核電廠數(shù)字化保護和安全監(jiān)測系統(tǒng)研究

Research on the Digitized Protection and Safety Monitoring System

for Nuclear Power Plant

陳　杰　陳冬雷　張　瑜　趙偉寧　張亮亮

(深圳中廣核工程設(shè)計有限公司，廣東 深圳　518124)

核電廠數(shù)字化保護和安全監(jiān)測系統(tǒng)研究

Research on the Digitized Protection and Safety Monitoring System

for Nuclear Power Plant

陳杰陳冬雷張瑜趙偉寧張亮亮

(深圳中廣核工程設(shè)計有限公司，廣東 深圳518124)

摘要：對數(shù)字化保護和安全監(jiān)測系統(tǒng)(PMS)的可靠性和可用性進行研究。從多重性和容錯性角度分析PMS結(jié)構(gòu)與功能的合理性。PMS采用4重冗余結(jié)構(gòu)并充分使用4取2符合邏輯，保證通道的單一故障不會導致系統(tǒng)誤動作和拒動作。序列內(nèi)的冗余配置大幅降低了系統(tǒng)的故障率。豐富的電廠關(guān)鍵安全功能和顯示功能提高了操縱員控制電廠的能力。PMS結(jié)構(gòu)與功能合理，具有高容錯性、高可靠性和高可用性。

關(guān)鍵詞：核電廠數(shù)字化保護和安全監(jiān)測系統(tǒng)結(jié)構(gòu)與功能多重性容錯性

Abstract：The reliability and availability of the digitized protection and safety monitoring system (PMS) are researched. The rationality of the structure and function of PMS is analyzed from the angles of multiplicity and fault tolerance. Quadruple redundant structure and two-out-of-four logic are adopted in PMS to ensure misoperation and reject-operation of the system may not be led by a single failure of the channel. Redundant configuration of division greatly reduces the failure rate of the system. Abundant plant safety-critical computing and display functions improve the capability of operator to control the power plant. The PMS is equipped with reasonable structure and functions, and possesses high fault tolerance capability, high reliability and availability.

Keywords：Nuclear power plantDigitizedProtection and safety monitoring systemStructure and functionMultiplicityFault tolerance

0引言

保護和安全監(jiān)測系統(tǒng)(protection and safety monitoring system，PMS)作為核電廠安全系統(tǒng)的儀控部分，執(zhí)行核電廠反應堆停堆斷路器(reactor trip circuit breaker，RTCB)觸發(fā)、專設(shè)安全設(shè)施(engineered safety features，ESF)驅(qū)動和安全級數(shù)據(jù)處理顯示功能，使電廠達到和維持安全停堆狀態(tài)[1]。其安全性和可靠性水平是衡量核電廠安全性的重要指標之一[2-3]。隨著設(shè)計理念和儀控技術(shù)的發(fā)展，不同時期不同技術(shù)路線的核電廠保護系統(tǒng)具有不同的結(jié)構(gòu)與功能[4-5]。PMS是基于安全級數(shù)字化儀控平臺，總體結(jié)構(gòu)采用4重冗余序列，序列內(nèi)部保護功能處理子系統(tǒng)采用冗余設(shè)置，并充分使用4取2符合邏輯，具有豐富的安全級數(shù)據(jù)處理和顯示功能。本文將從多重性和容錯性的角度來分析PMS結(jié)構(gòu)與功能的可靠性和可用性，以證明PMS的合理性。

1總體結(jié)構(gòu)與功能描述

PMS由A、B、C、D 四重冗余序列組成，序列間彼此實體和電氣隔離，實現(xiàn)了系統(tǒng)的多重性和序列的獨立性。PMS總體結(jié)構(gòu)[6]如圖1所示。

圖1　PMS總體結(jié)構(gòu)

用于RTCB觸發(fā)功能的變量使用4個獨立的傳感器進行冗余測量，每個序列處理1路測量信號。通過序列內(nèi)定值處理邏輯(bistable processor logic，BPL)子系統(tǒng)的模數(shù)轉(zhuǎn)換器(analog to digital converter，ADC)、將模擬信號轉(zhuǎn)化為數(shù)字信號，數(shù)字信號再經(jīng)過處理和計算后與整定值相比較，產(chǎn)生局部RTCB觸發(fā)信號。BPL子系統(tǒng)將局部RTCB觸發(fā)信號發(fā)送至4個序列的局部符合邏輯(local coincidence logic，LCL)子系統(tǒng)。如果2個或更多冗余通道的BPL子系統(tǒng)處于局部RTCB觸發(fā)狀態(tài)，LCL子系統(tǒng)將產(chǎn)生RTCB觸發(fā)信號。此信號將被發(fā)送至該序列對應的RTCB觸發(fā)邏輯矩陣，最終打開該序列對應的RTCB。每個序列控制2個RTCB，當2個或更多的序列輸出RTCB觸發(fā)信號并打開它們對應的RTCB時，棒控電源柜電源將被切斷，控制棒落入堆芯，快速的負反應性引入導致反應堆緊急停堆。

ESF驅(qū)動功能實現(xiàn)方式與RTCB觸發(fā)功能實現(xiàn)方式類似。PMS的安全級數(shù)據(jù)處理和顯示子系統(tǒng)由4重冗余的安全顯示器(safety display，SD)和2重冗余的安全級數(shù)據(jù)處理子系統(tǒng)(qualified data processing system，QDPS)組成[7]。每個序列包含1個SD，主要用于安全級變量顯示和安全級設(shè)備級控制命令的發(fā)出。QDPS只有B、C序列有，通過集成通信處理(integrated communications processor，ICP)子系統(tǒng)與其他序列進行數(shù)據(jù)交換，主要用于安全級事故后監(jiān)測變量的處理和運算。

2單序列結(jié)構(gòu)與功能描述

以A序列為例，描述PMS單序列的結(jié)構(gòu)與功能。PMS單序列主要由BPL、LCL、ILP、ICP、RTCB觸發(fā)邏輯矩陣、RTCB組、QDPS和SD等組成。PMS單序列結(jié)構(gòu)如圖2所示。

在單序列中，BPL子系統(tǒng)可實現(xiàn)本序列的信號采集、閾值比較和局部觸發(fā)信號產(chǎn)生，并將局部觸發(fā)信號發(fā)送給其他序列LCL子系統(tǒng)；LCL子系統(tǒng)接收PMS所有序列BPL子系統(tǒng)傳送過來的局部觸發(fā)信號，并產(chǎn)生系統(tǒng)級停堆和專設(shè)安全設(shè)施驅(qū)動信號，其中系統(tǒng)級停堆信號觸發(fā)本序列中的2個停堆斷路器打開；ILP子系統(tǒng)級可將本序列系統(tǒng)級專設(shè)安全設(shè)施驅(qū)動信號扇出為設(shè)備級驅(qū)動信號，以實現(xiàn)本序列專設(shè)安全設(shè)施驅(qū)動。

圖2　PMS單序列結(jié)構(gòu)

在單序列中，BPL、LCL和ILP等子系統(tǒng)采用冗余配置，實現(xiàn)了序列內(nèi)的冗余性[8]。

2.1　定值處理邏輯(BPL)子系統(tǒng)

PMS共有8個冗余BPL子系統(tǒng)，每個序列包含2個冗余BPL子系統(tǒng)[1,6]，分別為BPL-A1和BPL-A2，如圖3所示。

圖3　PMS序列內(nèi)部冗余

每個BPL子系統(tǒng)都配置專用的輸入/輸出(I/O)模塊、處理器、通信模塊和鏈接至LCL子系統(tǒng)的高速鏈接(high speed link，HSL)。BPL子系統(tǒng)執(zhí)行信號采集、閾值比較、局部觸發(fā)信號產(chǎn)生及輸出功能。局部觸發(fā)信號包括局部RTCB觸發(fā)信號和局部ESF驅(qū)動信號。BPL子系統(tǒng)通過單向HSL分別向4個序列中的8個LCL子系統(tǒng)發(fā)送局部觸發(fā)和旁通信號。

2.2　局部符合邏輯(LCL)子系統(tǒng)

PMS共有8個冗余LCL子系統(tǒng)，每個序列包含2個冗余LCL子系統(tǒng)[6,8]，分別為LCL-A1和LCL-A2，如圖3所示。每個LCL子系統(tǒng)包含2個RTCB觸發(fā)邏輯處理器和1個ESF驅(qū)動邏輯處理器。RTCB觸發(fā)邏輯處理器RT-A1、RT-A3和ESF驅(qū)動邏輯處理器ESF-A1位于子系統(tǒng)LCL-A1；子系統(tǒng)LCL-A2與LCL-A1相同，RTCB觸發(fā)邏輯處理器RT-A2、RT-A4和ESF驅(qū)動邏輯處理器ESF-A2位于子系統(tǒng)LCL-A2。由于1個處理器只能接收2路HSL輸入，因此每個LCL子系統(tǒng)還需要配置第4個處理器來滿足BPL子系統(tǒng)8路HSL輸入的需求。

LCL子系統(tǒng)執(zhí)行局部觸發(fā)信號4取2符合邏輯運算。當PMS任意2個及以上通道的BPL子系統(tǒng)處于局部觸發(fā)狀態(tài)，LCL子系統(tǒng)產(chǎn)生RTCB觸發(fā)或(和)ESF系統(tǒng)級驅(qū)動信號。當任意1個通道的BPL子系統(tǒng)為局部觸發(fā)或旁通狀態(tài)時，LCL子系統(tǒng)中的4取2符合邏輯相應轉(zhuǎn)化為3取1或3取2符合邏輯，不會產(chǎn)生誤觸發(fā)信號；同理當任意1個通道的BPL子系統(tǒng)為未觸發(fā)或未旁通狀態(tài)時，不會阻止RTCB觸發(fā)或(和)ESF系統(tǒng)級驅(qū)動信號產(chǎn)生。

正常運行工況下，序列內(nèi)2個BPL子系統(tǒng)中的任何1個輸出的局部觸發(fā)信號在LCL子系統(tǒng)中都為有效信號[7-8]。如果BPL通道診斷指示BPL子系統(tǒng)的輸入模塊、處理器或HSL故障，則LCL子系統(tǒng)報警并忽略故障BPL子系統(tǒng)輸出的局部觸發(fā)信號，同時使用通道內(nèi)另一個正常運行BPL子系統(tǒng)產(chǎn)生的局部觸發(fā)信號。因此當單個BPL子系統(tǒng)故障時，序列中的LCL仍保持4取2符合邏輯，而不是3取2或3取1的符合邏輯。同理，在系統(tǒng)試驗過程中，當對單個BPL處理器進行獨立試驗時，LCL處理器使用其他(非試驗中)BPL處理器產(chǎn)生的局部觸發(fā)信號，從而使PMS在單個BPL處理器進行試驗時不需要對整個通道進行旁通或者觸發(fā)。

2.3　RTCB觸發(fā)邏輯矩陣

PMS包含8個冗余RTCB觸發(fā)邏輯矩陣，每個序列包含2個冗余矩陣，分別為RTCB欠壓(under voltage，UV)觸發(fā)邏輯矩陣和RTCB勵磁(shunt trip，ST)觸發(fā)邏輯矩陣[6-7]。

RTCB UV觸發(fā)邏輯矩陣為選擇性4取2符合邏輯電路，通過中間繼電器串聯(lián)/并聯(lián)實現(xiàn)，如圖3所示。圖3中，RT-A1控制觸點A1，RT-A3控制觸點A3；同樣的，RT-A2控制觸點A2，RT-A4控制觸點A4。在電廠正常運行工況下，RTCB UV觸發(fā)邏輯矩陣中的中間繼電器處于通電閉合狀態(tài)。RTCB UV觸發(fā)邏輯矩陣需要LCL子系統(tǒng)處理器(RT-A1或RT-A3)和(RT-A2或RT-A4)斷開它們控制的觸點，以打開A序列RTCB。

RTCB ST觸發(fā)邏輯矩陣也為選擇性4取2符合邏輯電路。矩陣中的中間繼電器在電廠正常運行工況下處于失電打開狀態(tài)，打開序列內(nèi)RTCB需要中間繼電器通電關(guān)閉。其結(jié)構(gòu)和功能與RTCB UV觸發(fā)邏輯矩陣相似。

2.4　反應堆緊急停堆斷路器(RTCB)組

RTCB組中共有8個RTCB，每2個RTCB組成1個序列，共4個RTCB序列[3]，分別對應PMS的4個序列。4序列的RTCB配置為4取2符合邏輯電路結(jié)構(gòu)，如圖1所示。通過UV或ST觸發(fā)邏輯矩陣打開本序列的2個RTCB。任意2個及以上序列產(chǎn)生RTCB觸發(fā)信號將會斷開棒控系統(tǒng)供電回路，導致反應堆緊急停堆。

PMS序列與RTCB的對應關(guān)系如下所示。

序列ARTCB-A1和RTCB-A2

序列BRTCB-B1和RTCB-B2

序列CRTCB-C1和RTCB-C2

序列DRTCB-D1和RTCB-D2

2.5　集成邏輯處理(ILP)子系統(tǒng)

2個冗余ILP子系統(tǒng)配置在1個ILP機柜中。序列內(nèi)ILP機柜的數(shù)量與系統(tǒng)功能分配有關(guān)，如圖3所示。安全功能在不同序列的ILP機柜內(nèi)冗余執(zhí)行。

ILP子系統(tǒng)執(zhí)行設(shè)備級ESF驅(qū)動信號扇出邏輯并提供設(shè)備狀態(tài)指示信號。每個ILP子系統(tǒng)接收本序列2個LCL子系統(tǒng)輸出的系統(tǒng)級ESF驅(qū)動信號。當序列內(nèi)2個LCL子系統(tǒng)輸出的系統(tǒng)級ESF驅(qū)動信號一致時，ILP子系統(tǒng)執(zhí)行設(shè)備級ESF驅(qū)動信號扇出邏輯，輸出ESF設(shè)備級驅(qū)動信號；且當同一機柜內(nèi)的兩個冗余ILP子系統(tǒng)輸出不一致時，其對應的CIM輸出信號根據(jù)ESF傾向的故障模式進行復位，保證ESF不拒動、不誤動[8]。

2.6　集成通信處理(ICP)子系統(tǒng)

PMS包含4個冗余ICP子系統(tǒng)，每個序列包含1個ICP子系統(tǒng)[6,9]。ICP子系統(tǒng)接收其他序列ICP子系統(tǒng)的3路單向HSL輸入，并將本序列數(shù)據(jù)通過3路單向HSL發(fā)送至其他序列中的ICP子系統(tǒng)，如圖2所示。這些數(shù)據(jù)只能被QDPS使用，不用于RTCB觸發(fā)或ESF驅(qū)動功能。

ICP子系統(tǒng)通過鑒定的隔離器和硬接線將本序列數(shù)據(jù)發(fā)送至電廠控制系統(tǒng)。

2.7　安全級數(shù)據(jù)處理和顯示子系統(tǒng)

安全級數(shù)據(jù)處理和顯示子系統(tǒng)由SD和QDPS組成，如圖2所示。SD4重冗余，每個序列包含1個SD[8-9]。SD的主要功能包括：閉鎖和復位安全功能；提供安全級設(shè)備(引起嚴重后果)的手動控制；提供安全級變量顯示及其趨勢顯示，并允許操縱員選擇變量以顯示其趨勢；提供安全級事故后監(jiān)測變量和關(guān)鍵安全參數(shù)(功能)狀態(tài)顯示；核儀表子系統(tǒng)(nuclear instrumentation subsystem，NIS)定期校準。

PMS B和C序列各包含1個QDPS，由專用傳感器、共享傳感器和QDPS機箱組成。2個QDPS功能相同，互為冗余，彼此實體和電氣隔離。每個QDPS機箱包含1個通信模塊和1個處理器模塊[9-10]。通信模塊提供與先進總線(advance fieldbus 100，AF100)的接口；處理器模塊執(zhí)行安全級事故后監(jiān)測變量的處理和運算，特別是電廠關(guān)鍵安全功能計算，如次臨界、堆芯冷卻、反應堆冷卻劑系統(tǒng)和安全殼完整性等，在電廠其他非安全級顯示系統(tǒng)故障時，為操縱員提供足夠的運行數(shù)據(jù)以安全關(guān)閉電廠。

2.8　其他子系統(tǒng)

除以上子系統(tǒng)外，PMS序列內(nèi)還包含NIS、接口和試驗處理(interface and test processor，ITP)子系統(tǒng)、維修和試驗(maintenance and test panel，MTP)子系統(tǒng)、CIM、爆破閥控制(squib valve controller，SVC)子系統(tǒng)和事件順序(sequence of events，SOE)子系統(tǒng)等，用于實現(xiàn)PMS維修、試驗和設(shè)備接口等功能[7,10]。由于這些子系統(tǒng)不直接執(zhí)行RTCB觸發(fā)、ESF驅(qū)動和安全級數(shù)據(jù)處理和顯示功能，本文不再對這些子系統(tǒng)進行詳述。

3結(jié)束語

PMS具有較高的可靠性和可用性，4重冗余的總體結(jié)構(gòu)以及4取2符合邏輯的充分使用，保證了單個通道的故障、觸發(fā)、試驗和旁通既不能導致RTCB誤觸發(fā)和系統(tǒng)級ESF誤驅(qū)動，也不能阻止RTCB觸發(fā)和系統(tǒng)級ESF驅(qū)動；在單個通道旁通情況下，系統(tǒng)仍滿足單一故障準則。序列內(nèi)冗余ILP子系統(tǒng)和CIM的“握手”邏輯保證單個系統(tǒng)級或設(shè)備級ESF驅(qū)動信號故障不會導致ESF誤驅(qū)動或拒驅(qū)動。

PMS豐富的電廠關(guān)鍵安全功能計算和顯示功能提高了操縱員控制電廠的能力，從而保證了系統(tǒng)的高可靠性和高可用性。

隨著我國核電技術(shù)的發(fā)展，PMS的結(jié)構(gòu)與功能將會不斷被優(yōu)化，其在核電廠安全級儀控系統(tǒng)中的應用也將越來越廣泛。

參考文獻

[1] 林誠格，郁祖盛，歐陽予，等.非能動安全先進壓水堆核電技術(shù)[M].北京：原子能出版社，2008：756-810.

[2] 鄭明光，張勁舜，沈增耀，等.壓水堆核電廠儀表控制與計算機化的發(fā)展概況[J].核技術(shù)，2000，23(12)：899-904.

[3] 中廣核工程有限公司.壓水堆核電廠核島設(shè)計(第五卷)核島儀控系統(tǒng)設(shè)計[M].北京：原子能出版社，2010：19-43.

[4] 劉宏春，王濤濤，王華金，等.嶺澳二期核電站數(shù)字化反應堆保護系統(tǒng)[J].核動力工程，2008，29(1)：1-4.

[5] 晁平，鄭明光.田灣核電站數(shù)字化安全級儀控系統(tǒng)結(jié)構(gòu)與性能研究[J].核電工程與技術(shù)，2003，16(4)：27-32.

[6] 孫漢虹，程平東，繆鴻興，等.第三代核電技術(shù)AP1000[M].北京：中國電力出版社，2010：324-376.

[7] 劉玥，丁長富，王少華，等.DCS安全級儀控平臺的分析研究[J].自動化博覽，2012(1)：48-52.

[8] 冀煥青.AP1000核電站數(shù)字化反應堆保護系統(tǒng)[J].自動化與儀表，2013，28(2)：11-15.

[9] 劉子介.Common Q在AP1000 PAMS中的應用[J].電氣技術(shù)，2010(3)：52-55.

[10]從曦宇，劉輝.淺談AP1000核電廠保護和安全監(jiān)視系統(tǒng)PMS操作平臺Common Q[J].科技與企業(yè)，2013(15)：107-108.

中圖分類號：TP277；TL362

文獻標志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201507015

修改稿收到日期：2014-11-13。

第一作者陳杰(1985-)，男，2007年畢業(yè)于哈爾濱工程大學電氣工程及其自動化專業(yè)，獲學士學位，工程師；主要從事核電廠保護及專用儀控系統(tǒng)的研究。