安全仪控系统分布式控制器可靠性研究

成卫东 ，刘 云 ，，冷 杉

（1.西门子电站自动化有限公司，江苏 南京 211000；2.东南大学 能源与环境学院，江苏 南京 210096）

0 引言

安全是核电厂设计、运行和维护技术的核心问题。数字化安全仪控系统TXS对核电厂实施安全保护和控制，实现对核电厂反应性控制、确保堆芯冷却以及包容放射性产物等安全功能。TXS自身的可靠性对核电厂安全、经济运行影响极大：误动信号导致核电厂的虚假保护动作，产生安全隐患；拒动信号导致核电厂保护在异常工况下不能正常启动，这是一种危险性故障，严重影响系统或设备的安全[1-3]。

为了保证核电厂TXS的可靠性，其采用实体隔离的四重冗余（通道 E、F、G、H）设计，以满足单一故障准则。为了降低共因故障的可能性，TXS采用2个多样性序列A、B，2个序列尽可能采用不同的触发参数、处理逻辑和测量仪表。

除了在硬件设备上采用多样性原则以降低和避免共模故障影响外[4-5]，①EDF Framatome Sofinel.Probability safety assessment of China national pressurized water reactor 1000MW.1999.，TXS 通过合理规划软件功能提高系统整体可靠性[6-8]。TXS的控制功能组态软件是加载到各分布式控制器中运行的，控制器的加载分布策略会影响系统整体可靠性，需有量化的结果。

1 控制器分布规律

TXS的控制结构见图1，按功能分为4个部分。

a.信号采集：接收来自各自冗余通道的独立变送器信号，并进行预处理。

b.数据逻辑处理：将采集的模拟量信号经限值等运算转换为保护指令信号。

c.数据逻辑表决：将4个通道的保护指令进行4取2表决，然后将指令输出到相应的机柜/开关柜驱动各自的执行机构。

d.信号监视和服务：监测某些中间信号。

上述4种控制逻辑被分别下载到不同的控制器中，以达到分布式控制的作用。

图1 TXS的功能结构图Fig.1 Functional structure of TXS

TXS的组态被分成功能图组FDG（Functional Diagram Group）下载到分布式控制器中。如某核电厂的TXS中反应堆保护系统就包括73个FDG组态数据包，分别按1～73编号，其分布规律如下：各通道内的2个多样性序列中，各分布2个FDG进行信号采集及处理逻辑、3个FDG处理表决及输出逻辑；另外每通道还各分布5个FDG以监测本通道相关参数并传送至信号监测与服务单元；剩余13个FDG完成四通道两序列监测信号的综合处理功能。TXS的FDG分布如表1所示，表中A、B对应序列A、B。

表1 TXS安全保护功能的FDG分布Tab.1 FDG distribution of TXS safety protection function

2 控制器可靠性自动建模

为了分析TXS控制器分布的可靠性，本文采用Risk Spectrum（简称RS）程序建立故障树模型并进行定量分析[9-11]，该程序采用 RSMCS算法和“下行法”运算法则，需构建体现故障树特点的结构，从而得到最小割集 MCS（Minimal Cut Set）①RELCON A B.Risk spectrum theory manual.1998.。

TXS信号采集部分的硬件包括信号采集模块SAA1、信号分配模块SNV1、模拟量输入模块S466；逻辑处理和表决部分的硬件包括处理器模块SVE1或SVE2、通信模块SL21、光电转换模块SLLM、通信接口模块SK01、扩展接口模块SBU1、数字量输出模块S451、通信处理器模块SCP1和子机架SBG1或SBG2，每个多样性序列形成的驱动信号经过二极管后进入AV42优选模块驱动相关部件动作。只有当2个多样性序列的表决器全部失效时，安全功能才会失效。

TXS控制器的功能组态和分布十分复杂，人工建立故障树模型不仅费时费力，且无法使故障树模型的风格、编码、假设以及其他在建模中需要考虑的因素保持一致，同时会存在相当多的人为错误。因此，为了简化故障树建模工作，本文采用ActiveX控件开发技术和Visio二次开发技术对TXS硬件设备进行图形化组态和拓扑结构程序分析，完成故障树自动建模。这样可以提高故障树建模效率，简化故障树建模的工作。

Visio具有良好的图形界面和开放性，本文利用Visio二次开发机制并对其定制，实现组态信息自动建模功能[12-13]。为了实现控制器可靠性自动建模软件与RS软件平台数据共享，需要将VSD格式的图形文件进行组态信息提取、简析，并生成RS接口文件，以便导入RS软件中进行故障树的自动生成和可靠性参数的量化分析。

RS软件接口文件由故障树及转移门记录、基本事件记录、门记录和可靠性参数记录4个部分组成。每条记录中包含了多个不同类型的数据项，因此为每种记录定义了一个结构体，并利用动态链表将结构体类型数据按照一定的原则连接起来，最后通过读取链表中的节点数据输出RS接口文件。相关程序流程图如图2所示。

3 控制器分布可靠性分析

以高压安全注入（下文简称安注）系统仪控功能BA11为例，其功能逻辑如图3所示，控制器分布如下。

a.多样性序列A：激发高压安全注入功能的输出信号被启动，当操纵员发出命令，或冷却剂热段温度高于150℃且一回路冷却剂的过冷度（反应堆内偏离冷却剂沸腾温度）Δt＜10℃时，使用传感器组A。四通道相关逻辑分别下载在控制器1、25、44、59中。

图2 组态信息自动建模功能程序流程图Fig.2 Flowchart of automatic modeling for configuration information

b.多样性序列B：激发高压安全注入功能的输出信号被启动，当安全壳内大气压力高于0.129 MPa或操纵员发出命令时，使用传感器组B。四通道相关逻辑分别下载在功能控制器3、27、46、61中。

c.四通道产生的逻辑信号经4取2表决后输入AV42模块并驱动相关阀门开关及安注泵启动，其中序列A表决逻辑分布在控制器5、33、48、63中，序列B表决逻辑分布在控制器 6、34、49、64中。

根据TXS的硬件结构结合BA11功能逻辑，以及本文开发的控制器可靠性自动建模软件，设计了通道E的仪控功能组态图如图4所示。

利用该软件在RS程序中自动建立以“高压安注启动信号（BA11信号）失效”为顶事件的故障树模型。由于篇幅限制，本文只给出部分故障树图如图5所示。

图3 高压安注系统BA11功能的逻辑图Fig.3 Logic of function module BA11 of HP-injection system

图4 BA11功能组态逻辑图（通道E）Fig.4 Configuration logic of BA11（channel E）

图5 BA11功能失效故障树Fig.5 Fault tree of BA11 failure

量化结果举例：计算得到通道E高压安注仪控功能的平均不可用度为8.05×10-4。同时可以得到对通道E高压安注仪控功能失效贡献最高的10个最小割集 MCS（Minimal Cut Set）如表 2所示。

表2 高压安注仪控功能的不可用度Tab.2 Unavailability of HP-injection system

从表2可以看出，通道E高压安注仪控功能的不可用度前10位最小割集占总不可用率的28.12%。贡献最大的设备是二极管元件和AV42优选模块，其中共有24个AV42模块，对系统失效贡献达到64.32%。

a.分布策略1。从图1可知，安注系统仪控功能可以分为现场数据（压力、温度）的采集、功能逻辑运算及表决输出3个部分，若将3个部分功能分别加载到不同的控制器中，将能提高系统的响应时间。利用本文开发的软件，可以得到通道E高压安注仪控功能的平均不可用度为8.12×10-4，对比原有设计，可靠性降低了0.87%。

b.分布策略2。控制器（SVE2）之间通过通信模块SL21、光电转换模块SLLM传输数据，这些模块对系统可靠性产生消极影响。将2个控制器的功能逻辑加载到同一个控制器中完成，这样可以减少系统模块的使用数量，从而减小系统的不可用度。设计对应的组态逻辑图，可以得到通道E高压安注仪控功能的平均不可用度为7.76×10-4，比原有设计降低了3.6%。

对比原有的控制器分布策略量化结果，本文提出的2种分布策略的高压安注系统仪控功能的不可用度前10位最小割集分布尚能保持一致，处在安全范围之内。

4 结语

TXS采用分布式控制器实现安全仪控功能，本文深入研究了其分布规律。为了简化分布式控制器可靠性研究的故障树建模工作，本文运用ActiveX控件技术和Visio二次开发技术专门开发了图形化的控制器可靠性自动建模软件。

以高压安注仪控功能为例，分析了TXS控制器不同分布策略下的可靠性，为安全仪控系统的可靠设计和组态提供了量化的结果。