(中國核動(dòng)力研究設(shè)計(jì)院 核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川 成都 610213)

核電站數(shù)字化控制系統(tǒng)(DCS)是核電站的“中樞神經(jīng)”系統(tǒng)，及時(shí)有效控制核電站的穩(wěn)定運(yùn)行和安全防護(hù)。核電站DCS包括非安全級(jí)DCS和安全級(jí)DCS，其中安全級(jí)DCS在事故工況下完成反應(yīng)堆安全停堆、專設(shè)安全設(shè)備驅(qū)動(dòng)等功能，確保核電站以及環(huán)境與公眾的安全。由于安全級(jí)DCS技術(shù)復(fù)雜以及對可靠性的嚴(yán)苛要求，目前我國大多數(shù)在運(yùn)和在建核電站機(jī)組的安全級(jí)DCS系統(tǒng)采用國外進(jìn)口，核心技術(shù)受制于人，供貨周期長，且購買和維護(hù)成本高昂?；谧灾骺煽睾蛧H市場的拓展需求，我國迫切需要加快自主研制軍用和民用安全級(jí)DCS的步伐。

中核集團(tuán)中國核動(dòng)力研究設(shè)計(jì)院先后完成了多代研究核反應(yīng)堆一回路儀控系統(tǒng)的設(shè)計(jì)和設(shè)備供貨，嶺澳核電站、陽江核電站、“華龍一號(hào)”等一回路系統(tǒng)的設(shè)計(jì)，以及“華龍一號(hào)”堆芯測量系統(tǒng)的供貨等，擁有豐富的核電及核動(dòng)力裝置的設(shè)計(jì)和供貨經(jīng)驗(yàn)。為實(shí)現(xiàn)安全級(jí)DCS國產(chǎn)化的目標(biāo)，中國核動(dòng)力研究設(shè)計(jì)院發(fā)揮自身在核反應(yīng)堆儀控設(shè)備領(lǐng)域的技術(shù)和經(jīng)驗(yàn)累積，攻堅(jiān)克難，歷時(shí)五年推出擁有自主知識(shí)產(chǎn)權(quán)的安全級(jí)DCS，抓住核電快速發(fā)展的機(jī)遇，助力中國核電“走出去”的國家戰(zhàn)略。

1 “龍鱗系統(tǒng)”研制歷程

2013年12月，依托中核集團(tuán)“龍騰2020”科技創(chuàng)新計(jì)劃的戰(zhàn)略部署，中國核動(dòng)力研究設(shè)計(jì)院開啟核電站安全級(jí)DCS平臺(tái)——“龍鱗系統(tǒng)”的研發(fā)?！褒堶[系統(tǒng)”是依據(jù)核安全法規(guī)、國家標(biāo)準(zhǔn)、能源局標(biāo)準(zhǔn)和國際電工委員會(huì)標(biāo)準(zhǔn)等一系列國內(nèi)和國際的法規(guī)標(biāo)準(zhǔn)，以及核電站安全控制保護(hù)系統(tǒng)的系統(tǒng)要求，基于微處理器和網(wǎng)絡(luò)通信等技術(shù)，打造的中核集團(tuán)自主品牌的核安全級(jí)DCS通用平臺(tái)。兩年研制期間，系統(tǒng)研發(fā)團(tuán)隊(duì)在嵌入式微操作系統(tǒng)、核心主控制器板卡、安全通信協(xié)議、可靠性技術(shù)、信息安全技術(shù)和安全顯示技術(shù)等眾多關(guān)鍵設(shè)計(jì)領(lǐng)域均取得突破，2015年10月，平臺(tái)1.0正式發(fā)布。系統(tǒng)包括緊急停堆系統(tǒng)(RTS)、專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)、事故后監(jiān)測系統(tǒng)(PAMS)等，可根據(jù)工程應(yīng)用需要，靈活組成適用于不同堆型、不同架構(gòu)的安全級(jí)DCS。龍鱗系統(tǒng)先后通過包括環(huán)境試驗(yàn)、電磁兼容(EMC)試驗(yàn)和振動(dòng)試驗(yàn)的模擬件鑒定試驗(yàn)，并分別于2017年11月和2018年11月取得國家國防科技工業(yè)局頒發(fā)的軍工核安全設(shè)備制造許可證以及國家核安全局頒發(fā)的民用核安全設(shè)備設(shè)計(jì)、制造許可證。2018年12月6日，擁有完全自主知識(shí)產(chǎn)權(quán)的多用途核安全級(jí)DCS平臺(tái)——龍鱗系統(tǒng)正式發(fā)布，進(jìn)一步打破安全級(jí)DCS技術(shù)受制于人，國內(nèi)核電廠安全級(jí)DCS系統(tǒng)長期依賴國外供應(yīng)商提供的局面，全面提升我國核儀控電設(shè)備設(shè)計(jì)制造能力，助力我國核電技術(shù)和設(shè)備實(shí)現(xiàn)整體出口。

2 龍鱗系統(tǒng)研制情況

2.1 系統(tǒng)組成及功能

“龍鱗系統(tǒng)”包括現(xiàn)場控制站、傳輸站、網(wǎng)關(guān)站、安全顯示站和工程師站等五個(gè)基本的功能站，系統(tǒng)架構(gòu)示意圖如圖1所示。其中反應(yīng)堆保護(hù)系統(tǒng)主要通過現(xiàn)場控制站、傳輸站、網(wǎng)關(guān)站構(gòu)建，主要功能包括當(dāng)核電站條件達(dá)到安全限值時(shí)自動(dòng)停堆，及時(shí)反映反應(yīng)堆及專設(shè)系統(tǒng)狀態(tài)并在出現(xiàn)異常時(shí)告警操作員，啟動(dòng)專設(shè)安全設(shè)施從而限制任何事故產(chǎn)生的后果和確保反應(yīng)堆、核電站設(shè)備、人員和周邊環(huán)境在事故條件下的安全等。安全顯示系統(tǒng)主要由安全顯示站構(gòu)成，具有安全顯示和有限的操作功能，包括安全級(jí)過程參數(shù)及報(bào)警顯示、設(shè)備狀態(tài)參數(shù)的顯示、設(shè)備控制及復(fù)位閉鎖等。事故后監(jiān)測系統(tǒng)主要由安全顯示站構(gòu)成，主要用于運(yùn)行及事故后的核電站重要參數(shù)的監(jiān)測和顯示以及存儲(chǔ)，這些參數(shù)體現(xiàn)核電站的安全狀況和事故處理的后果。

圖1 龍鱗安全級(jí)DCS系統(tǒng)平臺(tái)架構(gòu)示意圖Fig. 1 The structure of Longlinsafety-related DCS platform

現(xiàn)場控制站是完成控制保護(hù)功能的核心功能站?，F(xiàn)場控制站由一系列核心基礎(chǔ)板卡組成，包括主控模塊、通信模塊、擴(kuò)展模塊、輸入模塊、輸出模塊、優(yōu)選模塊、表決模塊、終端模塊和電源模塊等，具有輸入輸出、網(wǎng)絡(luò)通信和數(shù)據(jù)處理功能，可以根據(jù)工程需求進(jìn)行配置、組合，執(zhí)行數(shù)據(jù)采集、邏輯處理、運(yùn)算等功能。來自現(xiàn)場儀表的信號(hào)在調(diào)理采集后，經(jīng)過必要的信號(hào)轉(zhuǎn)換和邏輯處理，最終通過輸出模塊或優(yōu)選模塊完成對現(xiàn)場執(zhí)行器的控制。

傳輸站用于連接現(xiàn)場控制站與安全顯示站、網(wǎng)關(guān)站、工程師站、其他系統(tǒng)(如后備盤BUP、緊急控制盤ECP等)的數(shù)據(jù)傳輸，主要完成運(yùn)算處理、通信接口、支持維護(hù)與自監(jiān)視功能。

安全顯示站由處理單元、顯示單元以及網(wǎng)絡(luò)通信單元等構(gòu)成，集成在一體機(jī)中。主要完成顯示系統(tǒng)運(yùn)行的關(guān)鍵參數(shù)并發(fā)送控制指令到現(xiàn)場的功能。

網(wǎng)關(guān)站用于實(shí)現(xiàn)安全級(jí)DCS平臺(tái)與外部非安全系統(tǒng)之間協(xié)議轉(zhuǎn)換和數(shù)據(jù)通信功能，由網(wǎng)關(guān)主控模塊、網(wǎng)關(guān)安全側(cè)通信模塊和非安全側(cè)通信模塊組成。同時(shí)，網(wǎng)關(guān)站還起著隔離龍鱗系統(tǒng)安全級(jí)平臺(tái)與非安全系統(tǒng)的作用。

工程師站軟件NASPES是龍鱗安全級(jí)DCS系統(tǒng)的工具軟件，離線運(yùn)行在PC機(jī)上，用于安全級(jí)DCS系統(tǒng)自身參數(shù)和工程應(yīng)用數(shù)據(jù)的配置和管理，實(shí)現(xiàn)生成邏輯組態(tài)和圖像組態(tài)程序代碼、生成工程配置信息、變量和狀態(tài)監(jiān)視等功能。

2.2 系統(tǒng)特點(diǎn)

“龍鱗系統(tǒng)”作為中核集團(tuán)首套具有完全自主知識(shí)產(chǎn)權(quán)的三代核電安全級(jí)DCS平臺(tái)，具有全面的標(biāo)準(zhǔn)體系、高技術(shù)成熟性、完善的在線自診斷、高抗震機(jī)械結(jié)構(gòu)、完整的產(chǎn)品系列、全面的冗余設(shè)計(jì)、良好的開放性、全面的驗(yàn)證與確認(rèn)(V&V)等特性。

在標(biāo)準(zhǔn)體系方面，“龍鱗系統(tǒng)”在設(shè)計(jì)、研發(fā)、驗(yàn)證的全過程均嚴(yán)格遵循國際和國內(nèi)核電行業(yè)最嚴(yán)、最新、最全的相關(guān)標(biāo)準(zhǔn)，同時(shí)也多種用途軍用核動(dòng)力儀控裝置的相關(guān)標(biāo)準(zhǔn)，適合于多種用途。這些標(biāo)準(zhǔn)來源于監(jiān)管機(jī)構(gòu)的要求(包括國家核安全局和核管理委員會(huì)等)、行業(yè)領(lǐng)域標(biāo)準(zhǔn)的要求(核電領(lǐng)域、工業(yè)控制領(lǐng)域)、設(shè)計(jì)方和用戶的經(jīng)驗(yàn)反饋等方面，標(biāo)準(zhǔn)覆蓋全面?！褒堶[系統(tǒng)”標(biāo)準(zhǔn)體系以HAF/HAD、IEEE系列法規(guī)標(biāo)準(zhǔn)為核心，結(jié)合了IEC、GB、NB等一系列當(dāng)前最嚴(yán)格的法規(guī)標(biāo)準(zhǔn)要求，并根據(jù)核動(dòng)力裝置安全級(jí)DCS相關(guān)經(jīng)驗(yàn)，在標(biāo)準(zhǔn)體系中增加了GJB、HJB等相關(guān)軍用標(biāo)準(zhǔn)的要求?！褒堶[系統(tǒng)”融合了先進(jìn)的功能安全理念，認(rèn)證范圍覆蓋全面，由德國TUV SUD獨(dú)立認(rèn)證單通道即可達(dá)安全完整性最高等級(jí)SIL3。“龍鱗系統(tǒng)”符合行業(yè)相關(guān)標(biāo)準(zhǔn)達(dá)30余項(xiàng)，這些標(biāo)準(zhǔn)既是“龍鱗系統(tǒng)”設(shè)計(jì)研發(fā)的核心基礎(chǔ)，也是“龍鱗系統(tǒng)”安全性可靠性最根本的保障。

在“龍鱗系統(tǒng)”的驗(yàn)證方面，對機(jī)箱機(jī)柜等結(jié)構(gòu)方案根據(jù)設(shè)計(jì)要求進(jìn)行力學(xué)仿真試驗(yàn)、熱學(xué)仿真實(shí)驗(yàn)和電磁屏蔽仿真試驗(yàn)，根據(jù)評(píng)定標(biāo)準(zhǔn)和實(shí)驗(yàn)結(jié)果多次迭代優(yōu)化結(jié)構(gòu)設(shè)計(jì)方案，確保設(shè)計(jì)滿足要求[1]。組建了獨(dú)立的V&V團(tuán)隊(duì)開展V&V，依據(jù)IEEE 1012—2004確保V&V的獨(dú)立性，“龍鱗系統(tǒng)”各項(xiàng)軟件均通過V&V，展現(xiàn)了“龍鱗系統(tǒng)”平臺(tái)軟件設(shè)計(jì)的高可靠性。在仿真驗(yàn)證和V&V的基礎(chǔ)上，通過鑒定試驗(yàn)對平臺(tái)進(jìn)行進(jìn)一步的試驗(yàn)驗(yàn)證，包括基準(zhǔn)試驗(yàn)、正常運(yùn)行環(huán)境條件下極限值試驗(yàn)、機(jī)械強(qiáng)度試驗(yàn)和耐久性試驗(yàn)、抗震鑒定試驗(yàn)等一系列嚴(yán)格的高強(qiáng)度試驗(yàn)，同時(shí)還額外增加了沖擊試驗(yàn)、顛震試驗(yàn)、高低溫試驗(yàn)等船用鑒定試驗(yàn)。平臺(tái)機(jī)械結(jié)構(gòu)具有符合地面加速度0.3g設(shè)計(jì)基準(zhǔn)的抗震能力，具備高抗震性能，滿足三代核電的要求，保證系統(tǒng)在極端自然條件下正常工作[2]。

“龍鱗系統(tǒng)”是通用的安全級(jí)DCS平臺(tái)，采用全面的冗余設(shè)計(jì)，平臺(tái)的電源、控制器、IO、網(wǎng)絡(luò)等重要部分均可提供冗余配置，能以不同功能的軟件硬件平臺(tái)為基礎(chǔ)，根據(jù)不同的工程需要構(gòu)成適用于不同堆型(如AP1000、“華龍一號(hào)”、M310機(jī)組堆型)、不同配置方案(單控制器配置模式、熱備冗余配置模式以及1oo2D冗余配置模式)的核電廠數(shù)字化安全級(jí)儀控系統(tǒng)，滿足用戶對系統(tǒng)整體可靠性的不同需求。

圖2 龍鱗系統(tǒng)樣機(jī)Fig. 2 The prototype of Longlin system

2.3 系統(tǒng)關(guān)鍵技術(shù)

“龍鱗系統(tǒng)”基于微處理器，網(wǎng)絡(luò)通信等技術(shù)，歷時(shí)五年，完成了包括自主操作系統(tǒng)NASBAY、安全通訊協(xié)議NASBUS、安全顯示單元SVDU等一系列核心技術(shù)攻關(guān)，實(shí)現(xiàn)了軟件以及系統(tǒng)集成的100%國產(chǎn)化，具有高可靠性、高穩(wěn)定性、高自診斷率等特點(diǎn)。

“龍鱗系統(tǒng)”采用自主設(shè)計(jì)的核級(jí)微操作系統(tǒng)NASBAY，由中國核動(dòng)力研究設(shè)計(jì)院為“華龍一號(hào)”研制供貨的堆芯測量系統(tǒng)產(chǎn)品中成熟的微操作系統(tǒng)優(yōu)化而來，成熟度高，擁有完全自主知識(shí)產(chǎn)權(quán)。該系統(tǒng)嚴(yán)格遵循IEC 60880、HAD102/16、IEC61508進(jìn)行設(shè)計(jì)，其設(shè)計(jì)滿足時(shí)間確定性、空間確定性以及任務(wù)確定性，系統(tǒng)自診斷與異常處理覆蓋率大于90%，具有高確定性、高穩(wěn)定性的特點(diǎn)。NASBAY結(jié)構(gòu)框圖如圖3所示。

圖3 NASBAY結(jié)構(gòu)框圖Fig. 3 The block diagram of NASBAY structure

自主設(shè)計(jì)的安全通訊協(xié)議NASBUS，采用高速串行網(wǎng)絡(luò)，以光纖、UTP、STP為網(wǎng)絡(luò)介質(zhì)，具有低誤碼率、低串?dāng)_、低輻射等特點(diǎn)。在設(shè)計(jì)上采用物理連接上的點(diǎn)對點(diǎn)通信，保證一個(gè)鏈路上的故障不會(huì)擴(kuò)散到其他鏈路，采用定周期通信，使通道之間關(guān)系確定、通信數(shù)據(jù)格式和長度固定、且通信不執(zhí)行握手操作，同時(shí)發(fā)送安全數(shù)據(jù)都通過安全層封裝。NASBUS滿足安全級(jí)通訊協(xié)議獨(dú)立性，確定性和可靠性的要求且全面覆蓋IEC 61784-3要求的差錯(cuò)檢驗(yàn)措施和殘余錯(cuò)誤率，通訊誤碼率低于10-11，領(lǐng)先國際標(biāo)準(zhǔn)一個(gè)量級(jí)。

安全級(jí)顯示單元SVDU是安全級(jí)DCS的重要組成部分和核心關(guān)鍵技術(shù)。龍鱗系統(tǒng)SVDU采用一體化設(shè)計(jì)方案，通過一體機(jī)方案簡化了安裝方式和系統(tǒng)控制布局，優(yōu)化了人機(jī)交互方式。在硬件方面，SVDU采用高達(dá)90%以上覆蓋率的診斷單元，滿足IEC 61508 & IEC 61513硬件安全完整性及系統(tǒng)安全完整性要求。在軟件方面，SVDU運(yùn)行軟件按照A類軟件要求進(jìn)行開發(fā)，在設(shè)計(jì)中采用定周期運(yùn)行、不使用中斷、空間固定分配、使用自定義安全通信協(xié)議等方式來確保軟件行為的確定性。龍鱗系統(tǒng)SVDU相對于其他同類產(chǎn)品，安裝復(fù)雜度低，空間需求小，通訊接口多樣化且通訊穩(wěn)定，人機(jī)交互方式多樣化等優(yōu)勢。圖4所示為SVDU一體式結(jié)構(gòu)示意。

圖4 安全級(jí)顯示單元SVDUFig.4 The safety-related display unit SVDU

“龍鱗系統(tǒng)”性能優(yōu)異，系統(tǒng)精度、響應(yīng)時(shí)間、可靠性等技術(shù)指標(biāo)達(dá)到國內(nèi)、國際主流DCS平臺(tái)同等水平，同時(shí)部分關(guān)鍵指標(biāo)更加優(yōu)異。如設(shè)計(jì)系統(tǒng)容量水平優(yōu)于大部分核級(jí)DCS平臺(tái)(如西屋的COMMON-Q、阿?，mTXS等)。

“龍鱗系統(tǒng)”部分關(guān)鍵性能指標(biāo)如下：

1)通道間鏈路延遲小于185 μs，通訊誤碼率低于10-11，通信速率不低于100 Mpbs；

2)信號(hào)采集及輸出精度滿足模擬量調(diào)理精度和輸入精度均為0.1%，輸出精度為0.2%；

3)系統(tǒng)可用率大于99.99%，拒動(dòng)率低于10-7/指令，誤動(dòng)率低于0.1次/年；

4)誤停堆率低于0.1次/年。

3 “龍鱗系統(tǒng)”應(yīng)用情況

“龍鱗系統(tǒng)”的正式發(fā)布使我國核電擁有了自主可控的“中樞神經(jīng)”，為我國核級(jí)儀控設(shè)備建設(shè)提供了有力支撐。目前“龍鱗系統(tǒng)”已簽訂并且在執(zhí)行多個(gè)項(xiàng)目訂單，涵蓋二代核電站改項(xiàng)目及多個(gè)三代核電站項(xiàng)目。如“龍鱗系統(tǒng)”首次工程應(yīng)用于方家山核電改造項(xiàng)目，2016年10月正式完成安裝并投入運(yùn)行，至今運(yùn)行狀態(tài)良好。同時(shí)，多個(gè)新建核電站以及已有核電站新建機(jī)組安全級(jí)DCS也將采用龍鱗系統(tǒng)。

比如在漳州核電項(xiàng)目中，“龍鱗系統(tǒng)”提供了包括反應(yīng)堆緊急停堆系統(tǒng)、專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)、優(yōu)選驅(qū)動(dòng)系統(tǒng)、安全控制顯示系統(tǒng)、網(wǎng)關(guān)系統(tǒng)、維護(hù)系統(tǒng)等6個(gè)子系統(tǒng)在內(nèi)的全廠安全級(jí)DCS平臺(tái)，供貨規(guī)模超過50臺(tái)。漳州核電項(xiàng)目安全級(jí)DCS平臺(tái)采用熱備架構(gòu)，通過在單站中配置兩塊主控模塊，以解決主控模塊作為系統(tǒng)拒動(dòng)和誤動(dòng)的風(fēng)險(xiǎn)集中點(diǎn)這一問題，系統(tǒng)設(shè)備上電后，備機(jī)周期性同步熱機(jī)數(shù)據(jù)，正常運(yùn)行并輸出帶備機(jī)標(biāo)記的數(shù)據(jù)，提高系統(tǒng)的可用性和可維護(hù)性的同時(shí)盡量減小系統(tǒng)的規(guī)模。如圖5所示為漳州核電站安全級(jí)DCS架構(gòu)圖。

圖5 漳州核電站安全級(jí)DCS架構(gòu)圖Fig.5 The structure of safety-related DCS of Zhangzhou NPP

4 未來展望

“龍鱗系統(tǒng)”的面世使我國成為世界上少數(shù)掌握安全級(jí)DCS技術(shù)的國家，但實(shí)現(xiàn)系統(tǒng)完全國產(chǎn)化和整體水平達(dá)到國際領(lǐng)先，還需要不斷完善、優(yōu)化和創(chuàng)新。核電DCS國產(chǎn)化包含系統(tǒng)設(shè)計(jì)、集成和軟硬件平臺(tái)制造的國產(chǎn)化[3]。目前，我國已具有系統(tǒng)自主設(shè)計(jì)能力和安全級(jí)DCS軟硬件平臺(tái)的自主知識(shí)產(chǎn)權(quán)，但在高端芯片方面尚與國際先進(jìn)水平存在一定的差距，“龍鱗系統(tǒng)”中仍采用了部分進(jìn)口的電子元器件。為避免芯片問題成為我國核電行業(yè)全面自主供貨的阻礙，規(guī)避使用國外產(chǎn)品的潛在風(fēng)險(xiǎn)，元器件的國產(chǎn)化替代以及核級(jí)專用儀控芯片的研究迫在眉睫。此外，智能化也正改變著核電傳統(tǒng)的設(shè)計(jì)和運(yùn)行模式。大數(shù)據(jù)和新一代人工智能等前沿技術(shù)的發(fā)展將成為核反應(yīng)堆儀控系統(tǒng)發(fā)展的推動(dòng)力，在核電DCS上層建立智能控制平臺(tái)，通過分析和處理歷史數(shù)據(jù)，或利用核電模擬機(jī)的學(xué)習(xí)樣本訓(xùn)練建立預(yù)測模型，實(shí)現(xiàn)故障預(yù)測和優(yōu)化管理，降低發(fā)生事故的概率[4]。應(yīng)用虛擬現(xiàn)實(shí)技術(shù)開發(fā)核電站儀控設(shè)備運(yùn)維系統(tǒng)等方向均具有廣闊的應(yīng)用前景。