袁閣++王豪

摘 要：隨著核電廠安全級儀控系統(tǒng)中數(shù)字化技術的引入，核電廠數(shù)字化應用也需要應對軟件可能帶來的共因失效的問題。由于整個安全級儀控系統(tǒng)均由同一數(shù)字化軟硬件平臺所實現(xiàn)，因此也帶來了對安全級系統(tǒng)軟件共因故障（CCF）的擔憂。多樣性驅(qū)動系統(tǒng)（DAS）就是用來緩解軟件共因失效和抵御核電廠發(fā)生設計基本事件的后果而產(chǎn)生獨立的一套不受安全級系統(tǒng)共因干擾的行之有效的解決方案。文章以現(xiàn)有的核電機組為背景，介紹多樣化保護系統(tǒng)的概念，并按系統(tǒng)的設計要求和系統(tǒng)結構簡單分析DCS控制系統(tǒng)的設計過程。

關鍵詞：數(shù)字化技術；軟件共因故障；多樣性驅(qū)動系統(tǒng)

前言

最新核電機組的核電技術在儀控系統(tǒng)上的特征是使用了全數(shù)字化的儀控系統(tǒng)，一般根據(jù)核電廠系統(tǒng)不同的核安全分級，采用兩個不同平臺實現(xiàn)，文章在對核電儀控系統(tǒng)進行設計時，安全級平臺采用了Tricon系統(tǒng)，實現(xiàn)反應堆保護系統(tǒng)（含反應堆停堆和專設安全設施驅(qū)動的功能）；非安全級平臺采用了I/A系統(tǒng)，實現(xiàn)常規(guī)島和BOP大多數(shù)控制功能。

DAS系統(tǒng)設計理念在核電廠的設計過程中，多樣性只對安全級系統(tǒng)有要求， 而對非安全級沒有要求。多樣性的要求主要體現(xiàn)為兩方面：一是體現(xiàn)在反應堆保護系統(tǒng)內(nèi)部， 即使用不同的傳感器， 采用不同的觸發(fā)機制不同的時序和計算方法， 二是反應堆保護系統(tǒng)的多樣性配置[1]。DAS系統(tǒng)為核電廠的反應堆保護系統(tǒng)提供了一種額外的多樣性后備。DAS系統(tǒng)雖然執(zhí)行的是安全級功能，但其系統(tǒng)本身仍屬于非安全級，使用的是I/A系統(tǒng)。

1 設計要求及應用平臺介紹

1.1 系統(tǒng)設計準則

在發(fā)生設計基準事故的同時反應堆保護系統(tǒng)又因發(fā)生共模故障而不能提供正常的保護功能時，多樣化保護系統(tǒng)應能將反應堆轉(zhuǎn)入并保持在安全狀態(tài)。

由于多樣化保護系統(tǒng)需要在反應堆保護系統(tǒng)發(fā)生軟件共模故障時提供所需的保護功能，因此，多樣化保護系統(tǒng)的軟件設計應采用不同于反應堆保護系統(tǒng)的軟件平臺所實現(xiàn)，并且滿足IEC62138中針對執(zhí)行B類功能的儀控系統(tǒng)軟件設計所規(guī)定的有關要求。

多樣化保護系統(tǒng)設備除了需要滿足RCC-E規(guī)定的抗震I類的要求之外，不需要滿足其中有關1E級設備鑒定的相關要求。

1.2 平臺簡介

1.2.1 安全級系統(tǒng)Tricon系統(tǒng)

三重組合式冗余結構（TMR）是Tricon的設計根本，使其具有了很好的容錯能力。三個完全相同的系統(tǒng)支路（電源模件為雙重冗余）構成了此系統(tǒng)。每個系統(tǒng)支路獨立地執(zhí)行控制程序，同時其它兩個支路也并行工作。容錯是Tricon系統(tǒng)的最為重要的能力，它是指在系統(tǒng)中出現(xiàn)瞬態(tài)的和穩(wěn)態(tài)的出錯情況下能夠及時探查發(fā)現(xiàn)以及采取適當?shù)南鄳脑诰€措施的能力，并使得控制器及其控制過程的安全性得以增強，利用率得以提高。

1.2.2 PLM（優(yōu)先邏輯模塊）

PLM是提供核電廠的安全級防護的組件，增加多樣性和縱深防御設計，轉(zhuǎn)移共因失效影響而單獨開發(fā)的。該模塊組件作用為在收到DAS發(fā)送過來的命令后選取最優(yōu)決策命令給現(xiàn)場執(zhí)行機構。其設計、制造和質(zhì)檢的流程及工藝都按照并遵循10CFR 50的質(zhì)量體系要求實施的。

1.2.3 非安全級系統(tǒng)I/A Serials

核電廠使用的是I/A 8.4.3版本，該系統(tǒng)設計之初就創(chuàng)造性地采用了交換機拓撲式控制網(wǎng)絡結構（Mesh Control Network）作為I/A系統(tǒng)的通訊平臺。Mesh網(wǎng)絡可同時容納1920個控制站（對）和工作站一起工作，可以在全工廠范圍達到控制信息的互傳共享而沒有網(wǎng)關網(wǎng)橋的限制。I/A 8.4.3系統(tǒng)中新一代的控制處理機FCP270為底板安裝形式的全密封設計，可以滿足G3環(huán)境及0～60攝氏度的現(xiàn)場應用。為了方便了用戶維護及備品備件的管理，對第三方的數(shù)據(jù)集成采用了相同硬件（FDSI） 不同驅(qū)動軟件的方式[2]。

2 DAS系統(tǒng)結構

DAS系統(tǒng)是采用多樣性方法來完成可能受到軟件共模故障影響的安全功能，把這些可能受到影響的安全功能組合到一起的集合，從而降低正常安全系統(tǒng)的軟件共模故障的影響。

根據(jù)現(xiàn)有核電廠的數(shù)字化儀控系統(tǒng)總體結構確定了DAS結構（圖1）。總體原則為與安全相關的所有系統(tǒng)都彼此隔離，減少了與保護和監(jiān)視系統(tǒng)之間產(chǎn)生的共因失效幾率。另外，在DAS設計理念中的獨立性原則，其運行不依賴于電廠數(shù)據(jù)網(wǎng)絡（DCS網(wǎng)絡）。

DAS系統(tǒng)硬件設備不受RPS軟件共因失效影響，采用與反應堆保護系統(tǒng)公用傳感器和執(zhí)行機構驅(qū)動設備，共用的變送器或傳感器信號經(jīng)過隔離模塊分配后硬接線送往DAS。在DAS中經(jīng)過特定的信號對比處理，在PLM優(yōu)選模塊中按照安全狀態(tài)優(yōu)先原則輸出到執(zhí)行機構。當超過設定閥值時，則產(chǎn)生局部“脫鉤”信號，進行相應的邏輯處理，從而產(chǎn)生緊急停堆，汽機停車，安注以及蒸汽管道隔離等功能信號。

按照這些功能信號的需求，對DAS機柜信號處理的設計中充分考慮基于計算機的數(shù)字化技術并結合IA產(chǎn)品特性來確定設計方案。

3 控制系統(tǒng)中DAS 設計方案

初始設計要求為了提高BPC（處理周期）處理速度到100ms，而且整個輸入輸出信號處理過程控制在500ms之內(nèi)，必須減低冗余CP（處理器）的負載量。下面一些設計的變更就至關重要。

規(guī)劃并增加4對冗余CP在DAS機柜里，用來處理過程邏輯和硬接線IO點。2對CP安裝在A機柜（定義名稱為A001UC和A002UC），另外兩對CP安裝在B機柜（定義名稱為B001UC和B002UC），與此同時允許所有冗余CP可以將BPC設置為100ms。

機柜之間的信號大多數(shù)采用硬接線布置，這是為了自動控制功能中避免CP之間點對點的通訊不通過MESH網(wǎng)絡，減少網(wǎng)絡帶來的不確定性和延時影響。接下來是分配給CP的過程邏輯和硬接線IO點相關的DAS自動控制功能。

A001UC：ATWT和停堆功能；

A002UC：汽機停車功能；

B001UC：SI安全注入功能；

B002UC：蒸汽管道隔離功能。

盡管如此，為了生成更加準確的信息，很多信號點也需要從多個CP獲取。這些被請求的信號以硬接線方式執(zhí)行和采集，不通過MESH網(wǎng)絡而直接通訊。

（1）穩(wěn)壓器壓力值

壓力值的模擬量輸入型號被用來給安全注入和停堆功能。因此，這些信號點必須被隔離和分配到A機柜和B機柜避免這些信號之間的點對點通訊。

（2）汽輪機進氣壓力

進氣壓力的模擬量輸入信號被用來給蒸汽管道隔離和停堆功能。因此這些信號點同樣也需要被分配到不同的機柜內(nèi)。

（3）反應堆停堆斷路器

數(shù)字量輸入信號被用來給P4（反應堆緊急停堆）信號邏輯處理。P4信號是安全注入和蒸汽管道隔離功能的必要信號，因此這些功能都被分離的不同CP所控制。

在蒸汽管道隔離功能中P4信號瞬時觸發(fā)，并且在安全注入功能被激活后5分鐘P4信號觸發(fā)。因此，P4信號是由B002UC處理后送到B001UC通過FBM207C（模擬量輸出卡）接到FBM240（模擬量輸入卡）進行硬接線的連接。

4 停堆功能

停堆功能必須在以下信號具備時才能產(chǎn)生。

穩(wěn)壓器壓力值低；

穩(wěn)壓器壓力值高；

反應堆冷卻劑流量低；

功率量程中子注量率高。

停堆功能的硬接線輸入信號由A002UC來處理，產(chǎn)生硬接線的輸出信號，停堆功能由A001UC處理后被激活。因此，上述信號產(chǎn)生時，A002UC將發(fā)送一個信號給A001UC去觸發(fā)停堆功能。同樣也是通過FBM207C接到FBM240硬接線的連接。

5 安注期間的停堆功能

當安注功能初始化時停堆功能也被觸發(fā)，盡管安注功能是由B001UC控制而停堆功能是由A001UC控制。因此當安注產(chǎn)生時，B001UC將會發(fā)送一個信號到A001UC用來同時觸發(fā)停堆功能。此時的信號是由B機柜的FBM207C送到A機柜的FBM240。

4 驗證結果

我們選取一組由A0002UC處理跳機功能信號，A0001UC輸出信號的過程為范例。為要達到清晰計算DAS的響應時間，邊界必須確定好。定義輸出信號生成時間為t0。下面的信號導向流程圖（圖2）就是整個處理過程所需要經(jīng)歷的步驟。

t0=tAI+tAD+t208+tA002+t240+t207C+tA001+t240+tDI

上述公式內(nèi)所有參數(shù)代表處理該過程所需時間。實驗所得數(shù)據(jù)如下：

t0=0.070ms+1.0ms+1.0ms+200ms+15ms+1.0ms+200ms+15ms+0.030ms

t0=434ms

在安注情況下的跳機信號處理響應時間為434ms，在設計要求響應時間500ms范圍之內(nèi)，符合設計要求。并且跳機信號處理過程相對其他幾個功能過程要復雜，其余功能性驗證同樣符合了此次設計規(guī)范。

5 結束語

DAS 系統(tǒng)作為核電廠最后一級的保護措施，保護系統(tǒng)的后備系統(tǒng)，其重要性不言而喻。在控制系統(tǒng)的設計中，無論從整體機柜的抗震測試還是從硬件的精度，響應時間以及軟件邏輯過程的可靠性，都完全符合設計要求，并保持現(xiàn)有核電廠良好運行的記錄。驗證了數(shù)字化技術應用在DAS系統(tǒng)作為保護系統(tǒng)的多樣性冗余是滿足要求的，同時也提高了核電廠控制的安全性，具有重要意義。

參考文獻

[1]王春冰，平嘉臨，段奇志，等.多樣性驅(qū)動系統(tǒng)功能驗證探討[J].核科學與工程，2012，32（2）：82-83.

[2]查方興.I/A系統(tǒng)及應用（6版）[M].2009.