核电厂安全级DCS设备接口模块的研究

张亮亮，张 瑜，丁 丁，刘东波，江 辉

(深圳中广核工程设计有限公司上海分公司，上海 200241)

核电厂安全级DCS设备接口模块的研究

张亮亮，张 瑜，丁 丁，刘东波，江 辉

(深圳中广核工程设计有限公司上海分公司，上海 200241)

设备接口模块是核电厂安全级DCS中进行优先级判断及输出最终专设驱动命令的重要设备。在满足相关法规标准及要求的前提下，为进一步优化设备接口模块各输入命令的接口，同时保证通信的高效性，对设备接口模块的相关内容进行了系统研究。分析了相关法规标准对设备接口模块的要求(如多重性、独立性、多样性及纵深防御等)，并对法规标准在安全级DCS设备接口模块的应用进行了详细论述。通过比较国内目前核电厂中常见的几种安全级平台(如AREVA公司的TXS平台、三菱公司的MELTAC-N plus平台、Invensys公司的TRICONEX 平台以及西屋公司的Common Q平台)设备接口模块，结合不同安全级平台设备接口模块的通信实现方式，提出了一种改进性方案。该方案兼顾了通信的可靠性及硬接线的数量。相关研究和分析可为安全级设备接口模块的设计提供参考。

设备接口模块； 优先级； 安全级DCS； 多重性； 独立性； 多样性； 纵深防御； 通信

0 引言

作为核电厂的“神经中枢”，分布式控制系统(distributed control system,DCS)为核电厂正常运行、异常和事故工况提供各类控制、保护手段及监测信息，以保证核电厂安全、可靠和经济地运行。在常见的几种核电厂用安全级DCS平台中，设备接口模块主要用于接收来自安全级和非安全级仪控系统的设备控制命令，并将最高优先级的命令发送至驱动设备[1]。另外，它通常具有数据采集和状态监测功能。

作为设备控制命令与受驱动设备间的接口装置，设备接口模块满足安全级DCS需遵守的独立性与单一故障准则，是保证仪控系统实现多样性与纵深防御功能的重要设备。本文分析了设备接口模块涉及的主要设计准则，另外还对其通信方式给出了一些见解。

1 相关设计准则的研究

设备接口模块作为安全级DCS平台的一部分，应满足安全级DCS平台的基本设计原则，如独立性、单一故障等。它在核电厂仪控系统实现多样性或防止共因故障方面起着重要作用。

1.1 多重性与单一故障准则

为确保专设驱动功能的可靠性目标并符合单一故障准则[2]，不同功能的专设可能由两个、三个或四个不同的序列组成。相应地，驱动该专设的设备接口模块也分布在不同的序列。当其中一个设备接口模块失效时，不影响其他序列正常发挥专设安全功能，确保了系统的可靠性。

1.2 独立性

独立性准则主要适用于安全级仪控系统内部多重序列之间以及安全级系统与非安全系统之间。实现独立性主要采用实体分隔以及电气隔离、通信隔离和功能隔离等手段。不同序列实现同一专设驱动功能的设备接口模块之间没有通信关系，相互独立。不同安全级序列的设备接口模块之间的实体分隔也由序列之间的实体分隔功能实现。因此，对设备接口模块而言，主要应考虑的是安全级部分与非安全级部分之间的独立性。根据IEEE Std.7-4.3.2[3]，安全级和非安全级系统之间的数据通信不应抑制安全功能的执行；另外非安全级功能不会妨碍安全级系统发挥功能。

设备接口模块的优选逻辑可提供功能隔离。设备接口模块的优选逻辑功能示意图如图1所示。

图1 优选逻辑功能示意图

仅在安全级系统无非安全级命令闭锁信号时，非安全级命令才会起作用，可以将非安全级命令的功能限制在安全级设计要求范围内，防止非安全级命令的误触发对安全级功能造成的不利影响。

设备接口模块需要将来自安全级系统、非安全级系统的命令综合起来进行优先级判断，然后输出高优先级的控制命令。以应用于非能动核电站的Common Q平台设备接口模块CIM[4]为例，非安全级系统通过远程I/O光纤总线，将非安全级信号传送到远程节点控制器(remote node controller,RNC)。光纤通信实现了RNC和非安全级系统间的电气隔离。

相较于其他安全级平台，非能动核电站的多样化驱动系统从传感器输出到最终被驱动设备均完全独立[4]，这就保证了设备接口模块与多样化驱动系统之间的独立性。

1.3 多样性和纵深防御

共因故障(comnon cause failure,CCF)[5]是指因特定的单一事件或原因导致几个器件或部件不能执行其功能的故障。这些事件可能来自仪控系统的内部或外部。而软件共因故障是指数字化系统中因软件设计和开发错误而造成的多个设备序列或系统的失效。

完成同一功能的专用安全设施一般由多重驱动设备组成，驱动同一专设功能的设备接口模块也分布在不同的安全级序列。设备接口模块的控制逻辑处理一般都采用可编程逻辑器件(CPLD/FPGA)等，而不是基于微处理器，但其开发和下装过程仍是通过软件进行的。

由于相同版本的软件存在于安全相关系统的多重序列，数字化系统一般不能证明是无误的，因此需考虑受到CCF的影响(包括可编程器件)[6]。多样性和测试是两种被NRC接受的方法，用于消除软件共因故障的影响。而测试要求对输入信号的所有可能组合以及设备状态的所有可能时序进行测试，另外还要验证所有测试用例的输出(100%测试或完全测试)。由于仪控系统的复杂性，完全测试很难应用于实际的数字化系统。多样性设计是解决专设驱动共因故障的切实可行方法。

非能动核电站安全级DCS设备接口模块与多样化驱动系统从设计、设备制造商、逻辑处理设备、功能、全寿命周期、逻辑及信号这7个不同属性，实现了NUREG/CR-7007中要求的多样性[7]。

NUREG-0800，BTP7-19[6]给出了仪控系统的4个防御层次:第一层为非安全级控制系统，用于核电站正常运行条件下；第二层为停堆系统，在电厂发生不可控的偏离工况时快速降低反应性；第三层为专设安全系统，用于移除堆芯热量，维持三道物理屏障的完整性，避免大量放射性释放到环境中;最后一层为监视和指示系统，它包括了安全级和非安全级的手动控制、监视和指示功能，用来操作其他三个防御层次涉及的设备。

设备接口模块执行的纵深防御功能除了安全级的专设驱动外，还执行非安全级的纵深防御功能，它可为非安全级控制系统提供安全级设备的控制。随着平台的变化，设备接口模块提供的来自非安全级的控制功能略有不同，如Common Q平台仅为全厂控制系统PLS提供安全设备控制；而某些平台则为控制系统以及多样化驱动系统都提供了控制接口。

1.4 其他设计要求

根据IEEE Std.7-4.3.2[3]，设备接口模块需要考虑如下原则。

①故障安全设计。

当出现可信的故障模式时，设备接口模块应可将执行机构置于安全位置，使核电厂处于安全状态。

②测试功能设计。

设备接口模块的测试功能不能影响其执行安全功能。相关的测试功能主要包括安全级/非安全级命令发送至设备接口模块、设备接口模块的命令输出以及二者之间的交迭测试。

③故障检测和自诊断。

通过自诊断功能，可以快速检测到设备接口模块的故障。故障检测功能主要有电源故障、通信故障以及输出测试故障等；自诊断功能主要用于设备接口模块控制器件(如FPGA/CPLD等)内部功能完整性的诊断。

2 不同安全级平台设备接口模块的比较

国内现有核电厂中，安全级DCS[4-5]的设备接口模块主要有AREVA公司的TXS平台AV42模块、三菱公司的MELTAC N-plus平台PIF、Invensys公司的TRICONEX 平台PLM模块以及西屋公司的Commom Q平台CIM模块等。不同平台设备接口模块的接口关系如图2所示。

图2 不同平台设备接口模块接口关系图

CIM模块同样基于FPGA技术，实现优先级判断以及设备驱动命令输出，并将设备状态分别通过SRNC/RNC反馈给安全级/非安全级控制系统。它与DAS不存在接口，二者之间具有完全的独立性。

PIF模块由硬件电路实现，它以RS-485串行总线的方式接收来自安全逻辑机柜的控制命令；另外，它通过继电器机柜ARC以硬接线的方式，接收来自紧急控制盘ECP、后备盘BUP以及多样化驱动系统DAS的信号。DAS采用纯模拟技术实现。

AV42模块由PLD和处理器两大部分组成。PLD主要实现驱动指令的生成和优选、获取反馈信息、指令的输出和中断、定期试验等功能；处理器部分主要实现Profibus总线的通信控制功能[8-10]。AV42以硬接线方式接收来自安全级DCS的控制命令，同时通过Profibus总线接收来自非安全级控制系统自动处理器AP的控制命令，接收AV42反馈的设备驱动器状态信息以及模块状态信息。

PLM模块基于FPGA技术实现，它以硬接线方式接收来自1E级TRICONEX的ESFAS专设驱动信号、ECP的手动控制信号、DAS/ATWT的信号以及非安全控制系统的控制信号。PLM仅完成优选逻辑判断、驱动信号输出和定期试验功能，自身无驱动信号保持功能，且无控制设备的状态反馈功能。PLM模块比较容易实现，但功能单一。DAS/ATWT采用了与非安全级控制系统相同的Foxboro I/A平台。不同平台设备接口模块的差异对比如表1所示。

表1 不同平台设备接口模块的差异对比

综上可知，目前多数安全级平台的设备接口模块都采用可编程逻辑器件/门阵列实现；在与多样化驱动系统DAS之间的接口方面，Common Q平台实现了完全的独立，且DAS采用了FPGA技术。其他方面的主要差别在于通信形式，PLM模块仅采用硬接线，可靠性高，但其实现功能比较简单，PLM本身不具有闭环控制能力，而其他几种模块都采用了通信加硬接线的形式。

3 设备接口模块通信方式的改进

设备接口模块与安全级控制器、非安全级控制器及控制设备间的数据交换需遵守美国核管会DI&C ISG-04[1]关于安全级通信方面的要求。NRC认为，安全级的通信不应有握手指令，同时不接受从安全级序列之外打断。另外，通信中应使用预先定义好的信息格式和协议，以简单离散的数字信号方式来实现确定性的通信。

由表1可知，设备接口模块与驱动设备之间的通信均以硬接线方式进行。不同平台的设备接口模块通信的差异往往存在于处理器和设备接口模块之间。而非安全级处理器与设备接口模块之间的通信要求满足1.2节之间的独立性要求，以保证二者之间的通信不会对安全级功能造成不利影响。

通常的设备接口模块与处理器、驱动设备之间的通信示意图如图3所示。

图3 设备接口模块通信示意图

为了减少硬接线数量，节约控制柜内/间的布线空间，某些平台(如MELTAC-N plus)在安全级处理器与设备接口模块间采用了串行总线通信形式，而TXS则使用了硬接线的形式。为保证更高的可靠性，设备接口模块的设计应尽可能采用硬接线接口，不采用通信方式[5]。

改进的设备接口模块通信如图4所示。

图4 改进的设备接口模块通信示意图

该方案采用不同的方式传输安全级处理器与设备接口模块间的命令信号和反馈信号，命令信号采用硬接线，反馈信号则以通信方式实现。

4 结束语

本文对安全级DCS设备接口模块适用的准则进行了研究和分析，详细论述了设备接口模块需要遵守的一般性准则。另外还综合了TXS、MELTAC-N plus、Invensys以及Common Q等不同平台的特性，提出了一种更为可靠的设备接口模块的通信方式。在遵循现有NRC/IEEE/HAD等相关标准的前提下，进一步优化设备接口模块的结构，对于提高设备可靠性有着重要的意义。

[1] US NRC.DI&C ISG-04 Highly-integrated control rooms-communications issues[S].NRC,2009.

[2] 国家核安全局.HAD102/10核电厂保护系统及有关设施[S].北京:中国法制出版社，1988.

[3] Institute of Electrical and Electronics Engineers.IEEE Std.7-4.3.2 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations[S].IEEE,2010.[4] 刘玥,丁长富,王少华,等.DCS安全级仪控平台的分析研究[J].自动化博览，2012(1):48-54.

[5] 郑伟智,李相建.CPR1000保护系统设计研究[J].核动力工程，2012,33(6):21-26.

[6] USNRC.NUREG-0800,Standard review plan,BTP 7-19Guidance for evaluation of defense-in-depth and diversity in digital computer-based instrumentation and control systems[S].NRC,2007.

[7] USNRC.NUREG/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems[S].NRC,2009.

[8] 金思奇,彭锦,彭华清,等.EPR仪控平台失效应对策略研究[J].核科学与工程，2012(S2):105-110.

[9] 冯威,罗炜,俞赟,等.核电厂优先级控制模块的研究与设计[J].科技视界，2005(18):264-265.

[10]陈日罡.优先控制模件AV42在田湾核电站的应用[J].核工业自动化，2004(2):22-27.

Research on the Component Interface Modules
of Safety Class DCS in Nuclear Power Plant

ZHANG Liangliang,ZHANG Yu,DING Ding,LIU Dongbo,JIANG Hui
(Shanghai Branch of Shenzhen China Nuclear Power Design Co.,Ltd.,Shanghai 200241,China)

The component interface modules are important devices to make priority judgment and output the actuating command of final components in the nuclear power plant safety level of DCS.Under the premise of meeting the relevant regulations，standards,and requirements,in order to further optimize the input command interface of the component interface modules,and to ensure high efficiency of the communication at the same time,the related content of the component interface modules is systematically researched.The requirements to component interface modules from relevant regulations and standards such as multiplication,independence,diversity and defense in depth,etc.,are analyzed,and the applications of regulations and standards in the component interface modules of the safety class of DCS are described in detail.By comparing some of the component interface modules for commonly seen safety class platforms such as TXS of Siemens,MELTAC-N plus of Mitsubishi,TRICONEX of Invensys,and Common Q of WEC in domestic nuclear power plants at present，and combining with the communication implementation of the component interface modules for different safety class platforms,an improved scheme is proposed,in which both the reliability of communication and the quantity of hard wirings are taken into account.Relevant research and analysis provide reference for the design of safety class component interface modules.

Component interface module; Priority; Safety DCS; Multiplicity; Independence; Diversity; Defense in depth; Communication

张亮亮(1988—)，男，硕士，工程师，主要从事核电厂安全级仪控系统的研究与设计工作。E-mail:zl2211516@126.com。

TH89;TP334.7

A

10.16086/j.cnki.issn1000-0380.201707007

修改稿收到日期:2017-03-17