核電廠數(shù)字化保護(hù)和安全監(jiān)測系統(tǒng)研究

Research on the Digitized Protection and Safety Monitoring System

for Nuclear Power Plant

陳　杰　陳冬雷　張　瑜　趙偉寧　張亮亮

(深圳中廣核工程設(shè)計(jì)有限公司，廣東 深圳　518124)

核電廠數(shù)字化保護(hù)和安全監(jiān)測系統(tǒng)研究

Research on the Digitized Protection and Safety Monitoring System

for Nuclear Power Plant

陳杰陳冬雷張瑜趙偉寧張亮亮

(深圳中廣核工程設(shè)計(jì)有限公司，廣東 深圳518124)

摘要：對(duì)數(shù)字化保護(hù)和安全監(jiān)測系統(tǒng)(PMS)的可靠性和可用性進(jìn)行研究。從多重性和容錯(cuò)性角度分析PMS結(jié)構(gòu)與功能的合理性。PMS采用4重冗余結(jié)構(gòu)并充分使用4取2符合邏輯，保證通道的單一故障不會(huì)導(dǎo)致系統(tǒng)誤動(dòng)作和拒動(dòng)作。序列內(nèi)的冗余配置大幅降低了系統(tǒng)的故障率。豐富的電廠關(guān)鍵安全功能和顯示功能提高了操縱員控制電廠的能力。PMS結(jié)構(gòu)與功能合理，具有高容錯(cuò)性、高可靠性和高可用性。

關(guān)鍵詞：核電廠數(shù)字化保護(hù)和安全監(jiān)測系統(tǒng)結(jié)構(gòu)與功能多重性容錯(cuò)性

Abstract：The reliability and availability of the digitized protection and safety monitoring system (PMS) are researched. The rationality of the structure and function of PMS is analyzed from the angles of multiplicity and fault tolerance. Quadruple redundant structure and two-out-of-four logic are adopted in PMS to ensure misoperation and reject-operation of the system may not be led by a single failure of the channel. Redundant configuration of division greatly reduces the failure rate of the system. Abundant plant safety-critical computing and display functions improve the capability of operator to control the power plant. The PMS is equipped with reasonable structure and functions, and possesses high fault tolerance capability, high reliability and availability.

Keywords：Nuclear power plantDigitizedProtection and safety monitoring systemStructure and functionMultiplicityFault tolerance

0引言

保護(hù)和安全監(jiān)測系統(tǒng)(protection and safety monitoring system，PMS)作為核電廠安全系統(tǒng)的儀控部分，執(zhí)行核電廠反應(yīng)堆停堆斷路器(reactor trip circuit breaker，RTCB)觸發(fā)、專設(shè)安全設(shè)施(engineered safety features，ESF)驅(qū)動(dòng)和安全級(jí)數(shù)據(jù)處理顯示功能，使電廠達(dá)到和維持安全停堆狀態(tài)[1]。其安全性和可靠性水平是衡量核電廠安全性的重要指標(biāo)之一[2-3]。隨著設(shè)計(jì)理念和儀控技術(shù)的發(fā)展，不同時(shí)期不同技術(shù)路線的核電廠保護(hù)系統(tǒng)具有不同的結(jié)構(gòu)與功能[4-5]。PMS是基于安全級(jí)數(shù)字化儀控平臺(tái)，總體結(jié)構(gòu)采用4重冗余序列，序列內(nèi)部保護(hù)功能處理子系統(tǒng)采用冗余設(shè)置，并充分使用4取2符合邏輯，具有豐富的安全級(jí)數(shù)據(jù)處理和顯示功能。本文將從多重性和容錯(cuò)性的角度來分析PMS結(jié)構(gòu)與功能的可靠性和可用性，以證明PMS的合理性。

1總體結(jié)構(gòu)與功能描述

PMS由A、B、C、D 四重冗余序列組成，序列間彼此實(shí)體和電氣隔離，實(shí)現(xiàn)了系統(tǒng)的多重性和序列的獨(dú)立性。PMS總體結(jié)構(gòu)[6]如圖1所示。

圖1　PMS總體結(jié)構(gòu)

用于RTCB觸發(fā)功能的變量使用4個(gè)獨(dú)立的傳感器進(jìn)行冗余測量，每個(gè)序列處理1路測量信號(hào)。通過序列內(nèi)定值處理邏輯(bistable processor logic，BPL)子系統(tǒng)的模數(shù)轉(zhuǎn)換器(analog to digital converter，ADC)、將模擬信號(hào)轉(zhuǎn)化為數(shù)字信號(hào)，數(shù)字信號(hào)再經(jīng)過處理和計(jì)算后與整定值相比較，產(chǎn)生局部RTCB觸發(fā)信號(hào)。BPL子系統(tǒng)將局部RTCB觸發(fā)信號(hào)發(fā)送至4個(gè)序列的局部符合邏輯(local coincidence logic，LCL)子系統(tǒng)。如果2個(gè)或更多冗余通道的BPL子系統(tǒng)處于局部RTCB觸發(fā)狀態(tài)，LCL子系統(tǒng)將產(chǎn)生RTCB觸發(fā)信號(hào)。此信號(hào)將被發(fā)送至該序列對(duì)應(yīng)的RTCB觸發(fā)邏輯矩陣，最終打開該序列對(duì)應(yīng)的RTCB。每個(gè)序列控制2個(gè)RTCB，當(dāng)2個(gè)或更多的序列輸出RTCB觸發(fā)信號(hào)并打開它們對(duì)應(yīng)的RTCB時(shí)，棒控電源柜電源將被切斷，控制棒落入堆芯，快速的負(fù)反應(yīng)性引入導(dǎo)致反應(yīng)堆緊急停堆。

ESF驅(qū)動(dòng)功能實(shí)現(xiàn)方式與RTCB觸發(fā)功能實(shí)現(xiàn)方式類似。PMS的安全級(jí)數(shù)據(jù)處理和顯示子系統(tǒng)由4重冗余的安全顯示器(safety display，SD)和2重冗余的安全級(jí)數(shù)據(jù)處理子系統(tǒng)(qualified data processing system，QDPS)組成[7]。每個(gè)序列包含1個(gè)SD，主要用于安全級(jí)變量顯示和安全級(jí)設(shè)備級(jí)控制命令的發(fā)出。QDPS只有B、C序列有，通過集成通信處理(integrated communications processor，ICP)子系統(tǒng)與其他序列進(jìn)行數(shù)據(jù)交換，主要用于安全級(jí)事故后監(jiān)測變量的處理和運(yùn)算。

2單序列結(jié)構(gòu)與功能描述

以A序列為例，描述PMS單序列的結(jié)構(gòu)與功能。PMS單序列主要由BPL、LCL、ILP、ICP、RTCB觸發(fā)邏輯矩陣、RTCB組、QDPS和SD等組成。PMS單序列結(jié)構(gòu)如圖2所示。

在單序列中，BPL子系統(tǒng)可實(shí)現(xiàn)本序列的信號(hào)采集、閾值比較和局部觸發(fā)信號(hào)產(chǎn)生，并將局部觸發(fā)信號(hào)發(fā)送給其他序列LCL子系統(tǒng)；LCL子系統(tǒng)接收PMS所有序列BPL子系統(tǒng)傳送過來的局部觸發(fā)信號(hào)，并產(chǎn)生系統(tǒng)級(jí)停堆和專設(shè)安全設(shè)施驅(qū)動(dòng)信號(hào)，其中系統(tǒng)級(jí)停堆信號(hào)觸發(fā)本序列中的2個(gè)停堆斷路器打開；ILP子系統(tǒng)級(jí)可將本序列系統(tǒng)級(jí)專設(shè)安全設(shè)施驅(qū)動(dòng)信號(hào)扇出為設(shè)備級(jí)驅(qū)動(dòng)信號(hào)，以實(shí)現(xiàn)本序列專設(shè)安全設(shè)施驅(qū)動(dòng)。

圖2　PMS單序列結(jié)構(gòu)

在單序列中，BPL、LCL和ILP等子系統(tǒng)采用冗余配置，實(shí)現(xiàn)了序列內(nèi)的冗余性[8]。

2.1　定值處理邏輯(BPL)子系統(tǒng)

PMS共有8個(gè)冗余BPL子系統(tǒng)，每個(gè)序列包含2個(gè)冗余BPL子系統(tǒng)[1,6]，分別為BPL-A1和BPL-A2，如圖3所示。

圖3　PMS序列內(nèi)部冗余

每個(gè)BPL子系統(tǒng)都配置專用的輸入/輸出(I/O)模塊、處理器、通信模塊和鏈接至LCL子系統(tǒng)的高速鏈接(high speed link，HSL)。BPL子系統(tǒng)執(zhí)行信號(hào)采集、閾值比較、局部觸發(fā)信號(hào)產(chǎn)生及輸出功能。局部觸發(fā)信號(hào)包括局部RTCB觸發(fā)信號(hào)和局部ESF驅(qū)動(dòng)信號(hào)。BPL子系統(tǒng)通過單向HSL分別向4個(gè)序列中的8個(gè)LCL子系統(tǒng)發(fā)送局部觸發(fā)和旁通信號(hào)。

2.2　局部符合邏輯(LCL)子系統(tǒng)

PMS共有8個(gè)冗余LCL子系統(tǒng)，每個(gè)序列包含2個(gè)冗余LCL子系統(tǒng)[6,8]，分別為LCL-A1和LCL-A2，如圖3所示。每個(gè)LCL子系統(tǒng)包含2個(gè)RTCB觸發(fā)邏輯處理器和1個(gè)ESF驅(qū)動(dòng)邏輯處理器。RTCB觸發(fā)邏輯處理器RT-A1、RT-A3和ESF驅(qū)動(dòng)邏輯處理器ESF-A1位于子系統(tǒng)LCL-A1；子系統(tǒng)LCL-A2與LCL-A1相同，RTCB觸發(fā)邏輯處理器RT-A2、RT-A4和ESF驅(qū)動(dòng)邏輯處理器ESF-A2位于子系統(tǒng)LCL-A2。由于1個(gè)處理器只能接收2路HSL輸入，因此每個(gè)LCL子系統(tǒng)還需要配置第4個(gè)處理器來滿足BPL子系統(tǒng)8路HSL輸入的需求。

LCL子系統(tǒng)執(zhí)行局部觸發(fā)信號(hào)4取2符合邏輯運(yùn)算。當(dāng)PMS任意2個(gè)及以上通道的BPL子系統(tǒng)處于局部觸發(fā)狀態(tài)，LCL子系統(tǒng)產(chǎn)生RTCB觸發(fā)或(和)ESF系統(tǒng)級(jí)驅(qū)動(dòng)信號(hào)。當(dāng)任意1個(gè)通道的BPL子系統(tǒng)為局部觸發(fā)或旁通狀態(tài)時(shí)，LCL子系統(tǒng)中的4取2符合邏輯相應(yīng)轉(zhuǎn)化為3取1或3取2符合邏輯，不會(huì)產(chǎn)生誤觸發(fā)信號(hào)；同理當(dāng)任意1個(gè)通道的BPL子系統(tǒng)為未觸發(fā)或未旁通狀態(tài)時(shí)，不會(huì)阻止RTCB觸發(fā)或(和)ESF系統(tǒng)級(jí)驅(qū)動(dòng)信號(hào)產(chǎn)生。

正常運(yùn)行工況下，序列內(nèi)2個(gè)BPL子系統(tǒng)中的任何1個(gè)輸出的局部觸發(fā)信號(hào)在LCL子系統(tǒng)中都為有效信號(hào)[7-8]。如果BPL通道診斷指示BPL子系統(tǒng)的輸入模塊、處理器或HSL故障，則LCL子系統(tǒng)報(bào)警并忽略故障BPL子系統(tǒng)輸出的局部觸發(fā)信號(hào)，同時(shí)使用通道內(nèi)另一個(gè)正常運(yùn)行BPL子系統(tǒng)產(chǎn)生的局部觸發(fā)信號(hào)。因此當(dāng)單個(gè)BPL子系統(tǒng)故障時(shí)，序列中的LCL仍保持4取2符合邏輯，而不是3取2或3取1的符合邏輯。同理，在系統(tǒng)試驗(yàn)過程中，當(dāng)對(duì)單個(gè)BPL處理器進(jìn)行獨(dú)立試驗(yàn)時(shí)，LCL處理器使用其他(非試驗(yàn)中)BPL處理器產(chǎn)生的局部觸發(fā)信號(hào)，從而使PMS在單個(gè)BPL處理器進(jìn)行試驗(yàn)時(shí)不需要對(duì)整個(gè)通道進(jìn)行旁通或者觸發(fā)。

2.3　RTCB觸發(fā)邏輯矩陣

PMS包含8個(gè)冗余RTCB觸發(fā)邏輯矩陣，每個(gè)序列包含2個(gè)冗余矩陣，分別為RTCB欠壓(under voltage，UV)觸發(fā)邏輯矩陣和RTCB勵(lì)磁(shunt trip，ST)觸發(fā)邏輯矩陣[6-7]。

RTCB UV觸發(fā)邏輯矩陣為選擇性4取2符合邏輯電路，通過中間繼電器串聯(lián)/并聯(lián)實(shí)現(xiàn)，如圖3所示。圖3中，RT-A1控制觸點(diǎn)A1，RT-A3控制觸點(diǎn)A3；同樣的，RT-A2控制觸點(diǎn)A2，RT-A4控制觸點(diǎn)A4。在電廠正常運(yùn)行工況下，RTCB UV觸發(fā)邏輯矩陣中的中間繼電器處于通電閉合狀態(tài)。RTCB UV觸發(fā)邏輯矩陣需要LCL子系統(tǒng)處理器(RT-A1或RT-A3)和(RT-A2或RT-A4)斷開它們控制的觸點(diǎn)，以打開A序列RTCB。

RTCB ST觸發(fā)邏輯矩陣也為選擇性4取2符合邏輯電路。矩陣中的中間繼電器在電廠正常運(yùn)行工況下處于失電打開狀態(tài)，打開序列內(nèi)RTCB需要中間繼電器通電關(guān)閉。其結(jié)構(gòu)和功能與RTCB UV觸發(fā)邏輯矩陣相似。

2.4　反應(yīng)堆緊急停堆斷路器(RTCB)組

RTCB組中共有8個(gè)RTCB，每2個(gè)RTCB組成1個(gè)序列，共4個(gè)RTCB序列[3]，分別對(duì)應(yīng)PMS的4個(gè)序列。4序列的RTCB配置為4取2符合邏輯電路結(jié)構(gòu)，如圖1所示。通過UV或ST觸發(fā)邏輯矩陣打開本序列的2個(gè)RTCB。任意2個(gè)及以上序列產(chǎn)生RTCB觸發(fā)信號(hào)將會(huì)斷開棒控系統(tǒng)供電回路，導(dǎo)致反應(yīng)堆緊急停堆。

PMS序列與RTCB的對(duì)應(yīng)關(guān)系如下所示。

序列ARTCB-A1和RTCB-A2

序列BRTCB-B1和RTCB-B2

序列CRTCB-C1和RTCB-C2

序列DRTCB-D1和RTCB-D2

2.5　集成邏輯處理(ILP)子系統(tǒng)

2個(gè)冗余ILP子系統(tǒng)配置在1個(gè)ILP機(jī)柜中。序列內(nèi)ILP機(jī)柜的數(shù)量與系統(tǒng)功能分配有關(guān)，如圖3所示。安全功能在不同序列的ILP機(jī)柜內(nèi)冗余執(zhí)行。

ILP子系統(tǒng)執(zhí)行設(shè)備級(jí)ESF驅(qū)動(dòng)信號(hào)扇出邏輯并提供設(shè)備狀態(tài)指示信號(hào)。每個(gè)ILP子系統(tǒng)接收本序列2個(gè)LCL子系統(tǒng)輸出的系統(tǒng)級(jí)ESF驅(qū)動(dòng)信號(hào)。當(dāng)序列內(nèi)2個(gè)LCL子系統(tǒng)輸出的系統(tǒng)級(jí)ESF驅(qū)動(dòng)信號(hào)一致時(shí)，ILP子系統(tǒng)執(zhí)行設(shè)備級(jí)ESF驅(qū)動(dòng)信號(hào)扇出邏輯，輸出ESF設(shè)備級(jí)驅(qū)動(dòng)信號(hào)；且當(dāng)同一機(jī)柜內(nèi)的兩個(gè)冗余ILP子系統(tǒng)輸出不一致時(shí)，其對(duì)應(yīng)的CIM輸出信號(hào)根據(jù)ESF傾向的故障模式進(jìn)行復(fù)位，保證ESF不拒動(dòng)、不誤動(dòng)[8]。

2.6　集成通信處理(ICP)子系統(tǒng)

PMS包含4個(gè)冗余ICP子系統(tǒng)，每個(gè)序列包含1個(gè)ICP子系統(tǒng)[6,9]。ICP子系統(tǒng)接收其他序列ICP子系統(tǒng)的3路單向HSL輸入，并將本序列數(shù)據(jù)通過3路單向HSL發(fā)送至其他序列中的ICP子系統(tǒng)，如圖2所示。這些數(shù)據(jù)只能被QDPS使用，不用于RTCB觸發(fā)或ESF驅(qū)動(dòng)功能。

ICP子系統(tǒng)通過鑒定的隔離器和硬接線將本序列數(shù)據(jù)發(fā)送至電廠控制系統(tǒng)。

2.7　安全級(jí)數(shù)據(jù)處理和顯示子系統(tǒng)

安全級(jí)數(shù)據(jù)處理和顯示子系統(tǒng)由SD和QDPS組成，如圖2所示。SD4重冗余，每個(gè)序列包含1個(gè)SD[8-9]。SD的主要功能包括：閉鎖和復(fù)位安全功能；提供安全級(jí)設(shè)備(引起嚴(yán)重后果)的手動(dòng)控制；提供安全級(jí)變量顯示及其趨勢(shì)顯示，并允許操縱員選擇變量以顯示其趨勢(shì)；提供安全級(jí)事故后監(jiān)測變量和關(guān)鍵安全參數(shù)(功能)狀態(tài)顯示；核儀表子系統(tǒng)(nuclear instrumentation subsystem，NIS)定期校準(zhǔn)。

PMS B和C序列各包含1個(gè)QDPS，由專用傳感器、共享傳感器和QDPS機(jī)箱組成。2個(gè)QDPS功能相同，互為冗余，彼此實(shí)體和電氣隔離。每個(gè)QDPS機(jī)箱包含1個(gè)通信模塊和1個(gè)處理器模塊[9-10]。通信模塊提供與先進(jìn)總線(advance fieldbus 100，AF100)的接口；處理器模塊執(zhí)行安全級(jí)事故后監(jiān)測變量的處理和運(yùn)算，特別是電廠關(guān)鍵安全功能計(jì)算，如次臨界、堆芯冷卻、反應(yīng)堆冷卻劑系統(tǒng)和安全殼完整性等，在電廠其他非安全級(jí)顯示系統(tǒng)故障時(shí)，為操縱員提供足夠的運(yùn)行數(shù)據(jù)以安全關(guān)閉電廠。

2.8　其他子系統(tǒng)

除以上子系統(tǒng)外，PMS序列內(nèi)還包含NIS、接口和試驗(yàn)處理(interface and test processor，ITP)子系統(tǒng)、維修和試驗(yàn)(maintenance and test panel，MTP)子系統(tǒng)、CIM、爆破閥控制(squib valve controller，SVC)子系統(tǒng)和事件順序(sequence of events，SOE)子系統(tǒng)等，用于實(shí)現(xiàn)PMS維修、試驗(yàn)和設(shè)備接口等功能[7,10]。由于這些子系統(tǒng)不直接執(zhí)行RTCB觸發(fā)、ESF驅(qū)動(dòng)和安全級(jí)數(shù)據(jù)處理和顯示功能，本文不再對(duì)這些子系統(tǒng)進(jìn)行詳述。

3結(jié)束語

PMS具有較高的可靠性和可用性，4重冗余的總體結(jié)構(gòu)以及4取2符合邏輯的充分使用，保證了單個(gè)通道的故障、觸發(fā)、試驗(yàn)和旁通既不能導(dǎo)致RTCB誤觸發(fā)和系統(tǒng)級(jí)ESF誤驅(qū)動(dòng)，也不能阻止RTCB觸發(fā)和系統(tǒng)級(jí)ESF驅(qū)動(dòng)；在單個(gè)通道旁通情況下，系統(tǒng)仍滿足單一故障準(zhǔn)則。序列內(nèi)冗余ILP子系統(tǒng)和CIM的“握手”邏輯保證單個(gè)系統(tǒng)級(jí)或設(shè)備級(jí)ESF驅(qū)動(dòng)信號(hào)故障不會(huì)導(dǎo)致ESF誤驅(qū)動(dòng)或拒驅(qū)動(dòng)。

PMS豐富的電廠關(guān)鍵安全功能計(jì)算和顯示功能提高了操縱員控制電廠的能力，從而保證了系統(tǒng)的高可靠性和高可用性。

隨著我國核電技術(shù)的發(fā)展，PMS的結(jié)構(gòu)與功能將會(huì)不斷被優(yōu)化，其在核電廠安全級(jí)儀控系統(tǒng)中的應(yīng)用也將越來越廣泛。

參考文獻(xiàn)

[1] 林誠格，郁祖盛，歐陽予，等.非能動(dòng)安全先進(jìn)壓水堆核電技術(shù)[M].北京：原子能出版社，2008：756-810.

[2] 鄭明光，張勁舜，沈增耀，等.壓水堆核電廠儀表控制與計(jì)算機(jī)化的發(fā)展概況[J].核技術(shù)，2000，23(12)：899-904.

[3] 中廣核工程有限公司.壓水堆核電廠核島設(shè)計(jì)(第五卷)核島儀控系統(tǒng)設(shè)計(jì)[M].北京：原子能出版社，2010：19-43.

[4] 劉宏春，王濤濤，王華金，等.嶺澳二期核電站數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)[J].核動(dòng)力工程，2008，29(1)：1-4.

[5] 晁平，鄭明光.田灣核電站數(shù)字化安全級(jí)儀控系統(tǒng)結(jié)構(gòu)與性能研究[J].核電工程與技術(shù)，2003，16(4)：27-32.

[6] 孫漢虹，程平東，繆鴻興，等.第三代核電技術(shù)AP1000[M].北京：中國電力出版社，2010：324-376.

[7] 劉玥，丁長富，王少華，等.DCS安全級(jí)儀控平臺(tái)的分析研究[J].自動(dòng)化博覽，2012(1)：48-52.

[8] 冀煥青.AP1000核電站數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)[J].自動(dòng)化與儀表，2013，28(2)：11-15.

[9] 劉子介.Common Q在AP1000 PAMS中的應(yīng)用[J].電氣技術(shù)，2010(3)：52-55.

[10]從曦宇，劉輝.淺談AP1000核電廠保護(hù)和安全監(jiān)視系統(tǒng)PMS操作平臺(tái)Common Q[J].科技與企業(yè)，2013(15)：107-108.

中圖分類號(hào)：TP277；TL362

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201507015

修改稿收到日期：2014-11-13。

第一作者陳杰(1985-)，男，2007年畢業(yè)于哈爾濱工程大學(xué)電氣工程及其自動(dòng)化專業(yè)，獲學(xué)士學(xué)位，工程師；主要從事核電廠保護(hù)及專用儀控系統(tǒng)的研究。