术业专攻:闲谈核电仪控系统 (by姜书敏)

结合目前大家热议的核电仪控(DCS)国产化、技术转让、技术路线等与大家分享一些个人观点。

1. DCS的概念

DCS是英语Distributed Control System的缩写, 从实际应用角度讲,称为集散控制系统或仪控系统更合理,首先DCS是一个系统,不是单个个体如一个控制或一个逻辑模块。是包括I/O采集卡、控制器、网络、网关、操作系统、数据库、算法、服务器、人机接口站等组成的一套复杂系统,但无论如何复杂的系统,都是为工艺服务的,无论哪个领域,DCS的设计必须满足工艺的要求,不能自己孤芳自赏,再好的DCS或集散控制系统必须体现在服务工艺的好坏上。从功能上讲,集散控制系统既要考虑适当的分散也要考虑适当的集中。

所以,从这一点讲,有两个概念就很清楚了,一是目前我们在热议的核电DCS技术转让,DCS技术不在设备(核堆)工艺厂家手里,而在专业提供仪控的DCS厂家手里;二是不存在基于FPGA技术的DCS系统或基于CPU技术的DCS系统这种概念,FPGA只能作为逻辑处理模块或单元,代替由CPU算法完成的部分逻辑功能。对于集散控制系统必须解决的高级算法、网络、数据库、第三方接口、人机人因等都是FPGA无法解决的,当然在FPGA逻辑设计验证确定后(设计审查),FPGA较传统概念的DCS系统在软件验证V&V上具有一定优势,但从系统概念,FPGA构不成一个系统,如:某品牌DCS系统,采用FPGA技术的PLM(Priority Logic Module)模块完成优选逻辑功能,并没有摆脱整个系统为CPU主导完成的大量数据通讯、逻辑比较、通讯、二层操作、报警、规程、性能计算等功能,而不能称为“基于FPGA技术的DCS系统”,即使保护逻辑采用FPGA技术实现。

集散系统的结构,因历史的原因和功能上的考虑,核电DCS采用了一层、二层的概念,但从DCS厂家推出的结构看,真正结构上存在一、二层即存在由服务器完成一二层通讯的结构(客户服务器结构)属于80年代的主流产品,决不能认为是一套先进的DCS平台。而对于一、二层的概念,也不是核电独有,大型高炉的控制系统在90年代初就采用一、二层的概念,当然控制逻辑和算法部分采用PLC平台,部分采用DCS平台。

集散系统的先进性,无论是基于保守及严格法规体系下,无数标准导演下完成了无数的测试鉴定,如果没有大量的市场应用做后盾,都谈不上是一套成熟的、可靠的核电DCS系统,避免不了昙花一现,而且忙于修修补补,使用者只能陷入后续投入大量人力物力维护一个没有“未来”的系统。而对于非安全级的系统,其它行业的主流系统已经以“白菜价”活跃与各种工业领域。

集散系统设计的中控室方案,同样不存在三代或二代DCS的问题,某核电厂家推出的“先进的三代控制室方案”是典型的火电DCS中控室设计方案,即取消BUP盘,所有操作报警全部基于计算机,只保留少数关键的跳堆、安注、跳机等信号。

火电的DCS同样经历了复杂的模拟仪表、DCS+模拟手操(BTG盘)、复杂的硬件1:1(甚至配置1:1的控制器)的仿真系统,随着计算机技术、网络技术、数据库、算法等的成熟,仪控系统开始大规模采用分散控制系统,只保留部分紧急按钮。同时,随着DCS技术的成熟及用户对DCS的了解,火电、石化行业集散控制技术的应用发生了很大的变化,由计算机技术不可靠衍生的IO冗余不再变得那么重要,大量的手操、按钮被计算机操作取代。随着技术和市场的成熟,DCS系统的价格也由贵族变成百姓。

2. 核电数字化控制系统

数字化的概念在石化、火电也由探讨到具体实施经历了很多年,但石化火电数字化的概念是以智能仪表和现场总线引入,从一些智能仪表到现场总线,包括各种智能仪表到支持不同技术的FF、Profibus-DP/AP、Device Net、CAN等所谓的现场总线技术,配合智能管理软件,如资产管理软件AMS等,实现在中控室完成所有仪表的诊断、维护等,石化、火电、水处理都有具体成功的应用。

相对于火电石化等行业的DCS控制系统,核电谈到的数字化是否应该定义为“计算机控制系统”或“DCS控制系统”或“仪控系统”,值得大家讨论。

3. 国产化、技术转让

(1) DCS技术的国产化,市场已经有很成熟的结论,如:早期的新华控制,现在的和利时公司、浙大中控、电研智深等。所以,从某种意义上讲,我们国家已经实现了DCS的国产化。而对于大型工业领域的工艺控制,如火电机组控制,只存在从成本、商务等综合考虑来决定采用国产还是进口品牌。

核电DCS国产化很成功的事例是广利核,广利核仪控依靠跟和利时DCS技术合作,跟三菱实现控制和工艺的合作,依靠和利时在其它行业大量系统的应用,和利时研发的大量投入,实现了系统的逐步完善,完成了核电控制系统与核堆工艺的结合,完成核电的系统验证,目前达到了国产化成功的典范,包括安全级和非安全级的控制系统,以及实现控制功能的产品化,如:保护系统的旁通、闭锁、定期实验等的产品化,       而DCS技术含量并不低于广利核的欧美品牌,核电DCS在旁通、闭锁、定期实验等仅仅限于工程化。当然,在对具体工艺的实现,该还存在这样那样的问题也是不可避免的。

回顾广利核DCS成功的经验,我们不难看到,其成功的路径跟高铁有异曲同工:依靠项目完成国外同行业领先系统的吸收消化,国产项目实施验证,推向市场。DCS也是同样,任何一个DCS系统都是经过市场无数应用的拷机、验证才成为一套相对完整,能够为工艺服务的可靠运行的系统。

(2) DCS系统的技术转让,尽管核电工艺不同于其它工艺,而且DCS系统有一些更严格的特点要求,如:质保、法规、标准、程序、体系等,但与集散控制技术没有直接的关系,而且核电DCS也是为核堆工艺提供服务的。

从这个观点来看,DCS的技术转让更多的应该面向工业控制领域而不是要求核堆厂家提供DCS技术转让。

尽管部分核电厂家也具备DCS供货能力,但非安全系统全部采用第三方成熟的DCS产品,依靠第三方供货厂家在其它行业的大量应用,完成拷机、验证;而对于安全系统,也全部是购买第三方产权,按照核电的体系鉴定为核级的应用,尽管如此,由于失去了第三方持续研发、市场应用的支持,“孤本”的仪控系统面临软硬件淘汰,生命周期已经结束,用户需要支付大量费用维护后续运行的问题。

此外,我们必须考虑DCS在核电领域是一个很小众的市场,如果我们靠一己之力,用10年磨一剑开发了一套系统,且不讨论其可靠性、稳定性、可利用率、精度等指标,只考虑DCS作为标准的电子产品组成的系统,其使用周期一般在10-15年,考虑核电保守的特点,一套系统一推出市场就面临如何支持后续紧接的寿命周期结束后的升级和重新研发?

某核电公司曾与某美国品牌DCS供货商讨论DCS技术转让,这是一条正确的思路,一旦合作成功,无论安全级和非安全级DCS可以很快到达一定的高度,而且该美国品牌DCS供货商具备安全级和非安全级在非核电市场巨大的应用,而且安全系统平台和非安全级平台具备持续的投资,可以提供持续的先进可靠的DCS系统,可惜因种种原因,双方没有合作成功。

4. 核电的特殊性

目前核电的控制系统(DCS),基本由安全级、非安全级及多样性系统等组成,我们作为核电DCS的从业者,可能更多的应该考虑如何利用好市场成熟的DCS系统,无论是国产还是进口品牌,利用我们对核电工艺的知识,更好的把工艺跟DCS结合或更好吸收成熟的DCS系统,以实现更优化的控制方案,依靠其它市场的强大应用支持,以获得成熟的核电DCS系统。

就大家谈到的核电汽机控制,目前汽机厂家无论是国内合资还是外资品牌,在提供汽机控制方案采用的策略普遍是提供黑匣子的方案,但这并不是核电所特有,也不能说明汽机的控制技术掌握在汽机厂家,而是一种垄断。火电在目前的汽机厂家也是垄断了汽机控制策略,属于市场行为,而与核电没有本质的关系,相反核电的汽机参数要比同样出力的火电低得多,而对于汽机控制,无非是标准的BTC、ATC、Speed Control(升速、暖机等)、温度、液压阀控制等,而且火电上已经实现了汽机一键启停功能,主要归功与汽机厂商提供了详细的工艺说明。

核电的非安全其它功能,控制要求实在不能讲跟其它工业领域有任何差别。

核电仪控的特殊性体现在安全系统的设计、实现,既要满足根据法规、标准完成的大量测试、鉴定、验证等并由核电权威机构提供的认证、核电执法部门的监造、检查、监督等,但DCS的设计也是要根据工艺要求,结合DCS本身的特点,设计出高可靠性、高利用率、较少的维护量、高速的系统响应时间等。包括考虑的通讯隔离(单向通讯)、电气隔离(光电隔离)、物理隔离(不同的通道、列放置不同房间)等。

当然,安全系统、非安全系统跟外部通讯要考虑网络安全,采用代理服务、网关、网络安全部门建议的安全设备方案。假如DCS网络作为一个孤岛,大可不必担心海外产品内置了一些东西,可能对我们的核电安全造成威胁。试想一下:天空飞的大型客机、高铁、甚至我国产大飞机、航母、1000万吨以上的大炼油、500万吨乙烯、催化裂化、1000MW超超临界火电机组、4000立的高炉等等都无一例外的采用了相当多的海外产品或DCS系统。

5. 国内外DCS安全级系统现状

(1) 美国目前NRC已经审批的安全系统

Vendor Subject Platform Submittal Date Status
Rolls Royce Spinline3 32 Bit Motorola 2009 Review Completed February 2015
Triconex Triconex MPC860/NS32 2000
2010
Review completed 2001(V9)
Review Completed 2012 (V10)
Doosan HF Controls (HFC) HFC-6000 Custom 2005 Review Completed 2011
Westinghouse ASICS
Common Q
Custom
MPC68HC-AC160
1998
1999
Review completed 2000 and
2001
Westinghouse CSI/ALS FPGA NA Approved for Application at Wolfcreek, Diablo Canyon Limited functional Approval  Pending (Containment Pressure, RCS Flow, Pressurizer Pressure and Temperature processing)
Areva/Siemens Teleperm XS i486DX 1998 Review completed 2000

(2)目前美国NRC没有审批的系统

Vendor Subject Platform Submittal Date Status
Mitsubishi MELTAC-Nplus R3 Custom 2008 2012 by NNS
CTEC(广利核) DCS_FirmSys Custom 2010 2013 by NNSA
RPC Radiy (Ukraine) Radiy FPGA NA Approved by Ukraine
SNPAS (国核自仪) NuPAC FPGA 2014 NA
Toshiba NA FPGA NA NA
Westinghouse – Generic SER CSI/ALS FPGA NA NA
CNCS(中核控制) NIC8000 FPGA NA NA
NPIC(核动力院) Longlin NA NA NA

 6. 花絮

(1)某日某品牌的DCS核电用户给我打电话,咨询“两个泵的启停信号设计在一块IO卡件上,会不会因某种原因两个信号同时失效?” 我的回答是“太会了!卡件的任何故障,如总线、电源故障,两个信号就会同时失效!这是谁设计的?” “是你们公司!” 我汗颜,作为知名品牌的DCS供货商,其工程师连起码的分散概念都不懂,为了安全,两个泵的启停信号,至少要考虑设计在不同的IO卡件上,或至少不同的IO总线上,或在不同的控制器管理下,或属于不同的子网络、不同的主网络等,才能确保分散安全,也解决了单点故障、容错的问题。但此设计方案,也是经过中方严格审查的。

(2)某日听到有人跟我讲,某著名工程公司在组织人马将某品牌的SAMA格式的设计输入翻译成LD/AD格式,后来,我小心翼翼地跟某总讲,SAMA是国际标准的工程语言,而所谓的LD/AD/FD是某品牌DCS的中间逻辑或算法,不知道贵公司要将国际标准工程语言翻译成另外一个品牌的算法块是出于何种考虑?后来此活动被叫停,因为大家也觉得有点无聊。 

小结:本人曾就职某美国品牌DCS公司,为中核总公司提供了10多套DCS系统,包括早期的安全级的模拟仪表,安全级DCS、非安全级DCS、多样性平台DAS(Diversity Actuation System)等,根据我的了解和广大客户的反馈,此套系统是目前市场上无论从质量上还是先进性上都是首屈一指,可惜因种种原因,该公司失去了与中核总公司合作的机会。该公司也是世界上唯一一家为核电既能提供安全系统,又能提供非安全级系统的厂家,而且在非核电领域对DCS的持续投资、研发可以给核电DCS提供强大的技术支持。

从核电DCS涉及的质保、法规、标准、程序等,尤其是美国公司的CGD(Commercial Grade Dedication)程序,是优于和严格与欧洲、日本等DCS核电供货商,其带进的美国核电安全的一些理念,包括NRC要求核电DCS必须考虑多样性平台(DAS),以解决共模抑制问题,在8个机组DCS上都得到了成功实现。而且无论是DCS供货商、业主、工程公司从8个机组的DCS合作中都受益匪浅。