陳素萌

（山東核電有限公司，山東 煙臺(tái) 265116）

0 引言

核電廠數(shù)字化儀控系統(tǒng)[1]提供了一個(gè)一體化的數(shù)字化控制系統(tǒng)，覆蓋了核電廠所有過程系統(tǒng)，實(shí)現(xiàn)了核電廠所有工藝系統(tǒng)和設(shè)備的數(shù)字監(jiān)測(cè)、診斷、控制和保護(hù)功能。其主要分為電廠控制系統(tǒng)（PLS）、保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）、多樣化驅(qū)動(dòng)系統(tǒng)（DAS）、數(shù)據(jù)顯示與處理系統(tǒng)（DDS）、運(yùn)行和控制中心系統(tǒng)（OCS）等。機(jī)組正常運(yùn)行期間，通過電廠控制系統(tǒng)（PLS）完成機(jī)組啟停、參數(shù)控制等操作；機(jī)組某些關(guān)鍵參數(shù)異常時(shí)，則由保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）通過停堆、專設(shè)安全設(shè)施驅(qū)動(dòng)等手段為電站提供保護(hù)功能；多樣化驅(qū)動(dòng)系統(tǒng)（DAS）則為PMS 系統(tǒng)的保護(hù)功能提供多樣化后備。核電廠數(shù)字化儀控系統(tǒng)架構(gòu)如圖1 所示。

圖1 核電廠數(shù)字化儀控系統(tǒng)架構(gòu)

保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）作為安全級(jí)系統(tǒng)，主要有以下作用：①監(jiān)測(cè)機(jī)組關(guān)鍵參數(shù)，必要時(shí)可使反應(yīng)堆自動(dòng)停堆和根據(jù)需要觸發(fā)專設(shè)安全設(shè)施。②根據(jù)操縱人員的判斷手動(dòng)停堆和手動(dòng)觸發(fā)系統(tǒng)級(jí)專設(shè)安全設(shè)施。③在事故期間和事故后提供必要的核級(jí)數(shù)據(jù)變化過程顯示。

全范圍模擬機(jī)作為操縱人員培訓(xùn)、考試的重要設(shè)施，根據(jù)《核電廠操縱人員培訓(xùn)及考試用模擬機(jī)》，仿真范圍應(yīng)使操縱人員在模擬機(jī)上使用參考機(jī)組的運(yùn)行規(guī)程處理某一變化過程所采取的操作行動(dòng)與在參考機(jī)組上采取的操作行動(dòng)相同，模擬機(jī)上要求的特定故障能力應(yīng)滿足參考機(jī)組持照操縱人員培訓(xùn)和再培訓(xùn)大綱的有關(guān)要求。因而，為在模擬機(jī)上做好保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）仿真工作，應(yīng)對(duì)實(shí)際機(jī)組的保護(hù)邏輯、畫面、故障、交互等進(jìn)行充分了解，選擇可行的技術(shù)方案仿真開發(fā)，并測(cè)試驗(yàn)證仿真效果。

1 保護(hù)邏輯仿真

在實(shí)際機(jī)組上，與電廠控制系統(tǒng)（PLS）用DPU 裝載控制邏輯的方式不同，保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）的邏輯主要以硬件的方式實(shí)現(xiàn)，即通過堆外核儀表機(jī)柜、雙穩(wěn)態(tài)邏輯處理器、就地符合邏輯、綜合邏輯處理器、綜合通信處理器、綜合試驗(yàn)處理器、高級(jí)現(xiàn)場(chǎng)總線、高速數(shù)據(jù)鏈接等實(shí)現(xiàn)其表決、信號(hào)傳輸?shù)墓δ堋１Ｗo(hù)和安全監(jiān)測(cè)系統(tǒng)單通道邏輯架構(gòu)如圖2 所示。

圖2 保護(hù)和安全監(jiān)測(cè)系統(tǒng)單通道邏輯架構(gòu)

全范圍模擬機(jī)對(duì)保護(hù)邏輯的仿真，應(yīng)考慮實(shí)際機(jī)組的處理器結(jié)構(gòu)、處理器間數(shù)據(jù)通信、I/O 模塊、高級(jí)現(xiàn)場(chǎng)總線通信、高速數(shù)據(jù)鏈接通信。

目前對(duì)保護(hù)邏輯的仿真一般有兩種方式。

（1）按照保護(hù)邏輯設(shè)計(jì)圖紙，在邏輯仿真軟件上進(jìn)行算法塊、邏輯宏、邏輯頁(yè)組態(tài)[2]，加點(diǎn)、生成代碼，編譯后集成至模擬機(jī)。這種方式的好處在于簡(jiǎn)單明了，便于維護(hù)，但同時(shí)也存在著結(jié)構(gòu)單薄，若不人工添加組態(tài)則無法實(shí)現(xiàn)保護(hù)和安全監(jiān)測(cè)系統(tǒng)故障仿真功能。

（2）根據(jù)機(jī)組保護(hù)和安全監(jiān)測(cè)系統(tǒng)Function Chart Buider 輸出的組態(tài)，其中過程控制元素、數(shù)據(jù)庫(kù)元素的定義，以及系統(tǒng)通道、過程站、過程模塊、高級(jí)現(xiàn)場(chǎng)總線的布局，采用算法庫(kù)編制+整體翻譯的方式實(shí)現(xiàn)系統(tǒng)功能仿真。需要輸出的仿真代碼一般有以下11 類：①系統(tǒng)心跳監(jiān)測(cè)代碼。②系統(tǒng)電源代碼。③雙穩(wěn)態(tài)邏輯處理器、就地符合邏輯、綜合邏輯處理器、綜合通信處理器、綜合試驗(yàn)處理器等的通信接口代碼。④過程模塊的輸入、輸出，其每個(gè)子模塊的輸入、邏輯、輸出代碼。⑤邏輯算法塊代碼。⑥故障列表及定義文件。⑦就地操作（如部分失效、部分旁路）代碼，就地操作列表及定義文件。⑧點(diǎn)的初始化文件。⑨與工藝系統(tǒng)模型、電廠控制系統(tǒng)（PLS）的接口文件。⑩與模擬機(jī)硬件的接口文件。1○與保護(hù)畫面的通信文件。

這種方式的好處是全面完整，與機(jī)組一致性較高，但維護(hù)起來缺少直觀界面，需要查找修改具體代碼或整體重新翻譯。

2 保護(hù)畫面仿真

在實(shí)際機(jī)組上，保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）的人機(jī)界面安裝在主控室盤臺(tái)內(nèi)獨(dú)立的PC 節(jié)點(diǎn)盒上（每個(gè)通道一個(gè)），PC 節(jié)點(diǎn)盒通過高級(jí)現(xiàn)場(chǎng)總線與保護(hù)邏輯對(duì)接，處理收到的信號(hào)，并在盤臺(tái)工業(yè)級(jí)顯示器上顯示，同時(shí)PC 節(jié)點(diǎn)盒也處理操縱人員的命令信息，將它們發(fā)送給保護(hù)邏輯。

全范圍模擬機(jī)對(duì)保護(hù)畫面的仿真，不僅需要考慮安全級(jí)設(shè)備狀態(tài)、參數(shù)信息的顯示，還要考慮關(guān)鍵安全功能狀態(tài)樹、曲線、報(bào)表功能的顯示。

目前對(duì)保護(hù)畫面的仿真一般有兩種方式。

（1）純模擬方式[3]，即按照機(jī)組保護(hù)畫面的樣式，在畫面仿真軟件繪制設(shè)備、開關(guān)、管道、線路、參數(shù)顯示、彈出框的圖符，完成畫面頁(yè)組態(tài)，并具體為每一個(gè)圖符的每一個(gè)配置項(xiàng)接點(diǎn)。這種方式的好處是不受設(shè)備限制，無須PC 節(jié)點(diǎn)盒，可直接安裝在模擬機(jī)模型計(jì)算機(jī)上進(jìn)行調(diào)用，但缺點(diǎn)是仿真工作量巨大，容易人因失誤，并且需要龐大數(shù)量的點(diǎn)進(jìn)行支持，運(yùn)算占用CPU 較高。

（2）實(shí)物模擬方式，即采用與機(jī)組相同的方式，收集機(jī)組各通道安全畫面軟件直接安裝至工控機(jī)或計(jì)算機(jī)[4]，完成與模型計(jì)算機(jī)的通信接口開發(fā)，即可正確與保護(hù)邏輯交互。這種方式可使操縱人員感觀與在機(jī)組上完全一致，但往往需要采購(gòu)指定PC 節(jié)點(diǎn)盒，或解決機(jī)組安全畫面軟件對(duì)硬件的綁定/授權(quán)問題。解決綁定/授權(quán)問題后，還可移植至虛擬機(jī)或云平臺(tái)等。

3 故障仿真

作為安全級(jí)系統(tǒng)，實(shí)際機(jī)組保護(hù)和安全監(jiān)測(cè)系統(tǒng)在設(shè)計(jì)上故障率極低，但全范圍模擬機(jī)為向操縱人員提供全面的培訓(xùn)，幫助其練習(xí)故障發(fā)生時(shí)的正確操作，需要分析機(jī)組可能發(fā)生的故障及其現(xiàn)象，對(duì)它們進(jìn)行仿真。

3.1 系統(tǒng)故障類型

保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）有如下類型的故障。

（1）機(jī)柜/站失電。受影響的過程模塊終止與高級(jí)現(xiàn)場(chǎng)總線、高速數(shù)據(jù)鏈接、I/O 的通信，數(shù)字量、模擬量輸出為0。

（2）過程模塊故障。故障的過程模塊終止與高級(jí)現(xiàn)場(chǎng)總線通信、高速數(shù)據(jù)鏈接、I/O 的通信，故障前最后一個(gè)數(shù)字量、模擬量輸出值保持有效。站內(nèi)其他過程模塊仍舊正常工作，接收故障過程模塊數(shù)據(jù)的其他過程模設(shè)ERRON、VALIDOFF，接收的最后一個(gè)非故障數(shù)值保持有效。

（3）高速數(shù)據(jù)鏈接故障。故障高速數(shù)據(jù)鏈接到接收過程模塊的數(shù)據(jù)不再更新，接收過程模塊HSRERROˉ RON，接收的最后一個(gè)非故障數(shù)值保持有效。

（4）高級(jí)現(xiàn)場(chǎng)總線通道故障。故障的高級(jí)現(xiàn)場(chǎng)總線網(wǎng)絡(luò)所有通信終止，該網(wǎng)絡(luò)上所有站不再通過高級(jí)現(xiàn)場(chǎng)總線傳輸數(shù)據(jù)，接收數(shù)據(jù)的過程模塊設(shè)VALIDOFF，接收的最后一個(gè)非故障數(shù)值保持有效。

（5）高級(jí)現(xiàn)場(chǎng)總線失去電纜連接。發(fā)送數(shù)據(jù)的站不受影響，受影響的站不再通過高級(jí)現(xiàn)場(chǎng)總線傳輸數(shù)據(jù)，接收數(shù)據(jù)的過程模塊設(shè)VALIDOFF，接收的最后一個(gè)非故障數(shù)值保持有效。

（6）通信接口模塊故障。受影響的站不再通過高級(jí)現(xiàn)場(chǎng)總線傳輸數(shù)據(jù)，通信功能全局內(nèi)存不再可用。受影響的過程模塊設(shè)RunOFF、ERRON，數(shù)字量、模擬量輸出保持故障前最后一個(gè)值。接收受影響過程模塊數(shù)據(jù)的其他過程模塊設(shè)ERRON、VALIDOFF，接收的最后一個(gè)非故障數(shù)值保持有效。

（7）I/O 模塊故障或失電。①AI 模塊故障或失電：AI 模塊設(shè)ERRON，所有AIS 通道設(shè)ERRON，最近一個(gè)有效AIS 信號(hào)值保持。②DI 模塊故障或失電：DI 模塊設(shè)ERRON，所有DIS 通道設(shè)ERRON，最近一個(gè)有效DIS 信號(hào)值保持。③AO 模塊故障或失電：AO 模塊設(shè)ERRON，所有AOS 通道設(shè)ERRON，AOS 輸出變?yōu)?。④DO 模塊故障或失電：DO 模塊設(shè)ERRON，所有DOS通道設(shè)ERRON，DOS 輸出變?yōu)?。⑤DP 模塊故障或失電：DP 模塊設(shè)ERRON，所有DPS 通道設(shè)ERRON，最近一個(gè)有效DPS 信號(hào)值保持。

（8）輸入通道故障。①對(duì)于模擬量輸入AI：過程模塊選定AIS 通道設(shè)ERRON，最近一個(gè)有效AIS 信號(hào)值保持。②對(duì)于數(shù)字量輸入DI：過程模塊選定DIS 通道設(shè)ERRON，最近一個(gè)有效DIS 信號(hào)值保持。③對(duì)于數(shù)字脈沖DP：過程模塊選定DPS 通道設(shè)ERRON，最近一個(gè)有效DPS 信號(hào)保持。

（9）數(shù)字量輸出信號(hào)故障。故障分為“FailON”“Failˉ OFF”“FailAsˉIs”，分別代表故障后DOS 通道值變?yōu)镺N、OFF 和保持原狀。

（10）模擬量輸出通道故障。故障分為“FailHigh”“FailLow”“FailAsˉIs”，分別代表故障后AOS 通道值變?yōu)樽罡呦拗?、最低限值和保持原狀?/p>

（11）模擬量輸出通道失效為選定值。AOS 通道值變?yōu)檫x定值。

3.2 在模擬機(jī)上的仿真

保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）故障的仿真基本需要從保護(hù)邏輯處著手。

如本文第1 節(jié)所述，若采用按照設(shè)計(jì)圖紙對(duì)保護(hù)邏輯進(jìn)行繪制組態(tài)的方式，因機(jī)組設(shè)計(jì)圖紙并無仿真所需的故障點(diǎn)位設(shè)置，也不會(huì)有電源、系統(tǒng)內(nèi)數(shù)據(jù)通信、系統(tǒng)內(nèi)輸入輸出相關(guān)內(nèi)容，因而仿真出的邏輯無法實(shí)現(xiàn)故障功能，若要添加，則需分析出最合適的強(qiáng)制位置，手動(dòng)在邏輯圖上增加點(diǎn)塊、接線，并編制功能代碼。當(dāng)需要仿真的故障較多時(shí)，按照上述方法逐個(gè)添加將無比煩瑣。

而若按照機(jī)組輸出組態(tài)，加過程控制元素、數(shù)據(jù)庫(kù)元素的定義，以及系統(tǒng)通道、過程站、過程模塊、高級(jí)現(xiàn)場(chǎng)總線的布局，整體翻譯仿真代碼（庫(kù)內(nèi)算法塊設(shè)不同功能引腳），則可根據(jù)算法設(shè)置、代碼嵌套調(diào)用關(guān)系整體地考慮各類故障的實(shí)現(xiàn)位置，電源、通信、I/O 故障也可方便地實(shí)現(xiàn)。

4 系統(tǒng)仿真分析

正如保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）在核電機(jī)組中的重要性，該系統(tǒng)同樣為全范圍模擬機(jī)非常重要的組成部分。從邏輯仿真、畫面仿真、故障仿真3 個(gè)方面綜合來看，目前該系統(tǒng)主流的仿真方式有兩種。

一種是純模擬，即邏輯按照設(shè)計(jì)圖紙繪制+邏輯繪制圖中增加故障仿真所需組態(tài)+畫面按照機(jī)組樣式繪制+逐項(xiàng)添加畫面算法；另一種是虛擬實(shí)物模擬[5]，即邏輯根據(jù)機(jī)組配置及組態(tài)翻譯輸出不同功能類型的仿真代碼+畫面實(shí)裝機(jī)組畫面軟件。兩種方式的優(yōu)缺點(diǎn)已在本文1、2、3 節(jié)進(jìn)行了說明，概括來講，純模擬的仿真方式軟件結(jié)構(gòu)簡(jiǎn)單，方便問題定位，但仿真點(diǎn)數(shù)量多，需單獨(dú)添加的算法多，模擬機(jī)數(shù)據(jù)更新或升級(jí)時(shí)，工作量巨大，工期較長(zhǎng)；虛擬實(shí)物模擬的仿真方式與實(shí)際機(jī)組的一致性更高，數(shù)據(jù)更新或升級(jí)工期較短，但前期算法庫(kù)、翻譯工具開發(fā)難度大，因缺少直觀查看組態(tài)的界面，后期局部維護(hù)工作較為復(fù)雜，同時(shí)畫面安裝的設(shè)備可能會(huì)受到綁定或授權(quán)問題的影響。

新建機(jī)組全范圍模擬機(jī)建造時(shí)，應(yīng)根據(jù)現(xiàn)場(chǎng)數(shù)據(jù)的完整性、模擬機(jī)開發(fā)進(jìn)度要求、使用技術(shù)的成熟度、開發(fā)人員數(shù)量及經(jīng)驗(yàn)、實(shí)際操縱人員培訓(xùn)需求、后續(xù)維護(hù)便捷性等諸多因素統(tǒng)籌考慮并選定保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）仿真方案，上文所述的兩種方案也可以結(jié)合進(jìn)行?？傊?，全范圍模擬機(jī)保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）仿真精度越高，則感官、操作上越能復(fù)刻實(shí)際機(jī)組，其軟件架構(gòu)與機(jī)組硬件架構(gòu)越相似，則越能方便的實(shí)現(xiàn)部分失效、部分旁路、故障等拓展培訓(xùn)功能，更好地提高操縱人員培訓(xùn)準(zhǔn)確性、有效性、全面性。

5 結(jié)語

本文僅對(duì)筆者單位機(jī)組類型的全范圍模擬機(jī)安全級(jí)儀控系統(tǒng)一層、二層仿真方式進(jìn)行了闡述、分析，但核電模擬機(jī)該部分的仿真思路大體如此，實(shí)際開發(fā)過程中可能會(huì)遇到更為復(fù)雜的問題，需根據(jù)真實(shí)參考機(jī)組進(jìn)行調(diào)整。