國外安全級DCS優(yōu)先級邏輯模塊分析

楊宗昊，馬 權(quán)，金興連，穆蘭芬，姜 靜，李 俊

（中國核動力研究設(shè)計(jì)院 核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，成都 610213）

圖1 CommonQ平臺的CIMFig.1 CIM of CommonQ platform

0 引言

核反應(yīng)堆數(shù)字化控制系統(tǒng)（DCS，Digital Control System）是核反應(yīng)堆的中樞神經(jīng)系統(tǒng)，肩負(fù)著控制核反應(yīng)堆正常運(yùn)行的重要功能，確保在任何工況下核反應(yīng)堆能夠安全可靠地運(yùn)行。其中，安全級核反應(yīng)堆數(shù)字化控制系統(tǒng)（1E DCS）是與核反應(yīng)堆安全相關(guān)的重要控制系統(tǒng)，主要用來應(yīng)對設(shè)計(jì)基準(zhǔn)事故工況和部分嚴(yán)重事故工況，保證能夠在事故情況下啟動安全系統(tǒng)，將電站帶至安全狀態(tài)并持續(xù)監(jiān)測關(guān)鍵參數(shù)。

核反應(yīng)堆控制系統(tǒng)隨工業(yè)技術(shù)的發(fā)展也在不斷發(fā)展進(jìn)步，如在20 世紀(jì)中后期建造的核電站主要采用模擬式儀表實(shí)現(xiàn)對模擬量的控制，采用繼電器機(jī)架實(shí)現(xiàn)對邏輯量的控制。隨著數(shù)字化控制系統(tǒng)DCS 技術(shù)在常規(guī)工業(yè)控制領(lǐng)域的普及，核能控制系統(tǒng)也開始逐漸使用DCS 控制技術(shù)。21 世紀(jì)以來，國內(nèi)外新建核電廠普遍采用數(shù)字化儀控系統(tǒng)，國內(nèi)從嶺澳二期（LAII）開始，均采用了全范圍的數(shù)字化儀控系統(tǒng)。DCS 相對于前代儀控技術(shù)（模擬式儀表+繼電器）存在很多優(yōu)勢，如處理能力強(qiáng)，能夠自診斷，可靠性高，設(shè)計(jì)與配置靈活性強(qiáng)等，但其也存在著一些需要關(guān)注的方面，如功能過于集中，可能產(chǎn)生的軟件共因故障等，尤其是日本福島事故以后，國家對新建核電的設(shè)計(jì)提出更高更嚴(yán)的標(biāo)準(zhǔn)。例如，為了應(yīng)對數(shù)字化安全級儀控系統(tǒng)共因故障，設(shè)計(jì)了多樣化的停堆手段；為了應(yīng)對福島核事故類似的嚴(yán)重事故，還設(shè)計(jì)了嚴(yán)重事故控制系統(tǒng)。然而，新增的系統(tǒng)與原系統(tǒng)的執(zhí)行設(shè)備大部分公用，因此需要設(shè)計(jì)滿足要求的優(yōu)先級邏輯控制模塊，解決不同系統(tǒng)對同一執(zhí)行機(jī)構(gòu)的控制問題。目前，為解決對于同一執(zhí)行機(jī)構(gòu)的控制問題，較為普遍采用的是通過優(yōu)先級邏輯控制模塊接受來自上游系統(tǒng)的多種控制命令，并進(jìn)行優(yōu)先級管理，并最終輸出控制指令，下游設(shè)備對控制指令進(jìn)行執(zhí)行動作。本文介紹了國外4 種不同優(yōu)先級邏輯模塊，包括CommonQ 的CIM、MLETAC 的PIF、Tricon 的PLM、Txs 的AV42。

1 CommonQ

AP1000 是中國從美國西屋公司引進(jìn)第三代核電站堆型，其CommonQ 平臺配置了接口設(shè)備模塊（CIM，Component Interface Module）。AP1000 的CIM 作為中間設(shè)備，接受來自保護(hù)與安全監(jiān)測系統(tǒng)（PMS，Protection and safety Monitoring System）與電廠邏輯控制系統(tǒng)（PLS，Plant Logic Control System）的指令，進(jìn)行優(yōu)先級判斷，將儀控系統(tǒng)的指令傳遞給現(xiàn)場設(shè)備，實(shí)現(xiàn)觸發(fā)功能。

CIM 是一個安全級DCS 設(shè)備接口模塊，它是基于現(xiàn)場可編程門陣列（FPGA，F(xiàn)ield-Programmable Gate Array）實(shí)現(xiàn)的硬件邏輯模塊，CIM 模塊主要完成三大功能：

1）集成來自不同安全級系統(tǒng)的設(shè)備指令，作為驅(qū)動控制的接口，接收來自儀控設(shè)備的驅(qū)動指令，同時將執(zhí)行器和設(shè)備開關(guān)狀態(tài)反饋給安全級DCS 系統(tǒng)。

2）對設(shè)備指令進(jìn)行優(yōu)先級判定，可以接收來自自動泄壓系統(tǒng)（ADS，Automatic Depressurization System）觸發(fā)器閉鎖模塊、PMS 和PLS 的指令，將優(yōu)先級最高的發(fā)送至現(xiàn)場設(shè)備。

3）提供就地設(shè)備控制。通過CIM 模塊上的切換按鈕將設(shè)備的控制功能由遠(yuǎn)程切換至就地，為邏輯測試提供信號隔離，緊急情況下提供就地設(shè)備控制的能力。CIM 的實(shí)物圖見圖1。

圖1 為設(shè)備接口模塊圖。在CIM 的前端，有一個就地邏輯控制接口，由1 個撥動開關(guān)和3 個按鈕開關(guān)所組成，其中撥動開關(guān)是就地與遠(yuǎn)程的切換開關(guān)，3 個按鈕開關(guān)用于就地設(shè)備的控制（OPEN、STOP 和CLOSE）。其中，X 端口是來自于PMS（安全級）的指令，Y 端口是來自于PLS（非安全級）的指令，而Z 端口是來自于獨(dú)立于計(jì)算機(jī)系統(tǒng)的指令（手動控制），用于ADS 觸發(fā)的閉鎖。優(yōu)先級的順序從高到低依次為就地、Z、X、Y。其中，X 欄下的1 與2表示兩列冗余邏輯表決模塊，在信號質(zhì)量都為好時取2 取2 邏輯，一個信號質(zhì)量為壞時取1 取1 邏輯，否則安全級信號不能成功被CIM 輸出到現(xiàn)場設(shè)備。而INPUT 欄下的指示燈表示著現(xiàn)場設(shè)備的反饋，例如O 燈亮了，即表示現(xiàn)場設(shè)備已開。在LOCAL 欄中有4 個指示燈，其中當(dāng)撥動開關(guān)撥到LOCAL 時，就地指示燈LM 便會亮，而其中的STOP燈是對按鈕STOP 的指示，一般在進(jìn)行下一項(xiàng)命令前，會先按STOP 按鈕對前一項(xiàng)命令進(jìn)行清除，防止本次命令消失以后設(shè)備會變化到自動控制命令的狀態(tài)，防止誤觸發(fā)。

CommonQ 平臺的CIM 還有一些特點(diǎn)，AP1000 的部分現(xiàn)場設(shè)備通過冗余的CIM 來進(jìn)行控制，冗余的CIM 位于不同的機(jī)柜中，防止由于單一CIM 故障導(dǎo)致就地設(shè)備失效。這種備用CIM 的應(yīng)用之一便是對爆破閥的控制，爆破閥是AP1000 中使用的一種不可逆的一次性閥門。每一個爆破閥的驅(qū)動需要兩個獨(dú)立的控制信號，一個為ARM 信號，另一個為FIRE 信號，這兩個信號各配置了專用的設(shè)備接口模塊，CIMA 以及CIMF，保證爆破閥控制的可靠性。其中，爆破閥的一種用途就是ADS 的觸發(fā)，即它的動作將導(dǎo)致反應(yīng)堆冷卻劑向安全殼的釋放，為進(jìn)一步避免由共因故障導(dǎo)致的ADS 誤觸發(fā)，西屋還設(shè)計(jì)了ADS 手動閉鎖功能，即Z端口的信號，優(yōu)先級僅次于就地指令，可以閉鎖X、Y 通道的指令。

圖2 MELTAC平臺的PIF卡示意圖Fig.2 PIF card of MLETAC platform

2 MELTAC

MELTAC 是日本三菱集團(tuán)旗下的一款核級平臺產(chǎn)品，其安全級優(yōu)選模塊使用PIF 卡，目前廣東陽江核電1-4 號機(jī)組的儀控系統(tǒng)采用的是這一款產(chǎn)品。

PIF 卡放置在SLC（Safety Logic Cabinet）中，SLC 接收ESFAC、ECP、BUP、SVDU 等輸入的控制信號。幾乎所有的安全級DCS 設(shè)備的軟硬件控制都必須通過PIF 卡的邏輯運(yùn)算后才能向現(xiàn)場執(zhí)行機(jī)構(gòu)輸出。其中，PIF 卡的示意圖如圖2 所示。

其中，DIS 以及EN 是作為一個撥碼器。當(dāng)撥碼處于EN 位置時，電源指示燈點(diǎn)亮，板卡處于正常工作狀態(tài)；當(dāng)撥碼處于DIS 位置時，電源指示燈熄滅，板卡處于非正常工作狀態(tài)。LINE-1 燈用來指示與1 系CPU 通訊正常，卡件正常工作時常亮；PS0/1 燈用來監(jiān)視現(xiàn)場驅(qū)動電源回路是否工作正常；BLOCK0-1 燈用來指示1 系CPU 的OUT0 輸出被閉鎖，正常狀態(tài)為常滅。BYP0/1 指的是OUT0/1 被旁路。如圖3 所示，BLOCK0-1 燈亮即表示①列信號被阻斷，而BYP0 則表示①、③列信號均被阻斷。

PIF 卡作為安全級DCS 優(yōu)選模塊，其完成的功能主要有：接收Level1 的自動命令和Level2 層的操作命令，并向現(xiàn)場執(zhí)行機(jī)構(gòu)輸出驅(qū)動命令；接收從現(xiàn)場硬接線來的執(zhí)行機(jī)構(gòu)狀態(tài)反饋信號，并向Level 2 層設(shè)備輸出；進(jìn)行優(yōu)選功能邏輯運(yùn)算。PIF 卡所接收的信號可以分成三類：

圖3 PIF卡中CPU的輸出邏輯Fig.3 CPU’s output logic of PIF card

1）第一類是通過CPU 進(jìn)行傳輸?shù)目刂浦噶钚盘枴獜腅SFAC 以及S-VDU 中向SLC-CPU 傳輸?shù)倪壿嬛噶?，例如安注信號（ESFAC），或是通過安全顯示站（S-VDU，Safety Video Display Unit）直接發(fā)出控制現(xiàn)場執(zhí)行機(jī)構(gòu)開關(guān)指令。這些命令通過軟件運(yùn)算后，經(jīng)PIF 卡送往現(xiàn)場執(zhí)行機(jī)構(gòu)。

2）第二類則是硬接線信號。這類信號不通過SLCCPU 的處理，而直接通過繼電器柜的繼電器邏輯判斷后，將控制指令硬接線送往PIF 卡去驅(qū)動現(xiàn)場執(zhí)行機(jī)構(gòu)。例如，ECP 盤的安注硬手操器指令在經(jīng)過繼電器柜（ARC，Auxiliary Relay Logic Cabinet）的邏輯運(yùn)算后，直接硬接線連至PIF 卡進(jìn)行現(xiàn)場執(zhí)行機(jī)構(gòu)的控制。

3）第三類則是接收從現(xiàn)場反饋回來的執(zhí)行機(jī)構(gòu)狀態(tài)信號，由PIF 卡的IN4/5 輸入的。

在完成正常的邏輯控制功能之外，PIF 卡所完成的最主要的功能還有AT（Automation Test）試驗(yàn)的測試功能以及邏輯信號的優(yōu)選功能。AT 試驗(yàn)即為反應(yīng)堆保護(hù)系統(tǒng)T1/T2/T3 試驗(yàn)，PIF 卡所完成的測試主要有：T2 部分的專設(shè)邏輯測試，稱之為Sequence Test；T3 的專設(shè)設(shè)備的驅(qū)動測試，稱之為PIF Test。而PIF 卡的邏輯信號優(yōu)選功能可分為兩個部分：PIF 卡內(nèi)的硬邏輯優(yōu)選，以及PIF 與SLC/ARC 邏輯組合形成的系統(tǒng)邏輯優(yōu)選。其中，安全級DCS 的系統(tǒng)邏輯優(yōu)選信號的順序從高到低為：非預(yù)期瞬態(tài)信號（ATWT，Anticipated Transient Without Trip）；保護(hù)機(jī)柜傳輸?shù)綄ＴO(shè)機(jī)柜的自動控制命令；緊急控制盤上的手動控制命令；后備盤上的手動控制命令；非安全級命令。

3 TRICON

Tricon 平臺是美國Invensys 公司旗下Triconex 公司的一款安全級DCS 產(chǎn)品，其優(yōu)先級邏輯模塊如圖4 所示。該平臺目前在中國福建福清核電站、方家山核電項(xiàng)目中均得到應(yīng)用。

圖4 Tricon平臺的PLM卡示意圖Fig.4 PLM of Tricon platform

Tricon 的PLM 擁有兩組互為備用的24V 直流電源，4對輸入信號（A/B），一對試驗(yàn)輸入信號（1A/1B），一對驅(qū)動輸出信號（1A/1B），一對試驗(yàn)反饋信號（1A/1B）。其中，每對信號中的A 組為關(guān)閉命令，B 組為啟動命令，每對中A 組的優(yōu)先級要高于B 組。4 對信號將在下面詳細(xì)敘述。

1） 第一優(yōu)先級為來自Tricon 安全級反應(yīng)堆保護(hù)系統(tǒng)（RPS，Reactor Protection System）的ESFAC 信號，反應(yīng)堆保護(hù)系統(tǒng)中含有4 組通道，輸出到兩列專設(shè)驅(qū)動設(shè)備中。

2）第二優(yōu)先級為ECP 的自動轉(zhuǎn)換信號，在ECP 盤上，將允許操作員通過硬線對DCS 關(guān)鍵安全系統(tǒng)實(shí)現(xiàn)邏輯復(fù)制。但并不是所有PLM 都應(yīng)該預(yù)期有一個ECP 輸入，因?yàn)椴⒎敲恳粋€從PLM 進(jìn)行操作的設(shè)備都是手動從ECP 系統(tǒng)進(jìn)行操作的。

3）第三優(yōu)先級為DAS 以及ATWT，實(shí)際上對于安全級TRICON 來說，DAS 與ATWT 系統(tǒng)實(shí)際上是非安全級的后備系統(tǒng)，而且與安全級TRICON 相比優(yōu)先級低一些，1E TRICON 正常運(yùn)行時，DAS 與ATWT 信號不會對1E TRICON 系統(tǒng)產(chǎn)生影響，而1E TRICON 無法啟動時，可以通過DAS 與ATWT 對就地設(shè)備進(jìn)行管理。

4）第四優(yōu)先級為非安全級命令，其在輸入到PLM 之前需要通過隔離器進(jìn)行隔離。

Tricon 的PLM 還提供了測試功能模式，即PLM 提供了一種阻止設(shè)備啟動的同時，驗(yàn)證測試使能信號在PLM 輸出結(jié)果之前即被監(jiān)測的方法。具體而言，PLM 具有兩個測試使能輸入。第一個是位于PLM 正下方底板上的手動開關(guān)，該開關(guān)的狀態(tài)反饋也提供給Tricon 的1E 級平臺；第二個測試使能信號連接到在SVDU 上操作的 1E Tricon。當(dāng)兩個測試使能輸入都處于激活狀態(tài)時，PLM 的輸出驅(qū)動將被閉鎖。單獨(dú)的SVDU 上的1E Tricon 或手動測試開關(guān)的啟用將確保不會有單個測試啟用輸入失敗或者無意的操作會閉鎖PLM。

圖5 TXS平臺的AV42板卡示意圖Fig.5 AV42 of TXS platform

一旦PLM 進(jìn)入測試模式，設(shè)備驅(qū)動信號即可被阻止。但是，TEST OUT 1A 和TEST OUT 1B 輸出的信號就是在PLM 沒有被閉鎖之前的OUT 1A 以及OUT 1B 信號，也就是說，TEST OUT 1A 和TEST OUT 1B 信號是OUT 1A 以及OUT 1B 信號，但是它們在OUT 1A 以及OUT 1B 信號被閉鎖之前就被監(jiān)視起來。此外，在測試模式下，輸入1、2、3 將被閉鎖掉，但非安全級命令依然可以對就地設(shè)備執(zhí)行相關(guān)邏輯。

4 TXS

德國西門子公司的TXS 平臺，由AV42 模塊執(zhí)行優(yōu)先級控制功能。該平臺已在田灣、嶺澳核電項(xiàng)目中得到應(yīng)用。

AV42 接收處理5 種來源的命令信號：1）通過前面板的就地控制塞輸入的命令（一般在維護(hù)模式下啟動）；2）從安全級儀控系統(tǒng)輸入來的命令；3）從控制室1 引入的手動命令；4）從控制室2 引入的手動命令；5）從現(xiàn)場總線引入的非安全級命令。其中，控制室1 為主控制室，控制室2 為輔助控制室或者叫遠(yuǎn)程停堆室。這5 種信號的優(yōu)先級按從高到低依次為：就地控制按鈕，安全級儀控系統(tǒng)引入的信號，控制室引入的信號，非安全級信號。

其中，在就地控制塞上的ON/OPEN，OFF/CLOSE 分別是用來控制兩種類型的就地設(shè)備，ON/OFF 是用來控制電動機(jī)、電磁閥等驅(qū)動設(shè)備；OPEN/CLOSE 是用來控制開環(huán)控制以及閉環(huán)控制驅(qū)動器（對于隔離閥、塞閥、控制閥等）。而DIAGNOSIS 的兩個按鈕分別是代表“診斷”以及“停止診斷”。其中OFF/CLOSE 擁有最高的優(yōu)先級，DIAGNOSIS →STOP 的優(yōu)先級最低，這3 種命令通常都用于支持維護(hù)模式。由于就地信號擁有最高的優(yōu)先級，因而即使在沒有上游儀控信號輸入的情況下，就地信號也能用于啟動或者停止下游的就地設(shè)備，即使上游的儀控設(shè)備不可用的話，由于這些命令的優(yōu)先級最高，它們可以被用于控制或者停止驅(qū)動器。

表1 優(yōu)先級邏輯模塊的對比Table 1 Comparison of priority logic modules

AV42 的主要控制任務(wù)有：接受來自不同區(qū)域的控制輸入信號，進(jìn)行優(yōu)先級比較，并產(chǎn)生驅(qū)動控制命令，控制多個區(qū)域的驅(qū)動器；產(chǎn)生安全級以及非安全級的反饋回傳命令；在發(fā)生卡頓事件時產(chǎn)生終止命令（對開環(huán)控制驅(qū)動器的力矩保護(hù)）。其中，安全級信號以及供電是通過硬線的方式連接在AV42 的背板上，而非安全級設(shè)備通過現(xiàn)場總線的方式連接在AV42 前面板的連接頭上，而就地信號是通過AV42 面板上的就地控制塞來進(jìn)行控制。

AV42 模塊送給驅(qū)動設(shè)備的信號為3 個：CMDOFF（關(guān)閉信號）、CMDON（開信號）、CONTROL（Check Command）阻塞信號，即此輸出為高時，OFF、ON 無效；為低時，OFF、ON 有效。

此外，AV42 模塊還提供硬件自我檢測能力：其中與PLD 連接的看門狗，可以檢測微處理器與PLD 的基本邏輯功能，看門狗發(fā)現(xiàn)故障后將使微處理器復(fù)位；低壓檢測。當(dāng)供給模塊的電壓低于額定值時，低壓檢測將會把驅(qū)動電路的輸出置為0；開路和短路檢測，出現(xiàn)開路、短路以及超載時，PLD 可將信號反饋給微處理器。

5 匯總分析

本文共對比了國外4 款核級優(yōu)先級邏輯模塊，通過對比，總結(jié)出以下幾點(diǎn)。

基于實(shí)現(xiàn)的功能程度來說，應(yīng)該是CommonQ 平臺的CIM 最為復(fù)雜，不僅可以接受上游輸入的指令，還可以將下游設(shè)備的狀態(tài)信號反饋給上游儀控設(shè)備；對下游就地設(shè)備進(jìn)行了具體劃分，對有無力矩的設(shè)備進(jìn)行了分別控制；提供了就地閉鎖功能，為防止誤觸發(fā)，增添了STOP 按鈕；進(jìn)行了電源冗余設(shè)置；對重要設(shè)備實(shí)行冗余控制，使用兩個CIM 卡對同一設(shè)備進(jìn)行控制；為防止共因故障對重要設(shè)備的影響，還設(shè)置了單獨(dú)的閉鎖功能。

其他幾家公司的產(chǎn)品也有很多特點(diǎn)，例如西門子的板卡將現(xiàn)場總線連接口設(shè)置在了前面板上。三菱與Tricon 的板卡的前面板上幾乎沒有需要操作的按鈕，面板上都是指示燈，其他幾款產(chǎn)品都在板卡的面板上設(shè)置了就地閉鎖開關(guān)或按鍵。西門子TXS 平臺的AV42 板卡也要復(fù)雜一些，對就地設(shè)備分為開環(huán)控制與閉環(huán)控制，就不同的就地設(shè)備分類很細(xì)，并且還會對AV42 板卡進(jìn)行初始化；板卡中即含有微處理器，又含有PLD 等部件，而且還根據(jù)安全級別對其劃分了不同的功能；在就地控制中，增添了診斷功能；可以將就地設(shè)備的狀態(tài)反饋給控制系統(tǒng)，還增加了對卡頓事件的處理機(jī)制。三菱的卡件使用兩個CPU 并含有兩個輸出控制端口作為冗余。

6 總結(jié)

優(yōu)先級邏輯控制模塊是安全級儀控平臺的重要組成部分，主要功能是收集上游的控制信號，進(jìn)行優(yōu)先級判斷后發(fā)送給下游設(shè)備進(jìn)行動作，其安全可靠性直接影響反應(yīng)堆的安全。本文分析了國外4 種優(yōu)選模塊，介紹了每種優(yōu)選模塊的功能與特點(diǎn)，并對比相互之間的優(yōu)勢與不足，可以為未來核電廠的優(yōu)選模塊的功能設(shè)計(jì)與安全性分析提供一定的參考。