核電廠安全級DCS設(shè)備接口模塊的研究

張亮亮，張 瑜，丁 丁，劉東波，江 輝

(深圳中廣核工程設(shè)計(jì)有限公司上海分公司，上海 200241)

核電廠安全級DCS設(shè)備接口模塊的研究

張亮亮，張 瑜，丁 丁，劉東波，江 輝

(深圳中廣核工程設(shè)計(jì)有限公司上海分公司，上海 200241)

設(shè)備接口模塊是核電廠安全級DCS中進(jìn)行優(yōu)先級判斷及輸出最終專設(shè)驅(qū)動命令的重要設(shè)備。在滿足相關(guān)法規(guī)標(biāo)準(zhǔn)及要求的前提下，為進(jìn)一步優(yōu)化設(shè)備接口模塊各輸入命令的接口，同時保證通信的高效性，對設(shè)備接口模塊的相關(guān)內(nèi)容進(jìn)行了系統(tǒng)研究。分析了相關(guān)法規(guī)標(biāo)準(zhǔn)對設(shè)備接口模塊的要求(如多重性、獨(dú)立性、多樣性及縱深防御等)，并對法規(guī)標(biāo)準(zhǔn)在安全級DCS設(shè)備接口模塊的應(yīng)用進(jìn)行了詳細(xì)論述。通過比較國內(nèi)目前核電廠中常見的幾種安全級平臺(如AREVA公司的TXS平臺、三菱公司的MELTAC-N plus平臺、Invensys公司的TRICONEX 平臺以及西屋公司的Common Q平臺)設(shè)備接口模塊，結(jié)合不同安全級平臺設(shè)備接口模塊的通信實(shí)現(xiàn)方式，提出了一種改進(jìn)性方案。該方案兼顧了通信的可靠性及硬接線的數(shù)量。相關(guān)研究和分析可為安全級設(shè)備接口模塊的設(shè)計(jì)提供參考。

設(shè)備接口模塊； 優(yōu)先級； 安全級DCS； 多重性； 獨(dú)立性； 多樣性； 縱深防御； 通信

0 引言

作為核電廠的“神經(jīng)中樞”，分布式控制系統(tǒng)(distributed control system,DCS)為核電廠正常運(yùn)行、異常和事故工況提供各類控制、保護(hù)手段及監(jiān)測信息，以保證核電廠安全、可靠和經(jīng)濟(jì)地運(yùn)行。在常見的幾種核電廠用安全級DCS平臺中，設(shè)備接口模塊主要用于接收來自安全級和非安全級儀控系統(tǒng)的設(shè)備控制命令，并將最高優(yōu)先級的命令發(fā)送至驅(qū)動設(shè)備[1]。另外，它通常具有數(shù)據(jù)采集和狀態(tài)監(jiān)測功能。

作為設(shè)備控制命令與受驅(qū)動設(shè)備間的接口裝置，設(shè)備接口模塊滿足安全級DCS需遵守的獨(dú)立性與單一故障準(zhǔn)則，是保證儀控系統(tǒng)實(shí)現(xiàn)多樣性與縱深防御功能的重要設(shè)備。本文分析了設(shè)備接口模塊涉及的主要設(shè)計(jì)準(zhǔn)則，另外還對其通信方式給出了一些見解。

1 相關(guān)設(shè)計(jì)準(zhǔn)則的研究

設(shè)備接口模塊作為安全級DCS平臺的一部分，應(yīng)滿足安全級DCS平臺的基本設(shè)計(jì)原則，如獨(dú)立性、單一故障等。它在核電廠儀控系統(tǒng)實(shí)現(xiàn)多樣性或防止共因故障方面起著重要作用。

1.1 多重性與單一故障準(zhǔn)則

為確保專設(shè)驅(qū)動功能的可靠性目標(biāo)并符合單一故障準(zhǔn)則[2]，不同功能的專設(shè)可能由兩個、三個或四個不同的序列組成。相應(yīng)地，驅(qū)動該專設(shè)的設(shè)備接口模塊也分布在不同的序列。當(dāng)其中一個設(shè)備接口模塊失效時，不影響其他序列正常發(fā)揮專設(shè)安全功能，確保了系統(tǒng)的可靠性。

1.2 獨(dú)立性

獨(dú)立性準(zhǔn)則主要適用于安全級儀控系統(tǒng)內(nèi)部多重序列之間以及安全級系統(tǒng)與非安全系統(tǒng)之間。實(shí)現(xiàn)獨(dú)立性主要采用實(shí)體分隔以及電氣隔離、通信隔離和功能隔離等手段。不同序列實(shí)現(xiàn)同一專設(shè)驅(qū)動功能的設(shè)備接口模塊之間沒有通信關(guān)系，相互獨(dú)立。不同安全級序列的設(shè)備接口模塊之間的實(shí)體分隔也由序列之間的實(shí)體分隔功能實(shí)現(xiàn)。因此，對設(shè)備接口模塊而言，主要應(yīng)考慮的是安全級部分與非安全級部分之間的獨(dú)立性。根據(jù)IEEE Std.7-4.3.2[3]，安全級和非安全級系統(tǒng)之間的數(shù)據(jù)通信不應(yīng)抑制安全功能的執(zhí)行；另外非安全級功能不會妨礙安全級系統(tǒng)發(fā)揮功能。

設(shè)備接口模塊的優(yōu)選邏輯可提供功能隔離。設(shè)備接口模塊的優(yōu)選邏輯功能示意圖如圖1所示。

圖1 優(yōu)選邏輯功能示意圖

僅在安全級系統(tǒng)無非安全級命令閉鎖信號時，非安全級命令才會起作用，可以將非安全級命令的功能限制在安全級設(shè)計(jì)要求范圍內(nèi)，防止非安全級命令的誤觸發(fā)對安全級功能造成的不利影響。

設(shè)備接口模塊需要將來自安全級系統(tǒng)、非安全級系統(tǒng)的命令綜合起來進(jìn)行優(yōu)先級判斷，然后輸出高優(yōu)先級的控制命令。以應(yīng)用于非能動核電站的Common Q平臺設(shè)備接口模塊CIM[4]為例，非安全級系統(tǒng)通過遠(yuǎn)程I/O光纖總線，將非安全級信號傳送到遠(yuǎn)程節(jié)點(diǎn)控制器(remote node controller,RNC)。光纖通信實(shí)現(xiàn)了RNC和非安全級系統(tǒng)間的電氣隔離。

相較于其他安全級平臺，非能動核電站的多樣化驅(qū)動系統(tǒng)從傳感器輸出到最終被驅(qū)動設(shè)備均完全獨(dú)立[4]，這就保證了設(shè)備接口模塊與多樣化驅(qū)動系統(tǒng)之間的獨(dú)立性。

1.3 多樣性和縱深防御

共因故障(comnon cause failure,CCF)[5]是指因特定的單一事件或原因?qū)е聨讉€器件或部件不能執(zhí)行其功能的故障。這些事件可能來自儀控系統(tǒng)的內(nèi)部或外部。而軟件共因故障是指數(shù)字化系統(tǒng)中因軟件設(shè)計(jì)和開發(fā)錯誤而造成的多個設(shè)備序列或系統(tǒng)的失效。

完成同一功能的專用安全設(shè)施一般由多重驅(qū)動設(shè)備組成，驅(qū)動同一專設(shè)功能的設(shè)備接口模塊也分布在不同的安全級序列。設(shè)備接口模塊的控制邏輯處理一般都采用可編程邏輯器件(CPLD/FPGA)等，而不是基于微處理器，但其開發(fā)和下裝過程仍是通過軟件進(jìn)行的。

由于相同版本的軟件存在于安全相關(guān)系統(tǒng)的多重序列，數(shù)字化系統(tǒng)一般不能證明是無誤的，因此需考慮受到CCF的影響(包括可編程器件)[6]。多樣性和測試是兩種被NRC接受的方法，用于消除軟件共因故障的影響。而測試要求對輸入信號的所有可能組合以及設(shè)備狀態(tài)的所有可能時序進(jìn)行測試，另外還要驗(yàn)證所有測試用例的輸出(100%測試或完全測試)。由于儀控系統(tǒng)的復(fù)雜性，完全測試很難應(yīng)用于實(shí)際的數(shù)字化系統(tǒng)。多樣性設(shè)計(jì)是解決專設(shè)驅(qū)動共因故障的切實(shí)可行方法。

非能動核電站安全級DCS設(shè)備接口模塊與多樣化驅(qū)動系統(tǒng)從設(shè)計(jì)、設(shè)備制造商、邏輯處理設(shè)備、功能、全壽命周期、邏輯及信號這7個不同屬性，實(shí)現(xiàn)了NUREG/CR-7007中要求的多樣性[7]。

NUREG-0800，BTP7-19[6]給出了儀控系統(tǒng)的4個防御層次:第一層為非安全級控制系統(tǒng)，用于核電站正常運(yùn)行條件下；第二層為停堆系統(tǒng)，在電廠發(fā)生不可控的偏離工況時快速降低反應(yīng)性；第三層為專設(shè)安全系統(tǒng)，用于移除堆芯熱量，維持三道物理屏障的完整性，避免大量放射性釋放到環(huán)境中;最后一層為監(jiān)視和指示系統(tǒng)，它包括了安全級和非安全級的手動控制、監(jiān)視和指示功能，用來操作其他三個防御層次涉及的設(shè)備。

設(shè)備接口模塊執(zhí)行的縱深防御功能除了安全級的專設(shè)驅(qū)動外，還執(zhí)行非安全級的縱深防御功能，它可為非安全級控制系統(tǒng)提供安全級設(shè)備的控制。隨著平臺的變化，設(shè)備接口模塊提供的來自非安全級的控制功能略有不同，如Common Q平臺僅為全廠控制系統(tǒng)PLS提供安全設(shè)備控制；而某些平臺則為控制系統(tǒng)以及多樣化驅(qū)動系統(tǒng)都提供了控制接口。

1.4 其他設(shè)計(jì)要求

根據(jù)IEEE Std.7-4.3.2[3]，設(shè)備接口模塊需要考慮如下原則。

①故障安全設(shè)計(jì)。

當(dāng)出現(xiàn)可信的故障模式時，設(shè)備接口模塊應(yīng)可將執(zhí)行機(jī)構(gòu)置于安全位置，使核電廠處于安全狀態(tài)。

②測試功能設(shè)計(jì)。

設(shè)備接口模塊的測試功能不能影響其執(zhí)行安全功能。相關(guān)的測試功能主要包括安全級/非安全級命令發(fā)送至設(shè)備接口模塊、設(shè)備接口模塊的命令輸出以及二者之間的交迭測試。

③故障檢測和自診斷。

通過自診斷功能，可以快速檢測到設(shè)備接口模塊的故障。故障檢測功能主要有電源故障、通信故障以及輸出測試故障等；自診斷功能主要用于設(shè)備接口模塊控制器件(如FPGA/CPLD等)內(nèi)部功能完整性的診斷。

2 不同安全級平臺設(shè)備接口模塊的比較

國內(nèi)現(xiàn)有核電廠中，安全級DCS[4-5]的設(shè)備接口模塊主要有AREVA公司的TXS平臺AV42模塊、三菱公司的MELTAC N-plus平臺PIF、Invensys公司的TRICONEX 平臺PLM模塊以及西屋公司的Commom Q平臺CIM模塊等。不同平臺設(shè)備接口模塊的接口關(guān)系如圖2所示。

圖2 不同平臺設(shè)備接口模塊接口關(guān)系圖

CIM模塊同樣基于FPGA技術(shù)，實(shí)現(xiàn)優(yōu)先級判斷以及設(shè)備驅(qū)動命令輸出，并將設(shè)備狀態(tài)分別通過SRNC/RNC反饋給安全級/非安全級控制系統(tǒng)。它與DAS不存在接口，二者之間具有完全的獨(dú)立性。

PIF模塊由硬件電路實(shí)現(xiàn)，它以RS-485串行總線的方式接收來自安全邏輯機(jī)柜的控制命令；另外，它通過繼電器機(jī)柜ARC以硬接線的方式，接收來自緊急控制盤ECP、后備盤BUP以及多樣化驅(qū)動系統(tǒng)DAS的信號。DAS采用純模擬技術(shù)實(shí)現(xiàn)。

AV42模塊由PLD和處理器兩大部分組成。PLD主要實(shí)現(xiàn)驅(qū)動指令的生成和優(yōu)選、獲取反饋信息、指令的輸出和中斷、定期試驗(yàn)等功能；處理器部分主要實(shí)現(xiàn)Profibus總線的通信控制功能[8-10]。AV42以硬接線方式接收來自安全級DCS的控制命令，同時通過Profibus總線接收來自非安全級控制系統(tǒng)自動處理器AP的控制命令，接收AV42反饋的設(shè)備驅(qū)動器狀態(tài)信息以及模塊狀態(tài)信息。

PLM模塊基于FPGA技術(shù)實(shí)現(xiàn)，它以硬接線方式接收來自1E級TRICONEX的ESFAS專設(shè)驅(qū)動信號、ECP的手動控制信號、DAS/ATWT的信號以及非安全控制系統(tǒng)的控制信號。PLM僅完成優(yōu)選邏輯判斷、驅(qū)動信號輸出和定期試驗(yàn)功能，自身無驅(qū)動信號保持功能，且無控制設(shè)備的狀態(tài)反饋功能。PLM模塊比較容易實(shí)現(xiàn)，但功能單一。DAS/ATWT采用了與非安全級控制系統(tǒng)相同的Foxboro I/A平臺。不同平臺設(shè)備接口模塊的差異對比如表1所示。

表1 不同平臺設(shè)備接口模塊的差異對比

綜上可知，目前多數(shù)安全級平臺的設(shè)備接口模塊都采用可編程邏輯器件/門陣列實(shí)現(xiàn)；在與多樣化驅(qū)動系統(tǒng)DAS之間的接口方面，Common Q平臺實(shí)現(xiàn)了完全的獨(dú)立，且DAS采用了FPGA技術(shù)。其他方面的主要差別在于通信形式，PLM模塊僅采用硬接線，可靠性高，但其實(shí)現(xiàn)功能比較簡單，PLM本身不具有閉環(huán)控制能力，而其他幾種模塊都采用了通信加硬接線的形式。

3 設(shè)備接口模塊通信方式的改進(jìn)

設(shè)備接口模塊與安全級控制器、非安全級控制器及控制設(shè)備間的數(shù)據(jù)交換需遵守美國核管會DI&C ISG-04[1]關(guān)于安全級通信方面的要求。NRC認(rèn)為，安全級的通信不應(yīng)有握手指令，同時不接受從安全級序列之外打斷。另外，通信中應(yīng)使用預(yù)先定義好的信息格式和協(xié)議，以簡單離散的數(shù)字信號方式來實(shí)現(xiàn)確定性的通信。

由表1可知，設(shè)備接口模塊與驅(qū)動設(shè)備之間的通信均以硬接線方式進(jìn)行。不同平臺的設(shè)備接口模塊通信的差異往往存在于處理器和設(shè)備接口模塊之間。而非安全級處理器與設(shè)備接口模塊之間的通信要求滿足1.2節(jié)之間的獨(dú)立性要求，以保證二者之間的通信不會對安全級功能造成不利影響。

通常的設(shè)備接口模塊與處理器、驅(qū)動設(shè)備之間的通信示意圖如圖3所示。

圖3 設(shè)備接口模塊通信示意圖

為了減少硬接線數(shù)量，節(jié)約控制柜內(nèi)/間的布線空間，某些平臺(如MELTAC-N plus)在安全級處理器與設(shè)備接口模塊間采用了串行總線通信形式，而TXS則使用了硬接線的形式。為保證更高的可靠性，設(shè)備接口模塊的設(shè)計(jì)應(yīng)盡可能采用硬接線接口，不采用通信方式[5]。

改進(jìn)的設(shè)備接口模塊通信如圖4所示。

圖4 改進(jìn)的設(shè)備接口模塊通信示意圖

該方案采用不同的方式傳輸安全級處理器與設(shè)備接口模塊間的命令信號和反饋信號，命令信號采用硬接線，反饋信號則以通信方式實(shí)現(xiàn)。

4 結(jié)束語

本文對安全級DCS設(shè)備接口模塊適用的準(zhǔn)則進(jìn)行了研究和分析，詳細(xì)論述了設(shè)備接口模塊需要遵守的一般性準(zhǔn)則。另外還綜合了TXS、MELTAC-N plus、Invensys以及Common Q等不同平臺的特性，提出了一種更為可靠的設(shè)備接口模塊的通信方式。在遵循現(xiàn)有NRC/IEEE/HAD等相關(guān)標(biāo)準(zhǔn)的前提下，進(jìn)一步優(yōu)化設(shè)備接口模塊的結(jié)構(gòu)，對于提高設(shè)備可靠性有著重要的意義。

[1] US NRC.DI&C ISG-04 Highly-integrated control rooms-communications issues[S].NRC,2009.

[2] 國家核安全局.HAD102/10核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)施[S].北京:中國法制出版社，1988.

[3] Institute of Electrical and Electronics Engineers.IEEE Std.7-4.3.2 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations[S].IEEE,2010.[4] 劉玥,丁長富,王少華,等.DCS安全級儀控平臺的分析研究[J].自動化博覽，2012(1):48-54.

[5] 鄭偉智,李相建.CPR1000保護(hù)系統(tǒng)設(shè)計(jì)研究[J].核動力工程，2012,33(6):21-26.

[6] USNRC.NUREG-0800,Standard review plan,BTP 7-19Guidance for evaluation of defense-in-depth and diversity in digital computer-based instrumentation and control systems[S].NRC,2007.

[7] USNRC.NUREG/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems[S].NRC,2009.

[8] 金思奇,彭錦,彭華清,等.EPR儀控平臺失效應(yīng)對策略研究[J].核科學(xué)與工程，2012(S2):105-110.

[9] 馮威,羅煒,俞赟,等.核電廠優(yōu)先級控制模塊的研究與設(shè)計(jì)[J].科技視界，2005(18):264-265.

[10]陳日罡.優(yōu)先控制模件AV42在田灣核電站的應(yīng)用[J].核工業(yè)自動化，2004(2):22-27.

Research on the Component Interface Modules
of Safety Class DCS in Nuclear Power Plant

ZHANG Liangliang,ZHANG Yu,DING Ding,LIU Dongbo,JIANG Hui
(Shanghai Branch of Shenzhen China Nuclear Power Design Co.,Ltd.,Shanghai 200241,China)

The component interface modules are important devices to make priority judgment and output the actuating command of final components in the nuclear power plant safety level of DCS.Under the premise of meeting the relevant regulations，standards,and requirements,in order to further optimize the input command interface of the component interface modules,and to ensure high efficiency of the communication at the same time,the related content of the component interface modules is systematically researched.The requirements to component interface modules from relevant regulations and standards such as multiplication,independence,diversity and defense in depth,etc.,are analyzed,and the applications of regulations and standards in the component interface modules of the safety class of DCS are described in detail.By comparing some of the component interface modules for commonly seen safety class platforms such as TXS of Siemens,MELTAC-N plus of Mitsubishi,TRICONEX of Invensys,and Common Q of WEC in domestic nuclear power plants at present，and combining with the communication implementation of the component interface modules for different safety class platforms,an improved scheme is proposed,in which both the reliability of communication and the quantity of hard wirings are taken into account.Relevant research and analysis provide reference for the design of safety class component interface modules.

Component interface module; Priority; Safety DCS; Multiplicity; Independence; Diversity; Defense in depth; Communication

張亮亮(1988—)，男，碩士，工程師，主要從事核電廠安全級儀控系統(tǒng)的研究與設(shè)計(jì)工作。E-mail:zl2211516@126.com。

TH89;TP334.7

A

10.16086/j.cnki.issn1000-0380.201707007

修改稿收到日期:2017-03-17