反应堆保护系统多样性分析

熊帮平，吴志强，刘明明，王 恺

（中国核动力研究设计院 核反应堆系统设计技术重点实验室，成都 610213）

0 引言

波音737 MAX 坠机事件至今已过去数月，调查结果显示导致此次事故的原因有很多。从设计的角度来说，传感器采集的数据没有进行交叉比较，MCAS 软件系统与人工干预争夺飞机控制权又是诸多因素中比较重要的原因。其中，传感器数据的交叉比较是核电领域普遍且比较成熟的做法，在此不做过多说明，本文主要从反应堆保护系统的多样性来介绍核电厂的设计方法。

《核动力厂设计安全规定》中明确提出，基于计算机的系统在保护系统中的应用，如果不能论证所需系统的完整性具有高可信度时，必须具备保证执行保护功能的其他不同手段。采用单一性质的系统设备、技术手段容易引起共因故障。共因故障是指由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障，这里的单一事件可以是系统内某一元器件的设计制造缺陷或者运行环境引发的级联效应等。为预防共因故障，可以对执行某一确定功能设置两个或多个多重部件（系统），这些不同部件或系统具有不同属性，这就是核电厂的多样性设计。

1 保护组多样性设计

核电厂反应堆保护系统（RPS）在保护组（RPC）软件系统中执行的跳堆逻辑有近30 个[1]，这些跳堆逻辑不仅覆盖了机组从停堆状态到满功率运行的整个过程，而且对于机组在同一状态时，同一事故还包含了多个跳堆逻辑。例如在P7 信号出现时，与任一环路的主泵转速低低、任两环路的冷却剂流量低（主泵断路器打开）耦合都能触发跳堆事件，其采集信号的传感器原理也各不同，但其对应的事故都是冷却剂循环故障导致热量不能正常带出。因此，对于同一事故采用不同的停堆逻辑，可以实现传感器的设备多样性和跳堆功能的多样性。

保护组主要实现跳堆功能和局部触发逻辑的运算。由于采用相同厂家的设备系统，可能会由于共因故障影响系统的运行，如跳堆输出信号所在的卡件存在故障、控制停堆断路器动作的线圈继电器失效等问题，核电历史上也曾多次出现停堆断路器的继电器不能正常动作的事件[2]。对此，除了基于概率论设置多重冗余外，反应堆保护系统还从多样性的角度设置了ATWT 系统。

作为常规DCS 的多样性保护系统，ATWT 系统采用的架构与保护组基于CPU 的分散控制系统不同，采用了基于继电器/硬接线的传统模拟处理技术，可以实现设备的多样性。实现功能上，各个标准规范根据面向的堆型不同，一般只在典型事故初因中选择一个或两个作为触发条件，停堆输出信号作用于控制棒驱动机构CRDM 线圈。但是受限于自身的实现方式，ATWT 不能实现常规DCS 那么复杂而灵活的功能，而且由于传统的模拟量处理模块可能存在定值漂移的问题，需要定期检查和调整。

ATWT 和RPC 的停堆信号作用于不同的驱动装置，并不存在冲突指令作用于同一驱动设备的情况。因此，两者之间没有优先级关系。

2 专设列多样性设计

专设列主要完成设备的逻辑运算、驱动信号输出和机组控制模式的选择等功能，为保证系统的可靠运行，普遍采用冗余性和多样性相结合的设计准则。冗余性主要体现在设立两个完全相同且独立的子组运行（或CPU 冗余但共用IO，双CPU 错序运行的方式[3]）。由于组态运算的最终目的在于驱动设备的输出控制，因此不针对内部运算设置专门的多样性。由安全级驱动控制的设备数量较多，多样性的实现主要有以下方式：

1）选取功能比较重要的一部分设备，由二层的继电器/硬接线直接控制。

2）在每一个优选驱动模块上设置非安全级控制命令。

3）在每一个优选驱动模块上设置手动功能。

但是这两种方式都存在各自的缺点，前一种考虑到硬件规模，不能够覆盖所有的驱动设备；第二种需要在非安全级侧增加大量逻辑以及隔离；后一种需要工作人员到就地机柜处找到驱动设备对应的优选模块操作，时效性较差。因此在实际工程中，针对不同设备，选取三种方式相结合的方式，从概率论的角度来降低系统风险。

3 二层控制多样性设计

保护组和专设列主要是level1 层控制，level2 层主要是人机接口层，由操纵员控制干预的地方。下面以OWP/BUP/RSS 不同模式下的切换来举例说明：

OWP/BUP/RSS 模式切换是机组为应对level2 层控制失效设置的模式，机组正常运行在OWP 模式下。3 种模式的特点如下[4]：

OWP 模式：

1）KIC 系统作为主要控制方式运行，能够实现对全厂所有设备功能的控制和监视，控制场所为主控室（MCR）。

2）BUP 上的少数控制功能有效。

3）远程停堆站（RSS）的控制功能不生效。

BUP 模式：

1）BUP 模式是OWP 模式失效后的备用模式，控制场所为MCR。

2）BUP 模式主要采用继电器/硬接线作为控制方式。

3）RSS 控制功能不生效。

RSS 模式：

1）MCR 不可用后的控制模式，控制场所为RSS，不与MCR 同一防火分区。

2）RSS 模式采用DCS 仪控系统和继电器/硬接线共同作为控制方式。

3）OWP 模式和BUP 模式不可用。

紧急停堆盘（ECP）包含紧急停堆、安注、汽机跳闸等核心功能，完全由继电器/硬接线搭建，虽然位于MCR，但不是某个模式特有的，其中ECP 上的手动紧急停堆功能不受模式切换的影响，其关系大致如图1 所示。

需要说明的是，对于BUP 和RSS 模式来说，可以将反应堆平稳过渡并维持在安全状态就可以了，并不需要实现OWP 模式下那么全面的功能。在两个模式切换中，MCR/RSS 模式切换的优先级高于BUP/OWP，在切换至RSS 模式后，要求整个MCR（ECP 的紧急停堆功能等少数功能除外）的控制功能不可用，其中：

1）ECP 是纯硬件结构，设备量少，通过在ECP 侧搭建硬逻辑，当MCR/RSS 切换开关转向RSS 时发出闭锁命令，控制这部分硬逻辑的断开，使得ECP（紧急停堆功能除外）功能失效。

2）BUP 基于设备多样性的考虑，大多同时设置了通过硬件直达驱动设备和通过专设软件再达驱动设备。在需要驱动的设备较少的情况下，通过硬件的部分处理可以用继电器闭锁，通过软件的部分在专设内设置模式切换闭锁逻辑。

4 GCT-a阀门的多样性设计

图2 多点压力校准装置前面板Fig.2 Multi-point pressure calibration device front panel

在OWP/BUP/RSS 的模式切换中，多样性的实现必须保证在不同的模式切换过程中设备状态的可控性。下面以核电厂中的GCT-a 阀门调节中的GCT131VV 进行实例说明：

GCT131VV 属于GCT-a 阀门组，用于当反应堆功率与反应堆负荷不一致时，把多余的蒸汽排向大气，为反应堆提供一个“负荷”，从而避免核蒸汽供应系统中的温度和压力超过保护阈值，确保电站安全。

1）自动控制模式

GCT131VV 的软件控制逻辑在RPC-II 中实现，在3 种机组控制模式间切换时都可用。主要原理是根据PV 与SV的偏差信号经PID 调节器输出MV 值（阀门开度）。其中PV 是主蒸汽管线压力测量值，是一个变化的过程值，SV是压力整定值，是一个给定值，根据给定模式的不同分为内、外给定。内给定指操作员手动调整，外给定是软件内部设定的值，给定模式可以在SVDU 上进行切换。OWP/BUP/RSS 下内给定的SV 值会自动跟踪外给定的值，实现机组控制模式切换下的无扰性，反之不能实现，会引起阀门开度的变化，但这种情况一般通过操作规程来控制。

2）手动控制模式

手动控制可以在OWP/BUP/RSS 各自的SVDU 上实现调节，各自模式下的MV 开度值会自动跟踪RPC 软件内运算后的值，实现OWP/BUP/RSS 模式切换后阀门开度的无扰性。

除了上述常规控制方式以外，GCT131VV 还基于多样性考虑设置了只依靠手操器及其控制接口单元的控制方式，如图2 所示。

图2 中左侧表示手操器，右侧表示手操器接口单元。其中，绿线表示RPC-II 软件运算后经AO 卡件输出的阀门开度信号，红线表示最终输出。

当RY3 继电器励磁时（通过MCR/RSS 模式切换开关实现），触点1/9 断开，机组在RSS 控制模式，此时蓝色部分控制逻辑不生效。KCS566BN 的C9/C10 信号采集AO 卡件输出的MV 开度信号，一边给至手操器上的remote 指示器显示，另一边通过R12 继电器的3/11 和4/12 两对触点，经过如图2 中所示的红线输出阀门开度信号，同时将最终的阀门开度信号给至手操器上的MV 指示器显示，即一般情况下的控制方式。

当RY3 继电器未励磁时，切换至OWP 或BUP 模式。此时由BUP 上的手操器GCT403RC 来控制阀门的开度输出，是完全依靠硬件实现的多样性控制。SW4 切换开关通过改变输出端口的选择，实现两种控制方式的互不干扰，当SW4 闭合使得RY1 和RY2 继电器励磁，阀门的开度输出改由继电器RY2 的7/11 和8/12 控制，即Hand 指示器的值，并在此基础上通过SW1/SW2/SW3 实现阀门的快（慢）速增减。但在此时的控制方式下，Hand 指示器的值没有跟踪阀门上一时刻的开度，因此在切换前需要将Hand 指示器的值调整至与MV 指示器相同，以防止阀门开度出现较大幅度地扰动，这主要通过核电厂的操作规程来控制。

5 结束语

反应堆保护系统的设备和功能多样性是防止共因故障的重要手段，虽然独立完整地实现系统功能还有所欠缺，但作为核电厂纵深防御重要的一环，大大降低了DCS 系统运行过程中由于共因故障导致系统功能丧失的风险。对于基于多样性实现的不同控制方式，或作用于不同点避免优先级，或利用驱动控制模块实现优先级，而且都是基于继电器/硬接线的控制优先级更高，留给操纵员更多的控制权，可以避免出现波音事件中多样性系统争夺控制权的事件，能够确保核电站的安全运行。