核电站数字化仪控TXP系统升级改造研究

刘双金,金征盈,何 超

(1.中广核工程有限公司,广东 深圳 518124;2.大亚湾核电运营管理有限公司,广东 深圳 518124)

0 引言

某核电站非安全级数字化控制系统(digital control system,DCS)平台采用西门子公司非过程控制系统(teleperm XP,TXP)系统，包含二层人机接口系统OM(版本V4.0)、一层过程控制系统AS(版本S5)以及相关网络通信设备。设备从出厂至今已运行超过12年。数字仪控系统老化期一般为10～15年。目前，TXP系统备件大量停产停供，OM系统故障率越来越高，可靠性越来越差。同时，随着新网络安全法的颁布，目前TXP网络安全设计不能满足相关要求，存在较多待改进项。

鉴于目前存在的问题，根据商运以来的运行、维修经验和外部反馈，结合电厂的中长期改造规划，以十年大修为契机，完成两台机组非安全级DCS平台TXP系统升级改造。当前，可以参考借鉴的核电DCS平台整体改造经验较少。其中，可行性研究、工期控制、风险控制以及测试体系是成功实施改造的关键。

1 改造必要性研究

1.1 设备可替代性研究

本文所依托的核电项目DCS非安全级平台TXP系统设备已运行十二年，在十年大修后将进入损耗故障期，故障率可能急剧升高。经评估，服务器以及一层控制卡件等关键设备库存备件已无法满足未来十年机组维修需要，会影响机组可靠性和可用性[1]。

OM系统的主要备件为SUN服务器及其附件(如内存、硬盘等)。主要备件数量少，特别是SUN服务器已停产停供。此外，运行的OM版本基于Unix操作系统，而新OM版本基于Linux操作系统，无法直接替代。

目前，TXP S7系列是西门子主流DCS平台。其运行的S5系列已于2013年停产，软硬件可维护性越来越差，需要通过升级改造确保服务可用性和可维护性。以一层控制系统AS为例，其所包含的处理器(automation processor,AP)机架相关备件除机架尚可少量采购，其他中央处理器(central processing unit，CPU)、通信模件CP1430、接口模件(interface module,IM)均已停产停供。AS-S5与AS-S7硬件配置有差异，停供的备件无直接替代产品，需要通过系统升级解决[2]。

1.2 网络安全问题

TXP平台网络设备除备件数量不满足运行维修需求外，还存在网络安全问题[3]，特别是不满足新网络安全法要求。在中央网信办、四部委、能源局检查中，TXP系统存在以下不足。

①网络与信息安全：没有部署入侵检测防御相关设备，没有部署防恶意代码的相关设备。

②应用安全：应用系统缺乏对安全标记、剩余信息保护、抗抵赖、软件容错、资源控制等的安全控制功能。

③主机安全：生产控制服务器未实现对基础平台(操作系统、数据库、中间件)的审计日志统计收集，以及对服务器主机资源(CPU、内存、存储)的集中监控。

由于上述原因，非安全级DCS系统的改造非常必要和紧迫。

2 改造技术方案

2.1 总体改造原则

由于核电机组安全的特殊性，按照运行技术规范对DCS平台的安全要求，升级改造的窗口只能在大修期间堆芯完全卸料(reactor complet decharge,RCD)模式一回路为低低水位窗口内。经评估改造工作量以及需求时间，为最大限度控制风险和成本，将实施窗口定为单台机组十年大修水位期间。总的实施原则如下。

①保守测试原则。日常期间，提前实施全范围模拟机(fullscope simulation system，FSS)的升级改造。完成性能测试后，将机组的数据库下装到模拟机中，并基于模拟机的仿真模型进行全范围功能测试，以保证控制功能的完整性和正确性、有效减少运行机组升级改造测试量、缩短运行机组升级改造工期，从而获得最大投资回报。

②分列实施原则。根据核电机组的安全要求，在实施期间必须保证操纵员在主控室对机组重要设备和参数的监视要求。因此在实施期间，人机接口必须保证有一列OM可用，同时一层设备实施期间应按照设备分列要求分列实施，保证现场重要设备的冗余性要求。

③分层实施原则。一、二层设备分层实施，一方面保证实施期间满足大修窗口对DCS的需求，另一方面可结合大修计划灵活安排实施窗口，最大限度减少大修占用关键路径的时间。

④功能保持原则。整个TXP平台的一、二层逻辑组态功能应保证完全一致，确保改造不会造成功能缺失和缺陷。人机接口界面应保持一致，任何改变应及时升版运行手册，确保不会对运行操纵产生影响。

⑤风险控制原则。鉴于升级改造带来的信号变化可能导致的设备误动，提前作出完善的风险分析预案。实施期间，应做好完善的隔离措施，确保不因升级改造误发信号造成现场设备的误动作。

改造总体逻辑图如图1所示。

图1 改造总体逻辑图

结合机组十年大修计划、机组状态、设备隔离窗口以及水位窗口，进行合理的施工窗口安排。

2.2 两层人机接口系统OM系统升级

目前，OM V4.0运行环境为SUN硬件和Solaris操作系统，升级后OM V5.0运行环境为X86硬件和Linux操作系统。因此，目前所有OM服务器，包括实时服务器(processing unit，PU)、历史服务器(server unit,SU)、网关服务器(XU)、画面服务器(operational terminal,OT)、工程师站服务器(ES680)等，以及工作站(操作员、工程师站等)都将被替换。

除服务器替换外，采用NAS服务器替换磁盘阵列。NAS通过一个快速环形总线(1 GB/s)连接两个SU。Jukebox服务器由长期存档服务器(long term archive,LTA)替代，并以现有连接方式接入。新增冗余网页服务器单元(redundant sheet server unit,RSSU)，存储并运行原安装于SU中的运行程序和报警卡，以降低SU/OM负荷，同时通过冗余存储保持高可用性。

2.3 一层过程控制系统AS升级方案

①一层控制机架及模块整体更换。采用带有CPU、电源和通信模块的S7-AP机架整体替换S5-AP机架。大多数情况下，1对1地替换S5-AP机架中的CPU、电源和通信模块。

②一层运行软件和数据库的升级。逻辑代码由工程师站ES680 V8.5基于现有S5功能图生成。但目标系统是S7而不是S5，因此需要替换拓扑图和硬件相关系统图中的符号。工程师站自动将逻辑不加任何改动地编译为S7代码。与S5系统相比，其区别仅在于机器代码的格式由S5转换为S7。因此，升级前后的代码具有相同的功能[4]。

③安全相关机柜的抗震分析。对于SR机柜，由于安装方式有较大的改变，采用新的设备可能将突破原来的抗震分析和计算，需要进行供应论证并给出报告。

④与安全级平台TXS的通信方案升级。AP与安全级优选模件(AV42)通信设备升级后，采用Y-Link型光电转换器替换Y-Switch型光电转换器。这将会导致反应堆保护系统(reactor protection system,RPS)的供电、布置发生变化，与TXS系统在国家核安全局(national nuclear security agent,NNSA)备案的配置报告中关于软、硬件的说明不一致，造成网络架构发生变化。因此，在详细设计阶段需对升级方案进行核实、验证、分析等。

2.4 网络组件升级

网络组件具体设备包括LEVEL2层交换机、OM服务器机柜内交换机、操作员站交换机、工程师站交换机、打印机交换机；LEVEL1层交换机，AP机柜内交换机、通信网关设备(communication module,CM)机柜内交换机。升级引入的交换机型号主要为Scalance X308-2 M、Scalance XC106-2(SC)等。

新型号交换机需确保物理层的协议信息不会跨过3、4、8号机网络，并需通过厂家正式的分析和独立的第三方测试，从而能够控制网络风暴的风险。

交换机的安全、可靠性将在信息安全框架中进行测试。

3 实施过程中的进度控制

由于核电站自身的特殊性，尽管升级改造的工作安排在大修期间实施，但仍然无法将整个DCS平台全部下电进行直接改造。大修期间，核电站的冷源、电源、通风以及放射性监测等系统仍然需要进行实时监控，以确保堆芯的安全性。

十年大修的时间窗口，主要分为三个阶段。第一阶段为低低水位检修窗口，约12 d；第二阶段为低低水位检修窗口，机组主要检修工作为安全壳密封性试验，约8 d；第三个阶段为两个低低水位窗口之间，主要是一回路水压试验、压力容器在役检查窗口，约14 d。

3.1 工期安排思路

因此，在改造准备阶段，结合机组对DCS的需求，提前策划如下分段实施计划控制思路。按照指定的详细工作计划，大约需要30 d的工时，应结合大修窗口分段实施。

进度控制简图如图2所示。

图2 进度控制简图

①第一个低低水位前(5 d)：由于大修实施更换的AS机柜硬件主要涉及常规岛相关系统的控制，因此AS机柜硬件更换工作可提前到低低水位之前开始，在常规岛主隔离完成之后，可以开展升级更换工作。

②第一个低低水位期间(12 d)：完成整个OM系统软硬件升级/一层代码下装,考虑之后进行水压试验、在役检查和安全壳打压试验要保证电站计算机信息和控制系统可用性。第一个低低水位为工期控制关键点。其中，一层代码全下装的窗口对工期有决定性影响。因大修期间机组仍需要监测部分重要设备(如冷源、电源、放射性监测、通风等)的运行状态，因此考虑将OM拆分为两列冗余环网，分列进行升级，确保升级期间有一列OM可用。操纵员可以在主控进行监视。另外，在OM 升级期间，可以切换到后备盘(backup panel,BUP)进行控制，通过BUP盘监测重要设备参数。

③第一个低低水位之后：完成网络设备的更换，工期约13 d。

3.2 工期控制难点

①结合大修期间控制器离线下装的经验，设备隔离和风险沟通的工期较长。因此，本次大量控制器整体下装是工期控制的难点，也是项目按期完成的关键点[5]。

②项目为整体升级，软硬件更换、升级的工作量巨大。其中如果出现意外技术问题，处理的时间可能会占用工期。这也是项目按期完成的风险点。

③本次升级以上次大修之后的数据库作为基准，距本次大修包括本次大修本身涉及数据库修改的工作需要在新工程师站(engineering system,ES)上进行修改。这部分改动量较大，也是工期控制的重要关注点。

④第三个阶段，所有一层机柜的交换机更换期间，需要按离线下装机柜控制，涉及的机柜数量多，是工期控制的关注点。

4 实施过程中的风险控制

AP离线下装过程将造成该AP的所有信号失去运行监视，需将输出信号复位至默认状态，离线下装结束后信号采集和逻辑处理恢复正常。由于输出信号在整个过程中可能出现变化，将导致工艺设备的误动或拒动，因此要做好相应的风险分析和隔离措施。

①隔离措施保证。AP离线下装中有三类信号会发生变化。第一类是硬接线输出信号，在AP离线下装过程中，所有模拟量和开关量信号会失去输出。第二类是AP间网络信号，在AP下装过程中所有模拟量和开关量信号同样会失去。第三类是开关选择功能块，如SLC/SELECT，以及RS触发器，在离线下装后重启的过程中会复位到默认位置。因此，在进行风险分析时，要全面分析所有影响信号输出变化的设备，结合机组要求进行相应的隔离，以防止设备误动作。

②电厂冷源可用性保证。为保证在RCD模式下冷源可用，A/B列泵所在的AP不能同时开展离线下装工作，必须在确认A列完成后方可进行B列工作(质量计划控制)。此外，通过对影响列的泵的预先启动方式进行干预。对意外启动的泵，主控优先匹配流量后由现场人员及时手动停运。

③电源可用性保证。经分析，离线下装期间由于信号复位，会触发6.6 kV柴油机启动，且6.6 kV电源开关从正常电源模式切换到柴油机供电模式。因此，为保证机组电源可用，首先应保证电源A、B两列至少一列可用；其次，应由运行人员提前启动将受影响列的柴油机，将安全级6.6 kV电源切换至柴油机供电，避免因自动切换异常导致的安全级6.6 kV电源下游负载失电；再次，为避免非安全级6.6 kV电源系相关开关异常动作，应实施临时措施，断开DCS通向就地励磁继电器的指令线，从而保持开关的当前状态。

④通风消防可用性保证。为保证RCD模式下火警/消防/通风系统的可靠运行(通常该类设备运行状态不受影响)，对于误动后果难以接受的高风险设备(如主泵消防相关设备在重锤效应下会释放二氧化碳)，应通过就地插销的办法防止期间误喷。同时，由于AP控制器离线过程中，会失去相关的自动控制功能，必须由仪控、运行、安工、计划等专业人员根据每个AP的输入/输出清单，识别出RCD模式下与运行技术规范相关的系统设备，在进行相关AP离线下装工作期间严格控制I/O数目，以避免违反技术规范。

⑤阀门安全状态保证。为保证离线下装期间气动开关/调节阀动作不对系统产生影响，必须按照系统进行筛选，由仪控、运行、安工、计划共同针对清单识别出机组在RCD模式下需要重点关注的设备，并预先做好措施。通过提前将上游手动隔离阀置于合理位置、调整系统运行方式等多种途径，保证设备动作不会对系统运行产生影响，待AP离线下装工作结束后再恢复阀门初始状态。

⑥设备状态一致性保证。为确保离线下装前后设备状态保持一致，尤其是下装过程中被复位为默认输出值的操作块所影响的设备，需要在开工前，按照已经梳理好的清单，记录当前状态；工作结束后，运行人员和仪控人员一起将操作块状态恢复为初始状态[6]。

5 升级改造的相关测试

经过升级改造，TXP平台包含的硬件(包括二层人机接口系统OM的服务器、一层过程控制系统AS的模件)均更换为新型号设备，运行在服务器和控制器中的软件版本也更新为更高版本。其中，所运行的数据库、组态逻辑均适应性地进行了转换。但是，为了确保升级改造前后画面组态、控制组态实现的功能与升级前保持一致，需要全面策划以下三个阶段的测试工作。

5.1 设备出厂测试

因升级改造不包括AS系统的采集和输出模件，因此测试的重点是设备和系统的可用性。通过执行出厂测试程序，对一、二层系统进行全范围的功能和性能测试。主要测试内容如下。

OM690功能测试，测试监视操作画面功能完整，报警、打印、趋势显示、历史存储灯功能正常，与升级改造前保持一致。

①网络通信测试:测试一、二层各设备网络配置正确，各设备通信正常，互相之间信号传输正常。

②系统负荷测试：测试服务器、控制器、网络设备负荷在合同规定的范围内。

③工程师站功能测试：测试工程师站代码生成、下装、动态监视、DAMO生成、画面分发等功能正常。

④冗余功能测试：测试具有冗余配置的服务器、控制器、网络设备，在离线的情况下可以完成无扰切换。

⑤逻辑组态初步检查：对一层逻辑组态进行初步检查，保证逻辑组态功能在改造前后保持一致。

5.2 全范围模拟机功能测试

由于模拟机采用仿真模型，可对核电站工艺系统进行高度仿真。完成仿真模型与新型系统设备的连接配置后，可借助仿真系统对逻辑组态功能进行完整的测试。

①信号监视、设备操作功能测试：在仿真平台建立完整工况，例如100%功率平台，检查信号显示、设备操作是否正常。

②模拟机组启停测试：在仿真模型中模拟一次机组启动、机组正常停运的操作过程，检查启停过程信号的显示，设备动作、报警、趋势、规程等均功能正常。

③机组重要闭环控制测试：建立100%功率平台后，分别执行稳压器压力/水位扰动、蒸发器水位扰动、一回路平均温度扰动、汽机功率调节等试验，检查机组相关参数、报警是否正常。

④瞬态功能测试：建立100%功率平台，分别模拟跳堆、跳机、甩负荷等瞬态试验，检查机组相关参数、报警是否正常[7]。

5.3 现场升级改造后的再鉴定测试

设备现场安装完成并重新投入运行后，具备了现场真实联合测试的条件。

①平台功能测试：平台设备改造升级完成后，测试自身功能的正确性和完整性、设备各项性能以及整体系统的性能和功能是否满足要求。

②系统联合测试：重点是逻辑组态与现场设备的准确对应，分别在改造升级的一层AS机柜中开关量、模拟量、执行机构的通道，检查现场输入状态是否与画面显示一致；在主控操作具备执行条件的执行机构进行操作，检查设备能否按照指令要求正常动作。

③机组启动平台可用性试验：在机组启动过程中，检查操纵员的各项操作均能正常执行，现场信号、报警、趋势、规程等功能正常，机组各闭环控制系统投自动后调节功能正常[8]。

6 结论

数字化仪控系统DCS整体升级改造，是未来核电站面临的一项难题。整体升级改造是一项系统工程，工作量大，对工艺设备影响复杂。改造工程既要将大修工期控制在最短，避免影响发电效益[9]；同时又要确保改造目标的完整实现，过程中不能带来风险和隐患。因此，改造技术的方案研究、进度计划、测试安排以及风险控制都需要深入研究，以提升核电运行的安全稳定性和和核电企业的实际收益。本文在核电站数字化仪控系统DCS改造实践过程中，风险控制、工期控制均达到了预期效果，顺利完成了升级工作，对于后续的电厂改造具有重要参考意义。