的傳送技術(shù)。包的傳送建立在Ring這種拓?fù)浣Y(jié)構(gòu)上，而且是一種雙環(huán)結(jié)構(gòu)，有內(nèi)、外2個(gè)相反方向傳送的環(huán)，環(huán)網(wǎng)上的節(jié)點(diǎn)共享帶寬。每個(gè)環(huán)的最大帶寬為1.25 Gbit/s，雙環(huán)最大帶寬為 2.5 Gbit/s。外環(huán)攜帶內(nèi)環(huán)數(shù)據(jù)包的管理字節(jié)，內(nèi)環(huán)攜帶外環(huán)的管理字節(jié)。這樣，雙環(huán)互為保護(hù)和備份。每個(gè)節(jié)點(diǎn)都有一個(gè)環(huán)形網(wǎng)絡(luò)拓?fù)鋱D，都能將數(shù)據(jù)發(fā)送到光纖子環(huán)上，送往目的節(jié)點(diǎn)。任何一個(gè)節(jié)點(diǎn)都存在3個(gè)緩存，即發(fā)送緩存、接收緩存和轉(zhuǎn)發(fā)緩存。如果目的地不是本地，則通過轉(zhuǎn)發(fā)緩存發(fā)出，而本地節(jié)點(diǎn)的報(bào)文則通過發(fā)送緩存發(fā)送。

彈性分組環(huán)應(yīng)用空間復(fù)用技術(shù)，極大地提高了環(huán)網(wǎng)帶寬的利用率。單播流的目的地址剝離，被目的節(jié)點(diǎn)接收后，無需回到源地址，直接被剝離，同時(shí)，控制信號(hào)以最高優(yōu)先分組的方式發(fā)送［10］。彈性分組環(huán)網(wǎng)通信結(jié)構(gòu)如圖3所示。

圖3 彈性分組環(huán)網(wǎng)通信結(jié)構(gòu)圖Fig.3 Structure of the communication of resilient packet ring network

2.3 通信獨(dú)立性

為了符合設(shè)計(jì)標(biāo)準(zhǔn)要求的獨(dú)立性，防止通信故障的傳遞，MELTAC平臺(tái)中分別應(yīng)用了點(diǎn)對(duì)點(diǎn)和環(huán)網(wǎng)的通信技術(shù)。該平臺(tái)通過使用光纖傳輸而實(shí)現(xiàn)了實(shí)體分隔和電氣隔離，光/電信號(hào)轉(zhuǎn)換模塊的工作范圍可達(dá)到1 km。在接收側(cè)，通過帶雙口RAM的通信模塊實(shí)現(xiàn)了通信的隔離設(shè)計(jì)［12］，具體方案如圖4所示。在信號(hào)接收側(cè)，設(shè)計(jì)一個(gè)獨(dú)立于控制器的通信模塊。該模塊內(nèi)部設(shè)置雙口存儲(chǔ)器，實(shí)現(xiàn)外部數(shù)據(jù)的接收，且不影響CPU的運(yùn)行。

圖4 通信傳輸隔離方案Fig.4 Scheme of the isolation of communication transmission

3 APWR應(yīng)用通信技術(shù)分析

從APWR儀控系統(tǒng)通信結(jié)構(gòu)上可以看出，基于MELTAC平臺(tái)的通信設(shè)計(jì)，基本滿足法規(guī)和標(biāo)準(zhǔn)提出的單一故障準(zhǔn)則、通信獨(dú)立性等要求，并具有以下特點(diǎn)。

①在保護(hù)通道(RPS)間通信上應(yīng)用了Data-link的點(diǎn)對(duì)點(diǎn)技術(shù)。點(diǎn)對(duì)點(diǎn)通信安全性較高，兩點(diǎn)之間的通信不會(huì)受到其他控制站的影響。RPS傳遞驅(qū)動(dòng)信號(hào)，ESFAS也應(yīng)用了點(diǎn)對(duì)點(diǎn)通信，保證了專設(shè)安全設(shè)施系統(tǒng)級(jí)驅(qū)動(dòng)功能的可靠性，完全符合ISG-04的要求。

②應(yīng)用彈性分組環(huán)網(wǎng)，可以簡化多控制站間通信，尤其是設(shè)備級(jí)控制站分組較多且需要主控室等多處手動(dòng)操作控制單元參與控制的場(chǎng)合，只有通過環(huán)網(wǎng)或總線，才能實(shí)現(xiàn)相互通信［9］。彈性分組環(huán)網(wǎng)具有可用性強(qiáng)、帶寬高等特點(diǎn)，在性能上可滿足電站要求。

③應(yīng)用了獨(dú)立的帶雙口存儲(chǔ)的通信模塊，實(shí)現(xiàn)了通信和控制的獨(dú)立，可保證通信故障不會(huì)影響安全功能的執(zhí)行。

但是在APWR儀控系統(tǒng)的通信結(jié)構(gòu)中，也存在一些不完善的地方，需要進(jìn)行改進(jìn)優(yōu)化，如ESFAS需要通過環(huán)網(wǎng)Safety bus將系統(tǒng)級(jí)驅(qū)動(dòng)信號(hào)傳遞給SLS，這樣才能驅(qū)動(dòng)安全設(shè)備應(yīng)對(duì)事故工況。

該結(jié)構(gòu)存在以下問題。

①ESFAS和SLS的串聯(lián)增加了故障點(diǎn)，如SLS故障會(huì)影響ESFAS驅(qū)動(dòng)指令的執(zhí)行;

②ESFAS和SLS的串聯(lián)使響應(yīng)時(shí)間變長，不利于快速應(yīng)對(duì)事故工況;

③自動(dòng)控制和后備手動(dòng)控制都在SLS實(shí)現(xiàn)，缺乏一定的獨(dú)立性;

④ESFAS通過環(huán)網(wǎng)通信向SLS傳遞安全級(jí)設(shè)備的自動(dòng)驅(qū)動(dòng)指令，不太符合ISG-04的通信要求，因此安全審查時(shí)論證困難。

綜上所述，可對(duì)其儀控系統(tǒng)的通信架構(gòu)進(jìn)行改進(jìn)，將ESFAS從環(huán)網(wǎng)中分離，直接通過硬接線連接優(yōu)選驅(qū)動(dòng)模塊，從而消除上述問題。

改進(jìn)后的APWR儀控系統(tǒng)通信架構(gòu)如圖5所示。

圖5 改進(jìn)后的APWR儀控系統(tǒng)通信架構(gòu)Fig.5 Modified communication architecture of I＆C system of APWR

修改后的儀控系統(tǒng)架構(gòu)，安全級(jí)設(shè)備的自動(dòng)控制涉及的通信就只有“點(diǎn)對(duì)點(diǎn)”通信，完全符合法規(guī)標(biāo)準(zhǔn)要求。因?yàn)樾录軜?gòu)減少了一層控制站，從而提高了驅(qū)動(dòng)可靠性，降低了系統(tǒng)的響應(yīng)時(shí)間。因?yàn)槊總€(gè)安全序列系統(tǒng)級(jí)驅(qū)動(dòng)控制站(ESFAS)只有一組，因此對(duì)接口影響也不是很大。而對(duì)于設(shè)備級(jí)操作，因?yàn)榉稚⒌目刂普疽约笆謩?dòng)驅(qū)動(dòng)站都較多，應(yīng)用彈性分組環(huán)網(wǎng)實(shí)現(xiàn)通信，這樣也充分利用環(huán)網(wǎng)的優(yōu)點(diǎn)，可實(shí)現(xiàn)多個(gè)控制站的手動(dòng)驅(qū)動(dòng)控制，同時(shí)也保證了和自動(dòng)控制站充分的獨(dú)立性。

4 結(jié)束語

核電站儀控系統(tǒng)安全級(jí)設(shè)計(jì)的前提無疑是以安全性為首要考慮因素，通信技術(shù)對(duì)于實(shí)現(xiàn)數(shù)字化儀控系統(tǒng)的功能至關(guān)重要。選擇合適的通信技術(shù)、進(jìn)行合理的設(shè)計(jì)，則可以保證儀控系統(tǒng)設(shè)備具有充分的安全可靠性，從而有效地起到對(duì)反應(yīng)堆的保護(hù)功能。目前，國內(nèi)正在努力研發(fā)具有自主知識(shí)產(chǎn)權(quán)的安全級(jí)DCS平臺(tái)。

本文通過分析三菱APWR安全級(jí)數(shù)字化儀控系統(tǒng)的關(guān)鍵通信技術(shù)應(yīng)用，總結(jié)了其通信設(shè)計(jì)的特點(diǎn)，并針對(duì)一些不完善之處，提出了改進(jìn)建議。希望這些建議可以為相關(guān)設(shè)計(jì)人員提供一些參考。

［1］周海翔.田灣核電廠TXP/TXS系統(tǒng)的數(shù)據(jù)通信［J］.核動(dòng)力工程，2006(6):67－70.

［2］IAEA-NS-G-1.3.核動(dòng)力廠安全重要儀表控制系統(tǒng)［S］.國際原子能機(jī)構(gòu).2005.

［3］IEEE Power Engineering Society.Criteria for digital computer in safety systems of nuclear power generating stations［S］.2003.

［4］International Electrotechnical Commission.IEC 61513.Nuclear powerplants-Instrumentation and control for systems important to safetygeneral requirements for systems［S］.2001.

［5］U.S.Nuclear Regulatory Commission.DI＆C-ISG-04.Interim staff guidance on highly-integrated control rooms-communications issues(HICRc)［S］.2007.

［6］Mitsubishi Heavy Industries，Ltd.MUAP-07004-NP.I＆C system description and design process［R］.

［7］Mitsubishi Heavy Industries，Ltd.MUAP-07005-NP.Safety system digital platform-MELTAC［R］.

［8］任永忠，王翠芳.核電站安全系統(tǒng)中使用數(shù)字他技術(shù)的關(guān)注焦點(diǎn)［J］.儀器儀表標(biāo)準(zhǔn)化與計(jì)量，2009(5):15－19.

［9］王旭，陳航，于樹新，等.現(xiàn)場(chǎng)總線技術(shù)在核電廠中的應(yīng)用［J］.中國核電，2012(1):10 －16.

［10］鄒志勵(lì)，郭東玲.RPR標(biāo)準(zhǔn)協(xié)議在核電廠安全級(jí)DCS系統(tǒng)的應(yīng)用［J］.機(jī)電信息，2012(18):172－174.

［11］胡平.核電站數(shù)字化儀控系統(tǒng)簡介［J］.核電，2003(2):35－41.

［12］魏海峰.CPR1000核電廠安全級(jí)DCS研究［J］.科技視界，2012(24):295－297.