袁阁++王豪

摘 要：随着核电厂安全级仪控系统中数字化技术的引入，核电厂数字化应用也需要应对软件可能带来的共因失效的问题。由于整个安全级仪控系统均由同一数字化软硬件平台所实现，因此也带来了对安全级系统软件共因故障（CCF）的担忧。多样性驱动系统（DAS）就是用来缓解软件共因失效和抵御核电厂发生设计基本事件的后果而产生独立的一套不受安全级系统共因干扰的行之有效的解决方案。文章以现有的核电机组为背景，介绍多样化保护系统的概念，并按系统的设计要求和系统结构简单分析DCS控制系统的设计过程。

关键词：数字化技术；软件共因故障；多样性驱动系统

前言

最新核电机组的核电技术在仪控系统上的特征是使用了全数字化的仪控系统，一般根据核电厂系统不同的核安全分级，采用两个不同平台实现，文章在对核电仪控系统进行设计时，安全级平台采用了Tricon系统，实现反应堆保护系统（含反应堆停堆和专设安全设施驱动的功能）；非安全级平台采用了I/A系统，实现常规岛和BOP大多数控制功能。

DAS系统设计理念在核电厂的设计过程中，多样性只对安全级系统有要求， 而对非安全级没有要求。多样性的要求主要体现为两方面：一是体现在反应堆保护系统内部， 即使用不同的传感器， 采用不同的触发机制不同的时序和计算方法， 二是反应堆保护系统的多样性配置[1]。DAS系统为核电厂的反应堆保护系统提供了一种额外的多样性后备。DAS系统虽然执行的是安全级功能，但其系统本身仍属于非安全级，使用的是I/A系统。

1 设计要求及应用平台介绍

1.1 系统设计准则

在发生设计基准事故的同时反应堆保护系统又因发生共模故障而不能提供正常的保护功能时，多样化保护系统应能将反应堆转入并保持在安全状态。

由于多样化保护系统需要在反应堆保护系统发生软件共模故障时提供所需的保护功能，因此，多样化保护系统的软件设计应采用不同于反应堆保护系统的软件平台所实现，并且满足IEC62138中针对执行B类功能的仪控系统软件设计所规定的有关要求。

多樣化保护系统设备除了需要满足RCC-E规定的抗震I类的要求之外，不需要满足其中有关1E级设备鉴定的相关要求。

1.2 平台简介

1.2.1 安全级系统Tricon系统

三重组合式冗余结构（TMR）是Tricon的设计根本，使其具有了很好的容错能力。三个完全相同的系统支路（电源模件为双重冗余）构成了此系统。每个系统支路独立地执行控制程序，同时其它两个支路也并行工作。容错是Tricon系统的最为重要的能力，它是指在系统中出现瞬态的和稳态的出错情况下能够及时探查发现以及采取适当的相应的在线措施的能力，并使得控制器及其控制过程的安全性得以增强，利用率得以提高。

1.2.2 PLM（优先逻辑模块）

PLM是提供核电厂的安全级防护的组件，增加多样性和纵深防御设计，转移共因失效影响而单独开发的。该模块组件作用为在收到DAS发送过来的命令后选取最优决策命令给现场执行机构。其设计、制造和质检的流程及工艺都按照并遵循10CFR 50的质量体系要求实施的。

1.2.3 非安全级系统I/A Serials

核电厂使用的是I/A 8.4.3版本，该系统设计之初就创造性地采用了交换机拓扑式控制网络结构（Mesh Control Network）作为I/A系统的通讯平台。Mesh网络可同时容纳1920个控制站（对）和工作站一起工作，可以在全工厂范围达到控制信息的互传共享而没有网关网桥的限制。I/A 8.4.3系统中新一代的控制处理机FCP270为底板安装形式的全密封设计，可以满足G3环境及0～60摄氏度的现场应用。为了方便了用户维护及备品备件的管理，对第三方的数据集成采用了相同硬件（FDSI） 不同驱动软件的方式[2]。

2 DAS系统结构

DAS系统是采用多样性方法来完成可能受到软件共模故障影响的安全功能，把这些可能受到影响的安全功能组合到一起的集合，从而降低正常安全系统的软件共模故障的影响。

根据现有核电厂的数字化仪控系统总体结构确定了DAS结构（图1）。总体原则为与安全相关的所有系统都彼此隔离，减少了与保护和监视系统之间产生的共因失效几率。另外，在DAS设计理念中的独立性原则，其运行不依赖于电厂数据网络（DCS网络）。

DAS系统硬件设备不受RPS软件共因失效影响，采用与反应堆保护系统公用传感器和执行机构驱动设备，共用的变送器或传感器信号经过隔离模块分配后硬接线送往DAS。在DAS中经过特定的信号对比处理，在PLM优选模块中按照安全状态优先原则输出到执行机构。当超过设定阀值时，则产生局部“脱钩”信号，进行相应的逻辑处理，从而产生紧急停堆，汽机停车，安注以及蒸汽管道隔离等功能信号。

按照这些功能信号的需求，对DAS机柜信号处理的设计中充分考虑基于计算机的数字化技术并结合IA产品特性来确定设计方案。

3 控制系统中DAS 设计方案

初始设计要求为了提高BPC（处理周期）处理速度到100ms，而且整个输入输出信号处理过程控制在500ms之内，必须减低冗余CP（处理器）的负载量。下面一些设计的变更就至关重要。

规划并增加4对冗余CP在DAS机柜里，用来处理过程逻辑和硬接线IO点。2对CP安装在A机柜（定义名称为A001UC和A002UC），另外两对CP安装在B机柜（定义名称为B001UC和B002UC），与此同时允许所有冗余CP可以将BPC设置为100ms。

机柜之间的信号大多数采用硬接线布置，这是为了自动控制功能中避免CP之间点对点的通讯不通过MESH网络，减少网络带来的不确定性和延时影响。接下来是分配给CP的过程逻辑和硬接线IO点相关的DAS自动控制功能。

A001UC：ATWT和停堆功能；

A002UC：汽机停车功能；

B001UC：SI安全注入功能；

B002UC：蒸汽管道隔离功能。

尽管如此，为了生成更加准确的信息，很多信号点也需要从多个CP获取。这些被请求的信号以硬接线方式执行和采集，不通过MESH网络而直接通讯。

（1）稳压器压力值

压力值的模拟量输入型号被用来给安全注入和停堆功能。因此，这些信号点必须被隔离和分配到A机柜和B机柜避免这些信号之间的点对点通讯。

（2）汽轮机进气压力

进气压力的模拟量输入信号被用来给蒸汽管道隔离和停堆功能。因此这些信号点同样也需要被分配到不同的机柜内。

（3）反应堆停堆断路器

数字量输入信号被用来给P4（反应堆紧急停堆）信号逻辑处理。P4信号是安全注入和蒸汽管道隔离功能的必要信号，因此这些功能都被分离的不同CP所控制。

在蒸汽管道隔离功能中P4信号瞬时触发，并且在安全注入功能被激活后5分钟P4信号触发。因此，P4信号是由B002UC处理后送到B001UC通过FBM207C（模拟量输出卡）接到FBM240（模拟量输入卡）进行硬接线的连接。

4 停堆功能

停堆功能必须在以下信号具备时才能產生。

稳压器压力值低；

稳压器压力值高；

反应堆冷却剂流量低；

功率量程中子注量率高。

停堆功能的硬接线输入信号由A002UC来处理，产生硬接线的输出信号，停堆功能由A001UC处理后被激活。因此，上述信号产生时，A002UC将发送一个信号给A001UC去触发停堆功能。同样也是通过FBM207C接到FBM240硬接线的连接。

5 安注期间的停堆功能

当安注功能初始化时停堆功能也被触发，尽管安注功能是由B001UC控制而停堆功能是由A001UC控制。因此当安注产生时，B001UC将会发送一个信号到A001UC用来同时触发停堆功能。此时的信号是由B机柜的FBM207C送到A机柜的FBM240。

4 验证结果

我们选取一组由A0002UC处理跳机功能信号，A0001UC输出信号的过程为范例。为要达到清晰计算DAS的响应时间，边界必须确定好。定义输出信号生成时间为t0。下面的信号导向流程图（图2）就是整个处理过程所需要经历的步骤。

t0=tAI+tAD+t208+tA002+t240+t207C+tA001+t240+tDI

上述公式内所有参数代表处理该过程所需时间。实验所得数据如下：

t0=0.070ms+1.0ms+1.0ms+200ms+15ms+1.0ms+200ms+15ms+0.030ms

t0=434ms

在安注情况下的跳机信号处理响应时间为434ms，在设计要求响应时间500ms范围之内，符合设计要求。并且跳机信号处理过程相对其他几个功能过程要复杂，其余功能性验证同样符合了此次设计规范。

5 结束语

DAS 系统作为核电厂最后一级的保护措施，保护系统的后备系统，其重要性不言而喻。在控制系统的设计中，无论从整体机柜的抗震测试还是从硬件的精度，响应时间以及软件逻辑过程的可靠性，都完全符合设计要求，并保持现有核电厂良好运行的记录。验证了数字化技术应用在DAS系统作为保护系统的多样性冗余是满足要求的，同时也提高了核电厂控制的安全性，具有重要意义。

参考文献

[1]王春冰，平嘉临，段奇志，等.多样性驱动系统功能验证探讨[J].核科学与工程，2012，32（2）：82-83.

[2]查方兴.I/A系统及应用（6版）[M].2009.