一、引言
在和EPR的竞争中,美国西屋公司的
核电技术AP1000成功中标,成为我国引进的第三代核电技术。AP1000有鲜明的设计特点,在成熟的压水堆技术基础上,采用“非能动”的安全系统,使核电站安全系统的设计发生了革新的变化。在核电站的重要组成部分仪控系统中,采用了数字化控制和保护系统,集成了电厂的各个工艺系统的监控功能,为电厂的控制、保护和操作提供了一个统一的界面。
美国西屋公司的AP1000核电站采用的数字化仪控系统平台为CommonQ+Ovation。这种集成的仪控系统设计,减少了接口和软件平台的数量,提供了优化的结构和性能。
CommonQ平台属1E级,用于实现安全仪控功能,设备具有抗震要求,经过核电应用环境适用性鉴定,经过获认可的验证和确认(V&V)程序和质保程序评价。AP1000核电站的保护与安全监控系统(PMS)就是利用CommonQ这一平台来实现的。
本文对西屋公司的仪控平台CommonQ进行评述,并结合目前国内外DCS产品性能特点进行对比性分析,研究CommonQ平台的优点及不足。
二、CommonQ平台
AP1000核电站仪控系统分为安全级和非安全级两个部分。一层安全级控制系统主要包括保护与安全监控系统(PMS),一层非安全级仪控系统主要包括电厂控制系统(PLS)和多样性驱动系统(DAS)。二层的安全级仪控系统包括数据处理系统(QDPS),以及PMS和DAS系统的常规手动控制和显示等。二层的非安全级仪控系统包括数据显示和处理系统(DDS)。
保护与安全监控系统的主要功能在于触发反应堆停堆及安全专设动作,并提供安全级的数据处理和显示。保护与安全监控系统采用的是CommonQ平台,其实现控制的基本单元为AC160控制器。AC160控制器是一个带有多通道处理能力的模件化控制器,被用来执行安全相关系统的保护算法,支持热插拔功能。
AC160控制器包括以下硬件:PM646处理模块、I/O模块、电源模块和通讯接口模块。
此外,CommonQ平台还包含以下功能模块:
设备接口模件(ComponentInterfaceModule,CIM)
维护和测试面板(MTP)/操作员模块(OM)
2.1PM646处理器模块
PM646处理器模件是基于MotorolaMC68360的32位处理器发展起来的。PM646模件包括两个32位的微处理器板:处理器部分和通讯部分。其处理器部分包含有应用代码,可以执行自诊断、存储、读取双端口存储器里的数据等。其通讯部分能处理两个HSL通讯端口和RS422接口。
处理器采用ABB编程语言(AMPL)进行编程,除了进行逻辑结构的编程外,还提供了对AF100网络、全局内存、输入输出、HSL的接口的编程支持。
处理器有一个内置的、独立的看门狗计时器。如果一个保护功能由于处理器的故障而无法执行,看门狗能够发出报警和提供通道跳闸功能。
因为每个处理器模块只能接收两个高速链路(HSL)输入,所以在AP1000的保护系统中每个局部符合逻辑(LCL)子系统需要4个处理器模块来满足从8个双稳态处理器逻辑子系统(BPL)子系统来的8个HSL输入。
2.2I/O模块
AC160控制器采用S600系列输入输出模件,S600系列输入输出模件包含了所有的传统卡件,例如模拟量输入(包含差分输入、热电偶、热电阻)、模拟量输出、开关量输入,输出、转速传感器输入和脉冲计数。
在启动和正常运行时,系统软件能自动的监测I/O模件的状态,而更详细的诊断信息则可以通过MTP(维修和测试面板)查询。
S600I/O模件可以热插拔。但对PMS系统来说,受I/O模件更换影响的通道和序列,在维修开始前,应先旁路。
I/O终端单元提供了一个S600I/O模件和现场电路的接口。对不同的I/O模件,对应不同的终端单元。各类型终端部件为不同的现场接线提供终端点,包括各自的电缆屏蔽。各类型终端单元还提供信号断点和测试点,用以系统测试和维护。
2.3电源模块
提供SA610电源模块可接入120V或230V,47至450HZ交流电,也可以直接接入24V直流电源。
2.4通讯接口模块
CommonQ平台中主要用到三种通讯方式:AF100(AdvantFieldbus100)用于通道内部的通讯;高速数据链路(HSL)用于通道间的数据传输和同一通道内不同控制器之间的数据传输;以太网,用于与扩展系统,例如电站计算机系统之间的数据通讯。
2.5设备接口模件(CIM)
设备接口模块CIM接收来自集成逻辑处理器(ILP)的安全级ESFAS命令以及来自PLS系统的非安全级控制命令,执行优选,执行器驱动和监视功能。CIM接受来自PLS系统的控制指令,并向PLS系统传递执行器状态信息以及CIM模件故障信息。为了保证CIM与PLS系统的通讯和电气隔离,在CIM机柜内安装经过鉴定的OVATION系统远程I/O,远程I/O与PLS本地OVATION控制站之间通过I/O总线光缆连接,远程I/O与CIM之间通过硬接线连接。这种方案同时节省了CIM与PLS间大量的电缆。
CIMzui多可接收八个反馈输入信号,用以提供部件连锁(比如,电动阀门的力矩开关控制),或用以显示设备状态的限位指示器。CIM提供了一个独立连接,能够使用该连接发送部件状态信息到电站计算机。
2.6人机接口
2.6.1维护和测试面板(MTP)/操作员模块(OM)
CommonQ的人机界面是平面显示系统,包含触摸屏显示和一个PC节点盒。PC节点盒相当于工控机的主机,其QNX操作系统为在线和测试提供了视窗界面。CI527通讯接口模件用来访问AF100网络。以太网接口提供和外部非安全系统的接口。还包括光驱、键盘鼠标等,功能与工控机相当。
当安装在控制柜里,平面显示系统被称作维护和测试面板(MaintenanceandTestPanel,MTP);安装在主控室作为PMS的一部分时,被称作操作员模块(Operator’smodule,OM)。通过MTP,技术人员能够执行监视、修改、组态、测试等任务。MTP具有显示图形和趋势显示功能。OM执行和MTP一样的功能,但是作了某些限制,以防止操作员可能在无意中对系统做出的改动。OM和安全系统之间没有直接电气连接。
2.6.2核级数据处理子系统(QDPS)HHHH核级数据处理子系统,是PMS系统的一个子系统,提供控制室选定参数的安全相关显示。1E级数据处理子系统是冗余配置的,包括传感器,1E级数据处理子系统硬件和1E级显示。
核级数据处理子系统完成以下功能:
(1)提供安全相关的数据处理和显示
(2)在其它显示系统发生故障的情况下为操纵员提供足够的操作信息,以安全停闭电厂;
(3)为主控室提供数据显示;
(4)向实时数据网络提供1E级和非1E级数据,供电厂其它系统使用;
(5)向主控室、远程停堆工作站,电厂计算机系统以及其它非1E级装置和非1E级应急响应设施提供数据。
核级数据处理子系统(QDPS)硬件包括1E级的模块化数据采集单元。QDPS接收过程传感器和1E级数字系统的输入信号。QDPS合并输入数据,进行单位转换,为数据链路传输统一数据格式。
三、西门子TXS平台
TXS系统是由西门子开发的核电站数字化安全级仪控系统,2000年5月获得NRC批准。岭澳二期核电站的数字化安全级仪控平台即为TXS平台。
岭澳二期仪控系统总体结构如下:
(1)一层
1E–TXS硬件及AV42(优选模块)
NC*–多样化保护系统采用TXP系统平台实现,其它的NC*功能均采用TXS系统平台实现
NC–TXP硬件
(2)二层
1E–两个SU(serviceunit,采用UNIX操作系统,安全级显示单元,参数修改、检测和错误诊断),ECP(紧急操作盘),BUP(后备盘)的1E级部分
NC*–RSS(远程停堆站)和人机界面,BUP(后备盘)的NC*级部分
NC–OWP、LDP以及BUP(后备盘)的NC级部分
3.1处理器模块
TXS的处理器模块SVE2为32位处理器,CPU采用AMDK6-2E,主频为266MHz,通过128K的双口RAM与其他模块交换数据,应用软件由2M的flash存储,处理器模块与其他模块通过32位背板总线连接。在处理器模块面板上由10个LED显示系统运行状态和错误信息。
3.2I/O模块
TXS系统的I/O模块均符合1E级标准,模块支持热插拔,模块的输入输出通道与底板总线实现电气隔离。
开关量输入模块:
SDI1-24:32通道,0/24V电压水平,7mA输入电流
SDI2-24:32通道,0/24V电压水平,0.7mA输入电流
开关量输出模块:
SDO1-24:32通道,0/24V电压水平
模拟量输入模块:SAI1:16通道
模拟量输出模块:
SAO1:8通道
计数器模块:
S706:3通道
3.3电源
TXS由电源机架供电,电源机架将220VAC电源转换为24VDC输出电源,电源机架由AC/DC转换模块和二极管模块构成,zui大运行环境温度75度。
3.4通讯
TXS有两种通讯模块:SL22和SCP3。SL22是基于profibus总线技术的通讯模块,SL22模块通过96针插接口与SVE2连接,每个SVE2可连接4个SL22通讯模块,每个SL22有两个通讯接口,通讯速率为1.5Mb/s。SCP3是基于EthernetIEEE802.3总线技术的通讯模块,通讯速率为10Mb/s。
3.5优选模块
优选模块执行优先级驱动控制功能,针对每一个安全驱动器,来自反应堆保护系统自动逻辑、非安全级控制系统、后备盘和紧急控制盘的驱动信号在此进行优先级判别,zui终产生一个信号用于驱动专设安全设施驱动器。
岭澳二期应用的优先逻辑模块为AV42,主要完成优选逻辑处理,就地设备驱动和监视功能。优先级模块包括安全级的PLD固态逻辑电路和非安全级的微处理器两部分,PLD完成优选逻辑,微处理器与非安全级系统之间通过PROFIBUS总线通讯,接受来自非安全级系统的控制指令,并将驱动器执行状态反馈信号和模件自身状态等信息送回非安全级系统。
3.6安全级显示系统(QDS)
在后备盘上设置有两套安全级显示系统(QDS),其主要完成PAMS参数显示和记录。两套QDS分别与A,B列的PI(盘台接口)机柜通讯。
四、Tricon平台
方家山/福清核电站的安全级仪控系统采用IPS公司的Tricon平台。方家山/福清项目中,仪控系统总体结构如下:
(1)一层
1E–IPSTriconex硬件平台及PLM(优选模块)
NC*–ATWT与DS系统采用I/A平台,其它的NC*功能均采用Triconex硬件平台
NC–IPSFoxboroI/A平台
(2)二层
1E–SVDU(安全级显示单元),ECP(紧急操作盘),BUP(后备盘)的1E级部分
NC*–RSS(远程停堆站)带有相关通讯功能的人机界面,BUP(后备盘)的NC*级部分
NC–源迅的ADACS人机界面以及BUP(后备盘)的NC级部分
与AC160类似的是,Tricon的卡件也是装在机架上的。Tricon的机架分三种:主机架、扩展机架和远程机架。Tricon的机架可安装以下卡件:主处理器模件、I/O模块、电源模块和通讯接口模块。
此外,为了实现1E级执行器的驱动命令优选功能,IPS公司专门研发了PLM优选模块。Tricon系统的主要特点为:
Tricon系统由三个*相同的系统支路组成(电源模件除外,该模件是双重冗余的)。每个系统支路独立地执行控制程序,并与其它两个支路并行工作。
因为每一个支路都是和其它两个隔离的,任一支路内的任何一个单点失效都不会传递给其它两支。如果在一支内有硬件故障发生,该失效的一支就能被其它两支所补偿。所以修理工作,包括拆卸和更换失效的支路内的失效模件都可以在在线情况下进行,不使过程中断。
每一个I/O模件内都含有三个独立支路的电路,输入模件上的每一支路读取过程数据并将这些信息传送给它的相应的主处理器。三个主处理器通过一个适配的高速总线系统,被称作为TRIBUS的系统相互通讯。
每扫描一次,主处理器都通过TRIBUS与其邻居进行通讯和同步化。TRIBUS表决数字量输入数据、比较输出数据、并将模拟输入数据的副本送达每一主处理器。主处理器执行控制程序并把由控制程序所产生的输出送给输出模件。除对输入数据作表决之外,Tricon也表决输出数据。这是在离现场zui近的输出模件上完成的,以便探查出任何错误并予以补偿,探查任何可能出现在TRIBUS表决与送给现场去的zui终输出之间的错误。
4.1主处理器(MP)模件
Tricon的#3008型主处理器有2MbyteSRAM。SRAM被用于用户书写的控制程序、SOE数据、I/O数据、诊断以及通讯缓冲器
在发生外部电源失效时,SRAM由电池进行保护,电池装在主机架的背板上。在没有电力供给Tricon时,电池能保持程序和保存的变量的完整性,至少可以保持6个月。
主处理器模件从双重电源模件和主机架的电源轨接受电力。一个电源模件或者一条电源轨的失效不会影响系统的工作。
Tricon系统包含三个主处理器模件。每个模件控制系统均为独立的一支,与其它两个主处理器并行工作。HHHH每个主处理器上有一个的I/O通讯处理器,用以管理在主处理器和I/O模件之间交换的数据。一条三重I/O总线位于机架的背板上,通过I/O总线电缆和其它机架连接。
当每个输入模件被查询时,相应的一支I/O总线就把新的输入数据传递给主处理器。输入数据被装入主处理器内的一个表内,并被存入存储器以备用于硬件表决过程。
主处理器内的每一单个输入表被传输到其邻近的主处理器,通过TRIBUS传输。在此传输中完成硬件表决。HHHHH如果发现不一致,则三个表内两个相同的信号值优先采用,第三个表的值按此改正。每个主处理器把数据的改正情况保存在本地存储器内,每次奇偶性失常都被标志出来,并在扫描结束时通过故障分析器例行程序判断某一模件内是否存在故障。
4.2I/O卡件
I/O卡件内置有CPU,减轻主处理器的工作负荷。每个I/O卡件都有三个微处理器。输入卡件的CPU对输入进行过滤和修复,并诊断卡件的硬件故障。输出卡件CPU为输出数据的表决提供信息,通过输出端的反馈回路电压检查输出状态的有效性、并能诊断现场线路问题。
4.3电源模块
每个Tricon机架装有两个电源模块(双重冗余配置)。电源模块带有诊断回路,可以监测输出电压范围和超温情况。
4.4通讯
Tricon可以和下列部件接口连接:Modbus主机、从属机、其他在Peer-to-Peer网络中的TrcI/On、在802.3网络上运行的外部主机和Foxboro分布控制系统(DCS)。主处理器是通过通讯总线向通讯模件传送数据的。
(1)加强的智能通讯模件(EICM)
通过外部设备支持RS-232和RS-485串行通讯,速度zui高可到19.2Kbaud。这个EICM可给出四个串行口,通过这些口可以和Modbus主机、从属机或者主从两者,或者TriStation接口。
(2)网络通讯模件(NCM)
这种模件允许Tricon和其他Tricon通讯,或者通过802.3网络用高速(10Mbit/s)数据线而与外部主机通讯。NCM支持一定数量的Triconex协议和用途,也支持用户书写的用途,包括那些采用TCP-IP/UDP-IP协议的用途。
(3)*的通讯模件(ACM)
此模件是在Tricon控制器和Foxboro的I/A系统之间的接口。ACM作为I/A系列Nodebus上的一个安全节点出现在Foxboro系统中,使Tricon得以管理整个I/ADCS环境之间的各过程关键点。ACM用Foxboro操作人员所熟悉的显示格式,把Tricon中全部的给以别名的数据和诊断信息传送给I/A操作站。
4.5优选模块
为了实现1E级执行器的驱动命令优选功能,IPS开发了PLM(PriorityLogicModule)模块。PLM模块共有4个优先级输入端和1个输出端以及1个试验输出端。4个输入端依次为来自ECP的手动控制信号、来自1ETricon的ESFAS驱动信号、来自DS或ATWT的信号以及来自二层的控制信号。PLM的输出端用以驱动1E级执行机构动作,试验输出端用于进行T3闭锁试验。
PLM模件采用FPGA技术,只完成优选逻辑和定期试验功能,执行器状态信息的显示,驱动命令的保持和中断等功能由其他系统完成。PLM模件只接受硬接线信号,对于来自非安全级系统的信号需进行电气隔离。
PLM模块无信号保持功能,而且没有被控设备的状态监测功能。
4.6安全级显示单元(SVDU)
安全级显示单元SVDU主要执行三项功能:PAMS参数显示;保护系统的复位,旁通;定期试验,主要是T3试验,也包括部分T1试验结果的显示。同CommonQ一样,SVDU同样采用QNX操作系统。
五、性能比较
Tricon系统的每个处理器模块和I/O模块内都包含三个微处理器,每个微处理器构成独立的硬件电气支路,三个电气支路是冗余的,相对CommonQ和TXS系统,Tricon的冗余度更高,这种三重冗余的设计提高了系统的可靠性和可用性。
Tricon系统由电源模块供电,TXS系统由独立的电源机架为系统提供电源,可靠性更高。
CommonQ的优选模块CIM仅接收ESFAS和PLS的控制命令,其它命令的优先级别通过其*的优先级管理策略实现,并不通过优选模块,这就降低了优选模件出现共模故障而丧失所有纵深防御功能的风险。CIM通过远程I/O与PLS进行信号传输,比其它两家的方案节省了大量的电缆。
Tricon系统的二层采用安全级显示单元SVDU,相比较CommonQ的QDPS和TXS的QDS来说增加了保护系统的复位,旁通;定期试验的功能。
留言