核电厂数字化保护和安全监测系统研究

Research on the Digitized Protection and Safety Monitoring System

for Nuclear Power Plant

陈　杰　陈冬雷　张　瑜　赵伟宁　张亮亮

(深圳中广核工程设计有限公司，广东 深圳　518124)

核电厂数字化保护和安全监测系统研究

Research on the Digitized Protection and Safety Monitoring System

for Nuclear Power Plant

陈杰陈冬雷张瑜赵伟宁张亮亮

(深圳中广核工程设计有限公司，广东 深圳518124)

摘要：对数字化保护和安全监测系统(PMS)的可靠性和可用性进行研究。从多重性和容错性角度分析PMS结构与功能的合理性。PMS采用4重冗余结构并充分使用4取2符合逻辑，保证通道的单一故障不会导致系统误动作和拒动作。序列内的冗余配置大幅降低了系统的故障率。丰富的电厂关键安全功能和显示功能提高了操纵员控制电厂的能力。PMS结构与功能合理，具有高容错性、高可靠性和高可用性。

关键词：核电厂数字化保护和安全监测系统结构与功能多重性容错性

Abstract：The reliability and availability of the digitized protection and safety monitoring system (PMS) are researched. The rationality of the structure and function of PMS is analyzed from the angles of multiplicity and fault tolerance. Quadruple redundant structure and two-out-of-four logic are adopted in PMS to ensure misoperation and reject-operation of the system may not be led by a single failure of the channel. Redundant configuration of division greatly reduces the failure rate of the system. Abundant plant safety-critical computing and display functions improve the capability of operator to control the power plant. The PMS is equipped with reasonable structure and functions, and possesses high fault tolerance capability, high reliability and availability.

Keywords：Nuclear power plantDigitizedProtection and safety monitoring systemStructure and functionMultiplicityFault tolerance

0引言

保护和安全监测系统(protection and safety monitoring system，PMS)作为核电厂安全系统的仪控部分，执行核电厂反应堆停堆断路器(reactor trip circuit breaker，RTCB)触发、专设安全设施(engineered safety features，ESF)驱动和安全级数据处理显示功能，使电厂达到和维持安全停堆状态[1]。其安全性和可靠性水平是衡量核电厂安全性的重要指标之一[2-3]。随着设计理念和仪控技术的发展，不同时期不同技术路线的核电厂保护系统具有不同的结构与功能[4-5]。PMS是基于安全级数字化仪控平台，总体结构采用4重冗余序列，序列内部保护功能处理子系统采用冗余设置，并充分使用4取2符合逻辑，具有丰富的安全级数据处理和显示功能。本文将从多重性和容错性的角度来分析PMS结构与功能的可靠性和可用性，以证明PMS的合理性。

1总体结构与功能描述

PMS由A、B、C、D 四重冗余序列组成，序列间彼此实体和电气隔离，实现了系统的多重性和序列的独立性。PMS总体结构[6]如图1所示。

图1　PMS总体结构

用于RTCB触发功能的变量使用4个独立的传感器进行冗余测量，每个序列处理1路测量信号。通过序列内定值处理逻辑(bistable processor logic，BPL)子系统的模数转换器(analog to digital converter，ADC)、将模拟信号转化为数字信号，数字信号再经过处理和计算后与整定值相比较，产生局部RTCB触发信号。BPL子系统将局部RTCB触发信号发送至4个序列的局部符合逻辑(local coincidence logic，LCL)子系统。如果2个或更多冗余通道的BPL子系统处于局部RTCB触发状态，LCL子系统将产生RTCB触发信号。此信号将被发送至该序列对应的RTCB触发逻辑矩阵，最终打开该序列对应的RTCB。每个序列控制2个RTCB，当2个或更多的序列输出RTCB触发信号并打开它们对应的RTCB时，棒控电源柜电源将被切断，控制棒落入堆芯，快速的负反应性引入导致反应堆紧急停堆。

ESF驱动功能实现方式与RTCB触发功能实现方式类似。PMS的安全级数据处理和显示子系统由4重冗余的安全显示器(safety display，SD)和2重冗余的安全级数据处理子系统(qualified data processing system，QDPS)组成[7]。每个序列包含1个SD，主要用于安全级变量显示和安全级设备级控制命令的发出。QDPS只有B、C序列有，通过集成通信处理(integrated communications processor，ICP)子系统与其他序列进行数据交换，主要用于安全级事故后监测变量的处理和运算。

2单序列结构与功能描述

以A序列为例，描述PMS单序列的结构与功能。PMS单序列主要由BPL、LCL、ILP、ICP、RTCB触发逻辑矩阵、RTCB组、QDPS和SD等组成。PMS单序列结构如图2所示。

在单序列中，BPL子系统可实现本序列的信号采集、阈值比较和局部触发信号产生，并将局部触发信号发送给其他序列LCL子系统；LCL子系统接收PMS所有序列BPL子系统传送过来的局部触发信号，并产生系统级停堆和专设安全设施驱动信号，其中系统级停堆信号触发本序列中的2个停堆断路器打开；ILP子系统级可将本序列系统级专设安全设施驱动信号扇出为设备级驱动信号，以实现本序列专设安全设施驱动。

图2　PMS单序列结构

在单序列中，BPL、LCL和ILP等子系统采用冗余配置，实现了序列内的冗余性[8]。

2.1　定值处理逻辑(BPL)子系统

PMS共有8个冗余BPL子系统，每个序列包含2个冗余BPL子系统[1,6]，分别为BPL-A1和BPL-A2，如图3所示。

图3　PMS序列内部冗余

每个BPL子系统都配置专用的输入/输出(I/O)模块、处理器、通信模块和链接至LCL子系统的高速链接(high speed link，HSL)。BPL子系统执行信号采集、阈值比较、局部触发信号产生及输出功能。局部触发信号包括局部RTCB触发信号和局部ESF驱动信号。BPL子系统通过单向HSL分别向4个序列中的8个LCL子系统发送局部触发和旁通信号。

2.2　局部符合逻辑(LCL)子系统

PMS共有8个冗余LCL子系统，每个序列包含2个冗余LCL子系统[6,8]，分别为LCL-A1和LCL-A2，如图3所示。每个LCL子系统包含2个RTCB触发逻辑处理器和1个ESF驱动逻辑处理器。RTCB触发逻辑处理器RT-A1、RT-A3和ESF驱动逻辑处理器ESF-A1位于子系统LCL-A1；子系统LCL-A2与LCL-A1相同，RTCB触发逻辑处理器RT-A2、RT-A4和ESF驱动逻辑处理器ESF-A2位于子系统LCL-A2。由于1个处理器只能接收2路HSL输入，因此每个LCL子系统还需要配置第4个处理器来满足BPL子系统8路HSL输入的需求。

LCL子系统执行局部触发信号4取2符合逻辑运算。当PMS任意2个及以上通道的BPL子系统处于局部触发状态，LCL子系统产生RTCB触发或(和)ESF系统级驱动信号。当任意1个通道的BPL子系统为局部触发或旁通状态时，LCL子系统中的4取2符合逻辑相应转化为3取1或3取2符合逻辑，不会产生误触发信号；同理当任意1个通道的BPL子系统为未触发或未旁通状态时，不会阻止RTCB触发或(和)ESF系统级驱动信号产生。

正常运行工况下，序列内2个BPL子系统中的任何1个输出的局部触发信号在LCL子系统中都为有效信号[7-8]。如果BPL通道诊断指示BPL子系统的输入模块、处理器或HSL故障，则LCL子系统报警并忽略故障BPL子系统输出的局部触发信号，同时使用通道内另一个正常运行BPL子系统产生的局部触发信号。因此当单个BPL子系统故障时，序列中的LCL仍保持4取2符合逻辑，而不是3取2或3取1的符合逻辑。同理，在系统试验过程中，当对单个BPL处理器进行独立试验时，LCL处理器使用其他(非试验中)BPL处理器产生的局部触发信号，从而使PMS在单个BPL处理器进行试验时不需要对整个通道进行旁通或者触发。

2.3　RTCB触发逻辑矩阵

PMS包含8个冗余RTCB触发逻辑矩阵，每个序列包含2个冗余矩阵，分别为RTCB欠压(under voltage，UV)触发逻辑矩阵和RTCB励磁(shunt trip，ST)触发逻辑矩阵[6-7]。

RTCB UV触发逻辑矩阵为选择性4取2符合逻辑电路，通过中间继电器串联/并联实现，如图3所示。图3中，RT-A1控制触点A1，RT-A3控制触点A3；同样的，RT-A2控制触点A2，RT-A4控制触点A4。在电厂正常运行工况下，RTCB UV触发逻辑矩阵中的中间继电器处于通电闭合状态。RTCB UV触发逻辑矩阵需要LCL子系统处理器(RT-A1或RT-A3)和(RT-A2或RT-A4)断开它们控制的触点，以打开A序列RTCB。

RTCB ST触发逻辑矩阵也为选择性4取2符合逻辑电路。矩阵中的中间继电器在电厂正常运行工况下处于失电打开状态，打开序列内RTCB需要中间继电器通电关闭。其结构和功能与RTCB UV触发逻辑矩阵相似。

2.4　反应堆紧急停堆断路器(RTCB)组

RTCB组中共有8个RTCB，每2个RTCB组成1个序列，共4个RTCB序列[3]，分别对应PMS的4个序列。4序列的RTCB配置为4取2符合逻辑电路结构，如图1所示。通过UV或ST触发逻辑矩阵打开本序列的2个RTCB。任意2个及以上序列产生RTCB触发信号将会断开棒控系统供电回路，导致反应堆紧急停堆。

PMS序列与RTCB的对应关系如下所示。

序列ARTCB-A1和RTCB-A2

序列BRTCB-B1和RTCB-B2

序列CRTCB-C1和RTCB-C2

序列DRTCB-D1和RTCB-D2

2.5　集成逻辑处理(ILP)子系统

2个冗余ILP子系统配置在1个ILP机柜中。序列内ILP机柜的数量与系统功能分配有关，如图3所示。安全功能在不同序列的ILP机柜内冗余执行。

ILP子系统执行设备级ESF驱动信号扇出逻辑并提供设备状态指示信号。每个ILP子系统接收本序列2个LCL子系统输出的系统级ESF驱动信号。当序列内2个LCL子系统输出的系统级ESF驱动信号一致时，ILP子系统执行设备级ESF驱动信号扇出逻辑，输出ESF设备级驱动信号；且当同一机柜内的两个冗余ILP子系统输出不一致时，其对应的CIM输出信号根据ESF倾向的故障模式进行复位，保证ESF不拒动、不误动[8]。

2.6　集成通信处理(ICP)子系统

PMS包含4个冗余ICP子系统，每个序列包含1个ICP子系统[6,9]。ICP子系统接收其他序列ICP子系统的3路单向HSL输入，并将本序列数据通过3路单向HSL发送至其他序列中的ICP子系统，如图2所示。这些数据只能被QDPS使用，不用于RTCB触发或ESF驱动功能。

ICP子系统通过鉴定的隔离器和硬接线将本序列数据发送至电厂控制系统。

2.7　安全级数据处理和显示子系统

安全级数据处理和显示子系统由SD和QDPS组成，如图2所示。SD4重冗余，每个序列包含1个SD[8-9]。SD的主要功能包括：闭锁和复位安全功能；提供安全级设备(引起严重后果)的手动控制；提供安全级变量显示及其趋势显示，并允许操纵员选择变量以显示其趋势；提供安全级事故后监测变量和关键安全参数(功能)状态显示；核仪表子系统(nuclear instrumentation subsystem，NIS)定期校准。

PMS B和C序列各包含1个QDPS，由专用传感器、共享传感器和QDPS机箱组成。2个QDPS功能相同，互为冗余，彼此实体和电气隔离。每个QDPS机箱包含1个通信模块和1个处理器模块[9-10]。通信模块提供与先进总线(advance fieldbus 100，AF100)的接口；处理器模块执行安全级事故后监测变量的处理和运算，特别是电厂关键安全功能计算，如次临界、堆芯冷却、反应堆冷却剂系统和安全壳完整性等，在电厂其他非安全级显示系统故障时，为操纵员提供足够的运行数据以安全关闭电厂。

2.8　其他子系统

除以上子系统外，PMS序列内还包含NIS、接口和试验处理(interface and test processor，ITP)子系统、维修和试验(maintenance and test panel，MTP)子系统、CIM、爆破阀控制(squib valve controller，SVC)子系统和事件顺序(sequence of events，SOE)子系统等，用于实现PMS维修、试验和设备接口等功能[7,10]。由于这些子系统不直接执行RTCB触发、ESF驱动和安全级数据处理和显示功能，本文不再对这些子系统进行详述。

3结束语

PMS具有较高的可靠性和可用性，4重冗余的总体结构以及4取2符合逻辑的充分使用，保证了单个通道的故障、触发、试验和旁通既不能导致RTCB误触发和系统级ESF误驱动，也不能阻止RTCB触发和系统级ESF驱动；在单个通道旁通情况下，系统仍满足单一故障准则。序列内冗余ILP子系统和CIM的“握手”逻辑保证单个系统级或设备级ESF驱动信号故障不会导致ESF误驱动或拒驱动。

PMS丰富的电厂关键安全功能计算和显示功能提高了操纵员控制电厂的能力，从而保证了系统的高可靠性和高可用性。

随着我国核电技术的发展，PMS的结构与功能将会不断被优化，其在核电厂安全级仪控系统中的应用也将越来越广泛。

参考文献

[1] 林诚格，郁祖盛，欧阳予，等.非能动安全先进压水堆核电技术[M].北京：原子能出版社，2008：756-810.

[2] 郑明光，张劲舜，沈增耀，等.压水堆核电厂仪表控制与计算机化的发展概况[J].核技术，2000，23(12)：899-904.

[3] 中广核工程有限公司.压水堆核电厂核岛设计(第五卷)核岛仪控系统设计[M].北京：原子能出版社，2010：19-43.

[4] 刘宏春，王涛涛，王华金，等.岭澳二期核电站数字化反应堆保护系统[J].核动力工程，2008，29(1)：1-4.

[5] 晁平，郑明光.田湾核电站数字化安全级仪控系统结构与性能研究[J].核电工程与技术，2003，16(4)：27-32.

[6] 孙汉虹，程平东，缪鸿兴，等.第三代核电技术AP1000[M].北京：中国电力出版社，2010：324-376.

[7] 刘玥，丁长富，王少华，等.DCS安全级仪控平台的分析研究[J].自动化博览，2012(1)：48-52.

[8] 冀焕青.AP1000核电站数字化反应堆保护系统[J].自动化与仪表，2013，28(2)：11-15.

[9] 刘子介.Common Q在AP1000 PAMS中的应用[J].电气技术，2010(3)：52-55.

[10]从曦宇，刘辉.浅谈AP1000核电厂保护和安全监视系统PMS操作平台Common Q[J].科技与企业，2013(15)：107-108.

中图分类号：TP277；TL362

文献标志码：A

DOI:10.16086/j.cnki.issn1000-0380.201507015

修改稿收到日期：2014-11-13。

第一作者陈杰(1985-)，男，2007年毕业于哈尔滨工程大学电气工程及其自动化专业，获学士学位，工程师；主要从事核电厂保护及专用仪控系统的研究。