馮靜閣，胡守印，童立云

（華能山東石島灣核電有限公司，山東 榮成264312）

分散控制系統(tǒng)（Distributed Control System，DCS）是一個由過程控制級和過程監(jiān)控級組成的以通訊網(wǎng)絡(luò)為紐帶的多極計算機(jī)系統(tǒng)，又稱分布式控制系統(tǒng)。其綜合了計算機(jī)（Computer）、通訊（Communication）、控制（Control）和顯示（CRT）等4C技術(shù)，其基本思想是分散控制、集中操作、分級管理、配置靈活以及組態(tài)方便。因其可以實(shí)現(xiàn)危險分散、系統(tǒng)結(jié)構(gòu)分散、控制功能分散、系統(tǒng)可靠性高、控制界面直觀且內(nèi)容豐富、操作方便、可提供性能卓越的精確控制而廣泛地在工業(yè)控制領(lǐng)域應(yīng)用[1]。

1 DCS在火電廠和核電廠的應(yīng)用

由于其系統(tǒng)的組成與計算機(jī)技術(shù)的發(fā)展息息相關(guān)，在我國火電行業(yè)自20世紀(jì)90年代以來，DCS被逐漸推廣使用。隨著計算機(jī)技術(shù)的迅猛發(fā)展和可靠性越來越高，21世紀(jì)以來火電廠的儀控系統(tǒng)已普遍使用DCS產(chǎn)品。

核電廠的發(fā)電原理是通過利用反應(yīng)堆里可控方式的自持鏈?zhǔn)搅炎兎磻?yīng)產(chǎn)生的熱能，將其轉(zhuǎn)變成蒸汽輪機(jī)發(fā)電使用的合格蒸汽，蒸汽推動汽輪發(fā)電機(jī)工作產(chǎn)生電能進(jìn)行發(fā)電。核電廠因其使用的核燃料，工作時產(chǎn)生的放射性物質(zhì)對環(huán)境和人體有害，需要嚴(yán)格控制而對其有一定的核安全要求。核電廠的安全問題由于它的重要性要保證得到應(yīng)有的重視[2]，自1979年3月28日美國的三哩島核電站事故和1986年4月26日蘇聯(lián)的切爾諾貝利核事故以來，全球的民用核電廠建設(shè)在切爾諾貝利事故發(fā)生后的十幾年內(nèi)幾乎是停滯狀態(tài)。而這段時間正是DCS在火力發(fā)電應(yīng)用的推廣時期，通過十幾年的應(yīng)用實(shí)踐，DCS在火電站的成熟性和可靠性也逐漸加強(qiáng)，其優(yōu)越性也越來越明顯，目前我國運(yùn)營的200 MW至1000 MW容量火電機(jī)組的控制系統(tǒng)已全部使用DCS，并且在不斷優(yōu)化，例如隨著智能變送器和職能型執(zhí)行機(jī)構(gòu)的出現(xiàn)，有的大型火電機(jī)組的控制系統(tǒng)還應(yīng)用了現(xiàn)場總線技術(shù)，以節(jié)省大量的電纜和將系統(tǒng)危險進(jìn)一步分散。

20世紀(jì)90年代末至21世紀(jì)初，隨著全球民用核電廠建設(shè)的逐漸回暖，我國自主建設(shè)了3臺壓水堆核電機(jī)組，同時也引進(jìn)建設(shè)了幾座大型壓水堆核電廠。當(dāng)今我國的核電裝機(jī)容量占全國的電力裝機(jī)容量比例甚小，只有近2%，其中近幾年在江蘇省沿海地區(qū)建設(shè)并運(yùn)營的核電廠2臺100萬千瓦級核電機(jī)組，其儀控系統(tǒng)在我國乃至全球首先采用全數(shù)字化DCS產(chǎn)品，至今運(yùn)行良好并得到了用戶的好評。隨著全球氣候變暖，對化石發(fā)電產(chǎn)生的二氧化碳排放總量的控制日益嚴(yán)格，國家能源發(fā)展中長期規(guī)劃和“十二五”能源發(fā)展規(guī)劃提出，努力實(shí)現(xiàn)2020年非化石能源占一次能源消費(fèi)比重達(dá)到15%左右[3]。非化石能源主要包括水電、風(fēng)電、核電。除了水電和風(fēng)電加快發(fā)展外，要達(dá)到15%這一目標(biāo)，核電的總裝機(jī)容量也需要大幅提高。國家的“十一五”發(fā)展計劃中已明確提出，積極發(fā)展核電。當(dāng)前我國具有核電營運(yùn)資質(zhì)的幾大集團(tuán)公司均在積極進(jìn)行核電建設(shè)，今年我國在建核電機(jī)組數(shù)量已超過26臺并成為全球在建核電規(guī)模最大的國家。隨著核電機(jī)組的建設(shè)發(fā)展，DCS系統(tǒng)在核電廠的應(yīng)用也日益普及，目前在建的核電機(jī)組中，其儀控系統(tǒng)已大都采用DCS產(chǎn)品，見表1。

表1 DCS在我國在建核電廠的應(yīng)用情況Table1 Application of DCS in NPP construction in China

2 當(dāng)前核電廠應(yīng)用的DCS類型及特點(diǎn)

2.1 C/S結(jié)構(gòu)

當(dāng)前我國營運(yùn)和在建的核電廠中，其儀控系統(tǒng)使用的DCS產(chǎn)品在品牌上大都是國外發(fā)達(dá)國家的知名品牌，國產(chǎn)化產(chǎn)品也逐漸有了市場，但所占份額較小。就其DCS產(chǎn)品的網(wǎng)絡(luò)結(jié)構(gòu)而言，基本分為客戶站/服務(wù)器結(jié)構(gòu)（簡稱C/S結(jié)構(gòu)）和無網(wǎng)絡(luò)服務(wù)器的網(wǎng)絡(luò)結(jié)構(gòu)。

其過程控制級實(shí)現(xiàn)與現(xiàn)場儀控設(shè)備的連接與通訊，并通過專有服務(wù)器與過程監(jiān)控級網(wǎng)絡(luò)相連，過程監(jiān)控級實(shí)現(xiàn)人機(jī)界面的控制與監(jiān)視，工程師站系統(tǒng)與過程控制級和過程監(jiān)控級的網(wǎng)絡(luò)均直接連接，實(shí)現(xiàn)其組態(tài)功能。目前C/S結(jié)構(gòu)的DCS產(chǎn)品已成功應(yīng)用在我國某大型核電廠中，并在在建的一些核電廠中進(jìn)行應(yīng)用，如圖1所示。

圖1 某核電廠使用的基于C/S結(jié)構(gòu)的DCS系統(tǒng)結(jié)構(gòu)簡圖Fig.1 DCS structure of certain nuclear power plant based on C/S structure

其系統(tǒng)的幾項(xiàng)特點(diǎn)和分析如下：

1）整個網(wǎng)絡(luò)結(jié)構(gòu)分為監(jiān)控網(wǎng)絡(luò)和系統(tǒng)網(wǎng)絡(luò)兩層網(wǎng)絡(luò)結(jié)構(gòu)，將系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)和應(yīng)用服務(wù)數(shù)據(jù)分離；采用C/S（客戶站／服務(wù)器）的工作方式，將數(shù)據(jù)服務(wù)和數(shù)據(jù)應(yīng)用分離，以減少人機(jī)操作對實(shí)時自動控制系統(tǒng)造成的影響。正如圖中所示，冗余的處理單元服務(wù)器是該系統(tǒng)的薄弱環(huán)節(jié)，當(dāng)其功能喪失后，監(jiān)控網(wǎng)上的操作員顯示終端將全部失去正常的監(jiān)視和操作功能，對于用戶而言，顯示器變?yōu)楹谄?，是很可怕的一件事情。為了提高其可靠性和安全性，開發(fā)商一方面需配置高度可靠的工業(yè)用服務(wù)器，以保證其硬件的長期可靠運(yùn)行；另一方面不斷提高系統(tǒng)軟件的穩(wěn)定性。通過在硬件和軟件上性能的提高最大限度地將發(fā)生冗余配置的服務(wù)器同時失效的概率降到最低。目前運(yùn)營的使用DCS的核電站規(guī)程規(guī)定，當(dāng)發(fā)生DCS監(jiān)控層喪失監(jiān)視時，30 min內(nèi)操作員不干預(yù)，主要通過監(jiān)視后備的顯示信息（后備盤或模擬屏）密切監(jiān)視機(jī)組的重要參數(shù)。當(dāng)30 min后故障仍未恢復(fù)正常時，再依據(jù)規(guī)程采取手動安全停堆等操作，將反應(yīng)堆逐步帶入冷停堆狀態(tài)。

2）提供多種冗余和容錯設(shè)計，系統(tǒng)中的重要部件采用雙重冗余設(shè)計，包括電源、網(wǎng)絡(luò)、I/O總線、控制站主控制器、處理單元服務(wù)器、服務(wù)單元服務(wù)器，保證無擾動切換，最大限度避免單個故障造成系統(tǒng)失效或重要功能喪失的可能性；

3）采用工業(yè)級網(wǎng)絡(luò)設(shè)備組成交換機(jī)光纖環(huán)網(wǎng)；隨著網(wǎng)絡(luò)通訊技術(shù)的發(fā)展，高速光纖網(wǎng)技術(shù)已逐漸成熟并廣泛應(yīng)用于工業(yè)生產(chǎn)。系統(tǒng)網(wǎng)和監(jiān)控網(wǎng)已達(dá)到了100 Mbps或1000 Mbps，就地網(wǎng)根據(jù)測點(diǎn)信息的數(shù)量來配置網(wǎng)絡(luò)速度，網(wǎng)絡(luò)速度上完全滿足核電廠的生產(chǎn)需要。

4）通過通訊網(wǎng)關(guān)提供基于串行鏈路的通用數(shù)據(jù)接口，實(shí)現(xiàn)對外數(shù)據(jù)通訊，同時保證系統(tǒng)安全性。對于控制系統(tǒng)與保護(hù)系統(tǒng)的通訊，在設(shè)計時即考慮了單項(xiàng)數(shù)據(jù)傳輸?shù)墓ぷ髟?，保護(hù)系統(tǒng)向控制系統(tǒng)傳輸數(shù)據(jù)和命令，控制系統(tǒng)無法向保護(hù)系統(tǒng)傳輸信息，以此保證保護(hù)系統(tǒng)的安全運(yùn)行級別。

2.2 無網(wǎng)絡(luò)服務(wù)器的網(wǎng)絡(luò)結(jié)構(gòu)

常見的有星形拓?fù)浣Y(jié)構(gòu)和總線型結(jié)構(gòu)，下面以星形拓?fù)浣Y(jié)構(gòu)為例進(jìn)行分析：其以核心網(wǎng)絡(luò)交換機(jī)為中心，通過外圍交換機(jī)實(shí)現(xiàn)過程監(jiān)視級和過程控制級的各項(xiàng)功能。冗余星形網(wǎng)絡(luò)結(jié)構(gòu)的系統(tǒng)主干網(wǎng)絡(luò)采用高速、冗余的星形網(wǎng)絡(luò)，所有的外圍交換機(jī)都連接到核心交換機(jī)上，所有的交換機(jī)冗余配置，其主干網(wǎng)的速度已達(dá)到1000 Mbps。如圖2所示。

其系統(tǒng)的幾項(xiàng)特點(diǎn)和分析如下：

1）在星形網(wǎng)絡(luò)中，可以靈活的根據(jù)工藝系統(tǒng)需求將網(wǎng)絡(luò)分步成獨(dú)立的節(jié)點(diǎn)，任何設(shè)備的故障都不會影響到其他節(jié)點(diǎn)的正常工作，并且在整個網(wǎng)絡(luò)出現(xiàn)故障時，每個節(jié)點(diǎn)下的設(shè)備都可以獨(dú)立運(yùn)行，不受干擾?？梢詫?shí)現(xiàn)工藝在通訊網(wǎng)絡(luò)層及人機(jī)界面層上的獨(dú)立。

2）每個網(wǎng)絡(luò)節(jié)點(diǎn)（過程控制站、操作員站、工程師站、就地顯示器）都配置兩個獨(dú)立的通訊網(wǎng)絡(luò)端口，并通過冗余的通訊電纜與交換機(jī)連接。在該網(wǎng)絡(luò)中，所有的網(wǎng)絡(luò)節(jié)點(diǎn)都是對等的，可以保證所有的操作員站都可實(shí)現(xiàn)互為冗余，無需配置網(wǎng)絡(luò)服務(wù)器或網(wǎng)關(guān)。

圖2 某核電廠使用的基于星形拓?fù)浣Y(jié)構(gòu)的DCS系統(tǒng)結(jié)構(gòu)簡圖Fig.2 DCS structure of certain nuclear power plant based on star-shaped Topological structure

3）網(wǎng)絡(luò)擴(kuò)展性較好，不僅可以在交換機(jī)的空余端口上增加擴(kuò)展站，而且可以增加冗余交換機(jī)的方式，將工藝節(jié)點(diǎn)分的更細(xì)。

4）網(wǎng)絡(luò)交換機(jī)的內(nèi)置軟件和網(wǎng)絡(luò)節(jié)點(diǎn)中的系統(tǒng)軟件能實(shí)現(xiàn)通訊故障自動度越，在發(fā)生故障的情況下自動切換到冗余部件，構(gòu)成新的通訊鏈路繼續(xù)工作。此種系統(tǒng)的特點(diǎn)顯現(xiàn)了核心交換機(jī)以及外圍交換機(jī)在系統(tǒng)中的重要性。交換機(jī)的硬件性能、壽命和軟件的可靠性需要加以關(guān)注。

3 DCS在核電廠中應(yīng)用需要關(guān)注的問題

雖然我國在建的核電機(jī)組中其儀控系統(tǒng)大部分已采用DCS產(chǎn)品，但核電廠是具有潛在核風(fēng)險的“高風(fēng)險”發(fā)電行業(yè)，如何在核電廠合理有效的發(fā)揮其特點(diǎn)，克服其產(chǎn)品固有的潛在風(fēng)險是需要重點(diǎn)研究的，DCS在核電廠應(yīng)用至少需要在以下幾個階段加以關(guān)注，以下在各階段提出若干觀點(diǎn)：

3.1 設(shè)計階段

與傳統(tǒng)的操作員在盤臺使用按鈕、把手等進(jìn)行操作相比，DCS產(chǎn)品使用的是人機(jī)界面設(shè)計，操作員使用計算機(jī)鼠標(biāo)、滾動球等在計算機(jī)顯示界面上進(jìn)行核電廠的運(yùn)行操作。對此設(shè)計階段除了需要儀控專業(yè)人員、工藝專業(yè)人員、設(shè)備廠家人員以外，還應(yīng)邀請有經(jīng)驗(yàn)的運(yùn)行人員和人機(jī)工程學(xué)專家加入設(shè)計團(tuán)隊，特別是后者的加入可以充分分析各類控制保護(hù)功能的分配，確保操作員的工作負(fù)荷在可接受的合理范圍內(nèi)。

整個設(shè)計階段需要關(guān)注其與核安全法規(guī)和相關(guān)標(biāo)準(zhǔn)的符合性、接口資料的完整性、功能分配的合理性、控制算法的正確性、系統(tǒng)配置的合理性、系統(tǒng)設(shè)備的實(shí)時性和人機(jī)界面的可操作性。其中安全儀控系統(tǒng)的應(yīng)用軟件的驗(yàn)證和確認(rèn)（Verification and Validation）工作則必須從安全儀控系統(tǒng)初步設(shè)計開始貫穿至儀控系統(tǒng)的運(yùn)行維護(hù)階段。

3.2 制造階段

由于計算機(jī)技術(shù)的高速發(fā)展，其硬件產(chǎn)品的升級換代周期日益縮短，產(chǎn)品的淘汰周期也相應(yīng)縮短，而核電廠建設(shè)周期長（目前1臺1000 MW級的核電機(jī)組建設(shè)工期一般超過了50個月），計算機(jī)設(shè)備采購需要盡可能晚啟動，但是備件必須同時采購。計算機(jī)軟件具有缺陷不易被發(fā)現(xiàn)的特點(diǎn)，因此執(zhí)行嚴(yán)格的質(zhì)量控制和文件記錄是必不可少的環(huán)節(jié)，應(yīng)用軟件的測試工作應(yīng)由獨(dú)立的、非設(shè)計者來實(shí)施。

驗(yàn)收人員中應(yīng)由計算機(jī)管理員、系統(tǒng)工程師等組成，在驗(yàn)收前必須對該DCS系統(tǒng)工作機(jī)理等有較深入的了解，制定出合適的驗(yàn)收測試程序或文件。驗(yàn)收試驗(yàn)時應(yīng)將盡可能多的設(shè)備連接在一起進(jìn)行，這樣才能更全面的測試出系統(tǒng)的性能。

3.3 安裝階段

因?yàn)镈CS設(shè)備有很高的集成度，計算機(jī)類設(shè)備數(shù)量多，安裝的先決條件對環(huán)境的清潔度要求較高，理想的安裝方案是機(jī)柜、計算機(jī)等設(shè)備所布置的廠房裝修完畢，管道設(shè)備安裝完成大于80%以后啟動DCS設(shè)備安裝。但是一般來說在核電廠的實(shí)際安裝階段很難做到這一點(diǎn)，對此需要合理的提前制定好安裝進(jìn)度計劃，先安裝控制室設(shè)備機(jī)柜和集中敷設(shè)干線電纜、光纜，按照實(shí)體安裝的分步移交方式進(jìn)行。在此過程中，需要特別注意干線電纜的絕緣保護(hù)和光纜的保護(hù)，以防止意外接地或串入高壓電擊穿I/O模件和光纜損壞后的網(wǎng)絡(luò)通訊中斷，同時注意對已安裝設(shè)備的實(shí)體保護(hù)。在此特別指出的是，DCS采用大量的光纜來傳輸信號、組建網(wǎng)絡(luò)，而光纜的抗拉強(qiáng)度、彎曲韌性等指標(biāo)上均不如傳統(tǒng)電纜好，易受損傷。目前有關(guān)電纜敷設(shè)設(shè)計的標(biāo)準(zhǔn)（如EJ/T649-1992《核電廠電纜系統(tǒng)設(shè)計及安裝準(zhǔn)則》）中，沒有對光纜的敷設(shè)做出明確要求，造成設(shè)計時一般不會為光纜敷設(shè)設(shè)計單獨(dú)的電纜托架。但是在光纜敷設(shè)時需要隔離出獨(dú)立的電纜托盤空間進(jìn)行敷設(shè)，絕對避免在光纜上敷設(shè)重壓其他類型的儀控電纜，建議在電纜橋架設(shè)計時考慮為光纜設(shè)計獨(dú)立的電纜托盤。另外核電機(jī)組的壽命一般為40年或更長至60年，光纜的使用壽命有待考驗(yàn)，需要在預(yù)防性維修上加以考慮[4]。

3.4 調(diào)試階段

DCS調(diào)試工作大體可分為單體調(diào)試和綜合調(diào)試（及核電廠各系統(tǒng)的設(shè)備聯(lián)調(diào)）兩個階段。單體調(diào)試階段需要重點(diǎn)檢查從就地測量設(shè)備、輸入模件、畫面顯示等整個測量通道和從畫面操作、輸出模件到被控設(shè)備響應(yīng)等整個控制通道的正確性；綜合調(diào)試除了檢查儀控系統(tǒng)是否正確實(shí)施了設(shè)計圖紙規(guī)定的控制功能之外，還要關(guān)注該系統(tǒng)在核電廠不同的設(shè)計運(yùn)行工況下（包括事故工況下）的性能試驗(yàn)，需要按照合同的性能試驗(yàn)指標(biāo)要求進(jìn)行細(xì)致的檢查。

單體調(diào)試和綜合調(diào)試期間，為了執(zhí)行某項(xiàng)調(diào)試或試驗(yàn)任務(wù)，對設(shè)備的啟停條件、順控邏輯、自動控制策略、畫面進(jìn)行臨時變更（有的在調(diào)試成功后會轉(zhuǎn)為永久性變更）是在所難免的。DCS系統(tǒng)的優(yōu)點(diǎn)是一般不需要更改就地側(cè)的硬接線，而是在工程師站上進(jìn)行組態(tài)更改的操作并下載組態(tài)信息至所需設(shè)備即可實(shí)現(xiàn)，這樣與傳統(tǒng)的控制系統(tǒng)相比，可以節(jié)省大量的執(zhí)行時間。也正因?yàn)槿绱?，調(diào)試階段應(yīng)提前建立一套完整的臨時變更執(zhí)行操作程序，建立授權(quán)體系，嚴(yán)格審查執(zhí)行軟件變更人員的資質(zhì)，在執(zhí)行軟件臨時變更，如模擬設(shè)備啟停、臨時閉鎖保護(hù)信號時，一定要嚴(yán)格按統(tǒng)一的規(guī)范和技術(shù)程序執(zhí)行。所有的臨時變更文件均應(yīng)存檔備查。

在驗(yàn)收標(biāo)準(zhǔn)方面，目前國內(nèi)核電行業(yè)標(biāo)準(zhǔn)中，對于DCS的在線測試驗(yàn)收方面描述較少，一般參照電力行業(yè)規(guī)范和合同的相關(guān)條目要求執(zhí)行，例如參照電力標(biāo)準(zhǔn)：DL/T657-2006《火力發(fā)電廠模擬量控制系統(tǒng)在線驗(yàn)收測試規(guī)程》、DL/T658-2006《火力發(fā)電廠順序控制在線驗(yàn)收測試規(guī)程》、DL/T659-2006《火力發(fā)電廠分散控制系統(tǒng)在線驗(yàn)收測試規(guī)程》以及DL/T1083《火力發(fā)電廠分散控制系統(tǒng)技術(shù)條件》等。核電廠對安全級儀控保護(hù)系統(tǒng)的要求比火電廠的保護(hù)系統(tǒng)要高很多，出臺相應(yīng)的驗(yàn)收標(biāo)準(zhǔn)是很有必要的。我國今年已經(jīng)啟動了核電行業(yè)標(biāo)準(zhǔn)的整合和系列編制工作，相信在不遠(yuǎn)的將來即會發(fā)布。

3.5 維護(hù)階段

DCS的系統(tǒng)維護(hù)工作可以分為日常檢查和定期維護(hù)。需要按照系統(tǒng)、設(shè)備的特點(diǎn)編制一些預(yù)防性維修程序和糾正性維修程序，針對系統(tǒng)特點(diǎn)，對于計算機(jī)設(shè)備、系統(tǒng)機(jī)柜中的CPU模件、I/O卡件、網(wǎng)絡(luò)設(shè)備的維修，因其關(guān)聯(lián)的信號和系統(tǒng)非常多，要特別關(guān)注機(jī)組當(dāng)前的運(yùn)行狀態(tài)和提前做好信號隔離。另外還需關(guān)注計算機(jī)和網(wǎng)絡(luò)交換機(jī)的壽命期限，及時進(jìn)行預(yù)防性維修工作。

4 結(jié)束語

數(shù)字化DCS技術(shù)已經(jīng)成熟，只要在核電廠應(yīng)用過程中關(guān)注其固有的特點(diǎn)，精心組織管理實(shí)施，編制完善的程序并根據(jù)實(shí)際情況及時升版，將會大大提高核電廠的安全性、可用性和經(jīng)濟(jì)性。

[1]張玉鐸. 自動控制原理[M].（ZHANG YU-duo.Principle of automatic control [M].）

[2]國際核安全咨詢組. INSAG-4《安全文化》[R]，1991.（International Nuclear Safety Advisory Group. INSAG-4 Safety Culture [R],1991.）

[3]國家“十二五”能源發(fā)展規(guī)劃[R].（National Energy Development Plan for the Twelfth Five-year Plan [R].）

[4]田灣核電站工程建設(shè)論文匯編[R].（Assay Proceedings for Engineering Construction of Tianwan Nuclear Power Plant [R].）