反應堆保護系統多樣性分析

熊幫平，吳志強，劉明明，王 愷

（中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213）

0 引言

波音737 MAX 墜機事件至今已過去數月，調查結果顯示導致此次事故的原因有很多。從設計的角度來說，傳感器采集的數據沒有進行交叉比較，MCAS 軟件系統與人工干預爭奪飛機控制權又是諸多因素中比較重要的原因。其中，傳感器數據的交叉比較是核電領域普遍且比較成熟的做法，在此不做過多說明，本文主要從反應堆保護系統的多樣性來介紹核電廠的設計方法。

《核動力廠設計安全規定》中明確提出，基于計算機的系統在保護系統中的應用，如果不能論證所需系統的完整性具有高可信度時，必須具備保證執行保護功能的其他不同手段。采用單一性質的系統設備、技術手段容易引起共因故障。共因故障是指由特定的單一事件或起因導致兩個或多個構筑物、系統或部件失效的故障，這里的單一事件可以是系統內某一元器件的設計制造缺陷或者運行環境引發的級聯效應等。為預防共因故障，可以對執行某一確定功能設置兩個或多個多重部件（系統），這些不同部件或系統具有不同屬性，這就是核電廠的多樣性設計。

1 保護組多樣性設計

核電廠反應堆保護系統（RPS）在保護組（RPC）軟件系統中執行的跳堆邏輯有近30 個[1]，這些跳堆邏輯不僅覆蓋了機組從停堆狀態到滿功率運行的整個過程，而且對于機組在同一狀態時，同一事故還包含了多個跳堆邏輯。例如在P7 信號出現時，與任一環路的主泵轉速低低、任兩環路的冷卻劑流量低（主泵斷路器打開）耦合都能觸發跳堆事件，其采集信號的傳感器原理也各不同，但其對應的事故都是冷卻劑循環故障導致熱量不能正常帶出。因此，對于同一事故采用不同的停堆邏輯，可以實現傳感器的設備多樣性和跳堆功能的多樣性。

保護組主要實現跳堆功能和局部觸發邏輯的運算。由于采用相同廠家的設備系統，可能會由于共因故障影響系統的運行，如跳堆輸出信號所在的卡件存在故障、控制停堆斷路器動作的線圈繼電器失效等問題，核電歷史上也曾多次出現停堆斷路器的繼電器不能正常動作的事件[2]。對此，除了基于概率論設置多重冗余外，反應堆保護系統還從多樣性的角度設置了ATWT 系統。

作為常規DCS 的多樣性保護系統，ATWT 系統采用的架構與保護組基于CPU 的分散控制系統不同，采用了基于繼電器/硬接線的傳統模擬處理技術，可以實現設備的多樣性。實現功能上，各個標準規范根據面向的堆型不同，一般只在典型事故初因中選擇一個或兩個作為觸發條件，停堆輸出信號作用于控制棒驅動機構CRDM 線圈。但是受限于自身的實現方式，ATWT 不能實現常規DCS 那么復雜而靈活的功能，而且由于傳統的模擬量處理模塊可能存在定值漂移的問題，需要定期檢查和調整。

ATWT 和RPC 的停堆信號作用于不同的驅動裝置，并不存在沖突指令作用于同一驅動設備的情況。因此，兩者之間沒有優先級關系。

2 專設列多樣性設計

專設列主要完成設備的邏輯運算、驅動信號輸出和機組控制模式的選擇等功能，為保證系統的可靠運行，普遍采用冗余性和多樣性相結合的設計準則。冗余性主要體現在設立兩個完全相同且獨立的子組運行（或CPU 冗余但共用IO，雙CPU 錯序運行的方式[3]）。由于組態運算的最終目的在于驅動設備的輸出控制，因此不針對內部運算設置專門的多樣性。由安全級驅動控制的設備數量較多，多樣性的實現主要有以下方式：

1）選取功能比較重要的一部分設備，由二層的繼電器/硬接線直接控制。

2）在每一個優選驅動模塊上設置非安全級控制命令。

3）在每一個優選驅動模塊上設置手動功能。

但是這兩種方式都存在各自的缺點，前一種考慮到硬件規模，不能夠覆蓋所有的驅動設備；第二種需要在非安全級側增加大量邏輯以及隔離；后一種需要工作人員到就地機柜處找到驅動設備對應的優選模塊操作，時效性較差。因此在實際工程中，針對不同設備，選取三種方式相結合的方式，從概率論的角度來降低系統風險。

3 二層控制多樣性設計

保護組和專設列主要是level1 層控制，level2 層主要是人機接口層，由操縱員控制干預的地方。下面以OWP/BUP/RSS 不同模式下的切換來舉例說明：

OWP/BUP/RSS 模式切換是機組為應對level2 層控制失效設置的模式，機組正常運行在OWP 模式下。3 種模式的特點如下[4]：

OWP 模式：

1）KIC 系統作為主要控制方式運行，能夠實現對全廠所有設備功能的控制和監視，控制場所為主控室（MCR）。

2）BUP 上的少數控制功能有效。

3）遠程停堆站（RSS）的控制功能不生效。

BUP 模式：

1）BUP 模式是OWP 模式失效后的備用模式，控制場所為MCR。

2）BUP 模式主要采用繼電器/硬接線作為控制方式。

3）RSS 控制功能不生效。

RSS 模式：

1）MCR 不可用后的控制模式，控制場所為RSS，不與MCR 同一防火分區。

2）RSS 模式采用DCS 儀控系統和繼電器/硬接線共同作為控制方式。

3）OWP 模式和BUP 模式不可用。

緊急停堆盤（ECP）包含緊急停堆、安注、汽機跳閘等核心功能，完全由繼電器/硬接線搭建，雖然位于MCR，但不是某個模式特有的，其中ECP 上的手動緊急停堆功能不受模式切換的影響，其關系大致如圖1 所示。

需要說明的是，對于BUP 和RSS 模式來說，可以將反應堆平穩過渡并維持在安全狀態就可以了，并不需要實現OWP 模式下那么全面的功能。在兩個模式切換中，MCR/RSS 模式切換的優先級高于BUP/OWP，在切換至RSS 模式后，要求整個MCR（ECP 的緊急停堆功能等少數功能除外）的控制功能不可用，其中：

1）ECP 是純硬件結構，設備量少，通過在ECP 側搭建硬邏輯，當MCR/RSS 切換開關轉向RSS 時發出閉鎖命令，控制這部分硬邏輯的斷開，使得ECP（緊急停堆功能除外）功能失效。

2）BUP 基于設備多樣性的考慮，大多同時設置了通過硬件直達驅動設備和通過專設軟件再達驅動設備。在需要驅動的設備較少的情況下，通過硬件的部分處理可以用繼電器閉鎖，通過軟件的部分在專設內設置模式切換閉鎖邏輯。

4 GCT-a閥門的多樣性設計

圖2 多點壓力校準裝置前面板Fig.2 Multi-point pressure calibration device front panel

在OWP/BUP/RSS 的模式切換中，多樣性的實現必須保證在不同的模式切換過程中設備狀態的可控性。下面以核電廠中的GCT-a 閥門調節中的GCT131VV 進行實例說明：

GCT131VV 屬于GCT-a 閥門組，用于當反應堆功率與反應堆負荷不一致時，把多余的蒸汽排向大氣，為反應堆提供一個“負荷”，從而避免核蒸汽供應系統中的溫度和壓力超過保護閾值，確保電站安全。

1）自動控制模式

GCT131VV 的軟件控制邏輯在RPC-II 中實現，在3 種機組控制模式間切換時都可用。主要原理是根據PV 與SV的偏差信號經PID 調節器輸出MV 值（閥門開度）。其中PV 是主蒸汽管線壓力測量值，是一個變化的過程值，SV是壓力整定值，是一個給定值，根據給定模式的不同分為內、外給定。內給定指操作員手動調整，外給定是軟件內部設定的值，給定模式可以在SVDU 上進行切換。OWP/BUP/RSS 下內給定的SV 值會自動跟蹤外給定的值，實現機組控制模式切換下的無擾性，反之不能實現，會引起閥門開度的變化，但這種情況一般通過操作規程來控制。

2）手動控制模式

手動控制可以在OWP/BUP/RSS 各自的SVDU 上實現調節，各自模式下的MV 開度值會自動跟蹤RPC 軟件內運算后的值，實現OWP/BUP/RSS 模式切換后閥門開度的無擾性。

除了上述常規控制方式以外，GCT131VV 還基于多樣性考慮設置了只依靠手操器及其控制接口單元的控制方式，如圖2 所示。

圖2 中左側表示手操器，右側表示手操器接口單元。其中，綠線表示RPC-II 軟件運算后經AO 卡件輸出的閥門開度信號，紅線表示最終輸出。

當RY3 繼電器勵磁時（通過MCR/RSS 模式切換開關實現），觸點1/9 斷開，機組在RSS 控制模式，此時藍色部分控制邏輯不生效。KCS566BN 的C9/C10 信號采集AO 卡件輸出的MV 開度信號，一邊給至手操器上的remote 指示器顯示，另一邊通過R12 繼電器的3/11 和4/12 兩對觸點，經過如圖2 中所示的紅線輸出閥門開度信號，同時將最終的閥門開度信號給至手操器上的MV 指示器顯示，即一般情況下的控制方式。

當RY3 繼電器未勵磁時，切換至OWP 或BUP 模式。此時由BUP 上的手操器GCT403RC 來控制閥門的開度輸出，是完全依靠硬件實現的多樣性控制。SW4 切換開關通過改變輸出端口的選擇，實現兩種控制方式的互不干擾，當SW4 閉合使得RY1 和RY2 繼電器勵磁，閥門的開度輸出改由繼電器RY2 的7/11 和8/12 控制，即Hand 指示器的值，并在此基礎上通過SW1/SW2/SW3 實現閥門的快（慢）速增減。但在此時的控制方式下，Hand 指示器的值沒有跟蹤閥門上一時刻的開度，因此在切換前需要將Hand 指示器的值調整至與MV 指示器相同，以防止閥門開度出現較大幅度地擾動，這主要通過核電廠的操作規程來控制。

5 結束語

反應堆保護系統的設備和功能多樣性是防止共因故障的重要手段，雖然獨立完整地實現系統功能還有所欠缺，但作為核電廠縱深防御重要的一環，大大降低了DCS 系統運行過程中由于共因故障導致系統功能喪失的風險。對于基于多樣性實現的不同控制方式，或作用于不同點避免優先級，或利用驅動控制模塊實現優先級，而且都是基于繼電器/硬接線的控制優先級更高，留給操縱員更多的控制權，可以避免出現波音事件中多樣性系統爭奪控制權的事件，能夠確保核電站的安全運行。