王 平，赵远洋，范欣欣，孟庆军，张 弋

（北京广利核系统工程有限公司，北京 100094）

0 引言

研究型重水反应堆（MHWRR）是一座多用途重水研究堆，可实现中子物理实验、放射性同位素辐照、材料辐照试验、材料的辐照改性、中子活化分析等用途，该反应堆是遵照IAEA 颁布的安全丛书35 号《Safe Operation of Research Reactors and Critical Assemblies》 以 及80、90 年代中国关于研究堆建造的法规和标准，并汲取了参照堆HWRR 的30 年运行经验建成。

原反应堆采用的模拟量仪表控制系统，其中保护系统由安全逻辑装置构成，存在设备陈旧、系统响应慢、历史信息提取难、维护困难、系统可靠性低等诸多问题。而反应堆中的保护系统是保障反应堆安全的重要系统，该反应堆亟需完成对保护系统的升级改造。

自20 世纪70 年代以来，DCS 以其高性能、高可靠性、结构合理、应用方便等优点而被广大的工业用户接受。然而，在实际应用中DCS 却受到各种因素的制约，使其安全性和可靠性大大降低[1,2]。虽然DCS 厂家众多，但基于国产平台应用到国外安全级DCS 改造项目的业绩仍屈指可数。本文采用的北京广利核系统工程有限公司自主研发的FrimSys 平台是中国首个拥有自主知识产权的核级DCS 产品，实现了国内自主知识产权DCS 系统的海外首次应用[3]；同时本文使用故障树对改造后保护系统的可靠性进行了定量分析，确保了系统的可靠性，并给出了提高可靠性的建议措施。

1 改造要求

原保护系统采用的模拟仪表控制系统存在以下主要问题：

◇ 原保护系统采用的行业标准和规则已不符合当前行业最新标准、规则要求。

◇ 原保护系统设备陈旧，部件检验时间长，对反应堆运行要求间隔时间也较长。

◇ 原保护系统安全逻辑装置的动作时间为200ms，系统响应慢。

◇ 原保护系统不容许在反应堆运行期间进行定期功能实验，不便于确定可能发生的故障及多样性丧失的诊断。

◇ 原保护系统提取历史信息困难。

◇ 原保护系统的操作和维护复杂。

原保护系统由于以上问题，导致该系统的可靠性极低，已无法保证反应堆安全运行要求。本次升级改造旨在实现保护系统的数字化，将原有保护系统拆除，针对性地设计全数字化的保护系统，改造后的系统能够与升级改造后的其他相关系统和设备（如核测量系统、事故后监测系统、棒控系统、监控系统、主控室等）密切配合，确保反应堆的安全；本次改造遵循现有核电相关法规和标准，升级改造后的系统其重要性能指标不低于原有系统，并满足以下要求：

◇ 确定性：对于确定的输入，应有确定的、唯一的处理过程，并产生确定的、唯一的输出。

◇ 独立性：同一安全级别的冗余设备之间的独立，不同安全级别设备之间的独立，同一安全级别之间以及不同安全级别之间的通信，均不能阻碍安全功能的执行。

◇ 完整性：在输入信号异常、输入电源异常的情况下，以及系统内部设备发生异常时，系统能够完成其安全功能；系统应具有试验或/和校准功能；系统具有适当的故障探测和自诊断功能。

2 系统设计和工程实施

升级改造后的保护系统仍保持原系统的12 个保护变量不变，12 个保护变量分别来自核测量系统、热工检测系统、重水泵电路和棒控系统电路以及试验回路（高温高压试验回路、低温低压试验回路），系统设计遵循HAF102 规定的相关设计原则：

◇ 多样性

由于设置了12 个自动紧急停堆参数，较好地加强了对共因故障的设防能力，当一个假设初始事件发生时，均可同时使两个或两个以上的参数达到停堆越限值使反应堆停闭。

◇ 独立性

加强保护系统与监控系统、事故后监测系统以及其他系统的独立性，是保证系统冗余度的重要措施。保护系统的独立性设计主要体现在下述几点：

1）保护系统三通道在电气上和结构上都是独立的，三通道之间信号通过安全级协议进行光电转换后进行传输[4]。

2）对保护系统与其他系统之间在电气上和结构上的独立性也作了充分考虑，保护系统同棒控、核测以及监控系统间信号进行了电气隔离，不会对保护系统产生有害的影响。

3）为防止由地线引入干扰，信号地同屏蔽地分开接地，提高了抗干扰能力。

◇ 冗余与符合

保护系统设立3 个保护通道，每个通道均为热备冗余结构，12 个保护变量通过三取二（2/3）符合逻辑实现自动停堆。

◇ 在役检验

保护系统采用局部—总体符合结构，具有可试验性，应对每个设备设置旁通自检功能，当设备进行自检时，不应影响保护系统的安全功能。

◇ 故障安全准则

MHWRR 保护系统故障安全技术遵循故障安全准则设计，当继电器断开或失去电源时给出停堆信号。

与此同时，高质量的设备是获得系统高可靠性的基础，基于FirmSys 平台搭建的保护系统设备具有如下特点：

a）FirmSys 平台保护系统设备在研制全过程中均按1E级的质保大纲实施各阶段的质量见证和生产过程的质量控制。

b）根据需要合理使用了冗余CPU 技术，选用柜式结构。

c）硬件具备自诊断功能，提供本地和远程报警指示功能。

d）硬件板卡具备热插拔功能，可在线进行维护或者更换，不影响系统运行。

实现的保护系统结构图如图1 所示。

保护系统DCS 部分采用FirmSys 平台如下硬件类型构成（设备等级1E）：

信号调理单元：将现场电阻、电流信号调理成标准4mA ～20mA 信号后送入保护系统采集单元，并对开关量输入信号进行隔离。

信号输入/输出单元：信号输入功能由AI、DI 板卡完成，信号输出功能由AO、DO 板卡完成。AI/DI/AO/DO 板卡（简称IO 板卡）由硬件和软件组成，IO 板卡通过通信单元和数据处理单元交换数据。

图1 保护系统结构图Fig.1 Protection system structure

数据处理单元：数据处理功能由MPU（Main Processing Unit）板卡完成，MPU 板卡包含硬件和软件。MPU 板卡通过通信单元获得数据，对数据进行运算，并把运算后的结果通过通信单元发送给其他单元。

通信单元：通信功能由通信单元完成，通信单元由硬件和软件组成。通信单元是MPU 单元、信号IO 单元相互交换信息的桥梁，也是系统与外部交换信息的接口。

3 可靠性分析

本文中根据GB/T 9225 等相关标准要求，对使用FirmSys 平台改造后的反应堆保护系统可靠性指标进行了定量分析和评估，从系统拒动率、误动率和不可用性3 个方面来分析系统的可靠性，并给出提高稳定性的措施[5]。

通过对反应堆保护功能进行分析，反应堆保护系统触发停堆的功能按逻辑类型主要分为两类：2oo3 逻辑（Type1）、3oo4 逻辑（Type2），对RPS 可靠性指标计算采取故障树分析（FTA）[6]，计算步骤如下（可靠性分析计算所需的基础数据由设备生产商提供）：

1）针对某一类型变量，确定导致系统拒动、误动、不可用的故障模式，建立系统拒动、误动、不可用性模型。以Type1（2oo3）逻辑类型为例，其不可用顶层故障树模型如图2 所示。

2）进一步细化建立各单元的可靠性模型并代入基础数据，得出该类型变量拒动、误动、不可用性概率值。以输入部分不可诊拒动模型为例，模型如图3 所示。

3）重复步骤1）～步骤2），计算所有类型变量下系统的可靠性概率。

图2 Type1顶层故障树模型Fig.2 Type1 Top fault tree model

图3 Type1输入部分不可诊拒动故障树模型Fig.3 Type1 Input part undiagnosable failed fault tree model

通过以上分析计算，该系统采用FrimSys 平台改造后保护系统的可用性＞ 99.99%、拒动率＜10-6/次、误动率＞0.1/年，并从构建故障树模型的基本事件分析中可以得出提高系统可靠性的途径，除采用可靠性高的设备元器件外，需要系统维护人员从两方面来提高设备的平均修复时间MTTR。一方面提高检修人员对系统的熟悉程度，经常检查并维持设备的工作环境，并在设备故障时尽快恢复故障设备；另一方面需要定期替换主要设备，要求现场及时采购相应的备品、备件。

4 改造前后保护系统性能对比

采用FirmSys 平台改造完成数字化改造的保护系统同原系统相比，主要有以下改进点：

◇ 改善了保护系统的独立性，保护系统3 通道以及其它系统间均实现完全独立。

◇ 保护变量符合逻辑由原来的1/1 或1/2 扩展为2/3，较好满足了单一故障准则。

◇ 提高了保护系统的响应时间，由原来的200ms 提升到80ms。

◇ 系统具备故障探测和自诊断功能。

◇ 改造后系统具备可试验性，同时也增强了故障预测能力。

◇ 保护系统数据传输到监控系统和事故后系统，便于获取。

◇ FirmSys 平台提供了维护网络，便于维护。

◇ 采用了高可靠性的FirmSys 平台设备，整体提高了系统可靠性。

5 结束语

采用自主的国产安全级DCS 平台完成了对该实验堆型保护系统的改造，改造系统完全满足项目对保护系统确定性、独立性、完整性要求。本次升级改造实现了保护系统的数字化，新设计的系统能够与升级改造后的其他相关系统和设备（如核测量系统、事故后监测系统、棒控系统、监控系统、主控室等）密切配合，保障反应堆的安全。

通过故障树对升级改造后的系统进行了定性、定量分析，其主要性能指标远优于原有系统，并对后续项目可靠性保证提出了建议措施，DCS 设备厂家应不断提高设备自身的可靠性，而系统的维护人员需及时地对系统和设备进行维护，并及时采购相应的备品备件数量来保证系统可靠稳定运行；该系统的成功改造为后续改造项目使用国产化安全级DCS 平台的应用提供了示范。