核電站安全級數字化保護系統功能分配設計研究

北京廣利核系統工程有限公司 孫洪濤

1 概述

核電站安全級數字化保護系統是核電站的信息神經和控制中樞，對于保證核電站能否安全、可靠、穩定和經濟運行以及提升核電站生產管理水平都起著至關重要的作用。核電站安全級數字化保護系統屬于核電廠1E級電氣設備，用以保護三大核安全屏障（即燃料包殼、一回路壓力邊界和安全殼）的完整性。在核電站正常運行時，數字化保護系統監測與反應堆安全有關的參數，當這些參數超過預設的保護定值時，自動觸發緊急停堆及啟動相應專設安全設施，以限制事故的發展和減輕事故后果，防止放射性物質向周圍環境釋放，保證核電站設備和人員的安全。同時數字化保護系統還向操作人員提供手動控制手段以及相關系統和設備狀態信息。

目前我國正處于核電快速發展時期，在建和擬建的核電機組超過30臺套，核電站安全級數字化保護系統是核電站必需的關鍵系統之一，實現數字化保護系統自主設計不僅符合國家加緊推進核電國產化的戰略性要求，也是實施“以高起點起步、以高標準的安全可靠性要求和將高技術含量主設備作為重點”的國產化策略的必由之路。目前國內所有在建核電站的核安全級數字化保護系統全部依靠國外引進，已經形成了由國外廠商寡頭壟斷的局面。加強核電站安全級自主設計能力對于中國核電產業發展和核電站的安全運行具有重大意義，同時可大幅度降低數字化儀控系統設備的設計和運行維護費用。功能分配設計作為核電站安全級數字化保護系統設計的核心內容，我國尚未形成成熟的功能分配設計原則和方法。本文依據相關標準要求，給出了核電站安全級數字化保護系統功能設計的原則和方法，并結合一種典型的安全級數字化保護系統做了相關分析。

2 功能分配原則

2.1 分配原則

根據標準IEC61513要求，為了緩解故障發生時的影響，安全級數字化保護系統設計須充分考慮多樣性及縱深防御設計，采用功能多樣性和設備多樣性，并綜合考慮冗余配置及負荷均衡相關因素。

（1）功能多樣性

? 停堆功能的多樣性

為了確保停堆安全，符合單一故障準則，停堆保護系統重要保護功能需具有多樣性，即同一保護功能對應多種監測方式，在數字化保護系統設計中，要將其分散到停堆保護通道不同的子系統中實現。

根據上述原則，對M310堆型中的停堆保護條件分配到反應堆停堆保護系統的兩個不同的子系統中，分配示例如表1所示。

表1 停堆保護功能分配示例

? 專設功能的多樣性

對于系統級的專設驅動功能嚴格按照上游文件的需求分配到停堆保護系統的兩個功能子系統中，并分別通過獨立的、隔離的點對點通信傳輸到專設安全驅動系統。

由于核電站安全級保護系統設計中，專設安全驅動系統A序列、B序列的結構已經考慮了功能分配的設計，且任一列均有自動和手動控制。分配到任一列的設備控制，在保證系統級專設驅動限制前提下，也做了必要的功能分配考慮，主要是從工藝系統故障安全角度考慮，將部分系統功能分散，盡量將功能相同的設備分開到不同的專設驅動功能子系統中，如主給水系統ARE和輔助給水系統ASG，需分配在兩個不同的子系統中實現，以保證當一個子系統出現故障時，另一個子系統仍可以正常執行保護功能，保證給水的安全性等。

（2）設備多樣性

設備多樣性主要包括在后備控制盤臺BUP、緊急控制盤臺ECP上設置的部分硬手操器、硬開關以及停堆保護系統拒動ATWT系統。其中ATWT系統作為數字化保護系統的設備多樣性，采用繼電器影邏輯實現，在設備上保證了數字化保護系統停堆和專設驅動的多樣性。

（3）重要功能的冗余配置

對于一些重要的但又不具有功能多樣性的信號，要在兩個子系統中同時實現。如反應堆手動停堆功能。同樣，兩個子系統都需要的反應堆停堆“允許信號”（即“P信號”）也要分別在兩個子系統中實現。

（4）負荷均衡

不具有功能多樣性的參數，原則上放入任何一個子系統均可，但考慮到停堆保護通道兩個子系統的CPU負荷均衡，應該盡量均勻配置到兩個子系統中。

2.2 相關因素

安全級數字化保護系統的功能分配設計，除了滿足核電站安全級的分配原則和要求外，還要從系統負荷率、系統響應時間、工藝接口優化、功能分散等幾方面綜合考慮。

（1）系統負荷率

在安全級數字化保護系統功能分配設計過程中，必須考慮數字化保護系統主控制器（CPU）周期運算處理過程中的負荷率。

在安全級數字化保護系統運算周期內，規定系統CPU的實際處理時間占用系統CPU設定運算周期的百分比，稱為CPU負荷率。為了降低CPU負荷率，可通過降低系統CPU實際處理時間或提高CPU設定運算周期時間設定值實現。

安全級數字化保護系統執行功能越多，邏輯越復雜，則CPU實際處理時間相應增長，CPU負荷率相應提高。在保護系統實現邏輯功能確定的情況下，必須優化保護算法和數字化平臺設置以減少CPU實際處理時間，從而降低CPU負荷率。在功能分配設計時，必須充分重視負荷率因素，合理進行功能分配設計，確保各個系統控制站負荷率均衡，保證系統單站負荷率滿足客戶提出的要求。

（2）系統響應時間

系統響應時間，是從現場傳感器產生信號到數字化保護系統輸出信號給停堆斷路器或專設保護驅動設備所用的時間。在（1）中，為了保證系統負荷率符合要求，除了盡量降低CPU周期實際處理時間外，也可以通過提高CPU運行周期來降低負荷率。但從系統響應時間角度考慮，提高CPU運行周期必須限制在一定的范圍內。對于單個數字化保護系統控制站，執行安全功能越多，邏輯越復雜，對應I/O點越多，則系統響應時間相應增長。在系統功能分配設計中，必須充分考慮系統響應時間因素，確保滿足客戶和標準要求。

（3）工藝接口優化原則

在安全級數字化保護系統功能分配設計過程中，必須遵循數字化保護系統站與站之間的接口優化原則，盡量減少保護站間的信號交換數量，以減小機柜內硬件數量和網絡負荷，對減小系統響應時間和CPU運算負荷率有很大的意義。

例如對于ASG系統，由于系統內邏輯較為復雜，如果把ASG系統放在兩個不同的控制站中實現，則必然會增加信號交換數量，因此在設計時，應將ASG系統邏輯在一個站內實現。

（4）功能分散原則

對于安全級數字化保護系統，在功能分配設計時，需要遵循功能分散原則。即不同但實現同一功能的參數或設備分配到不同的保護站內，當一個保護站發生故障時不會影響保護系統的保護和控制功能，從而增加數字化保護系統的可靠性，有效防御單一故障。例如專設系統保護設備的安全殼噴淋泵和噴淋閥分散在不同的專設安全驅動系統中，當一個保護站故障時不會導致噴淋系統誤動。

核電站安全級數字化保護系統功能分配設計時，需要綜合考慮以上因素。

3 功能分配

本文以一種典型安全級系統架構為例，給出核電站安全級數字化保護系統功能分配設計過程依據和方法。

3.1 系統架構

圖1為一種典型的核電站安全級數字化保護系統架構，主要完成核電站安全級系統保護和設備控制功能，如反應堆停堆保護、專設安全設施驅動、事故后監測等。

由圖1可知，核電站安全級數字化保護系統由以下幾部分構成：

（1）反應堆停堆保護系統RTC：RTC由Ⅰ、Ⅱ、Ⅲ、Ⅳ 4組通道保護柜組成，通過“2/4”表決邏輯，完成反應堆緊急停堆功能；

圖1 典型的安全級系統架構圖

（2）專設安全驅動系統分為系統級專設保護驅動單元SAC和設備級專設保護驅動單元SMC，分別由A序列、B序列兩列組成。SAC接受RTC發送來的信號進行“2/4”表決邏輯運算，生成系統級安全專設保護信號，SAC邏輯功能不是針對某一個具體的設備或系統，而是一批設備或系統。SMC是執行設備級專設功能，其邏輯功能是針對某一個具體的設備，而不是一批設備。SMC接收SAC來的系統級專設驅動信號并在SMC內部分配給相應的機柜，同時，SMC從其他系統接收驅動信號，包括安全操作顯示單元SGC的手動安全操作信號，然后通過優先管理邏輯，由專用優選管理模塊輸出驅動信號至現場設備；

（3）堆芯冷卻監視系統CCS分成A和B兩列，其主要功能是對堆芯熱電偶溫度等信號的數據采集、處理、顯示和數字計算機接口功能；

（4）模擬安全級相關單元SRC實現A序列安全相關模擬功能（B序列的安全相關模擬功能在堆芯冷卻監視系統CCS的B序列機柜實現）；

（5）安全操作顯示單元SGC實現安全級功能的手動控制，同時，安全級設備狀態在SGC顯示。

3.2 分配依據

核電站安全級數字化保護系統功能分配的依據是邏輯圖（簡稱LD）、模擬圖（簡稱AD）及數字化保護系統平臺及其系統架構。其中上游LD、AD輸入文件規定了數字化保護系統系統所要完成的功能，所有的功能分配設計都是在LD、AD等上游輸入文件的基礎上，參考具體的數字化保護系統平臺及其系統架構來完成。

3.3 分配方法

由圖1典型的安全級系統結構圖及其相應功能可知。

? AD中ASG系統、核儀表系統RPN、汽機旁路系統GCT等工藝系統中完成停堆功能的1E級模擬量傳感器信號進入停堆保護系統RTC中作閾值處理，并進行“2/4”表決邏輯，根據表決邏輯的結果判斷是否執行停堆動作；

? LD中與安全專設驅動相關的信號，根據其功能分配，其中系統級功能進入SAC，設備級功能進入SMC；

? 堆芯冷卻監視系統CCS的數據來源主要有堆芯熱電偶數據、冷端箱電阻溫度計數據、一回路的壓力信號、穩壓器壓力信號、主泵運行狀態等，通過以上信息完成堆芯冷卻監視功能。

? AD中安全相關功能信號，根據AD圖紙信息，判斷信號和邏輯所在序列，分別進入SRC和CCS系統B序列機柜；

由上可以得出反應堆數字化保護系統中核心的三個部分RTC、SAC、SMC三者之間的關系，即停堆保護與專設驅動保護之間的功能分配及信號流，如圖2所示。

圖2反映了停堆保護系統與專設驅動保護之間的的基本功能分配及安全級信號流關系：

? 安全級停堆相關的傳感器信號進入停堆保護系統RTC相應的通道，并作閾值處理。處理后將本通道及其他通道中的運算結果，進行最終表決邏輯（“2/3”或“2/4”）運算，運算結果用于停堆保護輸出動作，同時將結果通過點對點通信傳送給SAC。另外需要進行PID控制的1E驅動設備在停堆保護系統RTC中控制；

? 各系統級的專設驅動保護順序運算在SAC中實現，經邏輯處理后發出系統級設備保護驅動信號；根據LD可知，交流應急電源系統LHA、反應堆保護系統RPR為系統級保護驅動邏輯，所以在SAC中實現；

? 緊急控制盤ECP發出的緊急控制指令為系統級保護信號，其中停堆保護指令進入RTC，專設保護驅動指令進入SAC，如安全注入信號SI等。

? 對于數字化控制盤臺、后備控制盤臺、遠程操作盤臺之間的切換邏輯，由于切換結果將作用于所有安全級設備，所以切換邏輯在系統級專設保護單元SAC中實現。

? LD中除LHA、RPR以外的系統都是針對具體設備的系統驅動邏輯，在SMC中實現；

? 安全操作顯示單元SGC發出的手動控制命令進入SMC執行設備級邏輯運算，最后通過優選管理板卡輸出驅動現場設備。

圖2 停堆保護與專設驅動保護功能分配及信號流

4 結語

我國核電站安全級數字化保護系統設計處于起步階段，其功能分配需求尚不完善，所以在進行安全級數字化儀控系統功能分配設計時，必須遵循安全級數字化保護系統設計原則，嚴格依據標準及客戶需求，在保證滿足功能分散及多樣性設計基礎上，優化功能分配設計，減少系統間耦合，保證各個子系統響應時間和負荷率滿足要求，以取得更好的設計經濟效益和運行效益，為我國核電建設創造良好的環境并積累豐富的設計經驗。

[1]國家核安全局. HAF102: 核動力廠設計安全規定[S]. 2004.

[2]國家核安全局.HAD102: 核動力廠設計總的安全原則[S]. 1989.

[3]廣東核電培訓中心. 900MW壓水堆核電站系統與設備(上冊)[M]. 北京:原子能出版社, 2005, 286.

[4]IEC 61513 Nuclear Power Plant-Instrumentation and Control for System Important To Safety-General Requirement for System[S]. 2001.

[5]IEEE 603 IEEE Standard Criteria for Safety Systems for Nuclear Power Generating Stations[S]. 1998.