核電廠保護(hù)系統(tǒng)ECP 硬邏輯設(shè)計(jì)研究

胡清仁

（中國核動(dòng)力研究設(shè)計(jì)院 核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，成都 610213）

隨著科學(xué)技術(shù)的發(fā)展，核反應(yīng)堆裝置正在向著更可靠、更先進(jìn)、更安全的方向發(fā)展。反應(yīng)堆保護(hù)系統(tǒng)提供對(duì)核電廠偏離正常運(yùn)行工況的監(jiān)測(cè)，同時(shí)驅(qū)動(dòng)相應(yīng)的安全功能以使電廠安全停閉并維持安全狀態(tài)，從而保證在事故情況下反應(yīng)堆、核電廠設(shè)備、人員和環(huán)境的安全。操縱員還可實(shí)現(xiàn)對(duì)相關(guān)參數(shù)和設(shè)備狀態(tài)參數(shù)信息的監(jiān)視以及對(duì)相應(yīng)系統(tǒng)設(shè)備的操作。核電站保護(hù)系統(tǒng)必須采用多樣性設(shè)計(jì)，降低共因故障導(dǎo)致保護(hù)系統(tǒng)失效的風(fēng)險(xiǎn)，以滿足核電站縱深防御原則，實(shí)現(xiàn)安全核電站的安全目標(biāo)。因此，安全級(jí)DCS 在架構(gòu)設(shè)計(jì)時(shí)，應(yīng)充分考慮共因故障的影響，盡可能降低DCS 設(shè)備及組件故障對(duì)電廠正常運(yùn)行和可用性的影響。基于核電廠的縱深防御原則，應(yīng)對(duì)某些安全功能進(jìn)行了功能多樣性的設(shè)計(jì)，在ECP 上設(shè)計(jì)了一套手動(dòng)觸發(fā)保護(hù)功能的手段，為了實(shí)現(xiàn)多樣性，ECP 手動(dòng)命令一方面送入安全級(jí)DCS 軟邏輯參與相關(guān)的保護(hù)功能，還提供一路ECP硬邏輯手動(dòng)觸發(fā)功能，在安全級(jí)DCS 軟邏輯實(shí)現(xiàn)的保護(hù)功能失去時(shí)，提供了一種多樣化的手動(dòng)后備觸發(fā)手段。

1 硬邏輯設(shè)計(jì)策略

根據(jù)標(biāo)準(zhǔn)NB/T 20026 要求，為了緩解核電廠故障發(fā)生時(shí)的影響，安全級(jí)數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)須充分考慮電廠縱深防御設(shè)計(jì)[1]；標(biāo)準(zhǔn)IEEE Std.603要求，安全級(jí)DCS 系統(tǒng)設(shè)計(jì)時(shí)應(yīng)充分考慮多樣性、單一故障和防共因故障原則[2]。共因故障指的是由特定的單一事件或起因?qū)е聝蓚€(gè)或多個(gè)構(gòu)筑物、系統(tǒng)或部件失效的故障。這里的單一事件或起因既可以是由外部客觀原因造成的事件，也可以是人為原因造成的事件[3]。

結(jié)合相關(guān)法規(guī)和標(biāo)準(zhǔn)要求，當(dāng)數(shù)字系統(tǒng)發(fā)生共因故障后，為了符合單一故障準(zhǔn)則，保證安全功能不喪失，可通過后備的基于模擬技術(shù)的控制裝置執(zhí)行安全功能[4]。在安全級(jí)DCS 內(nèi)搭建手動(dòng)保護(hù)硬邏輯來應(yīng)對(duì)數(shù)字化控制系統(tǒng)軟件共因故障引發(fā)的失效，手動(dòng)保護(hù)硬邏輯作為一種多樣性應(yīng)對(duì)措施，其設(shè)計(jì)策略如下：

（1）硬邏輯應(yīng)采用具有高可靠性且與安全級(jí)DCS計(jì)算機(jī)化部分具有多樣性的設(shè)備實(shí)現(xiàn)；

（2）手動(dòng)硬邏輯控制回路與數(shù)字化系統(tǒng)共用的設(shè)備盡可能的少，數(shù)字化控制系統(tǒng)的故障不應(yīng)妨礙手動(dòng)控制的執(zhí)行；

（3）對(duì)于ECP 上系統(tǒng)級(jí)手動(dòng)按鈕，用于搭建硬邏輯的開關(guān)/按鈕觸點(diǎn)宜與用于數(shù)字化軟邏輯的開關(guān)/按鈕觸點(diǎn)分開，即采集按鈕/開關(guān)的不同觸點(diǎn)，如果采用了相同的觸點(diǎn)，則應(yīng)保證單個(gè)觸點(diǎn)的故障不會(huì)導(dǎo)致ECP 軟邏輯和硬邏輯觸發(fā)功能同時(shí)喪失；

（4）對(duì)于ECP 手動(dòng)硬邏輯，除用于控制停堆斷路器UV 線圈的信號(hào)回路外，其它信號(hào)回路失電不得觸發(fā)緊急停堆或啟動(dòng)專設(shè)安全設(shè)施。

對(duì)于III 類、Ⅳ類事故，除要求反應(yīng)堆停堆外，還必須投入專設(shè)安全設(shè)施系統(tǒng)，應(yīng)考慮的典型事故主要有：失水事故（LOCA）、SG 破管、蒸汽管道破裂（或SG 釋放閥意外打開）、主給水管道破裂等。將以下觸發(fā)的保護(hù)動(dòng)作考慮多樣性的硬邏輯設(shè)計(jì)：

（1）手動(dòng)停堆功能；

（2）系統(tǒng)級(jí)專設(shè)控制功能：安全注入、安全殼噴淋、安全殼A 階段隔離、安全殼B 階段隔離、啟動(dòng)輔助給水和蒸汽管道隔離。

2 具體的ECP 硬邏輯設(shè)計(jì)原理

2.1 ECP 手動(dòng)停堆硬邏輯設(shè)計(jì)

2.1.1 停堆按鈕與安全級(jí)DCS 的接口設(shè)計(jì)

由于保護(hù)組I/III 共用RPA300TO，保護(hù)組II/IV共用RPB300TO，盤臺(tái)給安全級(jí)DCS 提供3 副常開觸點(diǎn)和3 副常閉觸點(diǎn)，手動(dòng)停堆按鈕的觸點(diǎn)采用以下分配原則（以系列A 為例）：

（1）RPA300TO 的“常開觸點(diǎn)1”由保護(hù)組I 的機(jī)柜采集，通過繼電器分配至RPA100JA、RPA101JA停堆硬邏輯，分別控制停堆斷路器的分勵(lì)線圈；“常開觸點(diǎn)2”由邏輯系列A 的PIP 模塊采集，然后分配至保護(hù)組I 和保護(hù)組III 的控制站；RPA300TO 的“常開觸點(diǎn)3”由保護(hù)組III 的機(jī)柜采集，通過繼電器分配至RPA200JA、RPA201JA 停堆硬邏輯，分別控制停堆斷路器的分勵(lì)線圈。

（2）RPA300TO 的“常閉觸點(diǎn)1”直接進(jìn)保護(hù)組I的機(jī)柜，通過繼電器分配至RPA100JA、RPA101JA停堆硬邏輯，分別控制RPA100JA、RPA101JA 停堆斷路器的失壓線圈，不用采集進(jìn)入數(shù)字化軟邏輯；RPA300TO 的“常閉觸點(diǎn)2”直接進(jìn)保護(hù)組III 的機(jī)柜，通過繼電器分配至RPA200JA、RPA201JA 停堆硬邏輯，分別控制RPA200JA、RPA201JA 停堆斷路器的失壓線圈，不用采集進(jìn)入數(shù)字化軟邏輯。

2.1.2 具體的ECP 手動(dòng)停堆硬邏輯設(shè)計(jì)

安全級(jí)DCS 與停堆斷路器的接口包括送往停堆斷路器的緊急停堆信號(hào)和接收來自停堆斷路器的狀態(tài)反饋信號(hào)。安全級(jí)DCS 需要驅(qū)動(dòng)8 個(gè)停堆斷路器實(shí)現(xiàn)反應(yīng)堆停堆（以四取二邏輯的方式相互連接），每個(gè)保護(hù)組的2 個(gè)多樣性子組輸出的停堆信號(hào)硬件取“或”后輸出；每個(gè)斷路器有2 個(gè)脫扣線圈：分勵(lì)線圈和失壓線圈；為了保證停堆的可靠性，分勵(lì)線圈的控制指令為得電動(dòng)作，失壓線圈的控制指令為失電動(dòng)作。

ECP 上手動(dòng)停堆信號(hào)（RPA300TO/RPB300TO）既參與自動(dòng)停堆邏輯，又參與手動(dòng)停堆硬邏輯控制，為了應(yīng)對(duì)設(shè)備單一故障，通過硬邏輯控制失壓線圈的指令使用300TO 的常閉觸點(diǎn)；通過硬邏輯控制分勵(lì)線圈的指令使用300TO 的常開觸點(diǎn)。

手動(dòng)安注信號(hào)058TO 引發(fā)的緊急停堆功能，作為一種多樣性的后備手段，手動(dòng)安注硬接線的停堆信號(hào)只需要控制停堆斷路器的分勵(lì)線圈，并且受MCR/RSS 模式切換的控制。

為了滿足保護(hù)組失電時(shí)讓本保護(hù)組控制的停堆斷路器打開，采用以下的設(shè)計(jì)原則：

（1）用于控制分勵(lì)線圈的DO 信號(hào)其信號(hào)特性為1，輸出回路失電時(shí)的狀態(tài)為0；

（2）用于控制失壓線圈的DO 信號(hào)其信號(hào)特性為0，輸出回路失電時(shí)的狀態(tài)為0。

正常工況下用于控制停堆斷路器失壓線圈的DO 輸出為1，用于控制停堆斷路器分勵(lì)線圈的DO輸出為0。針對(duì)用于控制分勵(lì)和失壓線圈的停堆信號(hào)，均采用雙DO“與”邏輯設(shè)計(jì)，以避免由于單個(gè)DO 模塊的故障及維護(hù)觸發(fā)本通道停堆斷路器打開。具體的停堆硬邏輯控制原理如圖1 所示。

圖1 停堆硬邏輯控制原理圖Fig.1 Hardware logic control schematic diagram for reactor shutdown

2.2 ECP 系統(tǒng)級(jí)控制硬邏輯

2.2.1 系統(tǒng)級(jí)控制按鈕與安全級(jí)DCS 的接口設(shè)計(jì)

根據(jù)控制功能劃分，ECP 系統(tǒng)級(jí)指令主要包括：安注、安全殼隔離A 階段、安全殼隔離B 階段、安全殼噴淋、主給水隔離、啟動(dòng)輔助給水、蒸汽管線隔離等，需要搭建硬邏輯的ECP 按鈕如表1 所示。

表1 手動(dòng)保護(hù)硬邏輯按鈕清單Tab.1 List of manual protection hard logic buttons

ECP 上的系統(tǒng)級(jí)手動(dòng)操作按鈕給安全級(jí)DCS提供3 副常開觸點(diǎn)，在安全級(jí)DCS 的邏輯系列中，采用3 張隔離分配模塊分別采集按鈕的3 副觸點(diǎn)，以應(yīng)對(duì)單個(gè)隔離分配模塊故障導(dǎo)致的控制功能喪失，再通過隔離分配模塊進(jìn)行分配后分別送至硬邏輯和軟邏輯。

以安注手動(dòng)控制按鈕為例，就其信號(hào)接口做如下說明，其它系統(tǒng)級(jí)手動(dòng)控制按鈕的接口方式與安注手動(dòng)控制按鈕接口方式一致。RPA058TO 的“觸點(diǎn)1”、“觸點(diǎn)2”、“觸點(diǎn)3”通過3 張隔離分配模塊進(jìn)行采集，然后分配至專設(shè)驅(qū)動(dòng)控制站、保護(hù)通道控制站參與數(shù)字化軟邏輯，分配至安注、安全殼隔離A階段、保護(hù)組I/III 的手動(dòng)停堆硬邏輯，并分別在硬邏輯控制回路和各個(gè)軟邏輯控制站中做“2/3 邏輯”。ECP 系統(tǒng)級(jí)手動(dòng)按鈕以及BUP 復(fù)位按鈕的“2/3 邏輯”軟邏輯，選用帶邏輯降級(jí)功能的2/3 模塊，邏輯退化關(guān)系為2/3→1/2→1/1，輸入信號(hào)質(zhì)量位均為壞時(shí)，退化為不動(dòng)作。

2.2.2 具體的ECP 系統(tǒng)級(jí)控制硬邏輯設(shè)計(jì)

對(duì)于位于ECP 上的啟動(dòng)專設(shè)功能的手動(dòng)命令，用于硬邏輯和軟邏輯的信號(hào)應(yīng)接入按鈕的常開觸點(diǎn)，即觸點(diǎn)閉合時(shí)觸發(fā)專設(shè)啟動(dòng)。ECP 硬邏輯中如果需要來自驅(qū)動(dòng)器的狀態(tài)反饋信號(hào)用于聯(lián)鎖，則該狀態(tài)反饋信號(hào)在被安全級(jí)DCS 軟邏輯采集之前分配至ECP 硬邏輯。ECP 硬邏輯中的RS 觸發(fā)器在失去供電后，不應(yīng)保持失電之前已觸發(fā)的安全動(dòng)作，當(dāng)供電恢復(fù)后，RS 觸發(fā)器應(yīng)趨于不發(fā)出安全動(dòng)作。

ECP 系統(tǒng)級(jí)控制硬邏輯根據(jù)按鈕和具體PLM所屬的機(jī)柜，可將ECP 硬邏輯搭建在繼電器機(jī)柜或者各個(gè)PLM 機(jī)柜內(nèi)，應(yīng)盡可能的減少機(jī)柜間連接關(guān)系，以保證硬邏輯控制回路的可靠性。具體的安注手動(dòng)保護(hù)硬邏輯設(shè)計(jì)原理如圖2 所示。以安注手動(dòng)控制為例，其手動(dòng)保護(hù)硬邏輯設(shè)計(jì)策略如下：

圖2 安全注入手動(dòng)保護(hù)硬邏輯控制原理圖Fig.2 Hard logic control schematic for manual containment injection protection

（1）ECP 上的手動(dòng)安注控制設(shè)置2 個(gè)開關(guān)（RPA 058TO/RPB058TO），手動(dòng)安注信號(hào)既參與自動(dòng)停堆功能，又參與手動(dòng)停堆硬邏輯，同時(shí)還參與安注和CIA 驅(qū)動(dòng)控制功能。

（2）BUP 上的安注手動(dòng)閉鎖按鈕（RPA060TO/RPB060TO）只有在安注信號(hào)觸發(fā)5 min 后，才能允許手動(dòng)復(fù)位和閉鎖輸出，其也需要搭建相應(yīng)的硬邏輯，同時(shí)受MCR/RSS 切換的控制。ESFAC 軟件邏輯中R-L 觸發(fā)器之后，5 min 延時(shí)之前的安注手動(dòng)復(fù)位允許信號(hào)，需通過DO 送至ECP 硬邏輯，用于同步觸發(fā)ECP 硬邏輯中的5 min 延時(shí)。

（3）ECP 上的“安注信號(hào)”反饋指示燈（RPA059LA2/RPB059LA2），由軟件產(chǎn)生的SI 信號(hào)和硬邏輯產(chǎn)生的SI 信號(hào)進(jìn)行硬件“或”邏輯后，再送至ECP 上的指示燈進(jìn)行指示。

（4）BUP 上的“安注信號(hào)”反饋指示燈（RPA059LA1/RPB059LA1），僅由軟件產(chǎn)生的SI 信號(hào)送至BUP 上進(jìn)行指示。

5）BUP 上的“安注功能被閉鎖”反饋指示燈（RPA 060LA/RPB060LA），軟件產(chǎn)生的SI 信號(hào)（300 s 延時(shí)后）和硬邏輯產(chǎn)生的SI 信號(hào)（300 s 延時(shí)后）進(jìn)行硬件“或”邏輯后，再送至BUP 上進(jìn)行指示。

3 結(jié)語

為了提高保護(hù)系統(tǒng)的可靠性，安全級(jí)DCS 系統(tǒng)設(shè)計(jì)應(yīng)充分考慮多樣性設(shè)計(jì)策略，來搭建一個(gè)高可靠性的反應(yīng)堆保護(hù)系統(tǒng)架構(gòu)，以提高反應(yīng)堆保護(hù)系統(tǒng)的可靠性和可維護(hù)性。本文就ECP 手動(dòng)停堆和系統(tǒng)級(jí)手動(dòng)專設(shè)驅(qū)動(dòng)的多樣性控制進(jìn)行研究，描述了應(yīng)對(duì)共因故障的多樣化硬邏輯設(shè)計(jì)策略，詳細(xì)對(duì)ECP 上的停堆按鈕和專設(shè)驅(qū)動(dòng)按鈕的觸點(diǎn)分配進(jìn)行說明，并給出了一種典型的手動(dòng)停堆和手動(dòng)安注驅(qū)動(dòng)硬邏輯設(shè)計(jì)策略和硬邏輯原理，可為后續(xù)的核電項(xiàng)目安全級(jí)DCS 手動(dòng)保護(hù)硬邏輯設(shè)計(jì)提供指導(dǎo)。