论文部分内容阅读
摘 要:分析核电站非安全级DCS的系统架构,设计用于核电站安全级DCS和非安全级DCS之间通讯的网关系统;在此基础上提出一种热备份冗余方案,保证系统可靠运行。
关键字:核电站;DCS;网关;冗余
19世纪70年代工业领域的生产工程日益复杂,传统的集中控制系统已经不能满足工业领域的控制要求,因此满足分布式控制要求的高可靠性和高稳定性的DCS(Distributed Control System)应运而生。DCS(Distributed Control System)自问世以来已广泛用用到化工、电力、石化、环保等领域,30多年来随着控制技术、计算机技术、通讯技术、CRT技术(简称4C技术)的发展,DCS的性能与功能有了进一步的提高,在工业控制领域呈现勃勃生机。
1DCS系统在国内外核电厂的应用
在核电领域,由于核电站的安全级别要求高以及它的特殊性,出于保守原则考虑,DCS系统在核电厂中应用比较少。但由于常规仪表系统性能差的缺点不断暴露,核电厂仪控系统的数字化成为必然趋势。上个世纪80年代西屋公司将其开发的Eagle系统应运于核电站的改造工程中;1992年英国电力公司在中SIZEWELLB核电站运用了西屋公司的WISCO系统;1996年法国在145万kW的N4核电站上采用了DCS系统。近年来国内在一些核电站的改造和新建工程中应用了DCS系统,岭澳核电站常规岛的控制采用了ALSTHOM公司的P320系统;田湾核电站仪控系统采用西门子公司的Teleperm XP系统,安全级仪控系统和部分重要的相关相关级控制系统采用法玛通公司的Teleperm XS系统;这套系统同样运用于岭澳二期工程;三门核电站采用Common Q和Ovation数字化仪控系统;秦山核电站在循环冷却水控制系统的改造中使用了DCS系统;在建的红沿河电站CPR1000扩展项目采用国产化的数字化仪控系统与国外数字化仪控系统混合的系统,安全级DCS系统采用三菱公司的MELTAC-Nplus R3系统,非安全级DCS采用和利时公司的HOLLiAS MACS6系统。
2 核电站控制系统设计原则
核电站数字化仪控系统设计应遵循以下原则:故障安全、多样性、单一故障、独立性、冗余性、共因故障等。从安全角度出发,核岛系统的一些重要的控制信号采用硬连线的方式传输;从多样性的角度出发,用不同的方法实现同样的功能,这包括功能多样性、软件多样性和硬件多样性,其中配置多样性用于解决共模故障。从冗余角度出发,系统的一些关键部分(包括软件和硬件),如电源、重要的控制回路,通信网络的等都采用冗余配置,这样可以保证设配出现故障时,系统能继续运行,解决单一故障的问题。根据以上设计原则可以提高系统的稳定性和可靠性,保证系统的可靠运行。
3 红沿河DCS控制系统的设计
3.1 红沿河非安全级DCS系统设计
红沿河核电站CPR1000扩展项目DCS控制系统由安全级与非安全级组成,其中非安全级采用和利时公司的HOLLiAS MACS6系统,安全级采用三菱公司的MELTAC-Nplus R3系统。MELTAC-Nplus R3系统主要完成安全与安全相关的功能,如反应堆跳闸逻辑、专设安全设施驱动、事故后监测等;HOLLiAS MACS系统主要完成机组正常运行时的控制及监测功能。图1是非安全级DCS系统结构图,如图所示,系统包括:控制器、通讯站、服务器、网关和操作员站。上述设备通过层次化的多种网络(系统网和控制网)互联,并且通过网关与其他系统相连。
主要数据/信号流入下,其中序号与图1中的数字一一对应:
(1)电厂各个传感器的到DCS的输入数据/信号;DCS到电厂传动装置的输出数据/信号。
(2)第三方系统到DCS的输入数据;DCS到第三方系统的输出数据。
(3)设备到OWP/TSC/RSS以供显示的数据;操作鼠标和键盘的输入数据。
(4)S-VDU屏幕切换/关闭;S-VDU连接到安全级系统。
(5)安全级系统信息(设备的故障信息等)。
(6)RPCC操作信号,PAMS-VDU显示,记录到达安全级系统的信号。
(7)DCS到L3系统的数据。
(8)来自机组0至机组9的数据。
3.2网关的系统架构及功能
安全级系统与非安全级系统采用独立的网络,实现信号的隔离。同时,由于安全级与非安全级采用了不同厂商的产品,所以安全级与非安全级之间不能直接通讯。在红沿河核电站安全级与非安全级通信设计中采用硬连线和网关的混合方式,即非安全级向安全级传输的信号全部采用硬连线的方式;安全级向非安全级传输的用于报警/现实的信号采用网关的方式,用于逻辑控制的信号采用硬连线的方式。其中网关的系统架构如图2所示。
Level1非安全级系统网关使用高可靠性工业控制机,通过以太网卡连接到控制网络,通过UDP协议与MIT安全级系统网关通讯。Level1非安全级系统网关软件运行在LINUX操作系统上。Level1非安全级系统网关的基本功能如下:
(1)Level1与Level2之间的控制网络通讯,包括采用 TCP/IP协议方式和组态软件Codesys通信,采用工业以太网协议方式和服务器通讯;
(2)数据处理,处理安全级与非安全级之间传输的数据;
(3)为提高运行的可靠性,提供了双机冗余功能;
(4)为保证时间的一致性,提供系统对时;
(5)提供了站间引用变量,网络变量功能;
(6)为提供系统的可靠性,提供诊断功能,包括内存诊断、双机诊断、状态诊断、维护看门狗等;
(7)报警功能;
(8)与MIT的安全级系统网关数据交互。
L1aGWP(Leve1非安全网关A) 负责level1网络上数据发送的非安全网关;L1bGWP(Leve1非安全网关B) 负责指level1网络上数据接收的非安全网关。非安全网关L1aGWP与安全网关L1aGWP交互的数据如下:非安全系统信息,主要记录PAMS-VDU监测记录信号和生命监测信号;RPCC 操作信号,内容与非安全系统信息基本相同,只是点规模不一样;RPCC操作信号应答,是针对RPCC操作信号的回应,只有头结构;非安全网关L1aGWP状态通知,此数据包含于应用数据头结构里面,随着非安全系统信息一起发送到安全网关L1aGWP;安全网关L1aGWP状态通知,作为独立的数据每500ms发送到非安全网关L1aGWP。非安全网关L1bGWP与安全网关L1bGWP交互的数据如下:Safety System & RPCC Information,共有7类数据;安全网关L1bGWP状态通知,次数据包含于应用数据头结构里面,随着Safety System& RPCC Information一起发送到非安全网关L1bGWP。非安全网关L1bGWP状态通知,作为独立的数据包发送到安全系统L1bGWP。
4 非安全网关系统的冗余设计
为了提高系统的稳定性和可靠性,在DCS系统中一些关键的部分通常采用冗余的配置。同样,为了保证网关系统的安全可靠的运行L1aGWP和L1bGWP采用热备份冗余配置。冗余功能分为6个子模块来实现:冗余初始化,工控机上电启动后,在主任务模块中实现冗余模块的初始化。初始化功能包括:初始化冗余状态机、清空运行数据缓冲区和写变量数据缓冲区,打开备份数据端口和同步端口。数据备份,工作机和备份机之间的数据备份包括;工作机给备份机拷贝工程文件;工作机给备份机拷贝运行数据;工作机给备份机拷贝写变量数据命令;工作机给备份机拷贝强制变量数据命令。同步控制,工作机和备份机在保证了输入数据和运算逻辑一致的情况下,要保证IEC运算同步执行,写变量命令和强制变量命令同步执行,以及运行状态同步。冗余通讯,工作机和备份机之间备份数据和同步采用UDP方式进行通讯的。双机抢主,双机上电启动后设置本机是工作机还是备份机状态。双机诊断及切换,双机在运行过程中需要对状态进行检
测,当主机发生故障时,需要执行主从切换。处理流程如图3所示。
5 结束语
文中在分析红沿河核电站DCS控制系统的基础上,给出了红沿河核电站的非安全及DCS的设计方案,实现了用于安全级与非安全级之间通讯的网关系统,以及保证系统可靠运行的冗余配置,此设计方案目前已经实现并处于工程测试验收阶段,其可行性和可靠性已经得到验证。但在整个项目实施的过程中,我们也看到了DCS国产化道路的艰辛和漫长。
关键字:核电站;DCS;网关;冗余
19世纪70年代工业领域的生产工程日益复杂,传统的集中控制系统已经不能满足工业领域的控制要求,因此满足分布式控制要求的高可靠性和高稳定性的DCS(Distributed Control System)应运而生。DCS(Distributed Control System)自问世以来已广泛用用到化工、电力、石化、环保等领域,30多年来随着控制技术、计算机技术、通讯技术、CRT技术(简称4C技术)的发展,DCS的性能与功能有了进一步的提高,在工业控制领域呈现勃勃生机。
1DCS系统在国内外核电厂的应用
在核电领域,由于核电站的安全级别要求高以及它的特殊性,出于保守原则考虑,DCS系统在核电厂中应用比较少。但由于常规仪表系统性能差的缺点不断暴露,核电厂仪控系统的数字化成为必然趋势。上个世纪80年代西屋公司将其开发的Eagle系统应运于核电站的改造工程中;1992年英国电力公司在中SIZEWELLB核电站运用了西屋公司的WISCO系统;1996年法国在145万kW的N4核电站上采用了DCS系统。近年来国内在一些核电站的改造和新建工程中应用了DCS系统,岭澳核电站常规岛的控制采用了ALSTHOM公司的P320系统;田湾核电站仪控系统采用西门子公司的Teleperm XP系统,安全级仪控系统和部分重要的相关相关级控制系统采用法玛通公司的Teleperm XS系统;这套系统同样运用于岭澳二期工程;三门核电站采用Common Q和Ovation数字化仪控系统;秦山核电站在循环冷却水控制系统的改造中使用了DCS系统;在建的红沿河电站CPR1000扩展项目采用国产化的数字化仪控系统与国外数字化仪控系统混合的系统,安全级DCS系统采用三菱公司的MELTAC-Nplus R3系统,非安全级DCS采用和利时公司的HOLLiAS MACS6系统。
2 核电站控制系统设计原则
核电站数字化仪控系统设计应遵循以下原则:故障安全、多样性、单一故障、独立性、冗余性、共因故障等。从安全角度出发,核岛系统的一些重要的控制信号采用硬连线的方式传输;从多样性的角度出发,用不同的方法实现同样的功能,这包括功能多样性、软件多样性和硬件多样性,其中配置多样性用于解决共模故障。从冗余角度出发,系统的一些关键部分(包括软件和硬件),如电源、重要的控制回路,通信网络的等都采用冗余配置,这样可以保证设配出现故障时,系统能继续运行,解决单一故障的问题。根据以上设计原则可以提高系统的稳定性和可靠性,保证系统的可靠运行。
3 红沿河DCS控制系统的设计
3.1 红沿河非安全级DCS系统设计
红沿河核电站CPR1000扩展项目DCS控制系统由安全级与非安全级组成,其中非安全级采用和利时公司的HOLLiAS MACS6系统,安全级采用三菱公司的MELTAC-Nplus R3系统。MELTAC-Nplus R3系统主要完成安全与安全相关的功能,如反应堆跳闸逻辑、专设安全设施驱动、事故后监测等;HOLLiAS MACS系统主要完成机组正常运行时的控制及监测功能。图1是非安全级DCS系统结构图,如图所示,系统包括:控制器、通讯站、服务器、网关和操作员站。上述设备通过层次化的多种网络(系统网和控制网)互联,并且通过网关与其他系统相连。
主要数据/信号流入下,其中序号与图1中的数字一一对应:
(1)电厂各个传感器的到DCS的输入数据/信号;DCS到电厂传动装置的输出数据/信号。
(2)第三方系统到DCS的输入数据;DCS到第三方系统的输出数据。
(3)设备到OWP/TSC/RSS以供显示的数据;操作鼠标和键盘的输入数据。
(4)S-VDU屏幕切换/关闭;S-VDU连接到安全级系统。
(5)安全级系统信息(设备的故障信息等)。
(6)RPCC操作信号,PAMS-VDU显示,记录到达安全级系统的信号。
(7)DCS到L3系统的数据。
(8)来自机组0至机组9的数据。
3.2网关的系统架构及功能
安全级系统与非安全级系统采用独立的网络,实现信号的隔离。同时,由于安全级与非安全级采用了不同厂商的产品,所以安全级与非安全级之间不能直接通讯。在红沿河核电站安全级与非安全级通信设计中采用硬连线和网关的混合方式,即非安全级向安全级传输的信号全部采用硬连线的方式;安全级向非安全级传输的用于报警/现实的信号采用网关的方式,用于逻辑控制的信号采用硬连线的方式。其中网关的系统架构如图2所示。
Level1非安全级系统网关使用高可靠性工业控制机,通过以太网卡连接到控制网络,通过UDP协议与MIT安全级系统网关通讯。Level1非安全级系统网关软件运行在LINUX操作系统上。Level1非安全级系统网关的基本功能如下:
(1)Level1与Level2之间的控制网络通讯,包括采用 TCP/IP协议方式和组态软件Codesys通信,采用工业以太网协议方式和服务器通讯;
(2)数据处理,处理安全级与非安全级之间传输的数据;
(3)为提高运行的可靠性,提供了双机冗余功能;
(4)为保证时间的一致性,提供系统对时;
(5)提供了站间引用变量,网络变量功能;
(6)为提供系统的可靠性,提供诊断功能,包括内存诊断、双机诊断、状态诊断、维护看门狗等;
(7)报警功能;
(8)与MIT的安全级系统网关数据交互。
L1aGWP(Leve1非安全网关A) 负责level1网络上数据发送的非安全网关;L1bGWP(Leve1非安全网关B) 负责指level1网络上数据接收的非安全网关。非安全网关L1aGWP与安全网关L1aGWP交互的数据如下:非安全系统信息,主要记录PAMS-VDU监测记录信号和生命监测信号;RPCC 操作信号,内容与非安全系统信息基本相同,只是点规模不一样;RPCC操作信号应答,是针对RPCC操作信号的回应,只有头结构;非安全网关L1aGWP状态通知,此数据包含于应用数据头结构里面,随着非安全系统信息一起发送到安全网关L1aGWP;安全网关L1aGWP状态通知,作为独立的数据每500ms发送到非安全网关L1aGWP。非安全网关L1bGWP与安全网关L1bGWP交互的数据如下:Safety System & RPCC Information,共有7类数据;安全网关L1bGWP状态通知,次数据包含于应用数据头结构里面,随着Safety System& RPCC Information一起发送到非安全网关L1bGWP。非安全网关L1bGWP状态通知,作为独立的数据包发送到安全系统L1bGWP。
4 非安全网关系统的冗余设计
为了提高系统的稳定性和可靠性,在DCS系统中一些关键的部分通常采用冗余的配置。同样,为了保证网关系统的安全可靠的运行L1aGWP和L1bGWP采用热备份冗余配置。冗余功能分为6个子模块来实现:冗余初始化,工控机上电启动后,在主任务模块中实现冗余模块的初始化。初始化功能包括:初始化冗余状态机、清空运行数据缓冲区和写变量数据缓冲区,打开备份数据端口和同步端口。数据备份,工作机和备份机之间的数据备份包括;工作机给备份机拷贝工程文件;工作机给备份机拷贝运行数据;工作机给备份机拷贝写变量数据命令;工作机给备份机拷贝强制变量数据命令。同步控制,工作机和备份机在保证了输入数据和运算逻辑一致的情况下,要保证IEC运算同步执行,写变量命令和强制变量命令同步执行,以及运行状态同步。冗余通讯,工作机和备份机之间备份数据和同步采用UDP方式进行通讯的。双机抢主,双机上电启动后设置本机是工作机还是备份机状态。双机诊断及切换,双机在运行过程中需要对状态进行检
测,当主机发生故障时,需要执行主从切换。处理流程如图3所示。
5 结束语
文中在分析红沿河核电站DCS控制系统的基础上,给出了红沿河核电站的非安全及DCS的设计方案,实现了用于安全级与非安全级之间通讯的网关系统,以及保证系统可靠运行的冗余配置,此设计方案目前已经实现并处于工程测试验收阶段,其可行性和可靠性已经得到验证。但在整个项目实施的过程中,我们也看到了DCS国产化道路的艰辛和漫长。