冯 威 罗 炜 俞 赟 叶 奇
(中国核动力研究设计院核反应堆系统设计技术重点实验室,四川 成都 610041)
优先级控制模块是核电厂安全级仪控平台的一个重要组成部分,其主要功能是在对来自不同安全等级的自动或手动命令进行优先级处理后驱动专设安全设施及相关支持系统的泵、阀等设备。位于执行端的驱动装置(如阀门,主泵电机等)需要根据系统发出的驱动信号执行相应的功能。驱动装置的驱动信号可由多个系统给出,为了防止信号之间的冲突导致驱动装置动作出现异常,优先级控制模块需要对信号进行判断,确定驱动装置按照正确的信号执行动作。
本文针对目前核电领域主要应用的安全级仪控平台:Triconex、TXS 的优先级控制模块的设计与实现方案进行了研究,并探讨了优先级控制模块的国产化研发思路。
美国INVENSYS 公司的TRICONEX 平台配置了优先级控制模块PLM(Priority Logic Module),它基于FPGA 技术实现优选功能。PLM 接收1E 级与非安全级设备的驱动命令,并根据优先级高低选择输出驱动命令,控制现场设备。该平台在福清、方家山核电项目中已得到应用。
PLM 的硬件主体为一个FPGA 模块,采用24V 供电,并由以下部件组成:
●FPGA 芯片。
●LED 指示灯(输入、输出、电源的)。
输入:
●四对输入信号(每对信号分为A、B 两路输入)。
●24V 直流电压。
输出:
●一对开关量输出(每对信号分为A、B 两路输出)。
●一对开关量测试输出(每对信号分为A、B 两路输出)。
图1 PLM 模块接口简图
图1 为PLM 模块的接口简图,它展示了PLM 模块的输入及输出接口。PLM 的输入源一共有四个(安全级自动控制命令、安全级手动控制命令、多样化保护系统(DAS)和ATWT 系统命令、非安全级控制命令),每个输入源都分为两路输入(A 组与B 组),A 组信号用于关闭(阀门)或者停止(电机),B 组信号用于打开(阀门)或者启动(电机)。其中DAS、ATWT 系统及非安全级系统送入PLM 模块的信号需要进行隔离,确保其不会影响安全级设备的信号。PLM 模块共配置5 路输出,其中OUT-A、OUT-B 为驱动输出端口;TEST OUT-A、TEST OUT-B作为试验反馈信号,送给安全级系统。
PLM 优先级的高低为:1A/1B>2A/2B>3A/3B>4A/4B,且在同一通道内,A 组信号的优先级大于B 组。TEST 端口则用于定期试验时判断输出信号的状态。各输入输出的逻辑关系见表1。
表1 PLM 优先级逻辑关系表
PLM 的输入还包括两个试验使能信号,一个由就地开关控制,一个由上游安全级DCS 控制。当两个信号均置于有效位置时则进入试验模式。两个信号分别为:Test Enable2、Test Enable1。当PLM 进入试验模式后,1A/1B/2A/2B/3A/3B 信号产生的输出命令被闭锁,TEST 端口将试验反馈信号送回上游系统以判断试验结果。4A/4B 信号则不受闭锁的影响,可正常驱动下游设备。
德国西门子公司的TXS 平台由AV42 模块执行优先级控制功能。该平台已在田湾、岭澳核电项目中得到应用。
如图2 所示,AV42 模块由两大部分组成PLD 与processor。PLD采用硬件电路,主要完成驱动指令的优选与输出、采集现场驱动器的反馈信息、执行定期试验等功能。Processor 包括微处理器、PROFIBUS网络控制器及内存等,主要负责传输非安全级系统控制命令、PROFIBUS 通讯控制、驱动器及优选模块状态反馈、自诊断等功能。
图2 PLD与processor功能图
AV42 模块包括面板上的开关信号,通过硬接线连接的从安全级系统来的自动信号和手动信号,通过总线连接的非安全级系统来的自动信号和手动信号等,优先级从高到低分为以下几类:
1)面板上的就地开关信号接口,用于开、关、诊断三种功能。其中关信号优先级最高,诊断信号优先级最低。面板上的开关信号具有最高的优先级,即使在自动控制系统失效的情况下也可以对驱动器进行就地控制。
2)安全级系统信号接口,为第二优先级。该信号又划分为两个优先级别,级别1 高于级别2。
3)控制室信号接口,接收来自两个控制室的信号。
4)来自非安全级系统的信号接口,通过通讯总线连接,优先级最低。
对于每个信号源而言,其内部命令还具有优先级。
●面板开关命令:关闭>打开>诊断/停止;
●安全级设备命令:1# 关闭>1# 打开>2# 关闭>2# 打开;
●控制室命令:关闭>打开>停止;
●非安全级设备:打开、关闭、停止、附加按键开关控制。
AV42 模块送给驱动设备的信号为三个:CMDOFF(关闭信号)、CMDON(开信号)、CONTROL(Check command)阻塞信号,即此输出为高时,OFF、ON 无效;为低时,OFF、ON 有效。
AV42 模块还设置了控制室切换控制端口。根据输入信号的状态,优选模块可对来自控制室的命令进行使能控制,达到控制室切换的目的。
AV42 模块提供了以下硬件自检能力:
●与PLD 连接的看门狗电路,可以检测微处理器的循环操作和PLD 的基本功能。看门狗发现故障将使微处理器复位。
●低电压监测电路。当供给模块的电压低于定值时,低压监视电路将会把驱动电路输出置为0。
●开路和短路监测,出现开路、短路、超载时,PLD 可将状态信号反馈给微处理器。
优先级控制模块作为安全级仪控平台的重要组成部分,其性能直接影响核电厂的安全性。优先级控制模块主要实现驱动信号优先级判断、输出驱动信号、采集驱动设备状态信息等功能,同时需满足高可靠性及响应时间要求。
通过上述国外供货商采用的设计方案可以看出,两大平台都是基于FPGA 或者CPLD 技术,不采用软件直接用“与、或”门搭建功能。FPGA 技术既提供了高效的逻辑处理能力,同时保持了“硬逻辑”的特质,使其不受软件共模故障的影响。
优选模块为安全级设备,但其接收的信号也包括非安全级部分,应进行不同安全级信号的隔离,以保证故障不会从低安全级系统向高安全级系统蔓延。隔离功能可考虑在优选模块内实现,也可设置单独的隔离机柜。
安全级优选模块输入信号与整个系统所需功能密切相关,一般包括就地控制命令、专设安全设施驱动系统的安全级自动控制命令、紧急控制盘(ECP)的手动控制命令、后备盘(BUP)的手动控制命令、DAS系统的非安全级自动控制命令、控制系统的非安全级自动控制信号等。
Tricon 平台的优选模块逻辑简单,便于实现;而TXS 平台则引入了更多的输入信号,PLD 根据条件判定同类信号的优先级。TXS 平台的优选模块可回读驱动设备的状态信号,并结合信号优先级控制设备输出,Tricon 的优选模块只是将优选模块执行的驱动信号反馈回上级设备,其驱动设备的状态由其他系统进行采集。
上述两种平台优选模块输入输出的处理方式虽然略有不同,但都能完成优先级管理和驱动现场设备的功能。优选模块的国产化研发可以借鉴其成熟经验,在保证基本功能的前提下进行优化设计,增加设备的可用性与扩展性。
除此之外,优选模块还应具备故障监测能力,既要对模块内部进行自诊断,还需对输入输出回路进行监测。模块自诊断不应妨碍系统安全功能的执行。故障信息可反馈至上游系统,也能在模块指示灯上显示。为了配合安全级系统定期试验,优先级控制模块需设置闭锁功能。当电厂运行时,部分现场驱动器受工况的限制不能真实驱动。优选模块通过闭锁输出且反馈驱动信号的方式,配合系统完成定期试验。
优先级控制模块是安全级仪控平台的重要组成部分,其性能直接影响电厂运行的安全。优选模块设计应确保系统简单可靠,同时在不影响可靠性的情况下优化设计,为运行维护提供便利。
[1]IEEE Std 338.IEEE Standard Criteria for the Periodic Surveillance Testing of Nuclear Power Generating Station Safety Systems[S].2006.
[2]IEEE 603.IEEE Standard Criteria for Safety Systems for Nuclear Power Generating Stations [S].1998.
[3]IEEE 7-4.3.2.IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations [S].2003.