小型核反应堆自主控制及其深空探测应用设想

邱建文，徐 瑞，赵宇庭

(1. 中广核研究院北京分院，北京 100086; 2. 北京理工大学宇航学院，北京 100081;3.深空自主导航与控制工信部重点实验室，北京 100081)

0 引 言

能源是航天领域的一个核心问题，目前航天器的主要能源是化学能、太阳能和核能。在深空探测任务中，尤其需要能适应复杂恶劣的空间环境、在无人干预的情况下可以稳定供能的能量来源。化学能和太阳能的固有缺陷，令其应用在空间的潜力十分有限[1]。使用化学能需要占用大量的质量和空间，太阳能受到行星环境和与太阳距离的影响，在沙尘等环境中太阳能板难以接受能量，而木星及以远空间的太阳常数过低，利用太阳能发电效率低下。核反应堆芯具有小体积、大功率、可变大小、长寿命等特点，是目前地球上最高能量密度的可用资源[2-3]。在已有的深空探测任务中，美国的“旅行者号”(Voyager)、“新视野号”(New Horizons)、“好奇号”(Curiosity)等深空探测器均采用了同位素核电源。美国国家航空航天局(NASA)计划在2030年利用核能实现载人登陆火星，NASA已经与Ad Astra公司签订协议，在国际空间站上进行核能发动机的试验飞行，Ad Astra公司也提出了使用200 MW核反应堆的短期载人往返火星的概念[4]，图1为核动力火星飞船示意图。由此可见，核动力必将成为发展深空探测的战略性能源选择，在国防需求推动下快速发展。

随着近些年来核电事业的发展，尤其福岛事故后随着对核电安全要求的提高，小型反应堆因为良好的安全设计理念、结构简单的特点,能满足中小型电网的供电、制氢、城市供热、工业工艺供热、混合清洁能源和海水淡化等特殊应用要求的优势，引起了研发和建设热潮。商用小型堆发展为空间堆应用提供了坚实基础。

按照国际原子能机构(IAEA)的定义，小型反应堆的电功率在300 MWe以下。小型反应堆主要有轻水堆、高温气冷堆、液态金属反应堆、熔盐堆等类型。模块化小型堆是目前优先开发的方向。世界各国近期开发的典型小型堆如表1所示[5]。

图1 Ad Astra 200 MW载人火星飞船示意图Fig.1 A schematic map of the Ad Astra 200 MW manned Mars spacecraft

序号堆型名称设计公司国别发电能力/MWe设计状态1System Integrated Modular Advanced Reactor (SMART)Korea Atomic Energy Research Institute俄罗斯1002012年7月4日收到标准设计批准2mPowerB&W GenerationmPower美国180/module2015年申请设计认证3NuScaleNuScale Power Inc.美国50/module(gross)2016年中申请设计认证4ACP100CNNC/NPIC中国100详细设计,2016年开始建设

反应堆自主控制的需求主要体现在两个方面：

1)经济竞争力需求。空间堆的投资成本和日常管理成本决定了其经济竞争力，实现自主控制能降低反应堆对人工管理的需求，节约成本。

2)空间反应堆本身自主控制需求。由于深空探测器远离地球，具有很长的通信时延，传统的控制技术依赖地面人员决策，探测器上搭载设备均需要自主控制。空间反应堆作为能量来源，是深空探测器的重要组成部分，需要实现自主控制，保证设备的长期可靠运行。小型模块化堆有运行灵活、生产能力模块化配置的优势，适于实现空间中的自主控制。

目前的反应堆控制大多是自动化控制，无法满足深空探测器空间堆对自主性的需求，如何提高自主程度，从“自动化控制”到“自主控制”，是问题的关键。

1 自主控制技术发展现状

1.1 核反应堆控制技术发展现状

机器人、运输、航天等领域中已采用了不同自主程度的控制系统。理想的自主控制具有智能性、鲁棒性、优化性、灵活性、适应性和可靠性等特性。虽然各领域所实现的自主程度和特定的控制算法不同，但对反应堆自主控制系统关键特性和先进自主功能架构实现都有参考价值。

核反应堆上应用自主控制面临下述挑战：1)在运核电站还没有实现自主控制；2)目前正在研发的先进概念反应堆，也没有自主控制应用的研究；3)当前核电站的自动化控制技术都相当成熟，高度自动化控制也足以应对最理想工况；4)在当前技术水平下，降质、故障和其他非正常事件等非最理想工况反应堆性能、以及直接人工干预能力受到限制；5)在核电特殊运行区域，自主控制功能的开发和示范还存在着明显差距。

国内核电厂的仪表与控制系统在全世界具有代表性。按照技术沿革，各核电厂的技术情况如表2所示。

核反应堆的仪表与控制系统由测量系统、控制(调节)系统、反应堆保护系统、专设安全设施等组成[6]。核电厂数字化分布式仪表与控制系统总体纵向分为四层。

1)现场级(输入/输出层)：执行过程输入和输出功能。本级是系统级与核电站工艺设备之间信号传递的桥梁。

表2 国内核电厂的仪表与控制系统Table 2 Instrumentation and control system of nuclear power plants in China

2)系统级(控制层)：执行信号采集、数据处理和执行保护与控制功能。该级包括：反应堆保护系统、数据采集与处理系统、反应堆控制系统、汽轮发电机组控制和保护系统以及承担机组控制和设备保护任务的标准控制系统。主要采用PID调节器控制技术。

3)机组级(过程信息处理层)：处理一个机组的所有数据，执行机组的监测、控制和信息显示功能，是人机接口的界面。包括主控室、全厂放射性水平监视系统和火灾监测报警系统、紧急停堆控制盘系统等。

4)电站级(管理层)：处理所有机组公用数据。

目前商用反应堆系统主要采用经典单输入单输出控制技术，少部分采用多变量控制，比如蒸汽发生器的三变量控制器。商用反应堆控制技术的发展趋势是基于总体控制目标，协调各个控制回路的动作，并扩大自动控制范围。

在反应堆控制技术研究中，常见的控制技术有自适应鲁棒控制、功率转换模糊逻辑控制、蒸汽发生器的H∞控制与基于遗传算法的控制，以及反应堆堆芯功率分布的神经网络控制，还有具有容错与重构特征、先进反应堆—回路功率控制的模型预测控制。这些技术主要应用在大学研究中，或者研究堆以及先进小型堆中。

1.2 空间探测自主控制技术发展现状

第一台自主式机器人探测车火星探路者索杰纳于1997年7月开始探索火星地表。索杰纳的自主能力非常有限，导航、资源管理和应急响应等仍然需要地面遥控。火星双子探测漫游车(MERS)——勇气号和机遇号，于2004年1月开始了星表探测任务，探测活动一直持续到2017年。除了具有自主障碍检测和导航能力，这两辆漫游车在索杰纳的能力之上扩展了其自主能力，还具有基于模型的恢复、资源管理和自主规划能力。用于促进火星双子探测漫游车自主的集成软件架构是“自主机器人耦合层体系结构”(CLARAty)。CLARAty包含两层结构，由人工智能软件决策层和实现控制的功能层组成。每层中的隐式粒度允许具有嵌套能力的功能体系结构[7]。

航天器的自主性已随深空一号任务进行了演示。深空一号于1998年10月发射。作为验证太空中高风险先进技术的试验平台，除了演示航天器的自主导航外，还进行了一个主要实验，演示了用于星上规划和航天器活动执行的远程智能体人工智能系统[8]。除了在深空一号上的实验性应用，自主技术已经实际应用于航天器，比如哈勃望远镜使用的“科学规划交互知识系统(SPIKE)”[9]，“地球观测卫星1号”(EO-1)使用的ASPEN系统[10]。国内的高校和院所也已经开展了航天器自主技术的研究，如北京理工大学深空探测技术研究所对航天器的自主任务规划技术[11-12]、自主姿态规划技术进行了研究[12-13]，中国科学院、北京理工大学、国防科技大学、北京航空航天大学等对多种深空自主导航方式进行了研究，嫦娥三号月球软着陆成功采用了自主导航技术[14]，姜连祥等[15]对航天器的自主故障诊断技术发展进行了总结。国内的深空探测器自主技术处于起步阶段，虽然从多个角度开展了理论研究，但尚未广泛应用到实际深空探测任务中。

未来的深空探测器应具备系统级的自主能力，通过接收地面的高级指令，自主进行任务规划、命令序列化、探测器行为监测、探测器故障诊断和恢复等，只在出现无法解决的故障时，求助于地面[12]。另外，需要合理地自主运行体系结构以整合各项自主技术。在体系结构设计中，航天器各系统应尽量提高自主性，以减轻上一级系统的控制压力[16]。

美国战略防御计划研制了SP-100核热离子反应堆系统，其中采用了容错控制方法，论证了将这种方法应用于空间裂变反应堆控制的可行性，反应堆既可用于推进(核电或核热)，也可作为能源[17]。

2 自主控制内涵

2.1 自主控制特征

反应堆自主控制与典型自动控制不同。自动控制使被控对象自动执行基本动作，重大决策需要由人决定。自主控制具有控制、诊断和决策能力，甚至还具有自我维护、修复能力。从自动控制到自主控制的智能化过程如图2所示。

图2 自动控制到自主控制的智能化过程Fig.2 The intellectualized process from automatic control to autonomous control

自主控制可以在反应堆所有运行模式下应用。应用场景包括：工艺性能优化(如自整定)；连续监测、性能指标诊断以及预测与安全相关参数的变化趋势；组件的健康诊断、处理预期与未预期事件和提供寿命有限元件(如电池和驱动机构)保护的柔性控制；适应工况不断变化或降质；控制系统性能检验和维护。

自主控制关键特性包括：确认系统性能并检测降质或故障状态的智能性；适应不确定性和变化工况的鲁棒性；设备负荷最小化和有效应对运行事件而不影响系统完整性的优化性；通过在现有控制系统元素之间重新配置或调整控制系统策略、算法或参数，以适应故障的灵活性和适应性。

智能性(嵌入式决策和管理/规划权)有助于减少或不依赖于人的干预，并能容纳一个完整的、全系统方法的控制。智能控制提供了基于系统知识的动作预期和事件预测。为了支持控制和决策，对于状态识别和健康/状态监测，实时诊断/预测能力非常重要。自我验证是处理数据、命令和系统性能评估和响应智能化的一个方面。

除了具有适应各种环境的能力外，还需考虑设计不确定性和未建模动态所需的鲁棒性。故障管理是实现鲁棒性的一个重要考虑因素。故障管理包含故障避免、故障排除、容错和故障预测等技术。此外，鲁棒性也可以包含自我维护或自愈。这种能力是通过获取设计知识与自我纠正性能、预测识别早期故障、故障检测与故障隔离等技术来提升的。

优化意味着对需求的快速响应、与目标条件的最小偏差以及高效的执行器动作。优化控制可以通过自调整和其他形式的自适应来实现。灵活性和适应性可以通过不同的测量、多种通信选项和不同的控制解决方案来实现。功能可重构性有助于这些系统可选项的有效利用，而固有的重设计能力可以适应未预期工况。

2.2 空间堆近自主控制

与地面核电站采用不同程度的直接人工控制和运行决策不同，空间反应堆控制系统将遇到独特的挑战。空间堆控制系统应能提供连续、远程、无人值守(有限直接人工干预)运行。此外，空间堆控制系统应满足系统和设备降质或失效以及罕见或未预期运行事件。因此，为支持运行目标，需要对快速事件作出反应并适应不断变化或降质工况，而不需要立即进行直接的人为监督。自主控制可以在不需要直接人工干预的情况下，在存在重大不确定性、干扰和降质的情况下，满足重要的控制目标，同时提升经济竞争力。

自主控制的目标是限制非正常事件的发展及减少停堆动作，非正常事件包括如下几个方面：热负荷瞬变(如热电转换系统故障，冷源丧失)；负荷/电源中断，执行器降质或失效，执行器信号中断或受干扰；余热排出系统降质或损坏，控制处理器故障，罕见的软件错误，传感器故障，传感器信号中断或干扰、传感器漂移、信号调理电路漂移、传感器噪声增加、通信故障或通信重发；快速降负荷是最有可能触发直接保护动作的一个重大事件。空间堆运行模式见图3。

图3 空间堆的运行模式Fig.3 Operation modes of space nuclear reactor

应对非正常事件的手段有：

1)反应堆保护

通过多样性和纵深防御来提供增强的分层反应堆保护。或利用限制系统，在保护反应堆的同时最大限度地降低昂贵的紧急停堆风险。

2)可用率保证

通过故障管理、自动控制、性能管理、数据管理和通信等方式保证可用率。

故障管理是自主控制的重要组成部分，在给定变化的设备或反应堆状态下，进行检测、诊断和适应(或重新配置)。控制系统和反应堆性能的检测、诊断和验证。通过这种能力，作为预期动作而非反应性动作，反应堆控制系统能够识别始发事件(瞬变或故障)，确定保护寿命有限或易损部件的措施，并确保反应堆持续可靠地运行。

自动控制是在正常运行模式下的自主控制功能。性能管理评估控制系统和反应堆的状态，以确定何时进行应调用的控制器预先调整。评估能够监测控制系统的有效性，识别反应堆的动态状态和确定关键设备的状态。评估的方法有：状态估计算法、过程系统诊断、设备状态监视和控制参数自适应。另外数据管理和通信能力也与自主功能相关。

总的来说，应对非正常事件的手段有两点。一是通过多样性和纵深防御来提供增强的分层反应堆保护。二是开发限制系统，在保护反应堆的同时最大限度地减少昂贵的紧急停堆风险。

空间堆自主性的主要功能达到何种程度取决于赋予自主控制系统的责任水平和自主控制系统必须缓解的运行风险程度。

影响空间堆自主性水平的因素有：持续直接人机交互潜力限制(因多个智能体共享操作员监管职责或因限制空间安装维护人数)、绩效目标、系统需求复杂、技术限制，运行风险考虑、极简约(即可靠性)与复杂程度(即检测和调节能力)。

尽管具有高度可靠的反应堆控制系统很重要，但在没有直接人为干预或紧急停堆的情况下，如果控制系统不能适应反应堆降质，那么控制系统价值也有限。在这种空间堆状态变化情况下，一个高度可靠的控制系统却发挥不了作用。

总的来说，反应堆的自主控制研究经验不足，技术基础不深，特别是自主控制尚未在地面运行的核电厂实现。对于空间反应堆自主控制的研发工作，关键要素包括建立适当的功能架构、开发支持自主的基本模块、并进行自主能力的地面综合示范应用。

3 空间堆自主控制体系结构

3.1 近自主控制分层体系结构方法

如图4所示，在分层自主控制方法中，自主控制体系结构包含三层：规划器层、执行层和功能层[18-19]。规划器层提供慎思式规划，执行层提供动作排序，功能层提供直接控制。

图4 自主控制体系结构Fig.4 Autonomous control architecture

例如，火星探测漫游车任务中采用了基于CLARAty软件环境的自主控制架构。CLARAty体系结构折叠了规划器层和执行层，其特点是将智能高层放入决策层。把慎思和程序功能合并成一个与功能层并行的层，并提供支持决策的公用数据库。

在空间堆自主控制中，功能层是一个面向对象的结构，它提供对核推进/系统硬件功能的访问，并充当决策层对控制对象(机器人、航天器、核推进)的控制接口。决策层提供由功能层的智能控制能力分解和执行的高级命令，建立基于核推进/系统状态和已知约束的任务序列，评估功能层实现这些命令的能力[20]。

图5 空间堆近自主控制体系结构Fig.5 Near autonomous control architecture of space nuclear reactor

本文根据已有研究成果和实践，提出一种近自主控制系统体系结构方法，如图5所示。本体系结构具有与运行人员的高级接口，运行人员为空间堆最终监管者，决策和目标由人确定。控制系统承担了正常控制、异常事件响应和系统容错等扩展职能。

体系结构中的每个节点(除了底层的终端节点)都是一个监视模块。体系结构中每一级的监视模块都响应其上层模块所设定的目标和指令，也响应它下层的模块所提供的数据和信息。每个模块做出适合其体系结构的决策，并将决策结果和必要的支持信息传递给功能连接模块。

体系结构中各层具有不同的功能。设备网络层连接传感器、执行器和通讯；控制/监视/诊断层的功能是控制模块与较底层节点的耦合，相当于由控制器与现场设备组成的自动控制系统，监视和诊断模块提供派生数据以支持设备和过程系统的状态确定和监视；混合控制/预测层的功能是提供命令和信号验证功能，支持失效早期或正在出现的设备降质的预测(即故障识别)；命令/决策层提供算法，允许重新配置或调节以适应检测到或预测到的反应堆状况(即，容错活动)，替代原有控制器，基于操纵员命令抑制或逆转自主控制动作；监管者/协调人层提供人机接口，负责操作员指令下达。

3.2 多智能体自主控制体系结构

自然界常常能给科学研究带来启发。当思考如何自主控制系统中的多个子系统时，可能联想到章鱼，它能同时协调八个腕足。章鱼具有整个动物界最奇特的智能——分散处理信息的能力。这种能力的实现依赖于章鱼的生理特性。章鱼具有8个外围神经系统：每个腕足受数百个触觉、化学和本体神经支配，具有自主能力，不受大脑节制。同时，章鱼还有一个专门化的中央大脑，与人类海马体相似，专注于高级认知活动(认知、决策、协调复杂动作等)[21]。这种信息处理方式是动物界典型的多智能体自主控制。

由于空间反应堆控制有安全性、经济性、操控约束、环境(空间、余热排出)受限、人工参与受限等特点，近自主控制的分层体系结构无法完全适用。尤其是在人难以及时参与决策的深空环境中，近自主控制分层体系结构中的监管者/协调人层无法发挥原有的作用。因此，在多智能体自主控制中应用分层控制体系结构方法，根据空间堆的特点调整自主控制体系结构的分层方式，提出多智能体自主控制体系结构。

多智能体系统具有的能力有：控制能力,感知周围环境的能力,智能体间的交互能力,信息处理和计算能力,响应及决策能力。多智能体自主控制体系利用多智能体的能力解决空间反应堆控制问题，在人工参与受限的情况下，自主控制反应堆，满足各种条件的约束，达到安全性、经济性等控制目标。

多智能体自主控制系统体系结构如图6所示。该体系结构是一个抽象模型框架，它定义了系统中的结构、设备、关系、动态和通讯。决策与功能层融合是其主要特征。在空间堆近自主控制体系结构的基础上，两层融合能够简化体系结构，提升决策层获取系统状态信息的效率。决策功能单元包含：计划与调度模块、数据采集模块、诊断与预测模块、决策模块、控制动作预测与验证模块、命令生成模块，其中决策模块是主智能体，拥有最高决策权。

图6 多智能体自主控制体系结构Fig.6 Architecture of multi-agent autonomous control system

体系结构最低层的两级结构相当于一个自动化控制系统。较低层智能体实现可靠的、容错的嵌入式功能，为实现响应快速事件和适应变化或降质工况也可集成一些与控制/监视/诊断级别相关联的基本决策能力。较高层级智能体将承担更高程度的决策能力。

体系结构中嵌入式智能体功能有：数据采集、执行器激活、验证、仲裁、控制、限制、检查、监视、命令、预测、通信、故障管理和配置管理。

多智能体体系结构的功能分配必须基于自主程度、技术成熟度、可靠性和故障管理、软件开发实践和平台功能，以及反应堆控制系统硬件的物理体系结构，这有待于今后进一步开发细化。

4 结束语

虽然在机器人、航天等应用领域把自动化增强为自主化已经取得了显著进展，但核能行业在将人的作用和职责转移到机器(系统)方面的进展并不大。尤其是有限的几乎是学术性的研究主要集中在开发先进控制和监控能力上。实现空间堆自主控制的主要技术差距与决策能力(例如战略、解释、适应、预测)有关。采用多智能体自主控制结构将提供高效、有效、经济的空间堆控制解决方案，满足空间堆的自主控制需求，提升反应堆的经济竞争力。实现一个空间反应堆自主控制系统，需要通过地面技术开发和示范活动提供所需的技术准备，特别是在其功能体系结构中建立监视、趋势、检测、诊断、决策和自我调节能力。目前，实现具有完全自主运行、自主保护和自主管理智能体反应堆模块尚处于设想阶段，但对于未来深空探测能源系统的发展具有重要意义。