核電站執(zhí)行機(jī)構(gòu)接收不同安全級(jí)指令的控制方法研究

唐立學(xué)，張 楠，范 瑾，李 亮

（1.中國(guó)核電工程有限公司，北京100840；2.環(huán)境保護(hù)部核與輻射安全中心，北京100082）

核電站中，安全級(jí)執(zhí)行機(jī)構(gòu)不僅執(zhí)行電站常規(guī)運(yùn)行的指令，還在事故工況下或運(yùn)行偏離正常工況時(shí)執(zhí)行安全功能產(chǎn)生的指令。顯然從核電站安全角度考慮，安全功能發(fā)來的指令優(yōu)先級(jí)要高于常規(guī)運(yùn)行所發(fā)指令，即，非1E級(jí)指令不干擾1E級(jí)指令正確執(zhí)行。

目前國(guó)內(nèi)核電站控制系統(tǒng)多采用數(shù)字化集散控制系統(tǒng)（DCS），分1E級(jí)和非1E級(jí)控制系統(tǒng)。大體上，1E級(jí)系統(tǒng)負(fù)責(zé)安全功能指令的產(chǎn)生，非1E級(jí)控制系統(tǒng)負(fù)責(zé)電站的常規(guī)運(yùn)行（多樣化控制系統(tǒng)除外）。但是，當(dāng)二者指令相反并同時(shí)作用于同一安全級(jí)設(shè)備時(shí)，相互就會(huì)產(chǎn)生沖突。對(duì)安全級(jí)執(zhí)行機(jī)構(gòu)進(jìn)行控制是核電控制中的重點(diǎn)和難點(diǎn)。本文結(jié)合國(guó)內(nèi)某新建核電站對(duì)安全級(jí)執(zhí)行機(jī)構(gòu)控制的結(jié)構(gòu)和方案，提出并分析一種優(yōu)化思路。

1 核電站中已實(shí)施的控制方法

在該實(shí)際核電項(xiàng)目中，安全級(jí)執(zhí)行機(jī)構(gòu)要接收的控制指令來自應(yīng)急安全盤、1E級(jí)控制系統(tǒng)、多樣化控制系統(tǒng)、非1E級(jí)控制系統(tǒng)，如圖1所示。為討論突出重點(diǎn)，這里主要針對(duì)1E級(jí)系統(tǒng)和非1E級(jí)系統(tǒng)對(duì)同一執(zhí)行機(jī)構(gòu)的控制（框起部分）。

在圖1中，信號(hào)優(yōu)選模塊為安全級(jí)設(shè)備。此模塊接收來自不同安全級(jí)的控制指令，通過固化在模塊中的信號(hào)優(yōu)選邏輯對(duì)信號(hào)進(jìn)行處理，產(chǎn)生一條優(yōu)先級(jí)最高的指令送給執(zhí)行機(jī)構(gòu)去執(zhí)行，同時(shí)接收來自執(zhí)行機(jī)構(gòu)的狀態(tài)反饋信號(hào)，并將其反饋控制系統(tǒng)。正常生產(chǎn)運(yùn)行時(shí)，1E級(jí)控制系統(tǒng)不發(fā)控制指令，由非1E級(jí)控制系統(tǒng)根據(jù)運(yùn)行需求對(duì)執(zhí)行機(jī)構(gòu)進(jìn)行操控，信號(hào)優(yōu)選模塊接收的控制指令只來自非1E級(jí)控制系統(tǒng)。

圖1 實(shí)際項(xiàng)目已采用的典型安全級(jí)執(zhí)行機(jī)構(gòu)控制示意圖Fig.1 The sketch of the typical safety actuator control adopted in a real nuclear power project

但是在事故工況下或運(yùn)行偏離正常工況時(shí)，1E級(jí)控制系統(tǒng)的安全功能被啟動(dòng)，此時(shí)的執(zhí)行機(jī)構(gòu)接收來自不同控制系統(tǒng)的指令。對(duì)此，圖1所示的控制結(jié)構(gòu)要解決以下兩個(gè)關(guān)鍵問題：

（1）執(zhí)行機(jī)構(gòu)對(duì)指令執(zhí)行的不一致性判定。當(dāng)1E級(jí)指令和非1E級(jí)指令同時(shí)出現(xiàn)且相反，優(yōu)選模塊會(huì)根據(jù)固化的邏輯把1E級(jí)指令送到執(zhí)行機(jī)構(gòu)去執(zhí)行，非1E級(jí)指令將被屏蔽而未被執(zhí)行。但非1E級(jí)控制系統(tǒng)中需要對(duì)設(shè)備指令是否正確執(zhí)行作出判定。顯然，此時(shí)在非安全級(jí)中將會(huì)產(chǎn)生一條假的設(shè)備故障信號(hào)。

（2）安全級(jí)執(zhí)行機(jī)構(gòu)在執(zhí)行安全功能發(fā)出的命令期間，在1E級(jí)指令發(fā)出后，應(yīng)當(dāng)屏蔽掉非1E級(jí)信號(hào)，以使得非1E級(jí)指令不會(huì)影響到安全功能的執(zhí)行，但在安全功能被復(fù)位后，非1E級(jí)控制系統(tǒng)應(yīng)能立即對(duì)執(zhí)行機(jī)構(gòu)進(jìn)行正常的操控。

解決以上兩個(gè)問題，該核電項(xiàng)目的處理方法為：1E級(jí)系統(tǒng)在向優(yōu)選模塊發(fā)送指令的同時(shí)也向非1E級(jí)系統(tǒng)傳輸該指令。為此，增加由1E級(jí)到非1E級(jí)控制系統(tǒng)的單向信號(hào)傳輸線路，同時(shí)在非1E級(jí)控制系統(tǒng)增加相應(yīng)邏輯，以強(qiáng)制非1E級(jí)控制系統(tǒng)發(fā)出的相關(guān)設(shè)備的指令與和1E級(jí)控制系統(tǒng)發(fā)出的控制指令方向保持一致。

2 控制方法修改

我們知道，在設(shè)備常規(guī)控制中，當(dāng)設(shè)備處在就地模式時(shí)，控制系統(tǒng)對(duì)其命令失效，只接收設(shè)備反饋的狀態(tài)或故障信號(hào)。這里對(duì)信號(hào)優(yōu)先模塊引入設(shè)備常規(guī)控制的“就地控制模式”概念，即：將信號(hào)優(yōu)選模塊和執(zhí)行機(jī)構(gòu)視為一體，在優(yōu)選模塊設(shè)置“就地控制模式”功能，修改后的結(jié)構(gòu)見圖2所示。

圖2 修改后優(yōu)選模塊帶就地模式執(zhí)行機(jī)構(gòu)控制示意圖Fig.2 The sketch of the actuator control which priority logic module is introduced“l(fā)ocal mode”

基于此思路，針對(duì)上述兩個(gè)關(guān)鍵問題，具體的修改方案為：

表1 正常運(yùn)行工況下方案結(jié)果對(duì)比Table 1 Results of comparison under normal operation condition without 1Ecommand

表2 安全命令工況下方案結(jié)果對(duì)比Table 2 Results of comparison under the condition with 1Ecommand

（1）信號(hào)優(yōu)選模塊增加“就地控制模式”功能。在信號(hào)優(yōu)選模塊中，當(dāng)模塊接收到更高安全級(jí)別的控制信號(hào)時(shí)，則信號(hào)優(yōu)選模塊針對(duì)低級(jí)別的控制系統(tǒng)進(jìn)入就地控制模式，即當(dāng)有1E級(jí)指令進(jìn)入信號(hào)優(yōu)選模塊后，信號(hào)優(yōu)選模塊相對(duì)于非1E級(jí)系統(tǒng)進(jìn)入就地控制模式，同時(shí)產(chǎn)生一條“就地控制模式”信號(hào)送至非1E級(jí)控制系統(tǒng)中。當(dāng)安全功能被復(fù)位后，1E級(jí)指令也相應(yīng)被復(fù)位，則相對(duì)于非1E級(jí)系統(tǒng)的就地控制模式終止，此時(shí)信號(hào)優(yōu)選模塊開始正常接收并執(zhí)行非1E級(jí)系統(tǒng)指令。

（2）1E級(jí)系統(tǒng)對(duì)執(zhí)行機(jī)構(gòu)動(dòng)作可不作不一致判定（包括多樣化控制系統(tǒng)和應(yīng)急安全盤），將該不一致性判定邏輯在優(yōu)選模塊內(nèi)固化下來，設(shè)備不一致判定結(jié)果以設(shè)備故障信號(hào)的形式返回給非1E級(jí)系統(tǒng)用于指示。

（3）在非1E級(jí)控制系統(tǒng)中，在執(zhí)行機(jī)構(gòu)的設(shè)備級(jí)控制模塊中設(shè)置“遠(yuǎn)程／就地”控制邏輯。數(shù)字化儀控系統(tǒng)目前均采用模塊化設(shè)計(jì)，普遍采用分級(jí)控制方式。設(shè)備級(jí)控制模塊中的“遠(yuǎn)程／就地”控制邏輯是比較成熟且標(biāo)準(zhǔn)化的，實(shí)現(xiàn)起來并不困難。

（4）去掉1E級(jí)系統(tǒng)向非1E級(jí)系統(tǒng)的單向傳輸線路。在優(yōu)選模塊針對(duì)非1E級(jí)系統(tǒng)進(jìn)入就地控制模式后，非1E級(jí)系統(tǒng)無法通過信號(hào)優(yōu)選模塊控制設(shè)備，從而實(shí)現(xiàn)了1E級(jí)命令對(duì)非1E級(jí)指令的屏蔽。

3 修改后方案邏輯正確性驗(yàn)證

核電領(lǐng)域中工程方案的采用非常嚴(yán)格，故本修改方案不便于通過實(shí)際工程來驗(yàn)證其正確性，但是可以從邏輯上通過仿真進(jìn)行驗(yàn)證。這里我們利用工控軟件CONCEPT及其模擬軟件來實(shí)現(xiàn)。

基于前面的敘述，選取典型設(shè)備（如泵、閥門），在CONCEPT中分別對(duì)改進(jìn)前后的方案創(chuàng)建“典型執(zhí)行機(jī)構(gòu)”“信號(hào)優(yōu)選模塊”“1E級(jí)控制系統(tǒng)”“非1E級(jí)控制系統(tǒng)”四個(gè)模塊，然后按照?qǐng)D1和圖2分別建立信號(hào)連接。

模擬兩種工況下，方案修改前后執(zhí)行機(jī)構(gòu)在監(jiān)控系統(tǒng)上的反饋是否一致：

工況1：正常運(yùn)行工況（無1E級(jí)命令）下，如表1所示，方案修改前后執(zhí)行機(jī)構(gòu)在監(jiān)視系統(tǒng)上反饋的狀態(tài)是一致的。

工況2：事故工況（1E級(jí)命令啟動(dòng)）下，如表2所示，方案修改前后執(zhí)行機(jī)構(gòu)在監(jiān)視系統(tǒng)上反饋的狀態(tài)是一致的。

從表1和表2所示的驗(yàn)證結(jié)果，可以看出，修改后的方案對(duì)執(zhí)行機(jī)構(gòu)的邏輯控制是正確的。

4 修改前后方案對(duì)比分析

在修改后的方案中，當(dāng)信號(hào)優(yōu)選模塊接收到1E級(jí)指令（或多樣化控制系統(tǒng)指令）后，其針對(duì)非1E級(jí)系統(tǒng)進(jìn)入就地控制模式。非1E級(jí)系統(tǒng)不需要對(duì)設(shè)備動(dòng)作進(jìn)行任何的判定，此任務(wù)由固化在信號(hào)優(yōu)選模塊中的不一致性邏輯完成。此時(shí)的非1E級(jí)控制系統(tǒng)只接收來自優(yōu)選模塊的反饋，而對(duì)執(zhí)行機(jī)構(gòu)不能執(zhí)行任何控制功能。

相對(duì)于修改前的方案，結(jié)合上述及其驗(yàn)證結(jié)果，對(duì)信號(hào)優(yōu)選模塊引入設(shè)備就地控制模式的思路后，優(yōu)點(diǎn)有：

（1）取消控制系統(tǒng)間的信號(hào)傳輸，降低對(duì)每個(gè)執(zhí)行機(jī)構(gòu)控制的復(fù)雜度，各控制系統(tǒng)間相對(duì)更加獨(dú)立，整個(gè)系統(tǒng)間的關(guān)系更加清晰、簡(jiǎn)單，有利于控制系統(tǒng)間的功能隔離；

（2）取消非1E級(jí)系統(tǒng)中相應(yīng)安全級(jí)指令屏蔽非安全級(jí)指令的邏輯，很大程度上簡(jiǎn)化非1E級(jí)控制系統(tǒng)中執(zhí)行機(jī)構(gòu)的控制邏輯；

（3）減少1E級(jí)向非1E級(jí)系統(tǒng)單向信號(hào)傳輸線路。由此減少接口和故障點(diǎn)，無需考慮通訊線路斷開或再恢復(fù)會(huì)產(chǎn)生一些不可預(yù)計(jì)的后果，提高了整個(gè)系統(tǒng)的可靠性、安全性和經(jīng)濟(jì)性。

雖然信號(hào)優(yōu)選模塊中增加不一致性判定，但此邏輯簡(jiǎn)單成熟、易于實(shí)現(xiàn)，不會(huì)對(duì)現(xiàn)有信號(hào)優(yōu)先模塊的設(shè)計(jì)增加多少?gòu)?fù)雜度。對(duì)于數(shù)字化的儀控系統(tǒng)來說，普遍采用分級(jí)控制方式且模塊化，其設(shè)備級(jí)控制模塊中的“遠(yuǎn)程／就地”控制邏輯是比較成熟的技術(shù)，故修改后的方案在可行性上也沒有問題。

但修改后的方案有一個(gè)缺點(diǎn)，就是需要增加優(yōu)選模塊和非1E級(jí)控制系統(tǒng)間至少3個(gè)信號(hào)連接（開／關(guān)故障+遠(yuǎn)程模式）。但優(yōu)選模塊產(chǎn)生的故障信號(hào)并非安全或運(yùn)行相關(guān)，可以和優(yōu)選模塊的診斷信號(hào)通過通訊送到監(jiān)視系統(tǒng)顯示和存檔，因此只剩下了遠(yuǎn)程信號(hào)連接。

5 結(jié)論

綜合來說，對(duì)信號(hào)優(yōu)選模塊引入“就地控制模式”概念后，修改后的控制方法有利于增強(qiáng)執(zhí)行機(jī)構(gòu)控制的可靠性、安全性和經(jīng)濟(jì)性。有利于不同安全級(jí)控制系統(tǒng)間的功能隔離和控制簡(jiǎn)化，降低對(duì)執(zhí)行機(jī)構(gòu)控制的復(fù)雜度。基于現(xiàn)有的經(jīng)驗(yàn)和技術(shù)，修改后的方案在可行性上沒有任何問題。

［1］ 晁平.核電站數(shù)字化1E級(jí)儀控系統(tǒng)的設(shè)計(jì)目標(biāo)分析［J］.數(shù)字技術(shù)與應(yīng)用，2012，（07）.

［2］ 孫凱.核電站安全級(jí)DCS系統(tǒng)多樣性分析［J］.自動(dòng)化博覽，2012，（05）.

［3］ 佘磊春，孫旭，房俊龍.核反應(yīng)堆保護(hù)系統(tǒng)優(yōu)選邏輯模塊［J］.微型機(jī)與應(yīng)用，2012，（07）.

［4］ 鄭偉智.集散控制系統(tǒng)在核電站保護(hù)系統(tǒng)中的應(yīng)用［J］.核電子學(xué)與探測(cè)技術(shù)，2012，（04）.

［5］ IEEE Std.603，Standard Criteria for Safety Systems for Nuclear Power Generating Stations［S］.1991.

［6］ IEC Std.60880，Nuclear power plants-Instrumentation and control systems important to safety-Software aspects for computer-based systems performing category A functions［S］.2006.