核电厂全范围模拟机保护和安全监测系统仿真分析

2023-11-23陈素萌

大科技 2023年48期

陈素萌

（山东核电有限公司，山东烟台 265116）

0 引言

核电厂数字化仪控系统[1]提供了一个一体化的数字化控制系统，覆盖了核电厂所有过程系统，实现了核电厂所有工艺系统和设备的数字监测、诊断、控制和保护功能。其主要分为电厂控制系统（PLS）、保护和安全监测系统（PMS）、多样化驱动系统（DAS）、数据显示与处理系统（DDS）、运行和控制中心系统（OCS）等。机组正常运行期间，通过电厂控制系统（PLS）完成机组启停、参数控制等操作；机组某些关键参数异常时，则由保护和安全监测系统（PMS）通过停堆、专设安全设施驱动等手段为电站提供保护功能；多样化驱动系统（DAS）则为PMS 系统的保护功能提供多样化后备。核电厂数字化仪控系统架构如图1 所示。

图1 核电厂数字化仪控系统架构

保护和安全监测系统（PMS）作为安全级系统，主要有以下作用：①监测机组关键参数，必要时可使反应堆自动停堆和根据需要触发专设安全设施。②根据操纵人员的判断手动停堆和手动触发系统级专设安全设施。③在事故期间和事故后提供必要的核级数据变化过程显示。

全范围模拟机作为操纵人员培训、考试的重要设施，根据《核电厂操纵人员培训及考试用模拟机》，仿真范围应使操纵人员在模拟机上使用参考机组的运行规程处理某一变化过程所采取的操作行动与在参考机组上采取的操作行动相同，模拟机上要求的特定故障能力应满足参考机组持照操纵人员培训和再培训大纲的有关要求。因而，为在模拟机上做好保护和安全监测系统（PMS）仿真工作，应对实际机组的保护逻辑、画面、故障、交互等进行充分了解，选择可行的技术方案仿真开发，并测试验证仿真效果。

1 保护逻辑仿真

在实际机组上，与电厂控制系统（PLS）用DPU 装载控制逻辑的方式不同，保护和安全监测系统（PMS）的逻辑主要以硬件的方式实现，即通过堆外核仪表机柜、双稳态逻辑处理器、就地符合逻辑、综合逻辑处理器、综合通信处理器、综合试验处理器、高级现场总线、高速数据链接等实现其表决、信号传输的功能。保护和安全监测系统单通道逻辑架构如图2 所示。

图2 保护和安全监测系统单通道逻辑架构

全范围模拟机对保护逻辑的仿真，应考虑实际机组的处理器结构、处理器间数据通信、I/O 模块、高级现场总线通信、高速数据链接通信。

目前对保护逻辑的仿真一般有两种方式。

（1）按照保护逻辑设计图纸，在逻辑仿真软件上进行算法块、逻辑宏、逻辑页组态[2]，加点、生成代码，编译后集成至模拟机。这种方式的好处在于简单明了，便于维护，但同时也存在着结构单薄，若不人工添加组态则无法实现保护和安全监测系统故障仿真功能。

（2）根据机组保护和安全监测系统Function Chart Buider 输出的组态，其中过程控制元素、数据库元素的定义，以及系统通道、过程站、过程模块、高级现场总线的布局，采用算法库编制+整体翻译的方式实现系统功能仿真。需要输出的仿真代码一般有以下11 类：①系统心跳监测代码。②系统电源代码。③双稳态逻辑处理器、就地符合逻辑、综合逻辑处理器、综合通信处理器、综合试验处理器等的通信接口代码。④过程模块的输入、输出，其每个子模块的输入、逻辑、输出代码。⑤逻辑算法块代码。⑥故障列表及定义文件。⑦就地操作（如部分失效、部分旁路）代码，就地操作列表及定义文件。⑧点的初始化文件。⑨与工艺系统模型、电厂控制系统（PLS）的接口文件。⑩与模拟机硬件的接口文件。1○与保护画面的通信文件。

这种方式的好处是全面完整，与机组一致性较高，但维护起来缺少直观界面，需要查找修改具体代码或整体重新翻译。

2 保护画面仿真

在实际机组上，保护和安全监测系统（PMS）的人机界面安装在主控室盘台内独立的PC 节点盒上（每个通道一个），PC 节点盒通过高级现场总线与保护逻辑对接，处理收到的信号，并在盘台工业级显示器上显示，同时PC 节点盒也处理操纵人员的命令信息，将它们发送给保护逻辑。

全范围模拟机对保护画面的仿真，不仅需要考虑安全级设备状态、参数信息的显示，还要考虑关键安全功能状态树、曲线、报表功能的显示。

目前对保护画面的仿真一般有两种方式。

（1）纯模拟方式[3]，即按照机组保护画面的样式，在画面仿真软件绘制设备、开关、管道、线路、参数显示、弹出框的图符，完成画面页组态，并具体为每一个图符的每一个配置项接点。这种方式的好处是不受设备限制，无须PC 节点盒，可直接安装在模拟机模型计算机上进行调用，但缺点是仿真工作量巨大，容易人因失误，并且需要庞大数量的点进行支持，运算占用CPU 较高。

（2）实物模拟方式，即采用与机组相同的方式，收集机组各通道安全画面软件直接安装至工控机或计算机[4]，完成与模型计算机的通信接口开发，即可正确与保护逻辑交互。这种方式可使操纵人员感观与在机组上完全一致，但往往需要采购指定PC 节点盒，或解决机组安全画面软件对硬件的绑定/授权问题。解决绑定/授权问题后，还可移植至虚拟机或云平台等。

3 故障仿真

作为安全级系统，实际机组保护和安全监测系统在设计上故障率极低，但全范围模拟机为向操纵人员提供全面的培训，帮助其练习故障发生时的正确操作，需要分析机组可能发生的故障及其现象，对它们进行仿真。

3.1 系统故障类型

保护和安全监测系统（PMS）有如下类型的故障。

（1）机柜/站失电。受影响的过程模块终止与高级现场总线、高速数据链接、I/O 的通信，数字量、模拟量输出为0。

（2）过程模块故障。故障的过程模块终止与高级现场总线通信、高速数据链接、I/O 的通信，故障前最后一个数字量、模拟量输出值保持有效。站内其他过程模块仍旧正常工作，接收故障过程模块数据的其他过程模设ERRON、VALIDOFF，接收的最后一个非故障数值保持有效。

（3）高速数据链接故障。故障高速数据链接到接收过程模块的数据不再更新，接收过程模块HSRERROˉ RON，接收的最后一个非故障数值保持有效。

（4）高级现场总线通道故障。故障的高级现场总线网络所有通信终止，该网络上所有站不再通过高级现场总线传输数据，接收数据的过程模块设VALIDOFF，接收的最后一个非故障数值保持有效。

（5）高级现场总线失去电缆连接。发送数据的站不受影响，受影响的站不再通过高级现场总线传输数据，接收数据的过程模块设VALIDOFF，接收的最后一个非故障数值保持有效。

（6）通信接口模块故障。受影响的站不再通过高级现场总线传输数据，通信功能全局内存不再可用。受影响的过程模块设RunOFF、ERRON，数字量、模拟量输出保持故障前最后一个值。接收受影响过程模块数据的其他过程模块设ERRON、VALIDOFF，接收的最后一个非故障数值保持有效。

（7）I/O 模块故障或失电。①AI 模块故障或失电：AI 模块设ERRON，所有AIS 通道设ERRON，最近一个有效AIS 信号值保持。②DI 模块故障或失电：DI 模块设ERRON，所有DIS 通道设ERRON，最近一个有效DIS 信号值保持。③AO 模块故障或失电：AO 模块设ERRON，所有AOS 通道设ERRON，AOS 输出变为0。④DO 模块故障或失电：DO 模块设ERRON，所有DOS通道设ERRON，DOS 输出变为0。⑤DP 模块故障或失电：DP 模块设ERRON，所有DPS 通道设ERRON，最近一个有效DPS 信号值保持。

（8）输入通道故障。①对于模拟量输入AI：过程模块选定AIS 通道设ERRON，最近一个有效AIS 信号值保持。②对于数字量输入DI：过程模块选定DIS 通道设ERRON，最近一个有效DIS 信号值保持。③对于数字脉冲DP：过程模块选定DPS 通道设ERRON，最近一个有效DPS 信号保持。

（9）数字量输出信号故障。故障分为“FailON”“Failˉ OFF”“FailAsˉIs”，分别代表故障后DOS 通道值变为ON、OFF 和保持原状。

（10）模拟量输出通道故障。故障分为“FailHigh”“FailLow”“FailAsˉIs”，分别代表故障后AOS 通道值变为最高限值、最低限值和保持原状。

（11）模拟量输出通道失效为选定值。AOS 通道值变为选定值。

3.2 在模拟机上的仿真

保护和安全监测系统（PMS）故障的仿真基本需要从保护逻辑处着手。

如本文第1 节所述，若采用按照设计图纸对保护逻辑进行绘制组态的方式，因机组设计图纸并无仿真所需的故障点位设置，也不会有电源、系统内数据通信、系统内输入输出相关内容，因而仿真出的逻辑无法实现故障功能，若要添加，则需分析出最合适的强制位置，手动在逻辑图上增加点块、接线，并编制功能代码。当需要仿真的故障较多时，按照上述方法逐个添加将无比烦琐。

而若按照机组输出组态，加过程控制元素、数据库元素的定义，以及系统通道、过程站、过程模块、高级现场总线的布局，整体翻译仿真代码（库内算法块设不同功能引脚），则可根据算法设置、代码嵌套调用关系整体地考虑各类故障的实现位置，电源、通信、I/O 故障也可方便地实现。

4 系统仿真分析

正如保护和安全监测系统（PMS）在核电机组中的重要性，该系统同样为全范围模拟机非常重要的组成部分。从逻辑仿真、画面仿真、故障仿真3 个方面综合来看，目前该系统主流的仿真方式有两种。

一种是纯模拟，即逻辑按照设计图纸绘制+逻辑绘制图中增加故障仿真所需组态+画面按照机组样式绘制+逐项添加画面算法；另一种是虚拟实物模拟[5]，即逻辑根据机组配置及组态翻译输出不同功能类型的仿真代码+画面实装机组画面软件。两种方式的优缺点已在本文1、2、3 节进行了说明，概括来讲，纯模拟的仿真方式软件结构简单，方便问题定位，但仿真点数量多，需单独添加的算法多，模拟机数据更新或升级时，工作量巨大，工期较长；虚拟实物模拟的仿真方式与实际机组的一致性更高，数据更新或升级工期较短，但前期算法库、翻译工具开发难度大，因缺少直观查看组态的界面，后期局部维护工作较为复杂，同时画面安装的设备可能会受到绑定或授权问题的影响。

新建机组全范围模拟机建造时，应根据现场数据的完整性、模拟机开发进度要求、使用技术的成熟度、开发人员数量及经验、实际操纵人员培训需求、后续维护便捷性等诸多因素统筹考虑并选定保护和安全监测系统（PMS）仿真方案，上文所述的两种方案也可以结合进行。总之，全范围模拟机保护和安全监测系统（PMS）仿真精度越高，则感官、操作上越能复刻实际机组，其软件架构与机组硬件架构越相似，则越能方便的实现部分失效、部分旁路、故障等拓展培训功能，更好地提高操纵人员培训准确性、有效性、全面性。