核電廠安全級DCS設備接口模塊的研究

張亮亮，張 瑜，丁 丁，劉東波，江 輝

(深圳中廣核工程設計有限公司上海分公司，上海 200241)

核電廠安全級DCS設備接口模塊的研究

張亮亮，張 瑜，丁 丁，劉東波，江 輝

(深圳中廣核工程設計有限公司上海分公司，上海 200241)

設備接口模塊是核電廠安全級DCS中進行優先級判斷及輸出最終專設驅動命令的重要設備。在滿足相關法規標準及要求的前提下，為進一步優化設備接口模塊各輸入命令的接口，同時保證通信的高效性，對設備接口模塊的相關內容進行了系統研究。分析了相關法規標準對設備接口模塊的要求(如多重性、獨立性、多樣性及縱深防御等)，并對法規標準在安全級DCS設備接口模塊的應用進行了詳細論述。通過比較國內目前核電廠中常見的幾種安全級平臺(如AREVA公司的TXS平臺、三菱公司的MELTAC-N plus平臺、Invensys公司的TRICONEX 平臺以及西屋公司的Common Q平臺)設備接口模塊，結合不同安全級平臺設備接口模塊的通信實現方式，提出了一種改進性方案。該方案兼顧了通信的可靠性及硬接線的數量。相關研究和分析可為安全級設備接口模塊的設計提供參考。

設備接口模塊； 優先級； 安全級DCS； 多重性； 獨立性； 多樣性； 縱深防御； 通信

0 引言

作為核電廠的“神經中樞”，分布式控制系統(distributed control system,DCS)為核電廠正常運行、異常和事故工況提供各類控制、保護手段及監測信息，以保證核電廠安全、可靠和經濟地運行。在常見的幾種核電廠用安全級DCS平臺中，設備接口模塊主要用于接收來自安全級和非安全級儀控系統的設備控制命令，并將最高優先級的命令發送至驅動設備[1]。另外，它通常具有數據采集和狀態監測功能。

作為設備控制命令與受驅動設備間的接口裝置，設備接口模塊滿足安全級DCS需遵守的獨立性與單一故障準則，是保證儀控系統實現多樣性與縱深防御功能的重要設備。本文分析了設備接口模塊涉及的主要設計準則，另外還對其通信方式給出了一些見解。

1 相關設計準則的研究

設備接口模塊作為安全級DCS平臺的一部分，應滿足安全級DCS平臺的基本設計原則，如獨立性、單一故障等。它在核電廠儀控系統實現多樣性或防止共因故障方面起著重要作用。

1.1 多重性與單一故障準則

為確保專設驅動功能的可靠性目標并符合單一故障準則[2]，不同功能的專設可能由兩個、三個或四個不同的序列組成。相應地，驅動該專設的設備接口模塊也分布在不同的序列。當其中一個設備接口模塊失效時，不影響其他序列正常發揮專設安全功能，確保了系統的可靠性。

1.2 獨立性

獨立性準則主要適用于安全級儀控系統內部多重序列之間以及安全級系統與非安全系統之間。實現獨立性主要采用實體分隔以及電氣隔離、通信隔離和功能隔離等手段。不同序列實現同一專設驅動功能的設備接口模塊之間沒有通信關系，相互獨立。不同安全級序列的設備接口模塊之間的實體分隔也由序列之間的實體分隔功能實現。因此，對設備接口模塊而言，主要應考慮的是安全級部分與非安全級部分之間的獨立性。根據IEEE Std.7-4.3.2[3]，安全級和非安全級系統之間的數據通信不應抑制安全功能的執行；另外非安全級功能不會妨礙安全級系統發揮功能。

設備接口模塊的優選邏輯可提供功能隔離。設備接口模塊的優選邏輯功能示意圖如圖1所示。

圖1 優選邏輯功能示意圖

僅在安全級系統無非安全級命令閉鎖信號時，非安全級命令才會起作用，可以將非安全級命令的功能限制在安全級設計要求范圍內，防止非安全級命令的誤觸發對安全級功能造成的不利影響。

設備接口模塊需要將來自安全級系統、非安全級系統的命令綜合起來進行優先級判斷，然后輸出高優先級的控制命令。以應用于非能動核電站的Common Q平臺設備接口模塊CIM[4]為例，非安全級系統通過遠程I/O光纖總線，將非安全級信號傳送到遠程節點控制器(remote node controller,RNC)。光纖通信實現了RNC和非安全級系統間的電氣隔離。

相較于其他安全級平臺，非能動核電站的多樣化驅動系統從傳感器輸出到最終被驅動設備均完全獨立[4]，這就保證了設備接口模塊與多樣化驅動系統之間的獨立性。

1.3 多樣性和縱深防御

共因故障(comnon cause failure,CCF)[5]是指因特定的單一事件或原因導致幾個器件或部件不能執行其功能的故障。這些事件可能來自儀控系統的內部或外部。而軟件共因故障是指數字化系統中因軟件設計和開發錯誤而造成的多個設備序列或系統的失效。

完成同一功能的專用安全設施一般由多重驅動設備組成，驅動同一專設功能的設備接口模塊也分布在不同的安全級序列。設備接口模塊的控制邏輯處理一般都采用可編程邏輯器件(CPLD/FPGA)等，而不是基于微處理器，但其開發和下裝過程仍是通過軟件進行的。

由于相同版本的軟件存在于安全相關系統的多重序列，數字化系統一般不能證明是無誤的，因此需考慮受到CCF的影響(包括可編程器件)[6]。多樣性和測試是兩種被NRC接受的方法，用于消除軟件共因故障的影響。而測試要求對輸入信號的所有可能組合以及設備狀態的所有可能時序進行測試，另外還要驗證所有測試用例的輸出(100%測試或完全測試)。由于儀控系統的復雜性，完全測試很難應用于實際的數字化系統。多樣性設計是解決專設驅動共因故障的切實可行方法。

非能動核電站安全級DCS設備接口模塊與多樣化驅動系統從設計、設備制造商、邏輯處理設備、功能、全壽命周期、邏輯及信號這7個不同屬性，實現了NUREG/CR-7007中要求的多樣性[7]。

NUREG-0800，BTP7-19[6]給出了儀控系統的4個防御層次:第一層為非安全級控制系統，用于核電站正常運行條件下；第二層為停堆系統，在電廠發生不可控的偏離工況時快速降低反應性；第三層為專設安全系統，用于移除堆芯熱量，維持三道物理屏障的完整性，避免大量放射性釋放到環境中;最后一層為監視和指示系統，它包括了安全級和非安全級的手動控制、監視和指示功能，用來操作其他三個防御層次涉及的設備。

設備接口模塊執行的縱深防御功能除了安全級的專設驅動外，還執行非安全級的縱深防御功能，它可為非安全級控制系統提供安全級設備的控制。隨著平臺的變化，設備接口模塊提供的來自非安全級的控制功能略有不同，如Common Q平臺僅為全廠控制系統PLS提供安全設備控制；而某些平臺則為控制系統以及多樣化驅動系統都提供了控制接口。

1.4 其他設計要求

根據IEEE Std.7-4.3.2[3]，設備接口模塊需要考慮如下原則。

①故障安全設計。

當出現可信的故障模式時，設備接口模塊應可將執行機構置于安全位置，使核電廠處于安全狀態。

②測試功能設計。

設備接口模塊的測試功能不能影響其執行安全功能。相關的測試功能主要包括安全級/非安全級命令發送至設備接口模塊、設備接口模塊的命令輸出以及二者之間的交迭測試。

③故障檢測和自診斷。

通過自診斷功能，可以快速檢測到設備接口模塊的故障。故障檢測功能主要有電源故障、通信故障以及輸出測試故障等；自診斷功能主要用于設備接口模塊控制器件(如FPGA/CPLD等)內部功能完整性的診斷。

2 不同安全級平臺設備接口模塊的比較

國內現有核電廠中，安全級DCS[4-5]的設備接口模塊主要有AREVA公司的TXS平臺AV42模塊、三菱公司的MELTAC N-plus平臺PIF、Invensys公司的TRICONEX 平臺PLM模塊以及西屋公司的Commom Q平臺CIM模塊等。不同平臺設備接口模塊的接口關系如圖2所示。

圖2 不同平臺設備接口模塊接口關系圖

CIM模塊同樣基于FPGA技術，實現優先級判斷以及設備驅動命令輸出，并將設備狀態分別通過SRNC/RNC反饋給安全級/非安全級控制系統。它與DAS不存在接口，二者之間具有完全的獨立性。

PIF模塊由硬件電路實現，它以RS-485串行總線的方式接收來自安全邏輯機柜的控制命令；另外，它通過繼電器機柜ARC以硬接線的方式，接收來自緊急控制盤ECP、后備盤BUP以及多樣化驅動系統DAS的信號。DAS采用純模擬技術實現。

AV42模塊由PLD和處理器兩大部分組成。PLD主要實現驅動指令的生成和優選、獲取反饋信息、指令的輸出和中斷、定期試驗等功能；處理器部分主要實現Profibus總線的通信控制功能[8-10]。AV42以硬接線方式接收來自安全級DCS的控制命令，同時通過Profibus總線接收來自非安全級控制系統自動處理器AP的控制命令，接收AV42反饋的設備驅動器狀態信息以及模塊狀態信息。

PLM模塊基于FPGA技術實現，它以硬接線方式接收來自1E級TRICONEX的ESFAS專設驅動信號、ECP的手動控制信號、DAS/ATWT的信號以及非安全控制系統的控制信號。PLM僅完成優選邏輯判斷、驅動信號輸出和定期試驗功能，自身無驅動信號保持功能，且無控制設備的狀態反饋功能。PLM模塊比較容易實現，但功能單一。DAS/ATWT采用了與非安全級控制系統相同的Foxboro I/A平臺。不同平臺設備接口模塊的差異對比如表1所示。

表1 不同平臺設備接口模塊的差異對比

綜上可知，目前多數安全級平臺的設備接口模塊都采用可編程邏輯器件/門陣列實現；在與多樣化驅動系統DAS之間的接口方面，Common Q平臺實現了完全的獨立，且DAS采用了FPGA技術。其他方面的主要差別在于通信形式，PLM模塊僅采用硬接線，可靠性高，但其實現功能比較簡單，PLM本身不具有閉環控制能力，而其他幾種模塊都采用了通信加硬接線的形式。

3 設備接口模塊通信方式的改進

設備接口模塊與安全級控制器、非安全級控制器及控制設備間的數據交換需遵守美國核管會DI&C ISG-04[1]關于安全級通信方面的要求。NRC認為，安全級的通信不應有握手指令，同時不接受從安全級序列之外打斷。另外，通信中應使用預先定義好的信息格式和協議，以簡單離散的數字信號方式來實現確定性的通信。

由表1可知，設備接口模塊與驅動設備之間的通信均以硬接線方式進行。不同平臺的設備接口模塊通信的差異往往存在于處理器和設備接口模塊之間。而非安全級處理器與設備接口模塊之間的通信要求滿足1.2節之間的獨立性要求，以保證二者之間的通信不會對安全級功能造成不利影響。

通常的設備接口模塊與處理器、驅動設備之間的通信示意圖如圖3所示。

圖3 設備接口模塊通信示意圖

為了減少硬接線數量，節約控制柜內/間的布線空間，某些平臺(如MELTAC-N plus)在安全級處理器與設備接口模塊間采用了串行總線通信形式，而TXS則使用了硬接線的形式。為保證更高的可靠性，設備接口模塊的設計應盡可能采用硬接線接口，不采用通信方式[5]。

改進的設備接口模塊通信如圖4所示。

圖4 改進的設備接口模塊通信示意圖

該方案采用不同的方式傳輸安全級處理器與設備接口模塊間的命令信號和反饋信號，命令信號采用硬接線，反饋信號則以通信方式實現。

4 結束語

本文對安全級DCS設備接口模塊適用的準則進行了研究和分析，詳細論述了設備接口模塊需要遵守的一般性準則。另外還綜合了TXS、MELTAC-N plus、Invensys以及Common Q等不同平臺的特性，提出了一種更為可靠的設備接口模塊的通信方式。在遵循現有NRC/IEEE/HAD等相關標準的前提下，進一步優化設備接口模塊的結構，對于提高設備可靠性有著重要的意義。

[1] US NRC.DI&C ISG-04 Highly-integrated control rooms-communications issues[S].NRC,2009.

[2] 國家核安全局.HAD102/10核電廠保護系統及有關設施[S].北京:中國法制出版社，1988.

[3] Institute of Electrical and Electronics Engineers.IEEE Std.7-4.3.2 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations[S].IEEE,2010.[4] 劉玥,丁長富,王少華,等.DCS安全級儀控平臺的分析研究[J].自動化博覽，2012(1):48-54.

[5] 鄭偉智,李相建.CPR1000保護系統設計研究[J].核動力工程，2012,33(6):21-26.

[6] USNRC.NUREG-0800,Standard review plan,BTP 7-19Guidance for evaluation of defense-in-depth and diversity in digital computer-based instrumentation and control systems[S].NRC,2007.

[7] USNRC.NUREG/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems[S].NRC,2009.

[8] 金思奇,彭錦,彭華清,等.EPR儀控平臺失效應對策略研究[J].核科學與工程，2012(S2):105-110.

[9] 馮威,羅煒,俞赟,等.核電廠優先級控制模塊的研究與設計[J].科技視界，2005(18):264-265.

[10]陳日罡.優先控制模件AV42在田灣核電站的應用[J].核工業自動化，2004(2):22-27.

Research on the Component Interface Modules
of Safety Class DCS in Nuclear Power Plant

ZHANG Liangliang,ZHANG Yu,DING Ding,LIU Dongbo,JIANG Hui
(Shanghai Branch of Shenzhen China Nuclear Power Design Co.,Ltd.,Shanghai 200241,China)

The component interface modules are important devices to make priority judgment and output the actuating command of final components in the nuclear power plant safety level of DCS.Under the premise of meeting the relevant regulations，standards,and requirements,in order to further optimize the input command interface of the component interface modules,and to ensure high efficiency of the communication at the same time,the related content of the component interface modules is systematically researched.The requirements to component interface modules from relevant regulations and standards such as multiplication,independence,diversity and defense in depth,etc.,are analyzed,and the applications of regulations and standards in the component interface modules of the safety class of DCS are described in detail.By comparing some of the component interface modules for commonly seen safety class platforms such as TXS of Siemens,MELTAC-N plus of Mitsubishi,TRICONEX of Invensys,and Common Q of WEC in domestic nuclear power plants at present，and combining with the communication implementation of the component interface modules for different safety class platforms,an improved scheme is proposed,in which both the reliability of communication and the quantity of hard wirings are taken into account.Relevant research and analysis provide reference for the design of safety class component interface modules.

Component interface module; Priority; Safety DCS; Multiplicity; Independence; Diversity; Defense in depth; Communication

張亮亮(1988—)，男，碩士，工程師，主要從事核電廠安全級儀控系統的研究與設計工作。E-mail:zl2211516@126.com。

TH89;TP334.7

A

10.16086/j.cnki.issn1000-0380.201707007

修改稿收到日期:2017-03-17