來(lái)源：《東方自動(dòng)化》

作者：劉玥、丁長(cháng)富、王少華、陳科

   摘要： 

   一、 引言

   在和EPR的競爭中，美國西屋公司的核電技術(shù)AP1000成功中標，成為我國引進(jìn)的第三代核電技術(shù)。AP1000有鮮明的設計特點(diǎn)，在成熟的壓水堆技術(shù)基礎上，采用“非能動(dòng)”的安全系統，使核電站安全系統的設計發(fā)生了革新的變化。在核電站的重要組成部分儀控系統中，采用了數字化控制和保護系統，集成了電廠(chǎng)的各個(gè)工藝系統的監控功能，為電廠(chǎng)的控制、保護和操作提供了一個(gè)統一的界面。

   美國西屋公司的AP1000核電站采用的數字化儀控系統平臺為Common Q+Ovation。這種集成的儀控系統設計，減少了接口和軟件平臺的數量，提供了優(yōu)化的結構和性能。

   Common Q平臺屬1E級，用于實(shí)現安全儀控功能，設備具有抗震要求，經(jīng)過(guò)核電應用環(huán)境適用性鑒定，經(jīng)過(guò)獲認可的驗證和確認（V&V）程序和質(zhì)保程序評價(jià)。AP1000核電站的保護與安全監控系統（PMS）就是利用Common Q這一平臺來(lái)實(shí)現的。

   本文對西屋公司的儀控平臺Common Q進(jìn)行評述，并結合目前國內外DCS產(chǎn)品性能特點(diǎn)進(jìn)行對比性分析，研究Common Q平臺的優(yōu)點(diǎn)及不足。

   二、Common Q平臺

   AP1000核電站儀控系統分為安全級和非安全級兩個(gè)部分。一層安全級控制系統主要包括保護與安全監控系統（PMS），一層非安全級儀控系統主要包括電廠(chǎng)控制系統（PLS）和多樣性驅動(dòng)系統（DAS）。二層的安全級儀控系統包括數據處理系統（QDPS），以及PMS和DAS系統的常規手動(dòng)控制和顯示等。二層的非安全級儀控系統包括數據顯示和處理系統（DDS）。

   保護與安全監控系統的主要功能在于觸發(fā)反應堆停堆及安全專(zhuān)設動(dòng)作，并提供安全級的數據處理和顯示。保護與安全監控系統采用的是Common Q平臺，其實(shí)現控制的基本單元為AC160控制器。AC160控制器是一個(gè)帶有多通道處理能力的模件化控制器，被用來(lái)執行安全相關(guān)系統的保護算法，支持熱插拔功能。

   AC160控制器包括以下硬件：PM646處理模塊、I/O模塊、電源模塊和通訊接口模塊。

   此外，Common Q平臺還包含以下功能模塊：

   設備接口模件（Component Interface Module，CIM）

   維護和測試面板(MTP)/操作員模塊(OM)

   2.1 PM646處理器模塊

   PM646處理器模件是基于Motorola MC68360的32位處理器發(fā)展起來(lái)的。PM646模件包括兩個(gè)32位的微處理器板：處理器部分和通訊部分。其處理器部分包含有應用代碼，可以執行自診斷、存儲、讀取雙端口存儲器里的數據等。其通訊部分能處理兩個(gè)HSL通訊端口和RS422接口。

   處理器采用ABB編程語(yǔ)言（AMPL）進(jìn)行編程，除了進(jìn)行邏輯結構的編程外，還提供了對AF100網(wǎng)絡(luò )、全局內存、輸入輸出、HSL的接口的編程支持。

   處理器有一個(gè)內置的、獨立的看門(mén)狗計時(shí)器。如果一個(gè)保護功能由于處理器的故障而無(wú)法執行，看門(mén)狗能夠發(fā)出報警和提供通道跳閘功能。

   因為每個(gè)處理器模塊只能接收兩個(gè)高速鏈路（HSL）輸入，所以在A(yíng)P1000的保護系統中每個(gè)局部符合邏輯（LCL）子系統需要4個(gè)處理器模塊來(lái)滿(mǎn)足從8個(gè)雙穩態(tài)處理器邏輯子系統（BPL）子系統來(lái)的8個(gè)HSL輸入。

   2.2 I/O模塊

   AC160控制器采用S600系列輸入輸出模件，S600系列輸入輸出模件包含了所有的傳統卡件，例如模擬量輸入（包含差分輸入、熱電偶、熱電阻）、模擬量輸出、開(kāi)關(guān)量輸入，輸出、轉速傳感器輸入和脈沖計數。

   在啟動(dòng)和正常運行時(shí)，系統軟件能自動(dòng)的監測I/O模件的狀態(tài)，而更詳細的診斷信息則可以通過(guò)MTP（維修和測試面板）查詢(xún)。

   S600I/O模件可以熱插拔。但對PMS系統來(lái)說(shuō)，受I/O模件更換影響的通道和序列，在維修開(kāi)始前，應先旁路。

   I/O終端單元提供了一個(gè)S600I/O模件和現場(chǎng)電路的接口。對不同的I/O模件，對應不同的終端單元。各類(lèi)型終端部件為不同的現場(chǎng)接線(xiàn)提供終端點(diǎn)，包括各自的電纜屏蔽。各類(lèi)型終端單元還提供信號斷點(diǎn)和測試點(diǎn)，用以系統測試和維護。

   2.3 電源模塊

   提供SA610電源模塊可接入120V或230V，47至450HZ交流電，也可以直接接入24V直流電源。

   2.4 通訊接口模塊

   Common Q 平臺中主要用到三種通訊方式：AF100（AdvantFieldbus 100）用于通道內部的通訊；高速數據鏈路（HSL）用于通道間的數據傳輸和同一通道內不同控制器之間的數據傳輸；以太網(wǎng)，用于與擴展系統，例如電站計算機系統之間的數據通訊。

   2.5 設備接口模件（CIM）

    設備接口模塊CIM接收來(lái)自集成邏輯處理器（ILP）的安全級ESFAS命令以及來(lái)自PLS系統的非安全級控制命令，執行優(yōu)選，執行器驅動(dòng)和監視功能。CIM接受來(lái)自PLS系統的控制指令，并向PLS系統傳遞執行器狀態(tài)信息以及CIM模件故障信息。為了保證CIM與PLS系統的通訊和電氣隔離，在CIM機柜內安裝經(jīng)過(guò)鑒定的OVATION系統遠程I/O，遠程I/O與PLS本地OVATION控制站之間通過(guò)I/O總線(xiàn)光纜連接，遠程I/O與CIM之間通過(guò)硬接線(xiàn)連接。這種方案同時(shí)節省了CIM與PLS間大量的電纜。

   CIM最多可接收八個(gè)反饋輸入信號，用以提供部件連鎖（比如，電動(dòng)閥門(mén)的力矩開(kāi)關(guān)控制），或用以顯示設備狀態(tài)的限位指示器。CIM提供了一個(gè)獨立連接，能夠使用該連接發(fā)送部件狀態(tài)信息到電站計算機。

   2.6 人機接口

   2.6.1 維護和測試面板(MTP)/操作員模塊(OM)

   Common Q的人機界面是平面顯示系統，包含觸摸屏顯示和一個(gè)PC節點(diǎn)盒。PC節點(diǎn)盒相當于工控機的主機，其QNX 操作系統為在線(xiàn)和測試提供了視窗界面。CI527通訊接口模件用來(lái)訪(fǎng)問(wèn)AF100網(wǎng)絡(luò )。以太網(wǎng)接口提供和外部非安全系統的接口。還包括光驅、鍵盤(pán)鼠標等，功能與工控機相當。

   當安裝在控制柜里，平面顯示系統被稱(chēng)作維護和測試面板（Maintenance and Test Panel，MTP）；安裝在主控室作為PMS的一部分時(shí)，被稱(chēng)作操作員模塊（Operator’s module，OM）。通過(guò)MTP，技術(shù)人員能夠執行監視、修改、組態(tài)、測試等任務(wù)。MTP具有顯示圖形和趨勢顯示功能。OM執行和MTP一樣的功能，但是作了某些限制，以防止操作員可能在無(wú)意中對系統做出的改動(dòng)。OM和安全系統之間沒(méi)有直接電氣連接。

   2.6.2 核級數據處理子系統（QDPS）

   核級數據處理子系統，是PMS系統的一個(gè)子系統，提供控制室選定參數的安全相關(guān)顯示。1E級數據處理子系統是冗余配置的，包括傳感器，1E級數據處理子系統硬件和1E級顯示。
核級數據處理子系統完成以下功能：

（1）提供安全相關(guān)的數據處理和顯示
（2）在其它顯示系統發(fā)生故障的情況下為操縱員提供足夠的操作信息，以安全停閉電廠(chǎng)；
（3）為主控室提供數據顯示；
（4）向實(shí)時(shí)數據網(wǎng)絡(luò )提供1E級和非1E級數據，供電廠(chǎng)其它系統使用；
（5）向主控室、遠程停堆工作站，電廠(chǎng)計算機系統以及其它非1E級裝置和非1E級應急響應設施提供數據。
核級數據處理子系統（QDPS）硬件包括1E級的模塊化數據采集單元。 QDPS接收過(guò)程傳感器和1E級數字系統的輸入信號。QDPS合并輸入數據，進(jìn)行單位轉換，為數據鏈路傳輸統一數據格式。
  
                     

   三、西門(mén)子TXS平臺

   TXS系統是由西門(mén)子開(kāi)發(fā)的核電站數字化安全級儀控系統，2000年5月獲得NRC批準。嶺澳二期核電站的數字化安全級儀控平臺即為T(mén)XS平臺。

   嶺澳二期儀控系統總體結構如下：

   （1）一層

1E –TXS硬件及AV42（優(yōu)選模塊）
NC* – 多樣化保護系統采用TXP系統平臺實(shí)現，其它的NC*功能均采用TXS系統平臺實(shí)現
NC – TXP硬件

    （2）二層

1E –兩個(gè)SU（service unit，采用UNIX操作系統，安全級顯示單元，參數修改、檢測和錯誤診斷），ECP（緊急操作盤(pán)），BUP（后備盤(pán)）的1E級部分
NC* – RSS（遠程停堆站）和人機界面，BUP（后備盤(pán)）的NC*級部分
NC – OWP、LDP以及 BUP（后備盤(pán)）的NC級部分

    3.1 處理器模塊

    TXS的處理器模塊SVE2為32位處理器，CPU采用AMD K6-2E，主頻為266MHz，通過(guò) 128K的雙口RAM與其他模塊交換數據，應用軟件由2M的fl ash存儲，處理器模塊與其他模塊通過(guò)32位背板總線(xiàn)連接。在處理器模塊面板上由10個(gè)LED顯示系統運行狀態(tài)和錯誤信息。

   3.2 I/O模塊

   TXS系統的I/O模塊均符合1E級標準，模塊支持熱插拔，模塊的輸入輸出通道與底板總線(xiàn)實(shí)現電氣隔離。

   開(kāi)關(guān)量輸入模塊：

SDI1-24：32通道，0/24V電壓水平，7mA輸入電流
SDI2-24：32通道，0/24V電壓水平，0.7mA輸入電流

   開(kāi)關(guān)量輸出模塊：

SDO1-24：32通道，0/24V電壓水平
模擬量輸入模塊：SAI1：16通道
模擬量輸出模塊：SAO1：8通道
計數器模塊：S706：3通道

   3.3 電源

   TXS由電源機架供電，電源機架將220VAC電源轉換為24VDC輸出電源，電源機架由AC/DC轉換模塊和二極管模塊構成，最大運行環(huán)境溫度75度。

   3.4 通訊

   TXS有兩種通訊模塊：SL22和SCP3。SL22是基于profibus總線(xiàn)技術(shù)的通訊模塊，SL22模塊通過(guò)96針插接口與SVE2連接，每個(gè)SVE2可連接4個(gè)SL22通訊模塊，每個(gè)SL22有兩個(gè)通訊接口，通訊速率為1.5Mb/s。SCP3是基于Ethernet IEEE 802.3總線(xiàn)技術(shù)的通訊模塊，通訊速率為10Mb/s。

   3.5 優(yōu)選模塊

   優(yōu)選模塊執行優(yōu)先級驅動(dòng)控制功能，針對每一個(gè)安全驅動(dòng)器，來(lái)自反應堆保護系統自動(dòng)邏輯、非安全級控制系統、后備盤(pán)和緊急控制盤(pán)的驅動(dòng)信號在此進(jìn)行優(yōu)先級判別，最終產(chǎn)生一個(gè)信號用于驅動(dòng)專(zhuān)設安全設施驅動(dòng)器。

   嶺澳二期應用的優(yōu)先邏輯模塊為AV42，主要完成優(yōu)選邏輯處理，就地設備驅動(dòng)和監視功能。優(yōu)先級模塊包括安全級的PLD固態(tài)邏輯電路和非安全級的微處理器兩部分，PLD完成優(yōu)選邏輯，微處理器與非安全級系統之間通過(guò)PROFIBUS總線(xiàn)通訊，接受來(lái)自非安全級系統的控制指令，并將驅動(dòng)器執行狀態(tài)反饋信號和模件自身狀態(tài)等信息送回非安全級系統。

   3.6 安全級顯示系統(QDS)

   在后備盤(pán)上設置有兩套安全級顯示系統（QDS），其主要完成PAMS參數顯示和記錄。兩套QDS分別與A,B列的PI（盤(pán)臺接口）機柜通訊。

   四、Tricon平臺
     
                    

   方家山/福清核電站的安全級儀控系統采用IPS公司的Tricon平臺。方家山/福清項目中，儀控系統總體結構如下：

   （1）一層

1E – IPS Triconex硬件平臺及PLM（優(yōu)選模塊）
NC* – ATWT與DS系統采用I/A平臺，其它的NC*功能均采用Triconex硬件平臺
NC – IPS Foxboro I/A平臺

   （2）二層

1E –SVDU（安全級顯示單元），ECP（緊急操作盤(pán)），BUP（后備盤(pán)）的1E級部分
NC* – RSS（遠程停堆站）帶有相關(guān)通訊功能的人機界面，BUP（后備盤(pán)）的NC*級部分
NC – 源迅的ADACS人機界面以及 BUP（后備盤(pán)）的NC級部分

   與AC160類(lèi)似的是，Tricon的卡件也是裝在機架上的。Tricon的機架分三種：主機架、擴展機架和遠程機架。Tricon的機架可安裝以下卡件：主處理器模件、I/O模塊、電源模塊和通訊接口模塊。

   此外，為了實(shí)現1E級執行器的驅動(dòng)命令優(yōu)選功能，IPS公司專(zhuān)門(mén)研發(fā)了PLM優(yōu)選模塊。Tricon系統的主要特點(diǎn)為：
Tricon系統由三個(gè)完全相同的系統支路組成(電源模件除外，該模件是雙重冗余的)。每個(gè)系統支路獨立地執行控制程序，并與其它兩個(gè)支路并行工作。

   因為每一個(gè)支路都是和其它兩個(gè)隔離的，任一支路內的任何一個(gè)單點(diǎn)失效都不會(huì )傳遞給其它兩支。如果在一支內有硬件故障發(fā)生，該失效的一支就能被其它兩支所補償。所以修理工作，包括拆卸和更換失效的支路內的失效模件都可以在在線(xiàn)情況下進(jìn)行，不使過(guò)程中斷。

   每一個(gè)I/O模件內都含有三個(gè)獨立支路的電路，輸入模件上的每一支路讀取過(guò)程數據并將這些信息傳送給它的相應的主處理器。三個(gè)主處理器通過(guò)一個(gè)適配的高速總線(xiàn)系統，被稱(chēng)作為T(mén)RIBUS的系統相互通訊。

   每掃描一次，主處理器都通過(guò)TRIBUS與其鄰居進(jìn)行通訊和同步化。TRIBUS表決數字量輸入數據、比較輸出數據、并將模擬輸入數據的副本送達每一主處理器。主處理器執行控制程序并把由控制程序所產(chǎn)生的輸出送給輸出模件。除對輸入數據作表決之外，Tricon也表決輸出數據。這是在離現場(chǎng)最近的輸出模件上完成的，以便探查出任何錯誤并予以補償，探查任何可能出現在TRIBUS表決與送給現場(chǎng)去的最終輸出之間的錯誤。
  
                     

   4.1 主處理器（MP）模件

   Tricon的#3008型主處理器有2Mbyte SRAM。SRAM被用于用戶(hù)書(shū)寫(xiě)的控制程序、SOE數據、I/O數據、診斷以及通訊緩沖器。

   在發(fā)生外部電源失效時(shí)，SRAM由電池進(jìn)行保護，電池裝在主機架的背板上。在沒(méi)有電力供給Tricon時(shí)，電池能保持程序和保存的變量的完整性，至少可以保持6個(gè)月。

   主處理器模件從雙重電源模件和主機架的電源軌接受電力。一個(gè)電源模件或者一條電源軌的失效不會(huì )影響系統的工作。

   Tricon系統包含三個(gè)主處理器模件。每個(gè)模件控制系統均為獨立的一支，與其它兩個(gè)主處理器并行工作。HHHH每個(gè)主處理器上有一個(gè)專(zhuān)用的I/O通訊處理器，用以管理在主處理器和I/O模件之間交換的數據。一條三重I/O總線(xiàn)位于機架的背板上，通過(guò)I/O總線(xiàn)電纜和其它機架連接。

   當每個(gè)輸入模件被查詢(xún)時(shí)，相應的一支I/O總線(xiàn)就把新的輸入數據傳遞給主處理器。輸入數據被裝入主處理器內的一個(gè)表內，并被存入存儲器以備用于硬件表決過(guò)程。

   主處理器內的每一單個(gè)輸入表被傳輸到其鄰近的主處理器，通過(guò)TRIBUS傳輸。在此傳輸中完成硬件表決。

  如果發(fā)現不一致，則三個(gè)表內兩個(gè)相同的信號值優(yōu)先采用，第三個(gè)表的值按此改正。每個(gè)主處理器把數據的改正情況保存在本地存儲器內，每次奇偶性失常都被標志出來(lái)，并在掃描結束時(shí)通過(guò)故障分析器例行程序判斷某一模件內是否存在故障。

   4.2 I/O卡件

I/O卡件內置有CPU，減輕主處理器的工作負荷。每個(gè)I/O卡件都有三個(gè)微處理器。輸入卡件的CPU對輸入進(jìn)行過(guò)濾和修復，并診斷卡件的硬件故障。輸出卡件CPU為輸出數據的表決提供信息，通過(guò)輸出端的反饋回路電壓檢查輸出狀態(tài)的有效性、并能診斷現場(chǎng)線(xiàn)路問(wèn)題。

   4.3 電源模塊

每個(gè)Tricon機架裝有兩個(gè)電源模塊（雙重冗余配置）。電源模塊帶有診斷回路，可以監測輸出電壓范圍和超溫情況。

   4.4 通訊 

   Tricon可以和下列部件接口連接：Modbus主機、從屬機、其他在Peer-to-Peer網(wǎng)絡(luò )中的TrcI/On、在802.3網(wǎng)絡(luò )上運行的外部主機和Foxboro分布控制系統（DCS）。主處理器是通過(guò)通訊總線(xiàn)向通訊模件傳送數據的。

    （1）加強的智能通訊模件（EICM）

    通過(guò)外部設備支持RS-232和RS-485串行通訊，速度最高可到19.2Kbaud。這個(gè)EICM可給出四個(gè)串行口，通過(guò)這些口可以和Modbus主機、從屬機或者主從兩者，或者TriStation接口。

    （2）網(wǎng)絡(luò )通訊模件（NCM）

   這種模件允許Tricon和其他Tricon通訊，或者通過(guò)802.3網(wǎng)絡(luò )用高速（10Mbit/s）數據線(xiàn)而與外部主機通訊。NCM支持一定數量的Triconex協(xié)議和用途，也支持用戶(hù)書(shū)寫(xiě)的用途，包括那些采用TCP-IP/UDP-IP協(xié)議的用途。

    （3）先進(jìn)的通訊模件（ACM）

    此模件是在Tricon控制器和Foxboro的I/A系統之間的接口。ACM作為I/A系列Nodebus上的一個(gè)安全節點(diǎn)出現在Foxboro系統中，使Tricon得以管理整個(gè)I/A DCS環(huán)境之間的各過(guò)程關(guān)鍵點(diǎn)。ACM用Foxboro操作人員所熟悉的顯示格式，把Tricon中全部的給以別名的數據和診斷信息傳送給I/A操作站。
  
              
    4.5 優(yōu)選模塊

    為了實(shí)現1E級執行器的驅動(dòng)命令優(yōu)選功能，IPS開(kāi)發(fā)了PLM（Priority Logic Module）模塊。PLM模塊共有4個(gè)優(yōu)先級輸入端和1個(gè)輸出端以及1個(gè)試驗輸出端。4個(gè)輸入端依次為來(lái)自ECP的手動(dòng)控制信號、來(lái)自1E Tricon 的ESFAS驅動(dòng)信號、來(lái)自DS或ATWT的信號以及來(lái)自二層的控制信號。PLM的輸出端用以驅動(dòng)1E級執行機構動(dòng)作，試驗輸出端用于進(jìn)行T3閉鎖試驗。

   二、 PLM模件采用FPGA技術(shù)，只完成優(yōu)選邏輯和定期試驗功能，執行器狀態(tài)信息的顯示，驅動(dòng)命令的保持和中斷等功能由其他系統完成。PLM模件只接受硬接線(xiàn)信號，對于來(lái)自非安全級系統的信號需進(jìn)行電氣隔離。

   PLM模塊無(wú)信號保持功能，而且沒(méi)有被控設備的狀態(tài)監測功能。

   4.6 安全級顯示單元(SVDU)

   安全級顯示單元SVDU主要執行三項功能：PAMS參數顯示；保護系統的復位，旁通；定期試驗，主要是T3試驗，也包括部分T1試驗結果的顯示。同Common Q一樣， SVDU同樣采用QNX操作系統。

   五、性能比較

   Tricon系統的每個(gè)處理器模塊和I/O模塊內都包含三個(gè)微處理器，每個(gè)微處理器構成獨立的硬件電氣支路，三個(gè)電氣支路是冗余的，相對Common Q和TXS系統，Tricon的冗余度更高，這種三重冗余的設計提高了系統的可靠性和可用性。

   Tricon系統由電源模塊供電，TXS系統由獨立的電源機架為系統提供電源，可靠性更高。

   Common Q的優(yōu)選模塊CIM僅接收ESFAS和PLS的控制命令，其它命令的優(yōu)先級別通過(guò)其先進(jìn)的優(yōu)先級管理策略實(shí)現，并不通過(guò)優(yōu)選模塊，這就降低了優(yōu)選模件出現共模故障而喪失所有縱深防御功能的風(fēng)險。CIM通過(guò)遠程I/O與PLS進(jìn)行信號傳輸，比其它兩家的方案節省了大量的電纜。

   Tricon系統的二層采用安全級顯示單元SVDU，相比較Common Q的QDPS和TXS的QDS來(lái)說(shuō)增加了保護系統的復位，旁通；定期試驗的功能。