基于FirmSys平臺的反應(yīng)堆保護(hù)系統(tǒng)改造應(yīng)用

王 平，趙遠(yuǎn)洋，范欣欣，孟慶軍，張 弋

（北京廣利核系統(tǒng)工程有限公司，北京 100094）

0 引言

研究型重水反應(yīng)堆（MHWRR）是一座多用途重水研究堆，可實現(xiàn)中子物理實驗、放射性同位素輻照、材料輻照試驗、材料的輻照改性、中子活化分析等用途，該反應(yīng)堆是遵照IAEA 頒布的安全叢書35 號《Safe Operation of Research Reactors and Critical Assemblies》 以 及80、90 年代中國關(guān)于研究堆建造的法規(guī)和標(biāo)準(zhǔn)，并汲取了參照堆HWRR 的30 年運(yùn)行經(jīng)驗建成。

原反應(yīng)堆采用的模擬量儀表控制系統(tǒng)，其中保護(hù)系統(tǒng)由安全邏輯裝置構(gòu)成，存在設(shè)備陳舊、系統(tǒng)響應(yīng)慢、歷史信息提取難、維護(hù)困難、系統(tǒng)可靠性低等諸多問題。而反應(yīng)堆中的保護(hù)系統(tǒng)是保障反應(yīng)堆安全的重要系統(tǒng)，該反應(yīng)堆亟需完成對保護(hù)系統(tǒng)的升級改造。

自20 世紀(jì)70 年代以來，DCS 以其高性能、高可靠性、結(jié)構(gòu)合理、應(yīng)用方便等優(yōu)點而被廣大的工業(yè)用戶接受。然而，在實際應(yīng)用中DCS 卻受到各種因素的制約，使其安全性和可靠性大大降低[1,2]。雖然DCS 廠家眾多，但基于國產(chǎn)平臺應(yīng)用到國外安全級DCS 改造項目的業(yè)績?nèi)郧缚蓴?shù)。本文采用的北京廣利核系統(tǒng)工程有限公司自主研發(fā)的FrimSys 平臺是中國首個擁有自主知識產(chǎn)權(quán)的核級DCS 產(chǎn)品，實現(xiàn)了國內(nèi)自主知識產(chǎn)權(quán)DCS 系統(tǒng)的海外首次應(yīng)用[3]；同時本文使用故障樹對改造后保護(hù)系統(tǒng)的可靠性進(jìn)行了定量分析，確保了系統(tǒng)的可靠性，并給出了提高可靠性的建議措施。

1 改造要求

原保護(hù)系統(tǒng)采用的模擬儀表控制系統(tǒng)存在以下主要問題：

◇ 原保護(hù)系統(tǒng)采用的行業(yè)標(biāo)準(zhǔn)和規(guī)則已不符合當(dāng)前行業(yè)最新標(biāo)準(zhǔn)、規(guī)則要求。

◇ 原保護(hù)系統(tǒng)設(shè)備陳舊，部件檢驗時間長，對反應(yīng)堆運(yùn)行要求間隔時間也較長。

◇ 原保護(hù)系統(tǒng)安全邏輯裝置的動作時間為200ms，系統(tǒng)響應(yīng)慢。

◇ 原保護(hù)系統(tǒng)不容許在反應(yīng)堆運(yùn)行期間進(jìn)行定期功能實驗，不便于確定可能發(fā)生的故障及多樣性喪失的診斷。

◇ 原保護(hù)系統(tǒng)提取歷史信息困難。

◇ 原保護(hù)系統(tǒng)的操作和維護(hù)復(fù)雜。

原保護(hù)系統(tǒng)由于以上問題，導(dǎo)致該系統(tǒng)的可靠性極低，已無法保證反應(yīng)堆安全運(yùn)行要求。本次升級改造旨在實現(xiàn)保護(hù)系統(tǒng)的數(shù)字化，將原有保護(hù)系統(tǒng)拆除，針對性地設(shè)計全數(shù)字化的保護(hù)系統(tǒng)，改造后的系統(tǒng)能夠與升級改造后的其他相關(guān)系統(tǒng)和設(shè)備（如核測量系統(tǒng)、事故后監(jiān)測系統(tǒng)、棒控系統(tǒng)、監(jiān)控系統(tǒng)、主控室等）密切配合，確保反應(yīng)堆的安全；本次改造遵循現(xiàn)有核電相關(guān)法規(guī)和標(biāo)準(zhǔn)，升級改造后的系統(tǒng)其重要性能指標(biāo)不低于原有系統(tǒng)，并滿足以下要求：

◇ 確定性：對于確定的輸入，應(yīng)有確定的、唯一的處理過程，并產(chǎn)生確定的、唯一的輸出。

◇ 獨立性：同一安全級別的冗余設(shè)備之間的獨立，不同安全級別設(shè)備之間的獨立，同一安全級別之間以及不同安全級別之間的通信，均不能阻礙安全功能的執(zhí)行。

◇ 完整性：在輸入信號異常、輸入電源異常的情況下，以及系統(tǒng)內(nèi)部設(shè)備發(fā)生異常時，系統(tǒng)能夠完成其安全功能；系統(tǒng)應(yīng)具有試驗或/和校準(zhǔn)功能；系統(tǒng)具有適當(dāng)?shù)墓收咸綔y和自診斷功能。

2 系統(tǒng)設(shè)計和工程實施

升級改造后的保護(hù)系統(tǒng)仍保持原系統(tǒng)的12 個保護(hù)變量不變，12 個保護(hù)變量分別來自核測量系統(tǒng)、熱工檢測系統(tǒng)、重水泵電路和棒控系統(tǒng)電路以及試驗回路（高溫高壓試驗回路、低溫低壓試驗回路），系統(tǒng)設(shè)計遵循HAF102 規(guī)定的相關(guān)設(shè)計原則：

◇ 多樣性

由于設(shè)置了12 個自動緊急停堆參數(shù)，較好地加強(qiáng)了對共因故障的設(shè)防能力，當(dāng)一個假設(shè)初始事件發(fā)生時，均可同時使兩個或兩個以上的參數(shù)達(dá)到停堆越限值使反應(yīng)堆停閉。

◇ 獨立性

加強(qiáng)保護(hù)系統(tǒng)與監(jiān)控系統(tǒng)、事故后監(jiān)測系統(tǒng)以及其他系統(tǒng)的獨立性，是保證系統(tǒng)冗余度的重要措施。保護(hù)系統(tǒng)的獨立性設(shè)計主要體現(xiàn)在下述幾點：

1）保護(hù)系統(tǒng)三通道在電氣上和結(jié)構(gòu)上都是獨立的，三通道之間信號通過安全級協(xié)議進(jìn)行光電轉(zhuǎn)換后進(jìn)行傳輸[4]。

2）對保護(hù)系統(tǒng)與其他系統(tǒng)之間在電氣上和結(jié)構(gòu)上的獨立性也作了充分考慮，保護(hù)系統(tǒng)同棒控、核測以及監(jiān)控系統(tǒng)間信號進(jìn)行了電氣隔離，不會對保護(hù)系統(tǒng)產(chǎn)生有害的影響。

3）為防止由地線引入干擾，信號地同屏蔽地分開接地，提高了抗干擾能力。

◇ 冗余與符合

保護(hù)系統(tǒng)設(shè)立3 個保護(hù)通道，每個通道均為熱備冗余結(jié)構(gòu)，12 個保護(hù)變量通過三取二（2/3）符合邏輯實現(xiàn)自動停堆。

◇ 在役檢驗

保護(hù)系統(tǒng)采用局部—總體符合結(jié)構(gòu)，具有可試驗性，應(yīng)對每個設(shè)備設(shè)置旁通自檢功能，當(dāng)設(shè)備進(jìn)行自檢時，不應(yīng)影響保護(hù)系統(tǒng)的安全功能。

◇ 故障安全準(zhǔn)則

MHWRR 保護(hù)系統(tǒng)故障安全技術(shù)遵循故障安全準(zhǔn)則設(shè)計，當(dāng)繼電器斷開或失去電源時給出停堆信號。

與此同時，高質(zhì)量的設(shè)備是獲得系統(tǒng)高可靠性的基礎(chǔ)，基于FirmSys 平臺搭建的保護(hù)系統(tǒng)設(shè)備具有如下特點：

a）FirmSys 平臺保護(hù)系統(tǒng)設(shè)備在研制全過程中均按1E級的質(zhì)保大綱實施各階段的質(zhì)量見證和生產(chǎn)過程的質(zhì)量控制。

b）根據(jù)需要合理使用了冗余CPU 技術(shù)，選用柜式結(jié)構(gòu)。

c）硬件具備自診斷功能，提供本地和遠(yuǎn)程報警指示功能。

d）硬件板卡具備熱插拔功能，可在線進(jìn)行維護(hù)或者更換，不影響系統(tǒng)運(yùn)行。

實現(xiàn)的保護(hù)系統(tǒng)結(jié)構(gòu)圖如圖1 所示。

保護(hù)系統(tǒng)DCS 部分采用FirmSys 平臺如下硬件類型構(gòu)成（設(shè)備等級1E）：

信號調(diào)理單元：將現(xiàn)場電阻、電流信號調(diào)理成標(biāo)準(zhǔn)4mA ～20mA 信號后送入保護(hù)系統(tǒng)采集單元，并對開關(guān)量輸入信號進(jìn)行隔離。

信號輸入/輸出單元：信號輸入功能由AI、DI 板卡完成，信號輸出功能由AO、DO 板卡完成。AI/DI/AO/DO 板卡（簡稱IO 板卡）由硬件和軟件組成，IO 板卡通過通信單元和數(shù)據(jù)處理單元交換數(shù)據(jù)。

圖1 保護(hù)系統(tǒng)結(jié)構(gòu)圖Fig.1 Protection system structure

數(shù)據(jù)處理單元：數(shù)據(jù)處理功能由MPU（Main Processing Unit）板卡完成，MPU 板卡包含硬件和軟件。MPU 板卡通過通信單元獲得數(shù)據(jù)，對數(shù)據(jù)進(jìn)行運(yùn)算，并把運(yùn)算后的結(jié)果通過通信單元發(fā)送給其他單元。

通信單元：通信功能由通信單元完成，通信單元由硬件和軟件組成。通信單元是MPU 單元、信號IO 單元相互交換信息的橋梁，也是系統(tǒng)與外部交換信息的接口。

3 可靠性分析

本文中根據(jù)GB/T 9225 等相關(guān)標(biāo)準(zhǔn)要求，對使用FirmSys 平臺改造后的反應(yīng)堆保護(hù)系統(tǒng)可靠性指標(biāo)進(jìn)行了定量分析和評估，從系統(tǒng)拒動率、誤動率和不可用性3 個方面來分析系統(tǒng)的可靠性，并給出提高穩(wěn)定性的措施[5]。

通過對反應(yīng)堆保護(hù)功能進(jìn)行分析，反應(yīng)堆保護(hù)系統(tǒng)觸發(fā)停堆的功能按邏輯類型主要分為兩類：2oo3 邏輯（Type1）、3oo4 邏輯（Type2），對RPS 可靠性指標(biāo)計算采取故障樹分析（FTA）[6]，計算步驟如下（可靠性分析計算所需的基礎(chǔ)數(shù)據(jù)由設(shè)備生產(chǎn)商提供）：

1）針對某一類型變量，確定導(dǎo)致系統(tǒng)拒動、誤動、不可用的故障模式，建立系統(tǒng)拒動、誤動、不可用性模型。以Type1（2oo3）邏輯類型為例，其不可用頂層故障樹模型如圖2 所示。

2）進(jìn)一步細(xì)化建立各單元的可靠性模型并代入基礎(chǔ)數(shù)據(jù)，得出該類型變量拒動、誤動、不可用性概率值。以輸入部分不可診拒動模型為例，模型如圖3 所示。

3）重復(fù)步驟1）～步驟2），計算所有類型變量下系統(tǒng)的可靠性概率。

圖2 Type1頂層故障樹模型Fig.2 Type1 Top fault tree model

圖3 Type1輸入部分不可診拒動故障樹模型Fig.3 Type1 Input part undiagnosable failed fault tree model

通過以上分析計算，該系統(tǒng)采用FrimSys 平臺改造后保護(hù)系統(tǒng)的可用性＞ 99.99%、拒動率＜10-6/次、誤動率＞0.1/年，并從構(gòu)建故障樹模型的基本事件分析中可以得出提高系統(tǒng)可靠性的途徑，除采用可靠性高的設(shè)備元器件外，需要系統(tǒng)維護(hù)人員從兩方面來提高設(shè)備的平均修復(fù)時間MTTR。一方面提高檢修人員對系統(tǒng)的熟悉程度，經(jīng)常檢查并維持設(shè)備的工作環(huán)境，并在設(shè)備故障時盡快恢復(fù)故障設(shè)備；另一方面需要定期替換主要設(shè)備，要求現(xiàn)場及時采購相應(yīng)的備品、備件。

4 改造前后保護(hù)系統(tǒng)性能對比

采用FirmSys 平臺改造完成數(shù)字化改造的保護(hù)系統(tǒng)同原系統(tǒng)相比，主要有以下改進(jìn)點：

◇ 改善了保護(hù)系統(tǒng)的獨立性，保護(hù)系統(tǒng)3 通道以及其它系統(tǒng)間均實現(xiàn)完全獨立。

◇ 保護(hù)變量符合邏輯由原來的1/1 或1/2 擴(kuò)展為2/3，較好滿足了單一故障準(zhǔn)則。

◇ 提高了保護(hù)系統(tǒng)的響應(yīng)時間，由原來的200ms 提升到80ms。

◇ 系統(tǒng)具備故障探測和自診斷功能。

◇ 改造后系統(tǒng)具備可試驗性，同時也增強(qiáng)了故障預(yù)測能力。

◇ 保護(hù)系統(tǒng)數(shù)據(jù)傳輸?shù)奖O(jiān)控系統(tǒng)和事故后系統(tǒng)，便于獲取。

◇ FirmSys 平臺提供了維護(hù)網(wǎng)絡(luò)，便于維護(hù)。

◇ 采用了高可靠性的FirmSys 平臺設(shè)備，整體提高了系統(tǒng)可靠性。

5 結(jié)束語

采用自主的國產(chǎn)安全級DCS 平臺完成了對該實驗堆型保護(hù)系統(tǒng)的改造，改造系統(tǒng)完全滿足項目對保護(hù)系統(tǒng)確定性、獨立性、完整性要求。本次升級改造實現(xiàn)了保護(hù)系統(tǒng)的數(shù)字化，新設(shè)計的系統(tǒng)能夠與升級改造后的其他相關(guān)系統(tǒng)和設(shè)備（如核測量系統(tǒng)、事故后監(jiān)測系統(tǒng)、棒控系統(tǒng)、監(jiān)控系統(tǒng)、主控室等）密切配合，保障反應(yīng)堆的安全。

通過故障樹對升級改造后的系統(tǒng)進(jìn)行了定性、定量分析，其主要性能指標(biāo)遠(yuǎn)優(yōu)于原有系統(tǒng)，并對后續(xù)項目可靠性保證提出了建議措施，DCS 設(shè)備廠家應(yīng)不斷提高設(shè)備自身的可靠性，而系統(tǒng)的維護(hù)人員需及時地對系統(tǒng)和設(shè)備進(jìn)行維護(hù)，并及時采購相應(yīng)的備品備件數(shù)量來保證系統(tǒng)可靠穩(wěn)定運(yùn)行；該系統(tǒng)的成功改造為后續(xù)改造項目使用國產(chǎn)化安全級DCS 平臺的應(yīng)用提供了示范。