多樣性驅動系統功能閉鎖方案分析和優化研究

王 星，汪 偉，楊 震，梁 玲

（深圳中廣核工程設計有限公司，廣東 深圳 518172）

0 引言

目前數字化儀控系統在核電中得到越來越廣泛的應用，在帶來性能改善的同時，大量使用軟件可能引起的共因故障成為設計中必須考慮的一個因素，共因故障也逐漸成為數字化儀控系統安全評審中關注的問題之一[1]。

三代核電項目中，新增了多樣性驅動系統（DAS）來緩解數字化保護系統發生共因故障時的事故后果，將電站維持在安全狀態。核電站正常運行期間，多樣性驅動系統的表現與系統發生拒動（因多樣性驅動系統故障而導致不能執行相應的驅動功能）時的表現相同，為了確保多樣性驅動系統在數字化保護系統發生共因故障時，能夠可靠地執行驅動功能，需要對其進行定期試驗，以驗證其驅動功能的有效性，確保系統可用[2]。而對于系統誤動，一般采取功能閉鎖的方案保證系統不會觸發誤動作。

1 多樣性驅動系統功能

在核電廠的設計過程中，多樣性只對安全級系統有要求，而對非安全級沒有要求。多樣性的要求主要體現為兩方面：一是體現在反應堆保護系統內部，即使用不同的傳感器，采用不同的觸發機制和不同的時序和計算方法；二是反應堆保護系統的多樣性配置[3]。

多樣性驅動系統（DAS）是一個邏輯保護系統，它根據電廠中物理參數的變化，通過適當的邏輯控制觸發棒控與棒位系統中控制棒驅動機構的電源柜失電和專設安全設施動作，以達到停堆和驅動專設安全設施的目的，緩解數字化保護系統軟件共因故障時所發生的設計基準事故[4]。

在數字化保護系統軟件共因故障后，DAS系統主要提供多樣性的手動、自動功能及相應的參數顯示，以緩解此時出現的設計基準事故后果。其主要安全功能包括：

1）當數字化保護系統軟件共因失效并發生設計基準事故時，DAS系統可自動觸發反應堆停堆和驅動專設安全設施動作，緩解數字化保護系統軟件共因失效疊加設計基準事故帶來的影響。

2）在發生數字化保護系統軟件共因失效疊加設計基準事故時，DAS系統為操縱員提供電廠重要參數的監測。

3） 在發生數字化保護系統軟件共因失效疊加設計基準事故時，操縱員進行反應堆停堆、專設安全設施系統級和部件級驅動的復位。

正常運行期間，DAS系統為操縱員提供與關鍵安全功能相關的信息顯示、DAS系統的運行狀態顯示，以便操縱員能夠及時獲悉DAS系統運行情況。DAS系統提供的手動旁通功能，允許操縱員對其進行維修和定期試驗。在電廠正常上下行過程中，DAS系統提供了相關允許信號及相關指示給操縱員，以便其對部分保護功能進行閉鎖，防止其保護功能在正常上下行過程中誤動。

2 多樣性驅動系統設備和結構

2.1 多樣性驅動系統設備

多樣性驅動系統設備包括兩個部分：多樣性驅動機柜（DAC）和多樣性人機接口盤（DHP）。

1）多樣性驅動機柜（DAC）

◇ 采集保護系統（含來自過程儀表系統經保護系統隔離分配的信號）以及核儀表系統的信號，對于需要參加自動動作邏輯的參數進行閾值比較后產生“部分跳閘”信號，并對“部分跳閘”信號進行邏輯表決處理，產生自動動作信號。

◇ 接收DHP來的手動觸發信號，并與自動動作信號進行“或”邏輯組合后，輸出驅動信號。

◇ 采集保護系統（來自過程儀表系統經保護系統隔離分配的信號）和核儀表系統來的信號，對這些指示關鍵安全功能的參數進行處理后，送DHP顯示。

◇ 進行報警和故障處理，并將報警和故障信息送DHP和主控室顯示，DAS設備的綜合故障（如失電等）和旁通狀態在DAC上應有指示。

2）多樣性人機接口盤（DHP）

◇ DHP上設置多樣數字化保護系統的開關、指示表等，同時還提供了關鍵安全參數的監視。

2.2 多樣性驅動系統總體結構

根據現有核電廠的數字化儀控系統總體結構，確定了多樣性驅動系統結構?？傮w原則為：與安全相關的所有系統都彼此隔離，減少與保護和監視系統之間產生的共因失效幾率[5]。

DAS系統不需要滿足單一故障準則，但可信單一故障（硬件故障或電源喪失等）不能引起反應堆誤停堆或專設安全設施誤動作。

為了防止系統出現誤動作，DAS系統驅動指令采用得電驅動方式，且系統中自動邏輯控制站采用的是冗余配置，兩個自動驅動邏輯柜采用二取二符合邏輯，輸出指令通過二取二的方式驅動現場設備；同時系統設置了手動驅動功能，手動邏輯是在手動操作控制站內完成[6]。DAS系統總體結構如圖1所示。

圖1 DAS系統總體結構示意圖Fig.1 General structure of DAS system

3 多樣性驅動系統功能閉鎖方案分析

除了采用得電驅動和自動邏輯控制站冗余配置的方式避免系統誤動外，多樣性驅動系統設計中還采用了多種功能閉鎖的方案，防止系統出現誤動作。

3.1 保護信號直接閉鎖

多樣性驅動系統，除了采集保護系統以及核儀表系統的信號進行閾值比較后，產生“部分跳閘”信號外，還以部分數字化保護系統產生的信號直接通過硬接線方式進入DAS系統，當保護系統信號存在時，允許或閉鎖DAS系統功能，保護信號閉鎖功能如圖2所示。

圖2 保護信號閉鎖功能示意圖Fig.2 Schematic diagram of protection signal locking function

3.2 允許信號閉鎖

允許信號（P信號）是按反應堆狀態允許或禁止某些停堆和專設保護功能，以便實現按反應堆不同功率水平完成響應的保護動作。多樣性系統中也提供了相應的允許信號用來閉鎖或允許特定工況下的保護動作[7]，用于實現以下功能：

◇ 當電廠條件需要時，自動禁止保護動作。

◇ 在電廠啟堆和正常停堆過程中，提供保護動作的手動禁止功能。

◇ 當滿足一定的電廠運行要求時，允許執行保護動作。

多樣性驅動系統中的允許信號按照產生的方式分為自動允許信號和手動允許信號，允許信號的閉鎖邏輯功能如圖3和圖4所示。

圖3 自動允許信號閉鎖功能示意圖Fig.3 Schematic diagram of automatic permission signal locking function

圖4 手動允許信號閉鎖功能示意圖Fig.4 Schematic diagram of manual permissive signal locking function

3.3 DHP盤臺閉鎖

DHP盤臺一般設置的手動觸發開關，包括DAS專用功能手動觸發開關、手動操作允許開關以及手動操作禁止開關。

3.3.1 專用功能手動觸發開關

DAS專用功能手動觸發開關用于手動觸發所需要的DAS功能，由常規硬手操和基于計算機技術的軟手操組成，大部分為系統級手操功能（如停堆/停機、安全殼隔離等）。對于系統級和設備級的手動驅動操作，通過盤臺切換按鈕閉鎖。

安全殼隔離等系統級指令由DHP的硬手操觸發，由手動操作邏輯柜產生設備級驅動指令。設備級手操由DHP上的硬手操或DHP畫面上的軟手操觸發，發送到手動操作邏輯柜，依據設備級手操邏輯產生最終的設備級手動驅動信號。

3.3.2 手動允許開關

DHP上的手動操作允許開關通過硬接線輸入到DAC機柜，允許操縱員通過DHP上各手動按鈕進行相關手動操作；手動操作允許開關采取常規設備，并與專用功能手動觸發開關隔離布置。

3.3.3 手動禁止開關

DHP上的手動操作禁止開關通過硬接線輸入到DAC機柜，禁止DHP上各手動操作。

DHP盤臺閉鎖功能如圖5所示。

圖5 DHP盤臺閉鎖功能示意圖Fig.5 Schematic diagram of DHP panel locking function

3.4 優先級指令閉鎖

3.4.1 DAS系統內部優先級

當DAS系統內自動指令觸發時，閉鎖所有設備級的反方向手動操作指令。

例如當安注功能觸發時，安注觸發的自動指令會同時發送給手動操作邏輯柜，以閉鎖與安注相關的所有設備級的反方向手動操作指令，進而避免設備級手動指令干擾系統級自動驅動指令的執行。

3.4.2 設備接口模塊優先級

為了防止共因故障，數字化保護系統與多樣性驅動系統采用了不同的多樣性策略來實現對設備的控制，提高了系統的縱深防御與多樣性功能，但是多樣性系統驅動指令與安全級系統驅動指令等都需要經過邏輯序列末端的設備接口模塊進行邏輯處理，才能對下一級設備進行驅動[8]。

設備接口模塊位于安全級DCS平臺的末端，主要接收來自專設安全設施驅動系統、多樣性驅動系統以及電廠標準自動化系統等不同的安全級控制指令，通過內部的優先級邏輯處理，對專設安全設施及相關支持系統的泵、閥等設備進行驅動[9]。

DAS系統輸出的設備驅動指令，通過設備接口模塊的優先級管理功能和驅動控制功能輸出控制現場設備。一般高優先級的指令閉鎖低于優先級的反向指令，同一優先級的雙向指令間閉鎖不在設備接口模塊中實現，其優先級關系在相應的控制機柜中實現。

優先級閉鎖功能如圖6所示。

圖6 優先級閉鎖功能示意圖Fig.6 Schematic diagram of priority locking function

4 功能閉鎖方案優化

一般情況下，DAS系統的設備驅動指令發送至現場設備接口模塊，由現場設備接口模塊實現不同安全分級信號的優先級管理，但是對于部分功能僅依靠優先級指令閉鎖的方案會存在設備反復動作的情況。

在蒸汽發生器液位達到低整定值時，數字化保護系統和DAS系統都會觸發應急給水啟動指令，啟動應急給水泵并開啟液位調節閥。當應急給水泵啟動后，如果功率限制閥失效后全開，會導致蒸汽發生器注入流量過大。為了限制流量，數字化保護系統會發出指令關小液位調節閥。此時，數字化保護系統和DAS系統對于液位調節閥動作指令相反，因保護系統信號關閥指令優先級高于DAS系統開閥指令，調節閥將關小直至注入蒸汽發生器的流量低于整定值，保護系統的關閥信號將消失，但此時DAS系統的發應急給水啟動信號仍會開大調節閥，從而閥門會循環關小和開大。

為了避免閥門出現循環關小和開大的反復動作，在現有優先級指令閉鎖方案的基礎上增加DAS系統激活的限制指令閉鎖調節閥自動控制功能，只有當DAS系統激活后，其對應調節閥自動控制指令生效。優化后的方案既保證了DAS系統的多樣性備用功能實現，又避免了閥門的反復動作，優化后閉鎖方案如圖7所示。

圖7 優化后閉鎖功能示意圖Fig.7 Schematic diagram of locking function after optimization

5 結束語

多樣性驅動系統作為數字化保護系統共模失效后的多樣性后備，應根據其實現的停堆和專設功能的特點選擇合理的閉鎖方案。對于特殊設備還應綜合考慮數字化保護系統和DAS系統的實現功能，靈活使用和優化功能閉鎖方案，消除系統誤動的隱患，提高DAS系統的可靠性。