袁閣++王豪

摘 要：隨著核電廠安全級(jí)儀控系統(tǒng)中數(shù)字化技術(shù)的引入，核電廠數(shù)字化應(yīng)用也需要應(yīng)對(duì)軟件可能帶來的共因失效的問題。由于整個(gè)安全級(jí)儀控系統(tǒng)均由同一數(shù)字化軟硬件平臺(tái)所實(shí)現(xiàn)，因此也帶來了對(duì)安全級(jí)系統(tǒng)軟件共因故障（CCF）的擔(dān)憂。多樣性驅(qū)動(dòng)系統(tǒng)（DAS）就是用來緩解軟件共因失效和抵御核電廠發(fā)生設(shè)計(jì)基本事件的后果而產(chǎn)生獨(dú)立的一套不受安全級(jí)系統(tǒng)共因干擾的行之有效的解決方案。文章以現(xiàn)有的核電機(jī)組為背景，介紹多樣化保護(hù)系統(tǒng)的概念，并按系統(tǒng)的設(shè)計(jì)要求和系統(tǒng)結(jié)構(gòu)簡單分析DCS控制系統(tǒng)的設(shè)計(jì)過程。

關(guān)鍵詞：數(shù)字化技術(shù)；軟件共因故障；多樣性驅(qū)動(dòng)系統(tǒng)

前言

最新核電機(jī)組的核電技術(shù)在儀控系統(tǒng)上的特征是使用了全數(shù)字化的儀控系統(tǒng)，一般根據(jù)核電廠系統(tǒng)不同的核安全分級(jí)，采用兩個(gè)不同平臺(tái)實(shí)現(xiàn)，文章在對(duì)核電儀控系統(tǒng)進(jìn)行設(shè)計(jì)時(shí)，安全級(jí)平臺(tái)采用了Tricon系統(tǒng)，實(shí)現(xiàn)反應(yīng)堆保護(hù)系統(tǒng)（含反應(yīng)堆停堆和專設(shè)安全設(shè)施驅(qū)動(dòng)的功能）；非安全級(jí)平臺(tái)采用了I/A系統(tǒng)，實(shí)現(xiàn)常規(guī)島和BOP大多數(shù)控制功能。

DAS系統(tǒng)設(shè)計(jì)理念在核電廠的設(shè)計(jì)過程中，多樣性只對(duì)安全級(jí)系統(tǒng)有要求， 而對(duì)非安全級(jí)沒有要求。多樣性的要求主要體現(xiàn)為兩方面：一是體現(xiàn)在反應(yīng)堆保護(hù)系統(tǒng)內(nèi)部， 即使用不同的傳感器， 采用不同的觸發(fā)機(jī)制不同的時(shí)序和計(jì)算方法， 二是反應(yīng)堆保護(hù)系統(tǒng)的多樣性配置[1]。DAS系統(tǒng)為核電廠的反應(yīng)堆保護(hù)系統(tǒng)提供了一種額外的多樣性后備。DAS系統(tǒng)雖然執(zhí)行的是安全級(jí)功能，但其系統(tǒng)本身仍屬于非安全級(jí)，使用的是I/A系統(tǒng)。

1 設(shè)計(jì)要求及應(yīng)用平臺(tái)介紹

1.1 系統(tǒng)設(shè)計(jì)準(zhǔn)則

在發(fā)生設(shè)計(jì)基準(zhǔn)事故的同時(shí)反應(yīng)堆保護(hù)系統(tǒng)又因發(fā)生共模故障而不能提供正常的保護(hù)功能時(shí)，多樣化保護(hù)系統(tǒng)應(yīng)能將反應(yīng)堆轉(zhuǎn)入并保持在安全狀態(tài)。

由于多樣化保護(hù)系統(tǒng)需要在反應(yīng)堆保護(hù)系統(tǒng)發(fā)生軟件共模故障時(shí)提供所需的保護(hù)功能，因此，多樣化保護(hù)系統(tǒng)的軟件設(shè)計(jì)應(yīng)采用不同于反應(yīng)堆保護(hù)系統(tǒng)的軟件平臺(tái)所實(shí)現(xiàn)，并且滿足IEC62138中針對(duì)執(zhí)行B類功能的儀控系統(tǒng)軟件設(shè)計(jì)所規(guī)定的有關(guān)要求。

多樣化保護(hù)系統(tǒng)設(shè)備除了需要滿足RCC-E規(guī)定的抗震I類的要求之外，不需要滿足其中有關(guān)1E級(jí)設(shè)備鑒定的相關(guān)要求。

1.2 平臺(tái)簡介

1.2.1 安全級(jí)系統(tǒng)Tricon系統(tǒng)

三重組合式冗余結(jié)構(gòu)（TMR）是Tricon的設(shè)計(jì)根本，使其具有了很好的容錯(cuò)能力。三個(gè)完全相同的系統(tǒng)支路（電源模件為雙重冗余）構(gòu)成了此系統(tǒng)。每個(gè)系統(tǒng)支路獨(dú)立地執(zhí)行控制程序，同時(shí)其它兩個(gè)支路也并行工作。容錯(cuò)是Tricon系統(tǒng)的最為重要的能力，它是指在系統(tǒng)中出現(xiàn)瞬態(tài)的和穩(wěn)態(tài)的出錯(cuò)情況下能夠及時(shí)探查發(fā)現(xiàn)以及采取適當(dāng)?shù)南鄳?yīng)的在線措施的能力，并使得控制器及其控制過程的安全性得以增強(qiáng)，利用率得以提高。

1.2.2 PLM（優(yōu)先邏輯模塊）

PLM是提供核電廠的安全級(jí)防護(hù)的組件，增加多樣性和縱深防御設(shè)計(jì)，轉(zhuǎn)移共因失效影響而單獨(dú)開發(fā)的。該模塊組件作用為在收到DAS發(fā)送過來的命令后選取最優(yōu)決策命令給現(xiàn)場執(zhí)行機(jī)構(gòu)。其設(shè)計(jì)、制造和質(zhì)檢的流程及工藝都按照并遵循10CFR 50的質(zhì)量體系要求實(shí)施的。

1.2.3 非安全級(jí)系統(tǒng)I/A Serials

核電廠使用的是I/A 8.4.3版本，該系統(tǒng)設(shè)計(jì)之初就創(chuàng)造性地采用了交換機(jī)拓?fù)涫娇刂凭W(wǎng)絡(luò)結(jié)構(gòu)（Mesh Control Network）作為I/A系統(tǒng)的通訊平臺(tái)。Mesh網(wǎng)絡(luò)可同時(shí)容納1920個(gè)控制站（對(duì)）和工作站一起工作，可以在全工廠范圍達(dá)到控制信息的互傳共享而沒有網(wǎng)關(guān)網(wǎng)橋的限制。I/A 8.4.3系統(tǒng)中新一代的控制處理機(jī)FCP270為底板安裝形式的全密封設(shè)計(jì)，可以滿足G3環(huán)境及0～60攝氏度的現(xiàn)場應(yīng)用。為了方便了用戶維護(hù)及備品備件的管理，對(duì)第三方的數(shù)據(jù)集成采用了相同硬件（FDSI） 不同驅(qū)動(dòng)軟件的方式[2]。

2 DAS系統(tǒng)結(jié)構(gòu)

DAS系統(tǒng)是采用多樣性方法來完成可能受到軟件共模故障影響的安全功能，把這些可能受到影響的安全功能組合到一起的集合，從而降低正常安全系統(tǒng)的軟件共模故障的影響。

根據(jù)現(xiàn)有核電廠的數(shù)字化儀控系統(tǒng)總體結(jié)構(gòu)確定了DAS結(jié)構(gòu)（圖1）?？傮w原則為與安全相關(guān)的所有系統(tǒng)都彼此隔離，減少了與保護(hù)和監(jiān)視系統(tǒng)之間產(chǎn)生的共因失效幾率。另外，在DAS設(shè)計(jì)理念中的獨(dú)立性原則，其運(yùn)行不依賴于電廠數(shù)據(jù)網(wǎng)絡(luò)（DCS網(wǎng)絡(luò)）。

DAS系統(tǒng)硬件設(shè)備不受RPS軟件共因失效影響，采用與反應(yīng)堆保護(hù)系統(tǒng)公用傳感器和執(zhí)行機(jī)構(gòu)驅(qū)動(dòng)設(shè)備，共用的變送器或傳感器信號(hào)經(jīng)過隔離模塊分配后硬接線送往DAS。在DAS中經(jīng)過特定的信號(hào)對(duì)比處理，在PLM優(yōu)選模塊中按照安全狀態(tài)優(yōu)先原則輸出到執(zhí)行機(jī)構(gòu)。當(dāng)超過設(shè)定閥值時(shí)，則產(chǎn)生局部“脫鉤”信號(hào)，進(jìn)行相應(yīng)的邏輯處理，從而產(chǎn)生緊急停堆，汽機(jī)停車，安注以及蒸汽管道隔離等功能信號(hào)。

按照這些功能信號(hào)的需求，對(duì)DAS機(jī)柜信號(hào)處理的設(shè)計(jì)中充分考慮基于計(jì)算機(jī)的數(shù)字化技術(shù)并結(jié)合IA產(chǎn)品特性來確定設(shè)計(jì)方案。

3 控制系統(tǒng)中DAS 設(shè)計(jì)方案

初始設(shè)計(jì)要求為了提高BPC（處理周期）處理速度到100ms，而且整個(gè)輸入輸出信號(hào)處理過程控制在500ms之內(nèi)，必須減低冗余CP（處理器）的負(fù)載量。下面一些設(shè)計(jì)的變更就至關(guān)重要。

規(guī)劃并增加4對(duì)冗余CP在DAS機(jī)柜里，用來處理過程邏輯和硬接線IO點(diǎn)。2對(duì)CP安裝在A機(jī)柜（定義名稱為A001UC和A002UC），另外兩對(duì)CP安裝在B機(jī)柜（定義名稱為B001UC和B002UC），與此同時(shí)允許所有冗余CP可以將BPC設(shè)置為100ms。

機(jī)柜之間的信號(hào)大多數(shù)采用硬接線布置，這是為了自動(dòng)控制功能中避免CP之間點(diǎn)對(duì)點(diǎn)的通訊不通過MESH網(wǎng)絡(luò)，減少網(wǎng)絡(luò)帶來的不確定性和延時(shí)影響。接下來是分配給CP的過程邏輯和硬接線IO點(diǎn)相關(guān)的DAS自動(dòng)控制功能。

A001UC：ATWT和停堆功能；

A002UC：汽機(jī)停車功能；

B001UC：SI安全注入功能；

B002UC：蒸汽管道隔離功能。

盡管如此，為了生成更加準(zhǔn)確的信息，很多信號(hào)點(diǎn)也需要從多個(gè)CP獲取。這些被請(qǐng)求的信號(hào)以硬接線方式執(zhí)行和采集，不通過MESH網(wǎng)絡(luò)而直接通訊。

（1）穩(wěn)壓器壓力值

壓力值的模擬量輸入型號(hào)被用來給安全注入和停堆功能。因此，這些信號(hào)點(diǎn)必須被隔離和分配到A機(jī)柜和B機(jī)柜避免這些信號(hào)之間的點(diǎn)對(duì)點(diǎn)通訊。

（2）汽輪機(jī)進(jìn)氣壓力

進(jìn)氣壓力的模擬量輸入信號(hào)被用來給蒸汽管道隔離和停堆功能。因此這些信號(hào)點(diǎn)同樣也需要被分配到不同的機(jī)柜內(nèi)。

（3）反應(yīng)堆停堆斷路器

數(shù)字量輸入信號(hào)被用來給P4（反應(yīng)堆緊急停堆）信號(hào)邏輯處理。P4信號(hào)是安全注入和蒸汽管道隔離功能的必要信號(hào)，因此這些功能都被分離的不同CP所控制。

在蒸汽管道隔離功能中P4信號(hào)瞬時(shí)觸發(fā)，并且在安全注入功能被激活后5分鐘P4信號(hào)觸發(fā)。因此，P4信號(hào)是由B002UC處理后送到B001UC通過FBM207C（模擬量輸出卡）接到FBM240（模擬量輸入卡）進(jìn)行硬接線的連接。

4 停堆功能

停堆功能必須在以下信號(hào)具備時(shí)才能產(chǎn)生。

穩(wěn)壓器壓力值低；

穩(wěn)壓器壓力值高；

反應(yīng)堆冷卻劑流量低；

功率量程中子注量率高。

停堆功能的硬接線輸入信號(hào)由A002UC來處理，產(chǎn)生硬接線的輸出信號(hào)，停堆功能由A001UC處理后被激活。因此，上述信號(hào)產(chǎn)生時(shí)，A002UC將發(fā)送一個(gè)信號(hào)給A001UC去觸發(fā)停堆功能。同樣也是通過FBM207C接到FBM240硬接線的連接。

5 安注期間的停堆功能

當(dāng)安注功能初始化時(shí)停堆功能也被觸發(fā)，盡管安注功能是由B001UC控制而停堆功能是由A001UC控制。因此當(dāng)安注產(chǎn)生時(shí)，B001UC將會(huì)發(fā)送一個(gè)信號(hào)到A001UC用來同時(shí)觸發(fā)停堆功能。此時(shí)的信號(hào)是由B機(jī)柜的FBM207C送到A機(jī)柜的FBM240。

4 驗(yàn)證結(jié)果

我們選取一組由A0002UC處理跳機(jī)功能信號(hào)，A0001UC輸出信號(hào)的過程為范例。為要達(dá)到清晰計(jì)算DAS的響應(yīng)時(shí)間，邊界必須確定好。定義輸出信號(hào)生成時(shí)間為t0。下面的信號(hào)導(dǎo)向流程圖（圖2）就是整個(gè)處理過程所需要經(jīng)歷的步驟。

t0=tAI+tAD+t208+tA002+t240+t207C+tA001+t240+tDI

上述公式內(nèi)所有參數(shù)代表處理該過程所需時(shí)間。實(shí)驗(yàn)所得數(shù)據(jù)如下：

t0=0.070ms+1.0ms+1.0ms+200ms+15ms+1.0ms+200ms+15ms+0.030ms

t0=434ms

在安注情況下的跳機(jī)信號(hào)處理響應(yīng)時(shí)間為434ms，在設(shè)計(jì)要求響應(yīng)時(shí)間500ms范圍之內(nèi)，符合設(shè)計(jì)要求。并且跳機(jī)信號(hào)處理過程相對(duì)其他幾個(gè)功能過程要復(fù)雜，其余功能性驗(yàn)證同樣符合了此次設(shè)計(jì)規(guī)范。

5 結(jié)束語

DAS 系統(tǒng)作為核電廠最后一級(jí)的保護(hù)措施，保護(hù)系統(tǒng)的后備系統(tǒng)，其重要性不言而喻。在控制系統(tǒng)的設(shè)計(jì)中，無論從整體機(jī)柜的抗震測試還是從硬件的精度，響應(yīng)時(shí)間以及軟件邏輯過程的可靠性，都完全符合設(shè)計(jì)要求，并保持現(xiàn)有核電廠良好運(yùn)行的記錄。驗(yàn)證了數(shù)字化技術(shù)應(yīng)用在DAS系統(tǒng)作為保護(hù)系統(tǒng)的多樣性冗余是滿足要求的，同時(shí)也提高了核電廠控制的安全性，具有重要意義。

參考文獻(xiàn)

[1]王春冰，平嘉臨，段奇志，等.多樣性驅(qū)動(dòng)系統(tǒng)功能驗(yàn)證探討[J].核科學(xué)與工程，2012，32（2）：82-83.

[2]查方興.I/A系統(tǒng)及應(yīng)用（6版）[M].2009.