作者簡(jiǎn)介

    孫洪濤（1978-），男，山東人，碩士，工程師，北京廣利核系統工程有限公司安全級設計主任工程師。

    摘要：為保證可靠性，有效克服單一故障和共因故障影響，核電站安全級數字化保護系統設計過(guò)程中必須充分考慮系統多樣性和縱深防御設計，并有效實(shí)現安全功能分散、優(yōu)化單站負荷及接口。本文論述了核電站安全級數字化保護系統的結構、功能，并依據相關(guān)標準要求給出了核電站安全級數字化保護系統的功能分配原則和方法，同時(shí)結合一種典型的數字化保護系統功能分配做了分析。

    關(guān)鍵詞：核電站；安全級；數字化；保護系統；功能分配

    Abstract: To ensure reliability and effectively overcome the single failure and common cause failure, safety digital I&C protection system design in nuclear power plant must fully consider D3 design and effective implementation of the safety function assignment，also the optimization of CPU load and interfaces should be realized in the design process. This article addresses the safety structure and function of digital I&C protection systems in nuclear power plant, safety function distribution principles and methods of digital protection systems are given according to related standards requirements of the nuclear power plant, the function assignment of one typical digital protection system is analyzed.

    Key words: Nuclear Power Plants; Safety Class; Digital; Protection System; Function Assignment

    1 概述

    核電站安全級數字化保護系統是核電站的信息神經(jīng)和控制中樞，對于保證核電站能否安全、可靠、穩定和經(jīng)濟運行以及提升核電站生產(chǎn)管理水平都起著(zhù)至關(guān)重要的作用。核電站安全級數字化保護系統屬于核電廠(chǎng)1E級電氣設備，用以保護三大核安全屏障（即燃料包殼、一回路壓力邊界和安全殼）的完整性。在核電站正常運行時(shí)，數字化保護系統監測與反應堆安全有關(guān)的參數，當這些參數超過(guò)預設的保護定值時(shí)，自動(dòng)觸發(fā)緊急停堆及啟動(dòng)相應專(zhuān)設安全設施，以限制事故的發(fā)展和減輕事故后果，防止放射性物質(zhì)向周?chē)h(huán)境釋放，保證核電站設備和人員的安全。同時(shí)數字化保護系統還向操作人員提供手動(dòng)控制手段以及相關(guān)系統和設備狀態(tài)信息。

    目前我國正處于核電快速發(fā)展時(shí)期，在建和擬建的核電機組超過(guò)30臺套，核電站安全級數字化保護系統是核電站必需的關(guān)鍵系統之一，實(shí)現數字化保護系統自主設計不僅符合國家加緊推進(jìn)核電國產(chǎn)化的戰略性要求，也是實(shí)施“以高起點(diǎn)起步、以高標準的安全可靠性要求和將高技術(shù)含量主設備作為重點(diǎn)”的國產(chǎn)化策略的必由之路。目前國內所有在建核電站的核安全級數字化保護系統全部依靠國外引進(jìn)，已經(jīng)形成了由國外廠(chǎng)商寡頭壟斷的局面。加強核電站安全級自主設計能力對于中國核電產(chǎn)業(yè)發(fā)展和核電站的安全運行具有重大意義，同時(shí)可大幅度降低數字化儀控系統設備的設計和運行維護費用。功能分配設計作為核電站安全級數字化保護系統設計的核心內容，我國尚未形成成熟的功能分配設計原則和方法。本文依據相關(guān)標準要求，給出了核電站安全級數字化保護系統功能設計的原則和方法，并結合一種典型的安全級數字化保護系統做了相關(guān)分析。

    2 功能分配原則

    2.1 分配原則

    根據標準IEC61513要求，為了緩解共因故障發(fā)生時(shí)的影響，安全級數字化保護系統設計須充分考慮多樣性及縱深防御設計，采用功能多樣性和設備多樣性，并綜合考慮冗余配置及負荷均衡相關(guān)因素。

    （1） 功能多樣性

    •停堆功能的多樣性

    為了確保停堆安全，符合單一故障準則，停堆保護系統重要保護功能需具有多樣性，即同一保護功能對應多種監測方式，在數字化保護系統設計中，要將其分散到停堆保護通道不同的子系統中實(shí)現。

    根據上述原則，對M310堆型中的停堆保護條件分配到反應堆停堆保護系統的兩個(gè)不同的子系統中，分配示例如表1所示。

                                  表1 停堆保護功能分配示例
              

    •專(zhuān)設功能的多樣性

    對于系統級的專(zhuān)設驅動(dòng)功能?chē)栏癜凑丈嫌挝募男枨蠓峙涞酵６驯Ｗo系統的兩個(gè)功能子系統中，并分別通過(guò)獨立的、隔離的點(diǎn)對點(diǎn)通信傳輸到專(zhuān)設安全驅動(dòng)系統。

    由于核電站安全級保護系統設計中，專(zhuān)設安全驅動(dòng)系統A序列、B序列的結構已經(jīng)考慮了功能分配的設計，且任一列均有自動(dòng)和手動(dòng)控制。分配到任一列的設備控制，在保證系統級專(zhuān)設驅動(dòng)限制前提下，也做了必要的功能分配考慮，主要是從工藝系統故障安全角度考慮，將部分系統功能分散，盡量將功能相同的設備分開(kāi)到不同的專(zhuān)設驅動(dòng)功能子系統中，如主給水系統ARE和輔助給水系統ASG，需分配在兩個(gè)不同的子系統中實(shí)現，以保證當一個(gè)子系統出現故障時(shí)，另一個(gè)子系統仍可以正常執行保護功能，保證給水的安全性等。

    （2） 設備多樣性

    設備多樣性主要包括在后備控制盤(pán)臺BUP、緊急控制盤(pán)臺ECP上設置的部分硬手操器、硬開(kāi)關(guān)以及停堆保護系統拒動(dòng)ATWT系統。其中ATWT系統作為數字化保護系統的設備多樣性，采用繼電器影邏輯實(shí)現，在設備上保證了數字化保護系統停堆和專(zhuān)設驅動(dòng)的多樣性。

    （3） 重要功能的冗余配置

    對于一些重要的但又不具有功能多樣性的信號，要在兩個(gè)子系統中同時(shí)實(shí)現。如反應堆手動(dòng)停堆功能。同樣，兩個(gè)子系統都需要的反應堆停堆“允許信號”（即“P信號”）也要分別在兩個(gè)子系統中實(shí)現。

    （4） 負荷均衡

    不具有功能多樣性的參數，原則上放入任何一個(gè)子系統均可，但考慮到停堆保護通道兩個(gè)子系統的CPU負荷均衡，應該盡量均勻配置到兩個(gè)子系統中。

    2.2 相關(guān)因素

    安全級數字化保護系統的功能分配設計，除了滿(mǎn)足核電站安全級的分配原則和要求外，還要從系統負荷率、系統響應時(shí)間、工藝接口優(yōu)化、功能分散等幾方面綜合考慮。

    （1） 系統負荷率

    在安全級數字化保護系統功能分配設計過(guò)程中，必須考慮數字化保護系統主控制器（CPU）周期運算處理過(guò)程中的負荷率。

    在安全級數字化保護系統運算周期內，規定系統CPU的實(shí)際處理時(shí)間占用系統CPU設定運算周期的百分比，稱(chēng)為CPU負荷率。為了降低CPU負荷率，可通過(guò)降低系統CPU實(shí)際處理時(shí)間或提高CPU設定運算周期時(shí)間設定值實(shí)現。

    安全級數字化保護系統執行功能越多，邏輯越復雜，則CPU實(shí)際處理時(shí)間相應增長(cháng)，CPU負荷率相應提高。在保護系統實(shí)現邏輯功能確定的情況下，必須優(yōu)化保護算法和數字化平臺設置以減少CPU實(shí)際處理時(shí)間，從而降低CPU負荷率。在功能分配設計時(shí)，必須充分重視負荷率因素，合理進(jìn)行功能分配設計，確保各個(gè)系統控制站負荷率均衡，保證系統單站負荷率滿(mǎn)足客戶(hù)提出的要求。

    （2） 系統響應時(shí)間

    系統響應時(shí)間，是從現場(chǎng)傳感器產(chǎn)生信號到數字化保護系統輸出信號給停堆斷路器或專(zhuān)設保護驅動(dòng)設備所用的時(shí)間。在（1）中，為了保證系統負荷率符合要求，除了盡量降低CPU周期實(shí)際處理時(shí)間外，也可以通過(guò)提高CPU運行周期來(lái)降低負荷率。但從系統響應時(shí)間角度考慮，提高CPU運行周期必須限制在一定的范圍內。對于單個(gè)數字化保護系統控制站，執行安全功能越多，邏輯越復雜，對應I/O點(diǎn)越多，則系統響應時(shí)間相應增長(cháng)。在系統功能分配設計中，必須充分考慮系統響應時(shí)間因素，確保滿(mǎn)足客戶(hù)和標準要求。

    （3） 工藝接口優(yōu)化原則

    在安全級數字化保護系統功能分配設計過(guò)程中，必須遵循數字化保護系統站與站之間的接口優(yōu)化原則，盡量減少保護站間的信號交換數量，以減小機柜內硬件數量和網(wǎng)絡(luò )負荷，對減小系統響應時(shí)間和CPU運算負荷率有很大的意義。
例如對于A(yíng)SG系統，由于系統內邏輯較為復雜，如果把ASG系統放在兩個(gè)不同的控制站中實(shí)現，則必然會(huì )增加信號交換數量，因此在設計時(shí)，應將ASG系統邏輯在一個(gè)站內實(shí)現。

    （4） 功能分散原則

    對于安全級數字化保護系統系統，在功能分配設計時(shí)，需要遵循功能分散原則。即不同但實(shí)現同一功能的參數或設備分配到不同的保護站內，當一個(gè)保護站故障時(shí)不會(huì )影響保護系統的保護和控制功能，從而增加數字化保護系統的可靠性，有效防御單一故障。例如專(zhuān)設系統保護設備的安全殼噴淋泵和噴淋閥分散在不同的專(zhuān)設安全驅動(dòng)系統中，當一個(gè)保護站故障時(shí)不會(huì )導致噴淋系統誤動(dòng)。

    核電站安全級數字化保護系統功能分配設計時(shí)，需要綜合考慮以上因素。

    3 功能分配

    本文以一種典型安全級系統架構為例，給出核電站安全級數字化保護系統功能分配設計過(guò)程依據和方法。

    3.1 系統架構

    圖1為一種典型的核電站安全級數字化保護系統架構，主要完成核電站安全級系統保護和設備控制功能，如反應堆停堆保護、專(zhuān)設安全設施驅動(dòng)、事故后監測等。
        
               
                                     圖1 典型的安全級系統架構圖

    由圖1可知，核電站安全級數字化保護系統由以下幾部分構成：

    （1） 反應堆停堆保護系統RTC：RTC由Ⅰ、Ⅱ、Ⅲ、Ⅳ 4組通道保護柜組成，通過(guò)“2/4”表決邏輯，完成反應堆緊急停堆功能；

    （2） 專(zhuān)設安全驅動(dòng)系統分為系統級專(zhuān)設保護驅動(dòng)單元SAC和設備級專(zhuān)設保護驅動(dòng)單元SMC，分別由A序列、B序列兩列組成。SAC接受RTC發(fā)送來(lái)的信號進(jìn)行“2/4”表決邏輯運算，生成系統級安全專(zhuān)設保護信號，SAC邏輯功能不是針對某一個(gè)具體的設備或系統，而是一批設備或系統。SMC是執行設備級專(zhuān)設功能，其邏輯功能是針對某一個(gè)具體的設備，而不是一批設備。SMC接收SAC來(lái)的系統級專(zhuān)設驅動(dòng)信號并在SMC內部分配給相應的機柜，同時(shí)，SMC從其他系統接收驅動(dòng)信號，包括安全操作顯示單元SGC的手動(dòng)安全操作信號，然后通過(guò)優(yōu)先管理邏輯，由專(zhuān)用優(yōu)選管理模塊輸出驅動(dòng)信號至現場(chǎng)設備；

    （3） 堆芯冷卻監視系統CCS分成A和B兩列，其主要功能是對堆芯熱電偶溫度等信號的數據采集、處理、顯示和數字計算機接口功能；

    （4） 模擬安全級相關(guān)單元SRC實(shí)現A序列安全相關(guān)模擬功能（B序列的安全相關(guān)模擬功能在堆芯冷卻監視系統CCS的B序列機柜實(shí)現）；

    （5） 安全操作顯示單元SGC實(shí)現安全級功能的手動(dòng)控制，同時(shí)，安全級設備狀態(tài)在SGC顯示。

    3.2 分配依據

    核電站安全級數字化保護系統功能分配的依據是邏輯圖（簡(jiǎn)稱(chēng)LD）、模擬圖（簡(jiǎn)稱(chēng)AD）及數字化保護系統平臺及其系統架構。其中上游LD、AD輸入文件規定了數字化保護系統系統所要完成的功能，所有的功能分配設計都是在LD、AD等上游輸入文件的基礎上，參考具體的數字化保護系統平臺及其系統架構來(lái)完成。

    3.3 分配方法

    由圖1典型的安全級系統結構圖及其相應功能可知。

    •AD中ASG系統、核儀表系統RPN、汽機旁路系統GCT等工藝系統中完成停堆功能的1E級模擬量傳感器信號進(jìn)入停堆保護系統RTC中作閾值處理，并進(jìn)行“2/4”表決邏輯，根據表決邏輯的結果判斷是否執行停堆動(dòng)作；

    •LD中與安全專(zhuān)設驅動(dòng)相關(guān)的信號，根據其功能分配，其中系統級功能進(jìn)入SAC，設備級功能進(jìn)入SMC；

    •堆芯冷卻監視系統CCS的數據來(lái)源主要有堆芯熱電偶數據、冷端箱電阻溫度計數據、一回路的壓力信號、穩壓器壓力信號、主泵運行狀態(tài)等，通過(guò)以上信息完成堆芯冷卻監視功能。

    •AD中安全相關(guān)功能信號，根據AD圖紙信息，判斷信號和邏輯所在序列，分別進(jìn)入SRC和CCS系統B序列機柜；
由上可以得出反應堆數字化保護系統中核心的三個(gè)部分RTC、SAC、SMC三者之間的關(guān)系，即停堆保護與專(zhuān)設驅動(dòng)保護之間的功能分配及信號流，如圖2所示。
          
                                      
                             圖2 停堆保護與專(zhuān)設驅動(dòng)保護功能分配及信號流

    圖2反映了停堆保護系統與專(zhuān)設驅動(dòng)保護之間的的基本功能分配及安全級信號流關(guān)系：

    •安全級停堆相關(guān)的傳感器信號進(jìn)入停堆保護系統RTC相應的通道，并作閾值處理。處理后將本通道及其他通道中的運算結果，進(jìn)行最終表決邏輯（“2/3”或“2/4”）運算，運算結果用于停堆保護輸出動(dòng)作，同時(shí)將結果通過(guò)點(diǎn)對點(diǎn)通信傳送給SAC。另外需要進(jìn)行PID控制的1E驅動(dòng)設備在停堆保護系統RTC中控制；

    •各系統級的專(zhuān)設驅動(dòng)保護順序運算在SAC中實(shí)現，經(jīng)邏輯處理后發(fā)出系統級設備保護驅動(dòng)信號；根據LD可知，交流應急電源系統LHA、反應堆保護系統RPR為系統級保護驅動(dòng)邏輯，所以在SAC中實(shí)現；

    •緊急控制盤(pán)ECP發(fā)出的緊急控制指令為系統級保護信號，其中停堆保護指令進(jìn)入RTC，專(zhuān)設保護驅動(dòng)指令進(jìn)入SAC，如安全注入信號SI等。

    •對于數字化控制盤(pán)臺、后備控制盤(pán)臺、遠程操作盤(pán)臺之間的切換邏輯，由于切換結果將作用于所有安全級設備，所以切換邏輯在系統級專(zhuān)設保護單元SAC中實(shí)現。

    •LD中除LHA、RPR以外的系統都是針對具體設備的系統驅動(dòng)邏輯，在SMC中實(shí)現；

    •安全操作顯示單元SGC發(fā)出的手動(dòng)控制命令進(jìn)入SMC執行設備級邏輯運算，最后通過(guò)優(yōu)選管理板卡輸出驅動(dòng)現場(chǎng)設備。

    4 結語(yǔ)

    我國核電站安全級數字化保護系統設計處于起步階段，其功能分配需求尚不完善，所以在進(jìn)行安全級數字化儀控系統功能分配設計時(shí)，必須遵循安全級數字化保護系統設計原則，嚴格依據標準及客戶(hù)需求，在保證滿(mǎn)足功能分散及多樣性設計基礎上，優(yōu)化功能分配設計，減少系統間耦合，保證各個(gè)子系統響應時(shí)間和負荷率滿(mǎn)足要求，以取得更好的設計經(jīng)濟效益和運行效益，為我國核電建設創(chuàng )造良好的環(huán)境并積累豐富的設計經(jīng)驗。

    參考文獻

    1.國家核安全局.HAF102：核動(dòng)力廠(chǎng)設計安全規定.2004.

    2.國家核安全局.HAD102：核動(dòng)力廠(chǎng)設計總的安全原則.1989.

    3.廣東核電培訓中心.900MW壓水堆核電站系統與設備（上冊）[M].北京:原子能出版社，2005,286.

    4.IEC 61513 Nuclear Power Plant-Instrumentation and Control for System Important To Safety-General Requirement for System.2001.

    5.IEEE 603 IEEE Standard Criteria for Safety Systems for Nuclear Power Generating Stations，1998. 

    摘自《自動(dòng)化博覽》2011年第七期