劉雙金,金征盈,何 超

(1.中廣核工程有限公司,廣東 深圳 518124;2.大亞灣核電運營管理有限公司,廣東 深圳 518124)

0 引言

某核電站非安全級數(shù)字化控制系統(tǒng)(digital control system,DCS)平臺采用西門子公司非過程控制系統(tǒng)(teleperm XP,TXP)系統(tǒng)，包含二層人機接口系統(tǒng)OM(版本V4.0)、一層過程控制系統(tǒng)AS(版本S5)以及相關網絡通信設備。設備從出廠至今已運行超過12年。數(shù)字儀控系統(tǒng)老化期一般為10～15年。目前，TXP系統(tǒng)備件大量停產停供，OM系統(tǒng)故障率越來越高，可靠性越來越差。同時，隨著新網絡安全法的頒布，目前TXP網絡安全設計不能滿足相關要求，存在較多待改進項。

鑒于目前存在的問題，根據商運以來的運行、維修經驗和外部反饋，結合電廠的中長期改造規(guī)劃，以十年大修為契機，完成兩臺機組非安全級DCS平臺TXP系統(tǒng)升級改造。當前，可以參考借鑒的核電DCS平臺整體改造經驗較少。其中，可行性研究、工期控制、風險控制以及測試體系是成功實施改造的關鍵。

1 改造必要性研究

1.1 設備可替代性研究

本文所依托的核電項目DCS非安全級平臺TXP系統(tǒng)設備已運行十二年，在十年大修后將進入損耗故障期，故障率可能急劇升高。經評估，服務器以及一層控制卡件等關鍵設備庫存?zhèn)浼褵o法滿足未來十年機組維修需要，會影響機組可靠性和可用性[1]。

OM系統(tǒng)的主要備件為SUN服務器及其附件(如內存、硬盤等)。主要備件數(shù)量少，特別是SUN服務器已停產停供。此外，運行的OM版本基于Unix操作系統(tǒng)，而新OM版本基于Linux操作系統(tǒng)，無法直接替代。

目前，TXP S7系列是西門子主流DCS平臺。其運行的S5系列已于2013年停產，軟硬件可維護性越來越差，需要通過升級改造確保服務可用性和可維護性。以一層控制系統(tǒng)AS為例，其所包含的處理器(automation processor,AP)機架相關備件除機架尚可少量采購，其他中央處理器(central processing unit，CPU)、通信模件CP1430、接口模件(interface module,IM)均已停產停供。AS-S5與AS-S7硬件配置有差異，停供的備件無直接替代產品，需要通過系統(tǒng)升級解決[2]。

1.2 網絡安全問題

TXP平臺網絡設備除備件數(shù)量不滿足運行維修需求外，還存在網絡安全問題[3]，特別是不滿足新網絡安全法要求。在中央網信辦、四部委、能源局檢查中，TXP系統(tǒng)存在以下不足。

①網絡與信息安全：沒有部署入侵檢測防御相關設備，沒有部署防惡意代碼的相關設備。

②應用安全：應用系統(tǒng)缺乏對安全標記、剩余信息保護、抗抵賴、軟件容錯、資源控制等的安全控制功能。

③主機安全：生產控制服務器未實現(xiàn)對基礎平臺(操作系統(tǒng)、數(shù)據庫、中間件)的審計日志統(tǒng)計收集，以及對服務器主機資源(CPU、內存、存儲)的集中監(jiān)控。

由于上述原因，非安全級DCS系統(tǒng)的改造非常必要和緊迫。

2 改造技術方案

2.1 總體改造原則

由于核電機組安全的特殊性，按照運行技術規(guī)范對DCS平臺的安全要求，升級改造的窗口只能在大修期間堆芯完全卸料(reactor complet decharge,RCD)模式一回路為低低水位窗口內。經評估改造工作量以及需求時間，為最大限度控制風險和成本，將實施窗口定為單臺機組十年大修水位期間?？偟膶嵤┰瓌t如下。

①保守測試原則。日常期間，提前實施全范圍模擬機(fullscope simulation system，F(xiàn)SS)的升級改造。完成性能測試后，將機組的數(shù)據庫下裝到模擬機中，并基于模擬機的仿真模型進行全范圍功能測試，以保證控制功能的完整性和正確性、有效減少運行機組升級改造測試量、縮短運行機組升級改造工期，從而獲得最大投資回報。

②分列實施原則。根據核電機組的安全要求，在實施期間必須保證操縱員在主控室對機組重要設備和參數(shù)的監(jiān)視要求。因此在實施期間，人機接口必須保證有一列OM可用，同時一層設備實施期間應按照設備分列要求分列實施，保證現(xiàn)場重要設備的冗余性要求。

③分層實施原則。一、二層設備分層實施，一方面保證實施期間滿足大修窗口對DCS的需求，另一方面可結合大修計劃靈活安排實施窗口，最大限度減少大修占用關鍵路徑的時間。

④功能保持原則。整個TXP平臺的一、二層邏輯組態(tài)功能應保證完全一致，確保改造不會造成功能缺失和缺陷。人機接口界面應保持一致，任何改變應及時升版運行手冊，確保不會對運行操縱產生影響。

⑤風險控制原則。鑒于升級改造帶來的信號變化可能導致的設備誤動，提前作出完善的風險分析預案。實施期間，應做好完善的隔離措施，確保不因升級改造誤發(fā)信號造成現(xiàn)場設備的誤動作。

改造總體邏輯圖如圖1所示。

圖1 改造總體邏輯圖

結合機組十年大修計劃、機組狀態(tài)、設備隔離窗口以及水位窗口，進行合理的施工窗口安排。

2.2 兩層人機接口系統(tǒng)OM系統(tǒng)升級

目前，OM V4.0運行環(huán)境為SUN硬件和Solaris操作系統(tǒng)，升級后OM V5.0運行環(huán)境為X86硬件和Linux操作系統(tǒng)。因此，目前所有OM服務器，包括實時服務器(processing unit，PU)、歷史服務器(server unit,SU)、網關服務器(XU)、畫面服務器(operational terminal,OT)、工程師站服務器(ES680)等，以及工作站(操作員、工程師站等)都將被替換。

除服務器替換外，采用NAS服務器替換磁盤陣列。NAS通過一個快速環(huán)形總線(1 GB/s)連接兩個SU。Jukebox服務器由長期存檔服務器(long term archive,LTA)替代，并以現(xiàn)有連接方式接入。新增冗余網頁服務器單元(redundant sheet server unit,RSSU)，存儲并運行原安裝于SU中的運行程序和報警卡，以降低SU/OM負荷，同時通過冗余存儲保持高可用性。

2.3 一層過程控制系統(tǒng)AS升級方案

①一層控制機架及模塊整體更換。采用帶有CPU、電源和通信模塊的S7-AP機架整體替換S5-AP機架。大多數(shù)情況下，1對1地替換S5-AP機架中的CPU、電源和通信模塊。

②一層運行軟件和數(shù)據庫的升級。邏輯代碼由工程師站ES680 V8.5基于現(xiàn)有S5功能圖生成。但目標系統(tǒng)是S7而不是S5，因此需要替換拓撲圖和硬件相關系統(tǒng)圖中的符號。工程師站自動將邏輯不加任何改動地編譯為S7代碼。與S5系統(tǒng)相比，其區(qū)別僅在于機器代碼的格式由S5轉換為S7。因此，升級前后的代碼具有相同的功能[4]。

③安全相關機柜的抗震分析。對于SR機柜，由于安裝方式有較大的改變，采用新的設備可能將突破原來的抗震分析和計算，需要進行供應論證并給出報告。

④與安全級平臺TXS的通信方案升級。AP與安全級優(yōu)選模件(AV42)通信設備升級后，采用Y-Link型光電轉換器替換Y-Switch型光電轉換器。這將會導致反應堆保護系統(tǒng)(reactor protection system,RPS)的供電、布置發(fā)生變化，與TXS系統(tǒng)在國家核安全局(national nuclear security agent,NNSA)備案的配置報告中關于軟、硬件的說明不一致，造成網絡架構發(fā)生變化。因此，在詳細設計階段需對升級方案進行核實、驗證、分析等。

2.4 網絡組件升級

網絡組件具體設備包括LEVEL2層交換機、OM服務器機柜內交換機、操作員站交換機、工程師站交換機、打印機交換機；LEVEL1層交換機，AP機柜內交換機、通信網關設備(communication module,CM)機柜內交換機。升級引入的交換機型號主要為Scalance X308-2 M、Scalance XC106-2(SC)等。

新型號交換機需確保物理層的協(xié)議信息不會跨過3、4、8號機網絡，并需通過廠家正式的分析和獨立的第三方測試，從而能夠控制網絡風暴的風險。

交換機的安全、可靠性將在信息安全框架中進行測試。

3 實施過程中的進度控制

由于核電站自身的特殊性，盡管升級改造的工作安排在大修期間實施，但仍然無法將整個DCS平臺全部下電進行直接改造。大修期間，核電站的冷源、電源、通風以及放射性監(jiān)測等系統(tǒng)仍然需要進行實時監(jiān)控，以確保堆芯的安全性。

十年大修的時間窗口，主要分為三個階段。第一階段為低低水位檢修窗口，約12 d；第二階段為低低水位檢修窗口，機組主要檢修工作為安全殼密封性試驗，約8 d；第三個階段為兩個低低水位窗口之間，主要是一回路水壓試驗、壓力容器在役檢查窗口，約14 d。

3.1 工期安排思路

因此，在改造準備階段，結合機組對DCS的需求，提前策劃如下分段實施計劃控制思路。按照指定的詳細工作計劃，大約需要30 d的工時，應結合大修窗口分段實施。

進度控制簡圖如圖2所示。

圖2 進度控制簡圖

①第一個低低水位前(5 d)：由于大修實施更換的AS機柜硬件主要涉及常規(guī)島相關系統(tǒng)的控制，因此AS機柜硬件更換工作可提前到低低水位之前開始，在常規(guī)島主隔離完成之后，可以開展升級更換工作。

②第一個低低水位期間(12 d)：完成整個OM系統(tǒng)軟硬件升級/一層代碼下裝,考慮之后進行水壓試驗、在役檢查和安全殼打壓試驗要保證電站計算機信息和控制系統(tǒng)可用性。第一個低低水位為工期控制關鍵點。其中，一層代碼全下裝的窗口對工期有決定性影響。因大修期間機組仍需要監(jiān)測部分重要設備(如冷源、電源、放射性監(jiān)測、通風等)的運行狀態(tài)，因此考慮將OM拆分為兩列冗余環(huán)網，分列進行升級，確保升級期間有一列OM可用。操縱員可以在主控進行監(jiān)視。另外，在OM 升級期間，可以切換到后備盤(backup panel,BUP)進行控制，通過BUP盤監(jiān)測重要設備參數(shù)。

③第一個低低水位之后：完成網絡設備的更換，工期約13 d。

3.2 工期控制難點

①結合大修期間控制器離線下裝的經驗，設備隔離和風險溝通的工期較長。因此，本次大量控制器整體下裝是工期控制的難點，也是項目按期完成的關鍵點[5]。

②項目為整體升級，軟硬件更換、升級的工作量巨大。其中如果出現(xiàn)意外技術問題，處理的時間可能會占用工期。這也是項目按期完成的風險點。

③本次升級以上次大修之后的數(shù)據庫作為基準，距本次大修包括本次大修本身涉及數(shù)據庫修改的工作需要在新工程師站(engineering system,ES)上進行修改。這部分改動量較大，也是工期控制的重要關注點。

④第三個階段，所有一層機柜的交換機更換期間，需要按離線下裝機柜控制，涉及的機柜數(shù)量多，是工期控制的關注點。

4 實施過程中的風險控制

AP離線下裝過程將造成該AP的所有信號失去運行監(jiān)視，需將輸出信號復位至默認狀態(tài)，離線下裝結束后信號采集和邏輯處理恢復正常。由于輸出信號在整個過程中可能出現(xiàn)變化，將導致工藝設備的誤動或拒動，因此要做好相應的風險分析和隔離措施。

①隔離措施保證。AP離線下裝中有三類信號會發(fā)生變化。第一類是硬接線輸出信號，在AP離線下裝過程中，所有模擬量和開關量信號會失去輸出。第二類是AP間網絡信號，在AP下裝過程中所有模擬量和開關量信號同樣會失去。第三類是開關選擇功能塊，如SLC/SELECT，以及RS觸發(fā)器，在離線下裝后重啟的過程中會復位到默認位置。因此，在進行風險分析時，要全面分析所有影響信號輸出變化的設備，結合機組要求進行相應的隔離，以防止設備誤動作。

②電廠冷源可用性保證。為保證在RCD模式下冷源可用，A/B列泵所在的AP不能同時開展離線下裝工作，必須在確認A列完成后方可進行B列工作(質量計劃控制)。此外，通過對影響列的泵的預先啟動方式進行干預。對意外啟動的泵，主控優(yōu)先匹配流量后由現(xiàn)場人員及時手動停運。

③電源可用性保證。經分析，離線下裝期間由于信號復位，會觸發(fā)6.6 kV柴油機啟動，且6.6 kV電源開關從正常電源模式切換到柴油機供電模式。因此，為保證機組電源可用，首先應保證電源A、B兩列至少一列可用；其次，應由運行人員提前啟動將受影響列的柴油機，將安全級6.6 kV電源切換至柴油機供電，避免因自動切換異常導致的安全級6.6 kV電源下游負載失電；再次，為避免非安全級6.6 kV電源系相關開關異常動作，應實施臨時措施，斷開DCS通向就地勵磁繼電器的指令線，從而保持開關的當前狀態(tài)。

④通風消防可用性保證。為保證RCD模式下火警/消防/通風系統(tǒng)的可靠運行(通常該類設備運行狀態(tài)不受影響)，對于誤動后果難以接受的高風險設備(如主泵消防相關設備在重錘效應下會釋放二氧化碳)，應通過就地插銷的辦法防止期間誤噴。同時，由于AP控制器離線過程中，會失去相關的自動控制功能，必須由儀控、運行、安工、計劃等專業(yè)人員根據每個AP的輸入/輸出清單，識別出RCD模式下與運行技術規(guī)范相關的系統(tǒng)設備，在進行相關AP離線下裝工作期間嚴格控制I/O數(shù)目，以避免違反技術規(guī)范。

⑤閥門安全狀態(tài)保證。為保證離線下裝期間氣動開關/調節(jié)閥動作不對系統(tǒng)產生影響，必須按照系統(tǒng)進行篩選，由儀控、運行、安工、計劃共同針對清單識別出機組在RCD模式下需要重點關注的設備，并預先做好措施。通過提前將上游手動隔離閥置于合理位置、調整系統(tǒng)運行方式等多種途徑，保證設備動作不會對系統(tǒng)運行產生影響，待AP離線下裝工作結束后再恢復閥門初始狀態(tài)。

⑥設備狀態(tài)一致性保證。為確保離線下裝前后設備狀態(tài)保持一致，尤其是下裝過程中被復位為默認輸出值的操作塊所影響的設備，需要在開工前，按照已經梳理好的清單，記錄當前狀態(tài)；工作結束后，運行人員和儀控人員一起將操作塊狀態(tài)恢復為初始狀態(tài)[6]。

5 升級改造的相關測試

經過升級改造，TXP平臺包含的硬件(包括二層人機接口系統(tǒng)OM的服務器、一層過程控制系統(tǒng)AS的模件)均更換為新型號設備，運行在服務器和控制器中的軟件版本也更新為更高版本。其中，所運行的數(shù)據庫、組態(tài)邏輯均適應性地進行了轉換。但是，為了確保升級改造前后畫面組態(tài)、控制組態(tài)實現(xiàn)的功能與升級前保持一致，需要全面策劃以下三個階段的測試工作。

5.1 設備出廠測試

因升級改造不包括AS系統(tǒng)的采集和輸出模件，因此測試的重點是設備和系統(tǒng)的可用性。通過執(zhí)行出廠測試程序，對一、二層系統(tǒng)進行全范圍的功能和性能測試。主要測試內容如下。

OM690功能測試，測試監(jiān)視操作畫面功能完整，報警、打印、趨勢顯示、歷史存儲燈功能正常，與升級改造前保持一致。

①網絡通信測試:測試一、二層各設備網絡配置正確，各設備通信正常，互相之間信號傳輸正常。

②系統(tǒng)負荷測試：測試服務器、控制器、網絡設備負荷在合同規(guī)定的范圍內。

③工程師站功能測試：測試工程師站代碼生成、下裝、動態(tài)監(jiān)視、DAMO生成、畫面分發(fā)等功能正常。

④冗余功能測試：測試具有冗余配置的服務器、控制器、網絡設備，在離線的情況下可以完成無擾切換。

⑤邏輯組態(tài)初步檢查：對一層邏輯組態(tài)進行初步檢查，保證邏輯組態(tài)功能在改造前后保持一致。

5.2 全范圍模擬機功能測試

由于模擬機采用仿真模型，可對核電站工藝系統(tǒng)進行高度仿真。完成仿真模型與新型系統(tǒng)設備的連接配置后，可借助仿真系統(tǒng)對邏輯組態(tài)功能進行完整的測試。

①信號監(jiān)視、設備操作功能測試：在仿真平臺建立完整工況，例如100%功率平臺，檢查信號顯示、設備操作是否正常。

②模擬機組啟停測試：在仿真模型中模擬一次機組啟動、機組正常停運的操作過程，檢查啟停過程信號的顯示，設備動作、報警、趨勢、規(guī)程等均功能正常。

③機組重要閉環(huán)控制測試：建立100%功率平臺后，分別執(zhí)行穩(wěn)壓器壓力/水位擾動、蒸發(fā)器水位擾動、一回路平均溫度擾動、汽機功率調節(jié)等試驗，檢查機組相關參數(shù)、報警是否正常。

④瞬態(tài)功能測試：建立100%功率平臺，分別模擬跳堆、跳機、甩負荷等瞬態(tài)試驗，檢查機組相關參數(shù)、報警是否正常[7]。

5.3 現(xiàn)場升級改造后的再鑒定測試

設備現(xiàn)場安裝完成并重新投入運行后，具備了現(xiàn)場真實聯(lián)合測試的條件。

①平臺功能測試：平臺設備改造升級完成后，測試自身功能的正確性和完整性、設備各項性能以及整體系統(tǒng)的性能和功能是否滿足要求。

②系統(tǒng)聯(lián)合測試：重點是邏輯組態(tài)與現(xiàn)場設備的準確對應，分別在改造升級的一層AS機柜中開關量、模擬量、執(zhí)行機構的通道，檢查現(xiàn)場輸入狀態(tài)是否與畫面顯示一致；在主控操作具備執(zhí)行條件的執(zhí)行機構進行操作，檢查設備能否按照指令要求正常動作。

③機組啟動平臺可用性試驗：在機組啟動過程中，檢查操縱員的各項操作均能正常執(zhí)行，現(xiàn)場信號、報警、趨勢、規(guī)程等功能正常，機組各閉環(huán)控制系統(tǒng)投自動后調節(jié)功能正常[8]。

6 結論

數(shù)字化儀控系統(tǒng)DCS整體升級改造，是未來核電站面臨的一項難題。整體升級改造是一項系統(tǒng)工程，工作量大，對工藝設備影響復雜。改造工程既要將大修工期控制在最短，避免影響發(fā)電效益[9]；同時又要確保改造目標的完整實現(xiàn)，過程中不能帶來風險和隱患。因此，改造技術的方案研究、進度計劃、測試安排以及風險控制都需要深入研究，以提升核電運行的安全穩(wěn)定性和和核電企業(yè)的實際收益。本文在核電站數(shù)字化儀控系統(tǒng)DCS改造實踐過程中，風險控制、工期控制均達到了預期效果，順利完成了升級工作，對于后續(xù)的電廠改造具有重要參考意義。