多樣性驅(qū)動系統(tǒng)功能閉鎖方案分析和優(yōu)化研究

王 星，汪 偉，楊 震，梁 玲

（深圳中廣核工程設計有限公司，廣東 深圳 518172）

0 引言

目前數(shù)字化儀控系統(tǒng)在核電中得到越來越廣泛的應用，在帶來性能改善的同時，大量使用軟件可能引起的共因故障成為設計中必須考慮的一個因素，共因故障也逐漸成為數(shù)字化儀控系統(tǒng)安全評審中關(guān)注的問題之一[1]。

三代核電項目中，新增了多樣性驅(qū)動系統(tǒng)（DAS）來緩解數(shù)字化保護系統(tǒng)發(fā)生共因故障時的事故后果，將電站維持在安全狀態(tài)。核電站正常運行期間，多樣性驅(qū)動系統(tǒng)的表現(xiàn)與系統(tǒng)發(fā)生拒動（因多樣性驅(qū)動系統(tǒng)故障而導致不能執(zhí)行相應的驅(qū)動功能）時的表現(xiàn)相同，為了確保多樣性驅(qū)動系統(tǒng)在數(shù)字化保護系統(tǒng)發(fā)生共因故障時，能夠可靠地執(zhí)行驅(qū)動功能，需要對其進行定期試驗，以驗證其驅(qū)動功能的有效性，確保系統(tǒng)可用[2]。而對于系統(tǒng)誤動，一般采取功能閉鎖的方案保證系統(tǒng)不會觸發(fā)誤動作。

1 多樣性驅(qū)動系統(tǒng)功能

在核電廠的設計過程中，多樣性只對安全級系統(tǒng)有要求，而對非安全級沒有要求。多樣性的要求主要體現(xiàn)為兩方面：一是體現(xiàn)在反應堆保護系統(tǒng)內(nèi)部，即使用不同的傳感器，采用不同的觸發(fā)機制和不同的時序和計算方法；二是反應堆保護系統(tǒng)的多樣性配置[3]。

多樣性驅(qū)動系統(tǒng)（DAS）是一個邏輯保護系統(tǒng)，它根據(jù)電廠中物理參數(shù)的變化，通過適當?shù)倪壿嬁刂朴|發(fā)棒控與棒位系統(tǒng)中控制棒驅(qū)動機構(gòu)的電源柜失電和專設安全設施動作，以達到停堆和驅(qū)動專設安全設施的目的，緩解數(shù)字化保護系統(tǒng)軟件共因故障時所發(fā)生的設計基準事故[4]。

在數(shù)字化保護系統(tǒng)軟件共因故障后，DAS系統(tǒng)主要提供多樣性的手動、自動功能及相應的參數(shù)顯示，以緩解此時出現(xiàn)的設計基準事故后果。其主要安全功能包括：

1）當數(shù)字化保護系統(tǒng)軟件共因失效并發(fā)生設計基準事故時，DAS系統(tǒng)可自動觸發(fā)反應堆停堆和驅(qū)動專設安全設施動作，緩解數(shù)字化保護系統(tǒng)軟件共因失效疊加設計基準事故帶來的影響。

2）在發(fā)生數(shù)字化保護系統(tǒng)軟件共因失效疊加設計基準事故時，DAS系統(tǒng)為操縱員提供電廠重要參數(shù)的監(jiān)測。

3） 在發(fā)生數(shù)字化保護系統(tǒng)軟件共因失效疊加設計基準事故時，操縱員進行反應堆停堆、專設安全設施系統(tǒng)級和部件級驅(qū)動的復位。

正常運行期間，DAS系統(tǒng)為操縱員提供與關(guān)鍵安全功能相關(guān)的信息顯示、DAS系統(tǒng)的運行狀態(tài)顯示，以便操縱員能夠及時獲悉DAS系統(tǒng)運行情況。DAS系統(tǒng)提供的手動旁通功能，允許操縱員對其進行維修和定期試驗。在電廠正常上下行過程中，DAS系統(tǒng)提供了相關(guān)允許信號及相關(guān)指示給操縱員，以便其對部分保護功能進行閉鎖，防止其保護功能在正常上下行過程中誤動。

2 多樣性驅(qū)動系統(tǒng)設備和結(jié)構(gòu)

2.1 多樣性驅(qū)動系統(tǒng)設備

多樣性驅(qū)動系統(tǒng)設備包括兩個部分：多樣性驅(qū)動機柜（DAC）和多樣性人機接口盤（DHP）。

1）多樣性驅(qū)動機柜（DAC）

◇ 采集保護系統(tǒng)（含來自過程儀表系統(tǒng)經(jīng)保護系統(tǒng)隔離分配的信號）以及核儀表系統(tǒng)的信號，對于需要參加自動動作邏輯的參數(shù)進行閾值比較后產(chǎn)生“部分跳閘”信號，并對“部分跳閘”信號進行邏輯表決處理，產(chǎn)生自動動作信號。

◇ 接收DHP來的手動觸發(fā)信號，并與自動動作信號進行“或”邏輯組合后，輸出驅(qū)動信號。

◇ 采集保護系統(tǒng)（來自過程儀表系統(tǒng)經(jīng)保護系統(tǒng)隔離分配的信號）和核儀表系統(tǒng)來的信號，對這些指示關(guān)鍵安全功能的參數(shù)進行處理后，送DHP顯示。

◇ 進行報警和故障處理，并將報警和故障信息送DHP和主控室顯示，DAS設備的綜合故障（如失電等）和旁通狀態(tài)在DAC上應有指示。

2）多樣性人機接口盤（DHP）

◇ DHP上設置多樣數(shù)字化保護系統(tǒng)的開關(guān)、指示表等，同時還提供了關(guān)鍵安全參數(shù)的監(jiān)視。

2.2 多樣性驅(qū)動系統(tǒng)總體結(jié)構(gòu)

根據(jù)現(xiàn)有核電廠的數(shù)字化儀控系統(tǒng)總體結(jié)構(gòu)，確定了多樣性驅(qū)動系統(tǒng)結(jié)構(gòu)?？傮w原則為：與安全相關(guān)的所有系統(tǒng)都彼此隔離，減少與保護和監(jiān)視系統(tǒng)之間產(chǎn)生的共因失效幾率[5]。

DAS系統(tǒng)不需要滿足單一故障準則，但可信單一故障（硬件故障或電源喪失等）不能引起反應堆誤停堆或?qū)ＴO安全設施誤動作。

為了防止系統(tǒng)出現(xiàn)誤動作，DAS系統(tǒng)驅(qū)動指令采用得電驅(qū)動方式，且系統(tǒng)中自動邏輯控制站采用的是冗余配置，兩個自動驅(qū)動邏輯柜采用二取二符合邏輯，輸出指令通過二取二的方式驅(qū)動現(xiàn)場設備；同時系統(tǒng)設置了手動驅(qū)動功能，手動邏輯是在手動操作控制站內(nèi)完成[6]。DAS系統(tǒng)總體結(jié)構(gòu)如圖1所示。

圖1 DAS系統(tǒng)總體結(jié)構(gòu)示意圖Fig.1 General structure of DAS system

3 多樣性驅(qū)動系統(tǒng)功能閉鎖方案分析

除了采用得電驅(qū)動和自動邏輯控制站冗余配置的方式避免系統(tǒng)誤動外，多樣性驅(qū)動系統(tǒng)設計中還采用了多種功能閉鎖的方案，防止系統(tǒng)出現(xiàn)誤動作。

3.1 保護信號直接閉鎖

多樣性驅(qū)動系統(tǒng)，除了采集保護系統(tǒng)以及核儀表系統(tǒng)的信號進行閾值比較后，產(chǎn)生“部分跳閘”信號外，還以部分數(shù)字化保護系統(tǒng)產(chǎn)生的信號直接通過硬接線方式進入DAS系統(tǒng)，當保護系統(tǒng)信號存在時，允許或閉鎖DAS系統(tǒng)功能，保護信號閉鎖功能如圖2所示。

圖2 保護信號閉鎖功能示意圖Fig.2 Schematic diagram of protection signal locking function

3.2 允許信號閉鎖

允許信號（P信號）是按反應堆狀態(tài)允許或禁止某些停堆和專設保護功能，以便實現(xiàn)按反應堆不同功率水平完成響應的保護動作。多樣性系統(tǒng)中也提供了相應的允許信號用來閉鎖或允許特定工況下的保護動作[7]，用于實現(xiàn)以下功能：

◇ 當電廠條件需要時，自動禁止保護動作。

◇ 在電廠啟堆和正常停堆過程中，提供保護動作的手動禁止功能。

◇ 當滿足一定的電廠運行要求時，允許執(zhí)行保護動作。

多樣性驅(qū)動系統(tǒng)中的允許信號按照產(chǎn)生的方式分為自動允許信號和手動允許信號，允許信號的閉鎖邏輯功能如圖3和圖4所示。

圖3 自動允許信號閉鎖功能示意圖Fig.3 Schematic diagram of automatic permission signal locking function

圖4 手動允許信號閉鎖功能示意圖Fig.4 Schematic diagram of manual permissive signal locking function

3.3 DHP盤臺閉鎖

DHP盤臺一般設置的手動觸發(fā)開關(guān)，包括DAS專用功能手動觸發(fā)開關(guān)、手動操作允許開關(guān)以及手動操作禁止開關(guān)。

3.3.1 專用功能手動觸發(fā)開關(guān)

DAS專用功能手動觸發(fā)開關(guān)用于手動觸發(fā)所需要的DAS功能，由常規(guī)硬手操和基于計算機技術(shù)的軟手操組成，大部分為系統(tǒng)級手操功能（如停堆/停機、安全殼隔離等）。對于系統(tǒng)級和設備級的手動驅(qū)動操作，通過盤臺切換按鈕閉鎖。

安全殼隔離等系統(tǒng)級指令由DHP的硬手操觸發(fā)，由手動操作邏輯柜產(chǎn)生設備級驅(qū)動指令。設備級手操由DHP上的硬手操或DHP畫面上的軟手操觸發(fā)，發(fā)送到手動操作邏輯柜，依據(jù)設備級手操邏輯產(chǎn)生最終的設備級手動驅(qū)動信號。

3.3.2 手動允許開關(guān)

DHP上的手動操作允許開關(guān)通過硬接線輸入到DAC機柜，允許操縱員通過DHP上各手動按鈕進行相關(guān)手動操作；手動操作允許開關(guān)采取常規(guī)設備，并與專用功能手動觸發(fā)開關(guān)隔離布置。

3.3.3 手動禁止開關(guān)

DHP上的手動操作禁止開關(guān)通過硬接線輸入到DAC機柜，禁止DHP上各手動操作。

DHP盤臺閉鎖功能如圖5所示。

圖5 DHP盤臺閉鎖功能示意圖Fig.5 Schematic diagram of DHP panel locking function

3.4 優(yōu)先級指令閉鎖

3.4.1 DAS系統(tǒng)內(nèi)部優(yōu)先級

當DAS系統(tǒng)內(nèi)自動指令觸發(fā)時，閉鎖所有設備級的反方向手動操作指令。

例如當安注功能觸發(fā)時，安注觸發(fā)的自動指令會同時發(fā)送給手動操作邏輯柜，以閉鎖與安注相關(guān)的所有設備級的反方向手動操作指令，進而避免設備級手動指令干擾系統(tǒng)級自動驅(qū)動指令的執(zhí)行。

3.4.2 設備接口模塊優(yōu)先級

為了防止共因故障，數(shù)字化保護系統(tǒng)與多樣性驅(qū)動系統(tǒng)采用了不同的多樣性策略來實現(xiàn)對設備的控制，提高了系統(tǒng)的縱深防御與多樣性功能，但是多樣性系統(tǒng)驅(qū)動指令與安全級系統(tǒng)驅(qū)動指令等都需要經(jīng)過邏輯序列末端的設備接口模塊進行邏輯處理，才能對下一級設備進行驅(qū)動[8]。

設備接口模塊位于安全級DCS平臺的末端，主要接收來自專設安全設施驅(qū)動系統(tǒng)、多樣性驅(qū)動系統(tǒng)以及電廠標準自動化系統(tǒng)等不同的安全級控制指令，通過內(nèi)部的優(yōu)先級邏輯處理，對專設安全設施及相關(guān)支持系統(tǒng)的泵、閥等設備進行驅(qū)動[9]。

DAS系統(tǒng)輸出的設備驅(qū)動指令，通過設備接口模塊的優(yōu)先級管理功能和驅(qū)動控制功能輸出控制現(xiàn)場設備。一般高優(yōu)先級的指令閉鎖低于優(yōu)先級的反向指令，同一優(yōu)先級的雙向指令間閉鎖不在設備接口模塊中實現(xiàn)，其優(yōu)先級關(guān)系在相應的控制機柜中實現(xiàn)。

優(yōu)先級閉鎖功能如圖6所示。

圖6 優(yōu)先級閉鎖功能示意圖Fig.6 Schematic diagram of priority locking function

4 功能閉鎖方案優(yōu)化

一般情況下，DAS系統(tǒng)的設備驅(qū)動指令發(fā)送至現(xiàn)場設備接口模塊，由現(xiàn)場設備接口模塊實現(xiàn)不同安全分級信號的優(yōu)先級管理，但是對于部分功能僅依靠優(yōu)先級指令閉鎖的方案會存在設備反復動作的情況。

在蒸汽發(fā)生器液位達到低整定值時，數(shù)字化保護系統(tǒng)和DAS系統(tǒng)都會觸發(fā)應急給水啟動指令，啟動應急給水泵并開啟液位調(diào)節(jié)閥。當應急給水泵啟動后，如果功率限制閥失效后全開，會導致蒸汽發(fā)生器注入流量過大。為了限制流量，數(shù)字化保護系統(tǒng)會發(fā)出指令關(guān)小液位調(diào)節(jié)閥。此時，數(shù)字化保護系統(tǒng)和DAS系統(tǒng)對于液位調(diào)節(jié)閥動作指令相反，因保護系統(tǒng)信號關(guān)閥指令優(yōu)先級高于DAS系統(tǒng)開閥指令，調(diào)節(jié)閥將關(guān)小直至注入蒸汽發(fā)生器的流量低于整定值，保護系統(tǒng)的關(guān)閥信號將消失，但此時DAS系統(tǒng)的發(fā)應急給水啟動信號仍會開大調(diào)節(jié)閥，從而閥門會循環(huán)關(guān)小和開大。

為了避免閥門出現(xiàn)循環(huán)關(guān)小和開大的反復動作，在現(xiàn)有優(yōu)先級指令閉鎖方案的基礎上增加DAS系統(tǒng)激活的限制指令閉鎖調(diào)節(jié)閥自動控制功能，只有當DAS系統(tǒng)激活后，其對應調(diào)節(jié)閥自動控制指令生效。優(yōu)化后的方案既保證了DAS系統(tǒng)的多樣性備用功能實現(xiàn)，又避免了閥門的反復動作，優(yōu)化后閉鎖方案如圖7所示。

圖7 優(yōu)化后閉鎖功能示意圖Fig.7 Schematic diagram of locking function after optimization

5 結(jié)束語

多樣性驅(qū)動系統(tǒng)作為數(shù)字化保護系統(tǒng)共模失效后的多樣性后備，應根據(jù)其實現(xiàn)的停堆和專設功能的特點選擇合理的閉鎖方案。對于特殊設備還應綜合考慮數(shù)字化保護系統(tǒng)和DAS系統(tǒng)的實現(xiàn)功能，靈活使用和優(yōu)化功能閉鎖方案，消除系統(tǒng)誤動的隱患，提高DAS系統(tǒng)的可靠性。