核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)功能分配設(shè)計(jì)研究

北京廣利核系統(tǒng)工程有限公司 孫洪濤

1 概述

核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)是核電站的信息神經(jīng)和控制中樞，對(duì)于保證核電站能否安全、可靠、穩(wěn)定和經(jīng)濟(jì)運(yùn)行以及提升核電站生產(chǎn)管理水平都起著至關(guān)重要的作用。核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)屬于核電廠1E級(jí)電氣設(shè)備，用以保護(hù)三大核安全屏障（即燃料包殼、一回路壓力邊界和安全殼）的完整性。在核電站正常運(yùn)行時(shí)，數(shù)字化保護(hù)系統(tǒng)監(jiān)測(cè)與反應(yīng)堆安全有關(guān)的參數(shù)，當(dāng)這些參數(shù)超過(guò)預(yù)設(shè)的保護(hù)定值時(shí)，自動(dòng)觸發(fā)緊急停堆及啟動(dòng)相應(yīng)專(zhuān)設(shè)安全設(shè)施，以限制事故的發(fā)展和減輕事故后果，防止放射性物質(zhì)向周?chē)h(huán)境釋放，保證核電站設(shè)備和人員的安全。同時(shí)數(shù)字化保護(hù)系統(tǒng)還向操作人員提供手動(dòng)控制手段以及相關(guān)系統(tǒng)和設(shè)備狀態(tài)信息。

目前我國(guó)正處于核電快速發(fā)展時(shí)期，在建和擬建的核電機(jī)組超過(guò)30臺(tái)套，核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)是核電站必需的關(guān)鍵系統(tǒng)之一，實(shí)現(xiàn)數(shù)字化保護(hù)系統(tǒng)自主設(shè)計(jì)不僅符合國(guó)家加緊推進(jìn)核電國(guó)產(chǎn)化的戰(zhàn)略性要求，也是實(shí)施“以高起點(diǎn)起步、以高標(biāo)準(zhǔn)的安全可靠性要求和將高技術(shù)含量主設(shè)備作為重點(diǎn)”的國(guó)產(chǎn)化策略的必由之路。目前國(guó)內(nèi)所有在建核電站的核安全級(jí)數(shù)字化保護(hù)系統(tǒng)全部依靠國(guó)外引進(jìn)，已經(jīng)形成了由國(guó)外廠商寡頭壟斷的局面。加強(qiáng)核電站安全級(jí)自主設(shè)計(jì)能力對(duì)于中國(guó)核電產(chǎn)業(yè)發(fā)展和核電站的安全運(yùn)行具有重大意義，同時(shí)可大幅度降低數(shù)字化儀控系統(tǒng)設(shè)備的設(shè)計(jì)和運(yùn)行維護(hù)費(fèi)用。功能分配設(shè)計(jì)作為核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)的核心內(nèi)容，我國(guó)尚未形成成熟的功能分配設(shè)計(jì)原則和方法。本文依據(jù)相關(guān)標(biāo)準(zhǔn)要求，給出了核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)功能設(shè)計(jì)的原則和方法，并結(jié)合一種典型的安全級(jí)數(shù)字化保護(hù)系統(tǒng)做了相關(guān)分析。

2 功能分配原則

2.1 分配原則

根據(jù)標(biāo)準(zhǔn)IEC61513要求，為了緩解故障發(fā)生時(shí)的影響，安全級(jí)數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)須充分考慮多樣性及縱深防御設(shè)計(jì)，采用功能多樣性和設(shè)備多樣性，并綜合考慮冗余配置及負(fù)荷均衡相關(guān)因素。

（1）功能多樣性

? 停堆功能的多樣性

為了確保停堆安全，符合單一故障準(zhǔn)則，停堆保護(hù)系統(tǒng)重要保護(hù)功能需具有多樣性，即同一保護(hù)功能對(duì)應(yīng)多種監(jiān)測(cè)方式，在數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)中，要將其分散到停堆保護(hù)通道不同的子系統(tǒng)中實(shí)現(xiàn)。

根據(jù)上述原則，對(duì)M310堆型中的停堆保護(hù)條件分配到反應(yīng)堆停堆保護(hù)系統(tǒng)的兩個(gè)不同的子系統(tǒng)中，分配示例如表1所示。

表1 停堆保護(hù)功能分配示例

? 專(zhuān)設(shè)功能的多樣性

對(duì)于系統(tǒng)級(jí)的專(zhuān)設(shè)驅(qū)動(dòng)功能?chē)?yán)格按照上游文件的需求分配到停堆保護(hù)系統(tǒng)的兩個(gè)功能子系統(tǒng)中，并分別通過(guò)獨(dú)立的、隔離的點(diǎn)對(duì)點(diǎn)通信傳輸?shù)綄?zhuān)設(shè)安全驅(qū)動(dòng)系統(tǒng)。

由于核電站安全級(jí)保護(hù)系統(tǒng)設(shè)計(jì)中，專(zhuān)設(shè)安全驅(qū)動(dòng)系統(tǒng)A序列、B序列的結(jié)構(gòu)已經(jīng)考慮了功能分配的設(shè)計(jì)，且任一列均有自動(dòng)和手動(dòng)控制。分配到任一列的設(shè)備控制，在保證系統(tǒng)級(jí)專(zhuān)設(shè)驅(qū)動(dòng)限制前提下，也做了必要的功能分配考慮，主要是從工藝系統(tǒng)故障安全角度考慮，將部分系統(tǒng)功能分散，盡量將功能相同的設(shè)備分開(kāi)到不同的專(zhuān)設(shè)驅(qū)動(dòng)功能子系統(tǒng)中，如主給水系統(tǒng)ARE和輔助給水系統(tǒng)ASG，需分配在兩個(gè)不同的子系統(tǒng)中實(shí)現(xiàn)，以保證當(dāng)一個(gè)子系統(tǒng)出現(xiàn)故障時(shí)，另一個(gè)子系統(tǒng)仍可以正常執(zhí)行保護(hù)功能，保證給水的安全性等。

（2）設(shè)備多樣性

設(shè)備多樣性主要包括在后備控制盤(pán)臺(tái)BUP、緊急控制盤(pán)臺(tái)ECP上設(shè)置的部分硬手操器、硬開(kāi)關(guān)以及停堆保護(hù)系統(tǒng)拒動(dòng)ATWT系統(tǒng)。其中ATWT系統(tǒng)作為數(shù)字化保護(hù)系統(tǒng)的設(shè)備多樣性，采用繼電器影邏輯實(shí)現(xiàn)，在設(shè)備上保證了數(shù)字化保護(hù)系統(tǒng)停堆和專(zhuān)設(shè)驅(qū)動(dòng)的多樣性。

（3）重要功能的冗余配置

對(duì)于一些重要的但又不具有功能多樣性的信號(hào)，要在兩個(gè)子系統(tǒng)中同時(shí)實(shí)現(xiàn)。如反應(yīng)堆手動(dòng)停堆功能。同樣，兩個(gè)子系統(tǒng)都需要的反應(yīng)堆停堆“允許信號(hào)”（即“P信號(hào)”）也要分別在兩個(gè)子系統(tǒng)中實(shí)現(xiàn)。

（4）負(fù)荷均衡

不具有功能多樣性的參數(shù)，原則上放入任何一個(gè)子系統(tǒng)均可，但考慮到停堆保護(hù)通道兩個(gè)子系統(tǒng)的CPU負(fù)荷均衡，應(yīng)該盡量均勻配置到兩個(gè)子系統(tǒng)中。

2.2 相關(guān)因素

安全級(jí)數(shù)字化保護(hù)系統(tǒng)的功能分配設(shè)計(jì)，除了滿足核電站安全級(jí)的分配原則和要求外，還要從系統(tǒng)負(fù)荷率、系統(tǒng)響應(yīng)時(shí)間、工藝接口優(yōu)化、功能分散等幾方面綜合考慮。

（1）系統(tǒng)負(fù)荷率

在安全級(jí)數(shù)字化保護(hù)系統(tǒng)功能分配設(shè)計(jì)過(guò)程中，必須考慮數(shù)字化保護(hù)系統(tǒng)主控制器（CPU）周期運(yùn)算處理過(guò)程中的負(fù)荷率。

在安全級(jí)數(shù)字化保護(hù)系統(tǒng)運(yùn)算周期內(nèi)，規(guī)定系統(tǒng)CPU的實(shí)際處理時(shí)間占用系統(tǒng)CPU設(shè)定運(yùn)算周期的百分比，稱為CPU負(fù)荷率。為了降低CPU負(fù)荷率，可通過(guò)降低系統(tǒng)CPU實(shí)際處理時(shí)間或提高CPU設(shè)定運(yùn)算周期時(shí)間設(shè)定值實(shí)現(xiàn)。

安全級(jí)數(shù)字化保護(hù)系統(tǒng)執(zhí)行功能越多，邏輯越復(fù)雜，則CPU實(shí)際處理時(shí)間相應(yīng)增長(zhǎng)，CPU負(fù)荷率相應(yīng)提高。在保護(hù)系統(tǒng)實(shí)現(xiàn)邏輯功能確定的情況下，必須優(yōu)化保護(hù)算法和數(shù)字化平臺(tái)設(shè)置以減少CPU實(shí)際處理時(shí)間，從而降低CPU負(fù)荷率。在功能分配設(shè)計(jì)時(shí)，必須充分重視負(fù)荷率因素，合理進(jìn)行功能分配設(shè)計(jì)，確保各個(gè)系統(tǒng)控制站負(fù)荷率均衡，保證系統(tǒng)單站負(fù)荷率滿足客戶提出的要求。

（2）系統(tǒng)響應(yīng)時(shí)間

系統(tǒng)響應(yīng)時(shí)間，是從現(xiàn)場(chǎng)傳感器產(chǎn)生信號(hào)到數(shù)字化保護(hù)系統(tǒng)輸出信號(hào)給停堆斷路器或?qū)ＴO(shè)保護(hù)驅(qū)動(dòng)設(shè)備所用的時(shí)間。在（1）中，為了保證系統(tǒng)負(fù)荷率符合要求，除了盡量降低CPU周期實(shí)際處理時(shí)間外，也可以通過(guò)提高CPU運(yùn)行周期來(lái)降低負(fù)荷率。但從系統(tǒng)響應(yīng)時(shí)間角度考慮，提高CPU運(yùn)行周期必須限制在一定的范圍內(nèi)。對(duì)于單個(gè)數(shù)字化保護(hù)系統(tǒng)控制站，執(zhí)行安全功能越多，邏輯越復(fù)雜，對(duì)應(yīng)I/O點(diǎn)越多，則系統(tǒng)響應(yīng)時(shí)間相應(yīng)增長(zhǎng)。在系統(tǒng)功能分配設(shè)計(jì)中，必須充分考慮系統(tǒng)響應(yīng)時(shí)間因素，確保滿足客戶和標(biāo)準(zhǔn)要求。

（3）工藝接口優(yōu)化原則

在安全級(jí)數(shù)字化保護(hù)系統(tǒng)功能分配設(shè)計(jì)過(guò)程中，必須遵循數(shù)字化保護(hù)系統(tǒng)站與站之間的接口優(yōu)化原則，盡量減少保護(hù)站間的信號(hào)交換數(shù)量，以減小機(jī)柜內(nèi)硬件數(shù)量和網(wǎng)絡(luò)負(fù)荷，對(duì)減小系統(tǒng)響應(yīng)時(shí)間和CPU運(yùn)算負(fù)荷率有很大的意義。

例如對(duì)于ASG系統(tǒng)，由于系統(tǒng)內(nèi)邏輯較為復(fù)雜，如果把ASG系統(tǒng)放在兩個(gè)不同的控制站中實(shí)現(xiàn)，則必然會(huì)增加信號(hào)交換數(shù)量，因此在設(shè)計(jì)時(shí)，應(yīng)將ASG系統(tǒng)邏輯在一個(gè)站內(nèi)實(shí)現(xiàn)。

（4）功能分散原則

對(duì)于安全級(jí)數(shù)字化保護(hù)系統(tǒng)，在功能分配設(shè)計(jì)時(shí)，需要遵循功能分散原則。即不同但實(shí)現(xiàn)同一功能的參數(shù)或設(shè)備分配到不同的保護(hù)站內(nèi)，當(dāng)一個(gè)保護(hù)站發(fā)生故障時(shí)不會(huì)影響保護(hù)系統(tǒng)的保護(hù)和控制功能，從而增加數(shù)字化保護(hù)系統(tǒng)的可靠性，有效防御單一故障。例如專(zhuān)設(shè)系統(tǒng)保護(hù)設(shè)備的安全殼噴淋泵和噴淋閥分散在不同的專(zhuān)設(shè)安全驅(qū)動(dòng)系統(tǒng)中，當(dāng)一個(gè)保護(hù)站故障時(shí)不會(huì)導(dǎo)致噴淋系統(tǒng)誤動(dòng)。

核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)功能分配設(shè)計(jì)時(shí)，需要綜合考慮以上因素。

3 功能分配

本文以一種典型安全級(jí)系統(tǒng)架構(gòu)為例，給出核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)功能分配設(shè)計(jì)過(guò)程依據(jù)和方法。

3.1 系統(tǒng)架構(gòu)

圖1為一種典型的核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)架構(gòu)，主要完成核電站安全級(jí)系統(tǒng)保護(hù)和設(shè)備控制功能，如反應(yīng)堆停堆保護(hù)、專(zhuān)設(shè)安全設(shè)施驅(qū)動(dòng)、事故后監(jiān)測(cè)等。

由圖1可知，核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)由以下幾部分構(gòu)成：

（1）反應(yīng)堆停堆保護(hù)系統(tǒng)RTC：RTC由Ⅰ、Ⅱ、Ⅲ、Ⅳ 4組通道保護(hù)柜組成，通過(guò)“2/4”表決邏輯，完成反應(yīng)堆緊急停堆功能；

圖1 典型的安全級(jí)系統(tǒng)架構(gòu)圖

（2）專(zhuān)設(shè)安全驅(qū)動(dòng)系統(tǒng)分為系統(tǒng)級(jí)專(zhuān)設(shè)保護(hù)驅(qū)動(dòng)單元SAC和設(shè)備級(jí)專(zhuān)設(shè)保護(hù)驅(qū)動(dòng)單元SMC，分別由A序列、B序列兩列組成。SAC接受RTC發(fā)送來(lái)的信號(hào)進(jìn)行“2/4”表決邏輯運(yùn)算，生成系統(tǒng)級(jí)安全專(zhuān)設(shè)保護(hù)信號(hào)，SAC邏輯功能不是針對(duì)某一個(gè)具體的設(shè)備或系統(tǒng)，而是一批設(shè)備或系統(tǒng)。SMC是執(zhí)行設(shè)備級(jí)專(zhuān)設(shè)功能，其邏輯功能是針對(duì)某一個(gè)具體的設(shè)備，而不是一批設(shè)備。SMC接收SAC來(lái)的系統(tǒng)級(jí)專(zhuān)設(shè)驅(qū)動(dòng)信號(hào)并在SMC內(nèi)部分配給相應(yīng)的機(jī)柜，同時(shí)，SMC從其他系統(tǒng)接收驅(qū)動(dòng)信號(hào)，包括安全操作顯示單元SGC的手動(dòng)安全操作信號(hào)，然后通過(guò)優(yōu)先管理邏輯，由專(zhuān)用優(yōu)選管理模塊輸出驅(qū)動(dòng)信號(hào)至現(xiàn)場(chǎng)設(shè)備；

（3）堆芯冷卻監(jiān)視系統(tǒng)CCS分成A和B兩列，其主要功能是對(duì)堆芯熱電偶溫度等信號(hào)的數(shù)據(jù)采集、處理、顯示和數(shù)字計(jì)算機(jī)接口功能；

（4）模擬安全級(jí)相關(guān)單元SRC實(shí)現(xiàn)A序列安全相關(guān)模擬功能（B序列的安全相關(guān)模擬功能在堆芯冷卻監(jiān)視系統(tǒng)CCS的B序列機(jī)柜實(shí)現(xiàn)）；

（5）安全操作顯示單元SGC實(shí)現(xiàn)安全級(jí)功能的手動(dòng)控制，同時(shí)，安全級(jí)設(shè)備狀態(tài)在SGC顯示。

3.2 分配依據(jù)

核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)功能分配的依據(jù)是邏輯圖（簡(jiǎn)稱LD）、模擬圖（簡(jiǎn)稱AD）及數(shù)字化保護(hù)系統(tǒng)平臺(tái)及其系統(tǒng)架構(gòu)。其中上游LD、AD輸入文件規(guī)定了數(shù)字化保護(hù)系統(tǒng)系統(tǒng)所要完成的功能，所有的功能分配設(shè)計(jì)都是在LD、AD等上游輸入文件的基礎(chǔ)上，參考具體的數(shù)字化保護(hù)系統(tǒng)平臺(tái)及其系統(tǒng)架構(gòu)來(lái)完成。

3.3 分配方法

由圖1典型的安全級(jí)系統(tǒng)結(jié)構(gòu)圖及其相應(yīng)功能可知。

? AD中ASG系統(tǒng)、核儀表系統(tǒng)RPN、汽機(jī)旁路系統(tǒng)GCT等工藝系統(tǒng)中完成停堆功能的1E級(jí)模擬量傳感器信號(hào)進(jìn)入停堆保護(hù)系統(tǒng)RTC中作閾值處理，并進(jìn)行“2/4”表決邏輯，根據(jù)表決邏輯的結(jié)果判斷是否執(zhí)行停堆動(dòng)作；

? LD中與安全專(zhuān)設(shè)驅(qū)動(dòng)相關(guān)的信號(hào)，根據(jù)其功能分配，其中系統(tǒng)級(jí)功能進(jìn)入SAC，設(shè)備級(jí)功能進(jìn)入SMC；

? 堆芯冷卻監(jiān)視系統(tǒng)CCS的數(shù)據(jù)來(lái)源主要有堆芯熱電偶數(shù)據(jù)、冷端箱電阻溫度計(jì)數(shù)據(jù)、一回路的壓力信號(hào)、穩(wěn)壓器壓力信號(hào)、主泵運(yùn)行狀態(tài)等，通過(guò)以上信息完成堆芯冷卻監(jiān)視功能。

? AD中安全相關(guān)功能信號(hào)，根據(jù)AD圖紙信息，判斷信號(hào)和邏輯所在序列，分別進(jìn)入SRC和CCS系統(tǒng)B序列機(jī)柜；

由上可以得出反應(yīng)堆數(shù)字化保護(hù)系統(tǒng)中核心的三個(gè)部分RTC、SAC、SMC三者之間的關(guān)系，即停堆保護(hù)與專(zhuān)設(shè)驅(qū)動(dòng)保護(hù)之間的功能分配及信號(hào)流，如圖2所示。

圖2反映了停堆保護(hù)系統(tǒng)與專(zhuān)設(shè)驅(qū)動(dòng)保護(hù)之間的的基本功能分配及安全級(jí)信號(hào)流關(guān)系：

? 安全級(jí)停堆相關(guān)的傳感器信號(hào)進(jìn)入停堆保護(hù)系統(tǒng)RTC相應(yīng)的通道，并作閾值處理。處理后將本通道及其他通道中的運(yùn)算結(jié)果，進(jìn)行最終表決邏輯（“2/3”或“2/4”）運(yùn)算，運(yùn)算結(jié)果用于停堆保護(hù)輸出動(dòng)作，同時(shí)將結(jié)果通過(guò)點(diǎn)對(duì)點(diǎn)通信傳送給SAC。另外需要進(jìn)行PID控制的1E驅(qū)動(dòng)設(shè)備在停堆保護(hù)系統(tǒng)RTC中控制；

? 各系統(tǒng)級(jí)的專(zhuān)設(shè)驅(qū)動(dòng)保護(hù)順序運(yùn)算在SAC中實(shí)現(xiàn)，經(jīng)邏輯處理后發(fā)出系統(tǒng)級(jí)設(shè)備保護(hù)驅(qū)動(dòng)信號(hào)；根據(jù)LD可知，交流應(yīng)急電源系統(tǒng)LHA、反應(yīng)堆保護(hù)系統(tǒng)RPR為系統(tǒng)級(jí)保護(hù)驅(qū)動(dòng)邏輯，所以在SAC中實(shí)現(xiàn)；

? 緊急控制盤(pán)ECP發(fā)出的緊急控制指令為系統(tǒng)級(jí)保護(hù)信號(hào)，其中停堆保護(hù)指令進(jìn)入RTC，專(zhuān)設(shè)保護(hù)驅(qū)動(dòng)指令進(jìn)入SAC，如安全注入信號(hào)SI等。

? 對(duì)于數(shù)字化控制盤(pán)臺(tái)、后備控制盤(pán)臺(tái)、遠(yuǎn)程操作盤(pán)臺(tái)之間的切換邏輯，由于切換結(jié)果將作用于所有安全級(jí)設(shè)備，所以切換邏輯在系統(tǒng)級(jí)專(zhuān)設(shè)保護(hù)單元SAC中實(shí)現(xiàn)。

? LD中除LHA、RPR以外的系統(tǒng)都是針對(duì)具體設(shè)備的系統(tǒng)驅(qū)動(dòng)邏輯，在SMC中實(shí)現(xiàn)；

? 安全操作顯示單元SGC發(fā)出的手動(dòng)控制命令進(jìn)入SMC執(zhí)行設(shè)備級(jí)邏輯運(yùn)算，最后通過(guò)優(yōu)選管理板卡輸出驅(qū)動(dòng)現(xiàn)場(chǎng)設(shè)備。

圖2 停堆保護(hù)與專(zhuān)設(shè)驅(qū)動(dòng)保護(hù)功能分配及信號(hào)流

4 結(jié)語(yǔ)

我國(guó)核電站安全級(jí)數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)處于起步階段，其功能分配需求尚不完善，所以在進(jìn)行安全級(jí)數(shù)字化儀控系統(tǒng)功能分配設(shè)計(jì)時(shí)，必須遵循安全級(jí)數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)原則，嚴(yán)格依據(jù)標(biāo)準(zhǔn)及客戶需求，在保證滿足功能分散及多樣性設(shè)計(jì)基礎(chǔ)上，優(yōu)化功能分配設(shè)計(jì)，減少系統(tǒng)間耦合，保證各個(gè)子系統(tǒng)響應(yīng)時(shí)間和負(fù)荷率滿足要求，以取得更好的設(shè)計(jì)經(jīng)濟(jì)效益和運(yùn)行效益，為我國(guó)核電建設(shè)創(chuàng)造良好的環(huán)境并積累豐富的設(shè)計(jì)經(jīng)驗(yàn)。

[1]國(guó)家核安全局. HAF102: 核動(dòng)力廠設(shè)計(jì)安全規(guī)定[S]. 2004.

[2]國(guó)家核安全局.HAD102: 核動(dòng)力廠設(shè)計(jì)總的安全原則[S]. 1989.

[3]廣東核電培訓(xùn)中心. 900MW壓水堆核電站系統(tǒng)與設(shè)備(上冊(cè))[M]. 北京:原子能出版社, 2005, 286.

[4]IEC 61513 Nuclear Power Plant-Instrumentation and Control for System Important To Safety-General Requirement for System[S]. 2001.

[5]IEEE 603 IEEE Standard Criteria for Safety Systems for Nuclear Power Generating Stations[S]. 1998.