核電廠保護系統ECP 硬邏輯設計研究

胡清仁

（中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213）

隨著科學技術的發展，核反應堆裝置正在向著更可靠、更先進、更安全的方向發展。反應堆保護系統提供對核電廠偏離正常運行工況的監測，同時驅動相應的安全功能以使電廠安全停閉并維持安全狀態，從而保證在事故情況下反應堆、核電廠設備、人員和環境的安全。操縱員還可實現對相關參數和設備狀態參數信息的監視以及對相應系統設備的操作。核電站保護系統必須采用多樣性設計，降低共因故障導致保護系統失效的風險，以滿足核電站縱深防御原則，實現安全核電站的安全目標。因此，安全級DCS 在架構設計時，應充分考慮共因故障的影響，盡可能降低DCS 設備及組件故障對電廠正常運行和可用性的影響?；诤穗姀S的縱深防御原則，應對某些安全功能進行了功能多樣性的設計，在ECP 上設計了一套手動觸發保護功能的手段，為了實現多樣性，ECP 手動命令一方面送入安全級DCS 軟邏輯參與相關的保護功能，還提供一路ECP硬邏輯手動觸發功能，在安全級DCS 軟邏輯實現的保護功能失去時，提供了一種多樣化的手動后備觸發手段。

1 硬邏輯設計策略

根據標準NB/T 20026 要求，為了緩解核電廠故障發生時的影響，安全級數字化保護系統設計須充分考慮電廠縱深防御設計[1]；標準IEEE Std.603要求，安全級DCS 系統設計時應充分考慮多樣性、單一故障和防共因故障原則[2]。共因故障指的是由特定的單一事件或起因導致兩個或多個構筑物、系統或部件失效的故障。這里的單一事件或起因既可以是由外部客觀原因造成的事件，也可以是人為原因造成的事件[3]。

結合相關法規和標準要求，當數字系統發生共因故障后，為了符合單一故障準則，保證安全功能不喪失，可通過后備的基于模擬技術的控制裝置執行安全功能[4]。在安全級DCS 內搭建手動保護硬邏輯來應對數字化控制系統軟件共因故障引發的失效，手動保護硬邏輯作為一種多樣性應對措施，其設計策略如下：

（1）硬邏輯應采用具有高可靠性且與安全級DCS計算機化部分具有多樣性的設備實現；

（2）手動硬邏輯控制回路與數字化系統共用的設備盡可能的少，數字化控制系統的故障不應妨礙手動控制的執行；

（3）對于ECP 上系統級手動按鈕，用于搭建硬邏輯的開關/按鈕觸點宜與用于數字化軟邏輯的開關/按鈕觸點分開，即采集按鈕/開關的不同觸點，如果采用了相同的觸點，則應保證單個觸點的故障不會導致ECP 軟邏輯和硬邏輯觸發功能同時喪失；

（4）對于ECP 手動硬邏輯，除用于控制停堆斷路器UV 線圈的信號回路外，其它信號回路失電不得觸發緊急停堆或啟動專設安全設施。

對于III 類、Ⅳ類事故，除要求反應堆停堆外，還必須投入專設安全設施系統，應考慮的典型事故主要有：失水事故（LOCA）、SG 破管、蒸汽管道破裂（或SG 釋放閥意外打開）、主給水管道破裂等。將以下觸發的保護動作考慮多樣性的硬邏輯設計：

（1）手動停堆功能；

（2）系統級專設控制功能：安全注入、安全殼噴淋、安全殼A 階段隔離、安全殼B 階段隔離、啟動輔助給水和蒸汽管道隔離。

2 具體的ECP 硬邏輯設計原理

2.1 ECP 手動停堆硬邏輯設計

2.1.1 停堆按鈕與安全級DCS 的接口設計

由于保護組I/III 共用RPA300TO，保護組II/IV共用RPB300TO，盤臺給安全級DCS 提供3 副常開觸點和3 副常閉觸點，手動停堆按鈕的觸點采用以下分配原則（以系列A 為例）：

（1）RPA300TO 的“常開觸點1”由保護組I 的機柜采集，通過繼電器分配至RPA100JA、RPA101JA停堆硬邏輯，分別控制停堆斷路器的分勵線圈；“常開觸點2”由邏輯系列A 的PIP 模塊采集，然后分配至保護組I 和保護組III 的控制站；RPA300TO 的“常開觸點3”由保護組III 的機柜采集，通過繼電器分配至RPA200JA、RPA201JA 停堆硬邏輯，分別控制停堆斷路器的分勵線圈。

（2）RPA300TO 的“常閉觸點1”直接進保護組I的機柜，通過繼電器分配至RPA100JA、RPA101JA停堆硬邏輯，分別控制RPA100JA、RPA101JA 停堆斷路器的失壓線圈，不用采集進入數字化軟邏輯；RPA300TO 的“常閉觸點2”直接進保護組III 的機柜，通過繼電器分配至RPA200JA、RPA201JA 停堆硬邏輯，分別控制RPA200JA、RPA201JA 停堆斷路器的失壓線圈，不用采集進入數字化軟邏輯。

2.1.2 具體的ECP 手動停堆硬邏輯設計

安全級DCS 與停堆斷路器的接口包括送往停堆斷路器的緊急停堆信號和接收來自停堆斷路器的狀態反饋信號。安全級DCS 需要驅動8 個停堆斷路器實現反應堆停堆（以四取二邏輯的方式相互連接），每個保護組的2 個多樣性子組輸出的停堆信號硬件取“或”后輸出；每個斷路器有2 個脫扣線圈：分勵線圈和失壓線圈；為了保證停堆的可靠性，分勵線圈的控制指令為得電動作，失壓線圈的控制指令為失電動作。

ECP 上手動停堆信號（RPA300TO/RPB300TO）既參與自動停堆邏輯，又參與手動停堆硬邏輯控制，為了應對設備單一故障，通過硬邏輯控制失壓線圈的指令使用300TO 的常閉觸點；通過硬邏輯控制分勵線圈的指令使用300TO 的常開觸點。

手動安注信號058TO 引發的緊急停堆功能，作為一種多樣性的后備手段，手動安注硬接線的停堆信號只需要控制停堆斷路器的分勵線圈，并且受MCR/RSS 模式切換的控制。

為了滿足保護組失電時讓本保護組控制的停堆斷路器打開，采用以下的設計原則：

（1）用于控制分勵線圈的DO 信號其信號特性為1，輸出回路失電時的狀態為0；

（2）用于控制失壓線圈的DO 信號其信號特性為0，輸出回路失電時的狀態為0。

正常工況下用于控制停堆斷路器失壓線圈的DO 輸出為1，用于控制停堆斷路器分勵線圈的DO輸出為0。針對用于控制分勵和失壓線圈的停堆信號，均采用雙DO“與”邏輯設計，以避免由于單個DO 模塊的故障及維護觸發本通道停堆斷路器打開。具體的停堆硬邏輯控制原理如圖1 所示。

圖1 停堆硬邏輯控制原理圖Fig.1 Hardware logic control schematic diagram for reactor shutdown

2.2 ECP 系統級控制硬邏輯

2.2.1 系統級控制按鈕與安全級DCS 的接口設計

根據控制功能劃分，ECP 系統級指令主要包括：安注、安全殼隔離A 階段、安全殼隔離B 階段、安全殼噴淋、主給水隔離、啟動輔助給水、蒸汽管線隔離等，需要搭建硬邏輯的ECP 按鈕如表1 所示。

表1 手動保護硬邏輯按鈕清單Tab.1 List of manual protection hard logic buttons

ECP 上的系統級手動操作按鈕給安全級DCS提供3 副常開觸點，在安全級DCS 的邏輯系列中，采用3 張隔離分配模塊分別采集按鈕的3 副觸點，以應對單個隔離分配模塊故障導致的控制功能喪失，再通過隔離分配模塊進行分配后分別送至硬邏輯和軟邏輯。

以安注手動控制按鈕為例，就其信號接口做如下說明，其它系統級手動控制按鈕的接口方式與安注手動控制按鈕接口方式一致。RPA058TO 的“觸點1”、“觸點2”、“觸點3”通過3 張隔離分配模塊進行采集，然后分配至專設驅動控制站、保護通道控制站參與數字化軟邏輯，分配至安注、安全殼隔離A階段、保護組I/III 的手動停堆硬邏輯，并分別在硬邏輯控制回路和各個軟邏輯控制站中做“2/3 邏輯”。ECP 系統級手動按鈕以及BUP 復位按鈕的“2/3 邏輯”軟邏輯，選用帶邏輯降級功能的2/3 模塊，邏輯退化關系為2/3→1/2→1/1，輸入信號質量位均為壞時，退化為不動作。

2.2.2 具體的ECP 系統級控制硬邏輯設計

對于位于ECP 上的啟動專設功能的手動命令，用于硬邏輯和軟邏輯的信號應接入按鈕的常開觸點，即觸點閉合時觸發專設啟動。ECP 硬邏輯中如果需要來自驅動器的狀態反饋信號用于聯鎖，則該狀態反饋信號在被安全級DCS 軟邏輯采集之前分配至ECP 硬邏輯。ECP 硬邏輯中的RS 觸發器在失去供電后，不應保持失電之前已觸發的安全動作，當供電恢復后，RS 觸發器應趨于不發出安全動作。

ECP 系統級控制硬邏輯根據按鈕和具體PLM所屬的機柜，可將ECP 硬邏輯搭建在繼電器機柜或者各個PLM 機柜內，應盡可能的減少機柜間連接關系，以保證硬邏輯控制回路的可靠性。具體的安注手動保護硬邏輯設計原理如圖2 所示。以安注手動控制為例，其手動保護硬邏輯設計策略如下：

圖2 安全注入手動保護硬邏輯控制原理圖Fig.2 Hard logic control schematic for manual containment injection protection

（1）ECP 上的手動安注控制設置2 個開關（RPA 058TO/RPB058TO），手動安注信號既參與自動停堆功能，又參與手動停堆硬邏輯，同時還參與安注和CIA 驅動控制功能。

（2）BUP 上的安注手動閉鎖按鈕（RPA060TO/RPB060TO）只有在安注信號觸發5 min 后，才能允許手動復位和閉鎖輸出，其也需要搭建相應的硬邏輯，同時受MCR/RSS 切換的控制。ESFAC 軟件邏輯中R-L 觸發器之后，5 min 延時之前的安注手動復位允許信號，需通過DO 送至ECP 硬邏輯，用于同步觸發ECP 硬邏輯中的5 min 延時。

（3）ECP 上的“安注信號”反饋指示燈（RPA059LA2/RPB059LA2），由軟件產生的SI 信號和硬邏輯產生的SI 信號進行硬件“或”邏輯后，再送至ECP 上的指示燈進行指示。

（4）BUP 上的“安注信號”反饋指示燈（RPA059LA1/RPB059LA1），僅由軟件產生的SI 信號送至BUP 上進行指示。

5）BUP 上的“安注功能被閉鎖”反饋指示燈（RPA 060LA/RPB060LA），軟件產生的SI 信號（300 s 延時后）和硬邏輯產生的SI 信號（300 s 延時后）進行硬件“或”邏輯后，再送至BUP 上進行指示。

3 結語

為了提高保護系統的可靠性，安全級DCS 系統設計應充分考慮多樣性設計策略，來搭建一個高可靠性的反應堆保護系統架構，以提高反應堆保護系統的可靠性和可維護性。本文就ECP 手動停堆和系統級手動專設驅動的多樣性控制進行研究，描述了應對共因故障的多樣化硬邏輯設計策略，詳細對ECP 上的停堆按鈕和專設驅動按鈕的觸點分配進行說明，并給出了一種典型的手動停堆和手動安注驅動硬邏輯設計策略和硬邏輯原理，可為后續的核電項目安全級DCS 手動保護硬邏輯設計提供指導。