反應堆保護系統(tǒng)多樣性分析

熊幫平，吳志強，劉明明，王 愷

（中國核動力研究設計院 核反應堆系統(tǒng)設計技術(shù)重點實驗室，成都 610213）

0 引言

波音737 MAX 墜機事件至今已過去數(shù)月，調(diào)查結(jié)果顯示導致此次事故的原因有很多。從設計的角度來說，傳感器采集的數(shù)據(jù)沒有進行交叉比較，MCAS 軟件系統(tǒng)與人工干預爭奪飛機控制權(quán)又是諸多因素中比較重要的原因。其中，傳感器數(shù)據(jù)的交叉比較是核電領域普遍且比較成熟的做法，在此不做過多說明，本文主要從反應堆保護系統(tǒng)的多樣性來介紹核電廠的設計方法。

《核動力廠設計安全規(guī)定》中明確提出，基于計算機的系統(tǒng)在保護系統(tǒng)中的應用，如果不能論證所需系統(tǒng)的完整性具有高可信度時，必須具備保證執(zhí)行保護功能的其他不同手段。采用單一性質(zhì)的系統(tǒng)設備、技術(shù)手段容易引起共因故障。共因故障是指由特定的單一事件或起因?qū)е聝蓚€或多個構(gòu)筑物、系統(tǒng)或部件失效的故障，這里的單一事件可以是系統(tǒng)內(nèi)某一元器件的設計制造缺陷或者運行環(huán)境引發(fā)的級聯(lián)效應等。為預防共因故障，可以對執(zhí)行某一確定功能設置兩個或多個多重部件（系統(tǒng)），這些不同部件或系統(tǒng)具有不同屬性，這就是核電廠的多樣性設計。

1 保護組多樣性設計

核電廠反應堆保護系統(tǒng)（RPS）在保護組（RPC）軟件系統(tǒng)中執(zhí)行的跳堆邏輯有近30 個[1]，這些跳堆邏輯不僅覆蓋了機組從停堆狀態(tài)到滿功率運行的整個過程，而且對于機組在同一狀態(tài)時，同一事故還包含了多個跳堆邏輯。例如在P7 信號出現(xiàn)時，與任一環(huán)路的主泵轉(zhuǎn)速低低、任兩環(huán)路的冷卻劑流量低（主泵斷路器打開）耦合都能觸發(fā)跳堆事件，其采集信號的傳感器原理也各不同，但其對應的事故都是冷卻劑循環(huán)故障導致熱量不能正常帶出。因此，對于同一事故采用不同的停堆邏輯，可以實現(xiàn)傳感器的設備多樣性和跳堆功能的多樣性。

保護組主要實現(xiàn)跳堆功能和局部觸發(fā)邏輯的運算。由于采用相同廠家的設備系統(tǒng)，可能會由于共因故障影響系統(tǒng)的運行，如跳堆輸出信號所在的卡件存在故障、控制停堆斷路器動作的線圈繼電器失效等問題，核電歷史上也曾多次出現(xiàn)停堆斷路器的繼電器不能正常動作的事件[2]。對此，除了基于概率論設置多重冗余外，反應堆保護系統(tǒng)還從多樣性的角度設置了ATWT 系統(tǒng)。

作為常規(guī)DCS 的多樣性保護系統(tǒng)，ATWT 系統(tǒng)采用的架構(gòu)與保護組基于CPU 的分散控制系統(tǒng)不同，采用了基于繼電器/硬接線的傳統(tǒng)模擬處理技術(shù)，可以實現(xiàn)設備的多樣性。實現(xiàn)功能上，各個標準規(guī)范根據(jù)面向的堆型不同，一般只在典型事故初因中選擇一個或兩個作為觸發(fā)條件，停堆輸出信號作用于控制棒驅(qū)動機構(gòu)CRDM 線圈。但是受限于自身的實現(xiàn)方式，ATWT 不能實現(xiàn)常規(guī)DCS 那么復雜而靈活的功能，而且由于傳統(tǒng)的模擬量處理模塊可能存在定值漂移的問題，需要定期檢查和調(diào)整。

ATWT 和RPC 的停堆信號作用于不同的驅(qū)動裝置，并不存在沖突指令作用于同一驅(qū)動設備的情況。因此，兩者之間沒有優(yōu)先級關(guān)系。

2 專設列多樣性設計

專設列主要完成設備的邏輯運算、驅(qū)動信號輸出和機組控制模式的選擇等功能，為保證系統(tǒng)的可靠運行，普遍采用冗余性和多樣性相結(jié)合的設計準則。冗余性主要體現(xiàn)在設立兩個完全相同且獨立的子組運行（或CPU 冗余但共用IO，雙CPU 錯序運行的方式[3]）。由于組態(tài)運算的最終目的在于驅(qū)動設備的輸出控制，因此不針對內(nèi)部運算設置專門的多樣性。由安全級驅(qū)動控制的設備數(shù)量較多，多樣性的實現(xiàn)主要有以下方式：

1）選取功能比較重要的一部分設備，由二層的繼電器/硬接線直接控制。

2）在每一個優(yōu)選驅(qū)動模塊上設置非安全級控制命令。

3）在每一個優(yōu)選驅(qū)動模塊上設置手動功能。

但是這兩種方式都存在各自的缺點，前一種考慮到硬件規(guī)模，不能夠覆蓋所有的驅(qū)動設備；第二種需要在非安全級側(cè)增加大量邏輯以及隔離；后一種需要工作人員到就地機柜處找到驅(qū)動設備對應的優(yōu)選模塊操作，時效性較差。因此在實際工程中，針對不同設備，選取三種方式相結(jié)合的方式，從概率論的角度來降低系統(tǒng)風險。

3 二層控制多樣性設計

保護組和專設列主要是level1 層控制，level2 層主要是人機接口層，由操縱員控制干預的地方。下面以OWP/BUP/RSS 不同模式下的切換來舉例說明：

OWP/BUP/RSS 模式切換是機組為應對level2 層控制失效設置的模式，機組正常運行在OWP 模式下。3 種模式的特點如下[4]：

OWP 模式：

1）KIC 系統(tǒng)作為主要控制方式運行，能夠?qū)崿F(xiàn)對全廠所有設備功能的控制和監(jiān)視，控制場所為主控室（MCR）。

2）BUP 上的少數(shù)控制功能有效。

3）遠程停堆站（RSS）的控制功能不生效。

BUP 模式：

1）BUP 模式是OWP 模式失效后的備用模式，控制場所為MCR。

2）BUP 模式主要采用繼電器/硬接線作為控制方式。

3）RSS 控制功能不生效。

RSS 模式：

1）MCR 不可用后的控制模式，控制場所為RSS，不與MCR 同一防火分區(qū)。

2）RSS 模式采用DCS 儀控系統(tǒng)和繼電器/硬接線共同作為控制方式。

3）OWP 模式和BUP 模式不可用。

緊急停堆盤（ECP）包含緊急停堆、安注、汽機跳閘等核心功能，完全由繼電器/硬接線搭建，雖然位于MCR，但不是某個模式特有的，其中ECP 上的手動緊急停堆功能不受模式切換的影響，其關(guān)系大致如圖1 所示。

需要說明的是，對于BUP 和RSS 模式來說，可以將反應堆平穩(wěn)過渡并維持在安全狀態(tài)就可以了，并不需要實現(xiàn)OWP 模式下那么全面的功能。在兩個模式切換中，MCR/RSS 模式切換的優(yōu)先級高于BUP/OWP，在切換至RSS 模式后，要求整個MCR（ECP 的緊急停堆功能等少數(shù)功能除外）的控制功能不可用，其中：

1）ECP 是純硬件結(jié)構(gòu)，設備量少，通過在ECP 側(cè)搭建硬邏輯，當MCR/RSS 切換開關(guān)轉(zhuǎn)向RSS 時發(fā)出閉鎖命令，控制這部分硬邏輯的斷開，使得ECP（緊急停堆功能除外）功能失效。

2）BUP 基于設備多樣性的考慮，大多同時設置了通過硬件直達驅(qū)動設備和通過專設軟件再達驅(qū)動設備。在需要驅(qū)動的設備較少的情況下，通過硬件的部分處理可以用繼電器閉鎖，通過軟件的部分在專設內(nèi)設置模式切換閉鎖邏輯。

4 GCT-a閥門的多樣性設計

圖2 多點壓力校準裝置前面板Fig.2 Multi-point pressure calibration device front panel

在OWP/BUP/RSS 的模式切換中，多樣性的實現(xiàn)必須保證在不同的模式切換過程中設備狀態(tài)的可控性。下面以核電廠中的GCT-a 閥門調(diào)節(jié)中的GCT131VV 進行實例說明：

GCT131VV 屬于GCT-a 閥門組，用于當反應堆功率與反應堆負荷不一致時，把多余的蒸汽排向大氣，為反應堆提供一個“負荷”，從而避免核蒸汽供應系統(tǒng)中的溫度和壓力超過保護閾值，確保電站安全。

1）自動控制模式

GCT131VV 的軟件控制邏輯在RPC-II 中實現(xiàn)，在3 種機組控制模式間切換時都可用。主要原理是根據(jù)PV 與SV的偏差信號經(jīng)PID 調(diào)節(jié)器輸出MV 值（閥門開度）。其中PV 是主蒸汽管線壓力測量值，是一個變化的過程值，SV是壓力整定值，是一個給定值，根據(jù)給定模式的不同分為內(nèi)、外給定。內(nèi)給定指操作員手動調(diào)整，外給定是軟件內(nèi)部設定的值，給定模式可以在SVDU 上進行切換。OWP/BUP/RSS 下內(nèi)給定的SV 值會自動跟蹤外給定的值，實現(xiàn)機組控制模式切換下的無擾性，反之不能實現(xiàn)，會引起閥門開度的變化，但這種情況一般通過操作規(guī)程來控制。

2）手動控制模式

手動控制可以在OWP/BUP/RSS 各自的SVDU 上實現(xiàn)調(diào)節(jié)，各自模式下的MV 開度值會自動跟蹤RPC 軟件內(nèi)運算后的值，實現(xiàn)OWP/BUP/RSS 模式切換后閥門開度的無擾性。

除了上述常規(guī)控制方式以外，GCT131VV 還基于多樣性考慮設置了只依靠手操器及其控制接口單元的控制方式，如圖2 所示。

圖2 中左側(cè)表示手操器，右側(cè)表示手操器接口單元。其中，綠線表示RPC-II 軟件運算后經(jīng)AO 卡件輸出的閥門開度信號，紅線表示最終輸出。

當RY3 繼電器勵磁時（通過MCR/RSS 模式切換開關(guān)實現(xiàn)），觸點1/9 斷開，機組在RSS 控制模式，此時藍色部分控制邏輯不生效。KCS566BN 的C9/C10 信號采集AO 卡件輸出的MV 開度信號，一邊給至手操器上的remote 指示器顯示，另一邊通過R12 繼電器的3/11 和4/12 兩對觸點，經(jīng)過如圖2 中所示的紅線輸出閥門開度信號，同時將最終的閥門開度信號給至手操器上的MV 指示器顯示，即一般情況下的控制方式。

當RY3 繼電器未勵磁時，切換至OWP 或BUP 模式。此時由BUP 上的手操器GCT403RC 來控制閥門的開度輸出，是完全依靠硬件實現(xiàn)的多樣性控制。SW4 切換開關(guān)通過改變輸出端口的選擇，實現(xiàn)兩種控制方式的互不干擾，當SW4 閉合使得RY1 和RY2 繼電器勵磁，閥門的開度輸出改由繼電器RY2 的7/11 和8/12 控制，即Hand 指示器的值，并在此基礎上通過SW1/SW2/SW3 實現(xiàn)閥門的快（慢）速增減。但在此時的控制方式下，Hand 指示器的值沒有跟蹤閥門上一時刻的開度，因此在切換前需要將Hand 指示器的值調(diào)整至與MV 指示器相同，以防止閥門開度出現(xiàn)較大幅度地擾動，這主要通過核電廠的操作規(guī)程來控制。

5 結(jié)束語

反應堆保護系統(tǒng)的設備和功能多樣性是防止共因故障的重要手段，雖然獨立完整地實現(xiàn)系統(tǒng)功能還有所欠缺，但作為核電廠縱深防御重要的一環(huán)，大大降低了DCS 系統(tǒng)運行過程中由于共因故障導致系統(tǒng)功能喪失的風險。對于基于多樣性實現(xiàn)的不同控制方式，或作用于不同點避免優(yōu)先級，或利用驅(qū)動控制模塊實現(xiàn)優(yōu)先級，而且都是基于繼電器/硬接線的控制優(yōu)先級更高，留給操縱員更多的控制權(quán)，可以避免出現(xiàn)波音事件中多樣性系統(tǒng)爭奪控制權(quán)的事件，能夠確保核電站的安全運行。