核電站執(zhí)行機構接收不同安全級指令的控制方法研究

唐立學，張 楠，范 瑾，李 亮

（1.中國核電工程有限公司，北京100840；2.環(huán)境保護部核與輻射安全中心，北京100082）

核電站中，安全級執(zhí)行機構不僅執(zhí)行電站常規(guī)運行的指令，還在事故工況下或運行偏離正常工況時執(zhí)行安全功能產(chǎn)生的指令。顯然從核電站安全角度考慮，安全功能發(fā)來的指令優(yōu)先級要高于常規(guī)運行所發(fā)指令，即，非1E級指令不干擾1E級指令正確執(zhí)行。

目前國內(nèi)核電站控制系統(tǒng)多采用數(shù)字化集散控制系統(tǒng)（DCS），分1E級和非1E級控制系統(tǒng)。大體上，1E級系統(tǒng)負責安全功能指令的產(chǎn)生，非1E級控制系統(tǒng)負責電站的常規(guī)運行（多樣化控制系統(tǒng)除外）。但是，當二者指令相反并同時作用于同一安全級設備時，相互就會產(chǎn)生沖突。對安全級執(zhí)行機構進行控制是核電控制中的重點和難點。本文結合國內(nèi)某新建核電站對安全級執(zhí)行機構控制的結構和方案，提出并分析一種優(yōu)化思路。

1 核電站中已實施的控制方法

在該實際核電項目中，安全級執(zhí)行機構要接收的控制指令來自應急安全盤、1E級控制系統(tǒng)、多樣化控制系統(tǒng)、非1E級控制系統(tǒng)，如圖1所示。為討論突出重點，這里主要針對1E級系統(tǒng)和非1E級系統(tǒng)對同一執(zhí)行機構的控制（框起部分）。

在圖1中，信號優(yōu)選模塊為安全級設備。此模塊接收來自不同安全級的控制指令，通過固化在模塊中的信號優(yōu)選邏輯對信號進行處理，產(chǎn)生一條優(yōu)先級最高的指令送給執(zhí)行機構去執(zhí)行，同時接收來自執(zhí)行機構的狀態(tài)反饋信號，并將其反饋控制系統(tǒng)。正常生產(chǎn)運行時，1E級控制系統(tǒng)不發(fā)控制指令，由非1E級控制系統(tǒng)根據(jù)運行需求對執(zhí)行機構進行操控，信號優(yōu)選模塊接收的控制指令只來自非1E級控制系統(tǒng)。

圖1 實際項目已采用的典型安全級執(zhí)行機構控制示意圖Fig.1 The sketch of the typical safety actuator control adopted in a real nuclear power project

但是在事故工況下或運行偏離正常工況時，1E級控制系統(tǒng)的安全功能被啟動，此時的執(zhí)行機構接收來自不同控制系統(tǒng)的指令。對此，圖1所示的控制結構要解決以下兩個關鍵問題：

（1）執(zhí)行機構對指令執(zhí)行的不一致性判定。當1E級指令和非1E級指令同時出現(xiàn)且相反，優(yōu)選模塊會根據(jù)固化的邏輯把1E級指令送到執(zhí)行機構去執(zhí)行，非1E級指令將被屏蔽而未被執(zhí)行。但非1E級控制系統(tǒng)中需要對設備指令是否正確執(zhí)行作出判定。顯然，此時在非安全級中將會產(chǎn)生一條假的設備故障信號。

（2）安全級執(zhí)行機構在執(zhí)行安全功能發(fā)出的命令期間，在1E級指令發(fā)出后，應當屏蔽掉非1E級信號，以使得非1E級指令不會影響到安全功能的執(zhí)行，但在安全功能被復位后，非1E級控制系統(tǒng)應能立即對執(zhí)行機構進行正常的操控。

解決以上兩個問題，該核電項目的處理方法為：1E級系統(tǒng)在向優(yōu)選模塊發(fā)送指令的同時也向非1E級系統(tǒng)傳輸該指令。為此，增加由1E級到非1E級控制系統(tǒng)的單向信號傳輸線路，同時在非1E級控制系統(tǒng)增加相應邏輯，以強制非1E級控制系統(tǒng)發(fā)出的相關設備的指令與和1E級控制系統(tǒng)發(fā)出的控制指令方向保持一致。

2 控制方法修改

我們知道，在設備常規(guī)控制中，當設備處在就地模式時，控制系統(tǒng)對其命令失效，只接收設備反饋的狀態(tài)或故障信號。這里對信號優(yōu)先模塊引入設備常規(guī)控制的“就地控制模式”概念，即：將信號優(yōu)選模塊和執(zhí)行機構視為一體，在優(yōu)選模塊設置“就地控制模式”功能，修改后的結構見圖2所示。

圖2 修改后優(yōu)選模塊帶就地模式執(zhí)行機構控制示意圖Fig.2 The sketch of the actuator control which priority logic module is introduced“l(fā)ocal mode”

基于此思路，針對上述兩個關鍵問題，具體的修改方案為：

表1 正常運行工況下方案結果對比Table 1 Results of comparison under normal operation condition without 1Ecommand

表2 安全命令工況下方案結果對比Table 2 Results of comparison under the condition with 1Ecommand

（1）信號優(yōu)選模塊增加“就地控制模式”功能。在信號優(yōu)選模塊中，當模塊接收到更高安全級別的控制信號時，則信號優(yōu)選模塊針對低級別的控制系統(tǒng)進入就地控制模式，即當有1E級指令進入信號優(yōu)選模塊后，信號優(yōu)選模塊相對于非1E級系統(tǒng)進入就地控制模式，同時產(chǎn)生一條“就地控制模式”信號送至非1E級控制系統(tǒng)中。當安全功能被復位后，1E級指令也相應被復位，則相對于非1E級系統(tǒng)的就地控制模式終止，此時信號優(yōu)選模塊開始正常接收并執(zhí)行非1E級系統(tǒng)指令。

（2）1E級系統(tǒng)對執(zhí)行機構動作可不作不一致判定（包括多樣化控制系統(tǒng)和應急安全盤），將該不一致性判定邏輯在優(yōu)選模塊內(nèi)固化下來，設備不一致判定結果以設備故障信號的形式返回給非1E級系統(tǒng)用于指示。

（3）在非1E級控制系統(tǒng)中，在執(zhí)行機構的設備級控制模塊中設置“遠程／就地”控制邏輯。數(shù)字化儀控系統(tǒng)目前均采用模塊化設計，普遍采用分級控制方式。設備級控制模塊中的“遠程／就地”控制邏輯是比較成熟且標準化的，實現(xiàn)起來并不困難。

（4）去掉1E級系統(tǒng)向非1E級系統(tǒng)的單向傳輸線路。在優(yōu)選模塊針對非1E級系統(tǒng)進入就地控制模式后，非1E級系統(tǒng)無法通過信號優(yōu)選模塊控制設備，從而實現(xiàn)了1E級命令對非1E級指令的屏蔽。

3 修改后方案邏輯正確性驗證

核電領域中工程方案的采用非常嚴格，故本修改方案不便于通過實際工程來驗證其正確性，但是可以從邏輯上通過仿真進行驗證。這里我們利用工控軟件CONCEPT及其模擬軟件來實現(xiàn)。

基于前面的敘述，選取典型設備（如泵、閥門），在CONCEPT中分別對改進前后的方案創(chuàng)建“典型執(zhí)行機構”“信號優(yōu)選模塊”“1E級控制系統(tǒng)”“非1E級控制系統(tǒng)”四個模塊，然后按照圖1和圖2分別建立信號連接。

模擬兩種工況下，方案修改前后執(zhí)行機構在監(jiān)控系統(tǒng)上的反饋是否一致：

工況1：正常運行工況（無1E級命令）下，如表1所示，方案修改前后執(zhí)行機構在監(jiān)視系統(tǒng)上反饋的狀態(tài)是一致的。

工況2：事故工況（1E級命令啟動）下，如表2所示，方案修改前后執(zhí)行機構在監(jiān)視系統(tǒng)上反饋的狀態(tài)是一致的。

從表1和表2所示的驗證結果，可以看出，修改后的方案對執(zhí)行機構的邏輯控制是正確的。

4 修改前后方案對比分析

在修改后的方案中，當信號優(yōu)選模塊接收到1E級指令（或多樣化控制系統(tǒng)指令）后，其針對非1E級系統(tǒng)進入就地控制模式。非1E級系統(tǒng)不需要對設備動作進行任何的判定，此任務由固化在信號優(yōu)選模塊中的不一致性邏輯完成。此時的非1E級控制系統(tǒng)只接收來自優(yōu)選模塊的反饋，而對執(zhí)行機構不能執(zhí)行任何控制功能。

相對于修改前的方案，結合上述及其驗證結果，對信號優(yōu)選模塊引入設備就地控制模式的思路后，優(yōu)點有：

（1）取消控制系統(tǒng)間的信號傳輸，降低對每個執(zhí)行機構控制的復雜度，各控制系統(tǒng)間相對更加獨立，整個系統(tǒng)間的關系更加清晰、簡單，有利于控制系統(tǒng)間的功能隔離；

（2）取消非1E級系統(tǒng)中相應安全級指令屏蔽非安全級指令的邏輯，很大程度上簡化非1E級控制系統(tǒng)中執(zhí)行機構的控制邏輯；

（3）減少1E級向非1E級系統(tǒng)單向信號傳輸線路。由此減少接口和故障點，無需考慮通訊線路斷開或再恢復會產(chǎn)生一些不可預計的后果，提高了整個系統(tǒng)的可靠性、安全性和經(jīng)濟性。

雖然信號優(yōu)選模塊中增加不一致性判定，但此邏輯簡單成熟、易于實現(xiàn)，不會對現(xiàn)有信號優(yōu)先模塊的設計增加多少復雜度。對于數(shù)字化的儀控系統(tǒng)來說，普遍采用分級控制方式且模塊化，其設備級控制模塊中的“遠程／就地”控制邏輯是比較成熟的技術，故修改后的方案在可行性上也沒有問題。

但修改后的方案有一個缺點，就是需要增加優(yōu)選模塊和非1E級控制系統(tǒng)間至少3個信號連接（開／關故障+遠程模式）。但優(yōu)選模塊產(chǎn)生的故障信號并非安全或運行相關，可以和優(yōu)選模塊的診斷信號通過通訊送到監(jiān)視系統(tǒng)顯示和存檔，因此只剩下了遠程信號連接。

5 結論

綜合來說，對信號優(yōu)選模塊引入“就地控制模式”概念后，修改后的控制方法有利于增強執(zhí)行機構控制的可靠性、安全性和經(jīng)濟性。有利于不同安全級控制系統(tǒng)間的功能隔離和控制簡化，降低對執(zhí)行機構控制的復雜度。基于現(xiàn)有的經(jīng)驗和技術，修改后的方案在可行性上沒有任何問題。

［1］ 晁平.核電站數(shù)字化1E級儀控系統(tǒng)的設計目標分析［J］.數(shù)字技術與應用，2012，（07）.

［2］ 孫凱.核電站安全級DCS系統(tǒng)多樣性分析［J］.自動化博覽，2012，（05）.

［3］ 佘磊春，孫旭，房俊龍.核反應堆保護系統(tǒng)優(yōu)選邏輯模塊［J］.微型機與應用，2012，（07）.

［4］ 鄭偉智.集散控制系統(tǒng)在核電站保護系統(tǒng)中的應用［J］.核電子學與探測技術，2012，（04）.

［5］ IEEE Std.603，Standard Criteria for Safety Systems for Nuclear Power Generating Stations［S］.1991.

［6］ IEC Std.60880，Nuclear power plants-Instrumentation and control systems important to safety-Software aspects for computer-based systems performing category A functions［S］.2006.