e 1

瓣

Ｉ与应用

数控技术

核电站数字化１Ｅ级仪控系统的设计目标分析

晁平

（中国大唐集团公司北京１０００３３）

摘要：本文从数字化计算机硬件与软件技术所具备的工业发展水平出发，探讨分析了１Ｅ级仪控系统功能分配、核电厂数字化１Ｅ级仪表控制系

统应该达到与所能达到的设计目标，论述了对设计目标的影响因素、数字４ＪＣｌＥｇｔ￣控系统设计技术和总体框架结构，提出了数字４ＪＣｌＥＮ４Ｓｔ控系统

设计研究的难点问题。

关键词：核电站仪表控制数字化１Ｅ级目标分析

中图分类号：ＴＰ２７３．５ 文献标识码：Ａ 文章编号：１００７－９４１６（２０１２）０７．０００１—０２

１、数字化技术的特点

数字化仪控系统相对于模拟仪控系统具有明显的优势，具体表

现为Ｉｌｌ：（１）具有很好的精确性和很强的逻辑处理、计算能力，能显著

提高仪控系统的性能，完成以往模拟仪控系统所无法实现的复杂逻

辑处理和计算功能；（２）克服了干扰和漂移的影响，提高了测量精确

度与控制精度；（３）以通信网络连接各系统设备，通过网络交换数

据，大大减少了电缆的数量，提高了数据传输的可靠性，减少了维护

工作量，节约投资；（４）能方便有效的实现冗余、故障安全和容错等

功能；（５）能方便、有效的实现在线检查和自诊断功能；（６）系统扩展

灵活性好，便于维护；（７）具有很强的数据处理、数据存储能力，改善

了人机接口。

２、１Ｅ级仪控系统设计目标

根据核电的发展规律及考虑到核电对电厂可用性、安全性与经

济性的要求，须以现有成熟的先进技术为基础，采用经过验证的数

字化软、硬件结构，实现简单化、标准化、模块化，以满足当代核电法

规、标准的要求。数字化１Ｅ级仪控系统具有高度自动化程度和完善

可靠的故障诊断与试验手段，并能满足如下性能指标：失效概率

＜１０－７，响应时间＜１５０ｍｓ（并满足事故分析要求）。

３、决定设计目标的影响因素

３．１ １Ｅ级仪控系统功能分配

早在核电发展初期，费米就提出核电发展的四个关键性问题：

安全性、经济性、废物处理和可持续发展。核电需要持续健康发展，

既要保证核电厂的安全运行，也要提高核电厂的经济性。针对核电

厂核安全的特殊性要求，确定核电厂安全目标。为了完成核电厂的

安全目标，必须保证核电厂安全运行的三大屏障的安全状态。

３．２工艺系统的要求

核电站ｌＥ级仪表控制系统设计目标须依据于核电厂工艺系统

的设计水平和其对１Ｅ级仪控系统提出的要求。ｌＥ级仪控系统的设

计目标须与工艺系统所要求的总体技术目标统一考虑。为了更好地

利用数字技术来提高核电厂的自动化水平与改善操纵人员的人机

界面，对新的核电厂对仪控提出的要求包括敏感元件的设置、仪控

系统的综合水平与控制执行手段必须进行全面的分析与评价，才能

确定设计目标能否达到。

３．３仪控的设计能力

仪控系统的设计目标须依据现在所具备的设计能力，包括核电

厂设计分析中所掌握的数据，核电厂运行中得到的工程信息反馈与

对原有操作规程的实用性以及核电厂运行综合的知识积累。数字化

１Ｅ级仪控系统的设计严格遵守国际标准、规范和导则，充分利用了

数字化技术特点，采取了各种纵深防御措施，加强了系统自诊断功

能，提高了系统的可靠性、安全性【３ －一１。数字化１Ｅ级仪控系统设计技

术分析如下：

３．３．１采用单一故障准则

１Ｅ级仪控系统设计成四个通道，每一个通道都是相互独立的，

隔离的电源供应，隔离的电缆布线，运用各自独立的主传感器，独自

的软硬件，运用双向数据传输，并且接受方通道需要发出数据接受

确认信号的光纤通信，来实现的。通信故障由系统内置的监测系统

来检测。其检测到的错误数据从下一级处理中剔除。因此，一个通道

中的故障不会扩散而导致其他通道的失效。当一个通道失效，系统

自动从四取二主逻辑切换到三取二逻辑。

３．３．２采用多重冗余枝术

１Ｅ级仪控系统都采用４通道冗余结构，所有通道中的工艺状态

变量在每个通道中都是同步的，用来保证输出信号的理论响应时

间。冗余网关计算机将１Ｅ级仪控系统与非１Ｅ级正常运行系统相连，

以保证从１Ｅ级仪控系统到非ｌＥ级仪控系统的单向信号能够进行交

换。

３．３．３采用独立性方法

１Ｅ级仪控系统的每一个通道都位于各自独立的电子设备间

中，四个冗余通道的机柜分别布置在四个不同的房间中，实现实体

隔离。每一个通道都有各自独立的并行电源供应系统和通风系统等

支持系统。ｌＥ级仪控系统各个通道间，１Ｅ级仪控系统与非１Ｅ级仪控

系统之间的数据通信通过光纤连接，实现电气隔离。在有非１Ｅ级仪

控系统信号控制安全设备的优先级驱动模块中，ｌＥ级仪控系统的驱

动命令永远有最高的优先级。

３．３．４采用多样性设计，防止共模故障

为应付可能发生的共模故障，第一采用物理参数多样性准则来

处理设计基准事故，即用于描述与处理同一设计基准事故的不同的

物理参数用不同的处理机系统Ａ与Ｂ分别来处理。第二在ｌＥ级仪控

系统发生共因故障情况下，通过硬接线的后备盘与就地盘上的手动

开关来完成要求的反应堆直接停堆（不通过数字化１Ｅ级仪控系统）

或安全设施一个系列动作的安全功能。第三也可通过非１Ｅ级仪控系

统实现安全系统设备级的控制。

３．３．５数字化技术

（１）系统固有自诊断技术。为了提高仪表控制系统的可靠性，减

少拒动与误动的可能性，仪表控制系统内部须：１）采用在线诊断，故

障定位技术，提高系统的可靠性，防止随机故障产生拒动与误动；２）

实施定期自动／半自动的功能与定值检查，减少试验人员引起停堆

和受辐照的风险；３ 行维修旁路，允许在线修理，不降低电厂的整

体自动化水平，全面满足ＲＧＩ．４７关于不可运行与旁通指示要求。

（２）系统级手动触发。数字化ｌＥ级仪控系统中对手动触发提出 ◎

数控技术

了新要求，也带来了新问题。手动触发功能的设计，要考虑手动触发

的输入点。依据ＮＲＣ标准审查大纲（ＮＵＲＥＧ ｏ８ｏｏ）第７章技术见解

Ｉｌ１ＪＣＢ—ｌ９的要求，系统级手动触发手段应不受到计算机共模失效

的影响，控制接入点（手动触发输入点）应位于数字化仪控系统输出

的下游。因此，数字化１Ｅ级仪控系统的手动触发输入点应当位于输

出模件层（Ｉ／Ｏ层），这样，即使计算机处理单元失效，也不影响通过

硬接线的手动触发命令。

（３）网络技术。为了提高１Ｅ级系统整体的自动化水平，必须具备

ｌＥ级网络与控制级网络控制设备。没有达到一定速率的安全级网络

与显示器，ｌＥ级仪控系统在主控制室中最终只能是模拟表显示与开

关控制，或只能是局部的数字化１Ｅ级仪控系统。

（４）操纵员运行支持系统与人机界面。操纵员运行支持系统是

核电厂运行技术水平与知识积累的综合反映。采用数字化仪表后，

由于诊断系统（面向状态或面向事件的特殊的专家系统），智能报警

和计算机引导的操作规程系统的采用，会使核电厂的综合技术水平

大大提高，这些技术的工程应用开发是目前推进到数字化过程中的

一个突出的难点，需要进一步开展深入的设计研究工作。

３．４数字化１Ｅ级仪控系统总体框架结构

核电厂数字化１Ｅ级仪控系统主要包括紧急停堆系统和专设安

全设施驱动系统，总体框架结构由四个保护通道构成。数字化ｌＥ级

仪控系统中每个通道包括三个层次：输入层、逻辑处理层、安全命令

输出层。每个通道有参数多样性的两个子通道组成，以提高系统的

可靠性。每一个通道都位于各自独立的电子设备间中，四个冗余通

道的机柜分别布置在四个不同的房间中，实现实体隔离。每一个通

道都有各自独立的并行电源供应系统和通风系统等支持系统。１Ｅ级

仪控系统通道间、１Ｅ级仪控系统与非１Ｅ级仪控系统问的数据通信

通过光纤连接，通道间信号单向传输，实现功能与电气隔离。

４、数字化１Ｅ级仪控系统设计研究的目标

从上面分析可知，根据目前的仪控系统设计能力，不管数字化

仪控设备是否引进，都须进行大量的设计研究与设计验证工作，只

有在这些项目，特别是对【６】：

（１）数字化ｌＥ级仪控系统的研究，包括子通道的功能划分与功

能隔离、参数多样化、ｌＥ级系统的结构框架、通道的故障（拒动与误

动）的诊断原则等研究；

（２）全厂实时数据通信网络与技术的研究与开发，包括全厂通

信网络、安全网络、控制网络、各网络的接口、各网络通信的电气隔

离与功能隔离的研究；

（３）人因工程与人机接口的设计研究，包括控制室的功能设计

与布置综合研究、操作控制器研究、功能分配与功能分析研究、信息

显示系统研究；

（４）操纵员支持系统的研究，包括状态诊断系统的研究与开发，

计算机引导的操作规程的研究与开发，智能报警系统的研究与开

发。

５、数字化１ Ｅ级仪控系统设计研究的难点问题

众所周知，核电厂事故具有极其严重的后果，因此核电厂仪控

系统必须设计成能够尽量减小事故发生概率的高可靠性系统。本节

提出和探讨数字化１Ｅ系统研究中存在的难点问题。

５．１共模故障问题

软件故障不存在随机故障，所有故障都是确定性故障，而冗余

性结构只能防止随机故障，采用冗余性措施并不能防止软件的共模

故障，因而单一故障概念仅适用于硬件故障，对软件不适用。对于软

硬件一体化的冗余设备，由于采用相同的软件开发平台 编译系统、

操作系统与系统的应用软件结构，因而软件产生的故障是共模故

障，所以数字化系统特别是数字化保护系统的软件可靠性与正确性

显得特别重要。在系统设计中采用完整有效性Ｖ＆Ｖ方法和多样化

方法是提高系统可靠性和减少潜在共模故障危险一种有效途径。

５．２安全软件Ｖ＆Ｖ问题

数字化保护系统相对于传统的模拟保护系统的不同之处在于

有了软件，系统的可靠性取决于软硬件一体化的共同效果，因而软

件的Ｖ＆Ｖ问题是一关键问题。保护系统安全软件的测试和验证必

须覆盖软件的每一条语句和每一个逻辑所有可能的条件和出口。核

电厂正常运行工况下，软件执行的仅仅是部分工艺条件下的语句，

倘若在异常工况下，恰好要执行一条软件程序所不能覆盖到的工艺

条件的语句，此时就会发生程序异常而导致极其严重的后果，例如

程序出错，系统崩溃等。

５．３测试完整性问题

数字化系统全程可测试性，这就包括从敏感元件到执行装置的

所有组件，要求整个数字化系统采用模块化设计，模块的定义必须

明确，系统发生故障时能够进行故障定位，定位的精度可以根据技

术规格书要求逐层深化，从模块到模件，再到芯片。

５．４可靠性验证问题

与模拟系统相比，数字化系统是软硬件一体化系统，由此带来

的新问题是软件和硬件可靠性的Ｖ＆Ｖ（确认与验证）问题，包括软

件、硬件单独的Ｖ＆Ｖ验证，还必须包括软硬件一体化的Ｖ＆Ｖ验证。

其中的难点就是软件的Ｖ＆Ｖ验证，这是目前数字化保护系统研究

中需要突破的障碍，包括验证方法的确定以及验证有效性的确认。

５．５非１Ｅ级系统控制１Ｅ级设备

用来自非ｌＥ级系统的信号来控制１Ｅ级安全设备统的理念是对

现有安全标准的突破。但必须要确保二者之间的电气隔离，二者之

间的功能隔离必须是非１Ｅ级系统不得影ｎｌ￣ｌＥ级系统的保护动作（拒

动）以及不能使ｌＥ级系统的误动作概率增加。

６、结论和展望

我国目前已经形成了一定规模的核电仪控产业，只要认真总结

已有的设计与运行经验，合理地引进部分数字化所特有的设计与生

产技术，大力开展数字化仪控与主控制室的设计研究项目，就能真

正做到数字化ｌＥ仪控系统的设计自主化，设备国产化。

参考文献

［１］胡守印，陈华等．ＨＴＲ—ｉ Ｏ数字化运行仪表和控制系统的设计．核

动力工程。２００２年２３（１ １ ５～１ ８．

［２］陈可．面向给水、蒸汽泄漏状态的神经网络故障诊断研究．硕士

学位论文，上海：上海交通大学，２００２，８—１ ４．

［３］ＴＮＰＰ ＦＳＡＲ Ｃｈａｐｔｅｒ ７．Ｌ、ｒＧ一×一ＰＤ２５—２９—０７Ｏ０００００一ＦＲ一０Ｏ１一Ｅ。２００２．

ｒ４］ＴＮＰＰ Ｔｅｃｈｎｉｃａ１ ｄｅｓｉｇｎ ｐａｒｔ ３ Ｔｅｃｈｎｏｌｏｇｉｃａ１ ｓｏｌｕｔｉｏｎｓ Ｓｅｃ－

ｔｉｏｎ ３—５ ＮＰＰ Ｉ＆Ｃ。ＬＹＧ一９一ＰＤ２５—２３—３Ｏ５Ｏ３Ｃ０Ｏ—ＥＮ一０５５０一Ｅ，１ ９９９．

［５］Ｄｅｔａｉｌ ｓｔａｇｅｓ １—３ ｏｆ ｔｈｅ ｐｒｏｃｅｓｓ ｅｎｇｉｎｅｅｒｉｎｇ ｔａｓｋ ｄｅｓｃｒｉｐ—

ｔｉｏｎ ｆｏｒ ｔｈｅ ｓａｆｅｔｙ ｉｎｓｔｒｕｍｅｎｔａｔｉｏｎ ａｎｄ ｃｏｎｔｒｏｌ ｓｙｓｔｅｍｓ（Ｃｏｎｃｅｐｔ

ｒｅｐｏｒｔ ｒｅｖｉｓｉｏｎ ４）．ＬＹＧ—Ｘ－ＰＤ２２—２４－１４２１Ｏ－ＴＳ－１８９一Ｅ。Ｍａｙ。２００３．

［６］郑明光，徐济望，沈增耀．中国百万级核电站数字化仪控系统的设

计目标分析．核技术。２００１年０２４．

龉

术一用．

散

雅●十